המורכבות של התרבות – תרבות ארגונית מוגדרת כ"ערכים המשפיעים בפועל על ההתנהגות היומיומית בארגון". אין הכוונה לערכים המוצהרים של הארגון או לערכים שאליו שואף הארגון, אלא לערכים שעל פיהם חיים האנשים במקום העבודה. תרבות מעוצבת בראש ובראשונה באמצעות הטון שבצמרת, אך גם מושפעת מגורמים אחרים כגון אסטרטגיה עסקית, מבנה ארגוני, תמריצים, ערכים אישיים של העובדים והתנהלות משאבי האנוש. כל אחד מהגורמים פועל ומגיב לגורמים האחרים לכדי רשת סבוכה.

תתי תרבויות – לעיתים מנהלים יוצרים תתי תרבויות במעגלי ההשפעה שלהם, העשויות שלא להיות תואמות לתרבות הכללית. האתגר שמייצרים מנהלים אלו הוא הזדמנות עבור הביקורת הפנימית, מכיוון שמצב כזה ניתן לזיהוי במהלך הביקורת ויש בו כדי לספק מידע בעל ערך להנהלה בדרגות הגבוהות יותר.

תרבויות שונות – אין "תרבות נכונה" כפי שאין מאזן נכון של סיכון/סיכוי. כך למשל ייתכן שחטיבת הכספים בארגון תהיה בעלת תרבות שמרנית יותר, ואילו לחטיבת המכירות תהיה תרבות אגרסיבית יותר, שיכולה להיות הולמת בגבולות מסוימים. כדי להתמודד עם האתגר, למבקרים פנימיים צריך להיות כושר שיפוט טוב, הבנה עסקית ותקשורת פתוחה, על מנת להציב את השוני בין התרבויות בפרספקטיבה נכונה ולקבוע מתי התרבות הולמת ומתי לא.

אין קריטריונים מוגדרים – באופן אידיאלי, ההנהלה והדירקטוריון אמורים להגדיר את הציפייה שלהם עבור כל אחד מחלקי הארגון, כמו גם את ההתנהגויות שנצפו וזוהו ככאלו שמדגימות התאמה או חריגה מהציפיות. זה כמעט שלא נעשה. היעדר קריטריונים ברורים וספציפיים לבקר לאורם, מגבירים את האתגר שבעריכת ביקורת בנושא. בהתייחס לאתגר הנ"ל, מספר יחידות ביקורת פנימית פיתחו מודל תרבות – בדרך כלל מקורו במודל שפותח על ידי חברה חיצונית. כך למשל, חברת פרודנשל משתמשת במודל שפותח על ידה בשיתוף עם חברת EY. לאחר שהדירקטוריון וההנהלה מאמצים את המודל, הביקורת הפנימית יכולה לבנות תוכנית ביקורת וכלי ביקורת מוכוונים לציפיות הספציפיות ולהתנהגויות באותה המסגרת.

הארגון הרחב – קיים קושי לזהות חוסר עקביות תרבותית בפעילות גלובלית. פונקציות מיקור חוץ, ספקים ושותפים למיזם משותף, עלולים להזיק לארגון. מבקרים פנימיים חייבים להתאים את גישתם, את כלי הביקורת, ואת כושר שיפוטם בהתחשב בשוני התרבותי של המדינות השונות. ארגונים מסוימים דורשים מהספקים שלהם ומספקים של צדדים שלישיים להגיש דוח שנתי המציג את האופן שבו הם מצייתים לערכי הארגון, ולאחר מכן נפגשים עמם כדי לדון בדוח. הדיון יכול להיות משמעותי יותר מהדוח עצמו.

תרבות היא תפיסה – בטרם ניגש לטכניקות המשמשות מבקרים פנימיים בביקורת על התרבות, ישנו עיקרון בסיסי ואתגרים המיוחסים לו הראויים לדיון. התרבות הארגונית לא קיימת במסמכים פורמליים, כגון קוד אתי או הצהרת ערכים, שרק משקפים את מה שמציג הארגון ביחס לתרבות הרצויה. התרבות גם לא קיימת במה שהדירקטוריון וההנהלה אומרים למבקרים על התרבות, אלה יכולים לתאר את מה שהם מחשיבים כתרבות הארגון. אך תפיסתם את התרבות מסוננת על ידי חוסר נכונותם של העובדים לומר להם שיש בעיות בתרבות הארגונית.

התרבות קיימת בתפיסות העובדים. אם עובדים מאמינים שהתרבות הארגונית היא "לנצח בכל מחיר ויש לעשות כל מה שנחוץ לשם כך", זו הדרך שבה הם יתנהגו. אם העובדים מאמינים שהתרבות היא כי "הלקוח בראש סדר העדיפויות", זאת הדרך שבה הם ינהגו. זאת גם הסיבה שההגדרה הנפוצה לתרבות היא "הדרך שבה נעשים כאן הדברים". העובדים הם המקור הטוב ביותר של מידע על התרבות, אך השגת המידע מהם מציבה מספר אתגרים עבור מבקרים פנימיים.

• עובדים עשויים להיות לא גלויים לחלוטין, במיוחד אם הם חוששים מהתנכלות עקב מסירת מידע שלילי למבקר.
• עובדים עלולים ללקות בכתמי עיוורון תרבותי, הגורמים להם שלא לראות חולשות בתרבות הארגונית.
• חלק מהעובדים עלולים להיות מתלוננים סדרתיים.
• סקרים, ראיונות וסדנאות הנערכים על ידי מבקרים פנימיים עשויים גם הם לכלול אותם "כתמי עיוורון".
• התגובות לתוצאות הביקורת עשויות גם הן להיות מושפעות מהתרבות.

מבקרים פנימיים חייבים להיות מודעים לאתגרים אלו, ולהשתמש בידע של הארגון שלהם, בשיקול דעתם ובכישוריהם הבין-אישיים על מנת להתמודד עמם. כל זאת במקביל לפיתוח טכניקות להערכה. ישנם מספר מפתחות לעריכת ביקורת תרבות ארגונית מוצלחת.

גורמי הצלחה

מנהלים ודירקטורים מודעים, לפחות באופן אינטואיטיבי, לאתגרים שבביקורת התרבות, ועשויים להיות ספקנים באשר ליכולתה של הביקורת הפנימית להתמודד עמם. על מנת שהביקורת תצליח הם צריכים להיות מוכנים לקבל ראיות פחות מוצקות מאשר אלו שהם רגילים לקבל, וכן את קיומם של תחומים אפורים.

מבקרים פנימיים ראשיים צריכים לשכנע את המנהלים והדירקטורים כי לצוות הביקורת יש את הכישורים, את שיקול הדעת ואת הכלים הנחוצים על מנת לספק תובנות בעלות ערך על התרבות. כמובן שצוות הביקורת צריך להיות בעל יכולות אלו. אם אכן כך, ואם התקבלה הסכמת ההנהלה, מיסוד ביקורת בנושא תרבות ארגונית כחלק מהצ'ארטר (כתב האמנה) של הביקורת הפנימית יכול להועיל.

אם לצוות אין את היכולות הנדרשות, מוטב להתקדם עקב בצד אגודל על מנת להעריך בקרות רכות, תוך כדי בניית והכשרת הצוות לקראת מיקוד חזק יותר בתרבות.

כישורי ביקורת – בהתאם לדוח של לשכת המבקרים הפנימיים בבריטניה (משנת 2016), מבקרים פנימיים בבריטניה ובאירלנד סבורים כי הכישורים הנדרשים ממבקרים לעריכת ביקורת תרבות הם:

• שיקול דעת מקצועי (84%).
• מבקרים מנוסים או בכירים להובלת הביקורת (71%).
• מיומנויות תקשורת משופרות להעברת ממצאים לא נעימים (60%).
• כושר השפעה ומיומנות ניהול משא ומתן (48%).
• הכשרת מומחים לשיטות איכותיות ועיצוב שאלוני סקר (33%).

על פי הסקר, רק 21% מהנשאלים השיבו כי למבקרים יש כבר את הכישורים הדרושים להערכת תרבות ארגונית והבקרות הרכות.

ארגונים יכולים להשלים את כישורי צוות הביקורת על ידי שותפות עם שומרי סף אחרים, דוגמת אלו שבקו ההגנה השני. שיתוף פעולה עם יועצים חיצוניים יכול להיות אופציה טובה נוספת.

יחסי הביקורת והארגון

תמיכה מלמעלה היא חיונית אך לא מספיקה. הביקורת הפנימית חייבת לזכות באמונה של הנהלת הארגון בדבר יכולתה להתמודד עם נושאים רגישים באופן נאות. אם זה לא קורה, על המבקרים הפנימיים להישען תחילה על כלים כגון סקר עובדים אנונימי ולהתמקד בבניית מערכת יחסים נאותה. תשומת לב מיוחדת צריכה להינתן לכתיבת ממצאי הביקורת, באופן שסביר להניח שיוביל לפעולות מתקנות ולא לתגובות שלילות בלתי רצויות.

המבקר הפנימי הראשי ומנהלי הביקורת יצטרכו לעבוד באופן הדוק יותר עם צוות הביקורת, כדי להבטיח שהם מפעילים שיקול דעת ותקשורת הולמת עם לקוחות הביקורת.

 מיקוד וטכניקות

ביקורות התרבות המקיפות ביותר משלבות בדיקות של בקרות קשות ורכות במגוון רמות. לדוגמה:

• ביקורת בקרות על ממשל תאגידי, מבנה ופעילות של ניהול הסיכונים.
• ביקורת על תהליך המושפע באופן מהותי מהתרבות הארגונית, כגון הכשרות בנושא אתיקה, תמריצים ותהליכים משאבי אנוש.
• ביקורת חוצה ארגון על היבטים של תרבות, של ציות ושל יוזמות ניהוליות.
• שילוב ביקורת בהיבטים הקשורים לתרבות הארגונית בכל מטלת ביקורת.

תוצאות הביקורות צריכות לכלול ראיות מוצקות, ככל שניתן, כמו גם תוצאות של ראיונות וטכניקות אחרות של הערכה עצמית. יש לקשר ולנתח את כל ראיות הביקורת עד שיתקבלו ממצאים סבירים ומשכנעים לגבי התרבות הארגונית. בטרם מגיעים למסקנות סופיות יש לדון בהן עם כל רמות הארגון.
טכניקות ביקורת פנימית שהוכיחו את עצמן כאפקטיביות בביקורת תרבות הן: ניתוח סיבות שורש, ראיונות מובנים, סקר עובדים וסדנאות הערכה עצמית.

• ניתוח סיבות שורש מהווה בסיס לכל ביקורת פנימית טובה. אם נחפור לעומק נגלה כי לעיתים קרובות סיבות שורש של נושאי ביקורת הן תרבותיות. ייתכן ניתוק בין התרבות הכללית הרצויה לבין תת תרבות שנוצרה על ידי מנהל מסוים. תופעה כזאת עלולה להיות נפוצה, ראייה רוחבית על סמך מספר ביקורות יכולה ליצור ראיה משכנעת לתרבות הכללית.
• ריאיון מובנה מאפשר למבקרים פנימיים לשאול קבוצת עובדים את אותן השאלות. כך למשל על מנת לבדוק אם קיימת בארגון תרבות של ציות, המבקר הפנימי הראשי ראיין באופן אישי מדגם של 65 עובדים מתוך 1,000. הוא החל בשאלות פשוטות על מנת לייצר תחושה נוחה, ולאחר מכן עבר בהדרגה לשאלות הרגישות יותר, כגון "האם אי פעם נדרשת לבצע פעולה המנוגדת לקוד ההתנהגות העסקית או למדיניות החברה?".

טכניקה זאת אובייקטיבית יותר בריאיון שאינו מובנה, היות שסט אחד של שאלות ומראיין מיומן אחד מבטיחים עקביות בתהליך. כמובן שהדבר דורש רמה גבוהה של מיומנות עריכת ריאיון, על מנת לאתר מתי תשובה חיובית של מרואיין אינה מייצגת את מה שהוא באמת חושב, וכן יכולת לשאול את השאלה העוקבת הנכונה. טכניקה זאת גם נשענת על הבנת המראיין את מה שנאמר, ועל נכונותה של ההנהלה להאמין שהשיטה מדויקת.

• לעריכת סקרים בקרב העובדים יש יתרון באיסוף ראיות ממדגם גדול של עובדים ובהפקת נתונים אובייקטיביים. הטכניקה הנפוצה ביותר עבור מבקרים פנימיים היא לבקש מעובדים להתייחס לסדרה של הצהרות ולציין אם הם מסכימים מאוד, מסכימים, לא מסכימים, או מאוד לא מסכימים לכל הצהרה. לצד זאת יש אפשרות לציין "לא ישים" או "לא יודע", ואז לא לוקחים בחשבון תשובה זאת בתוצאות הסקר. המבקר יכול לציין לדוגמה בדוח הביקורת כי 46% מהעובדים שהשיבו לסקר "לא מסכימים או מאוד לא מסכימים עם ההצהרה…", זאת עובדה אובייקטיבית והמבקר צריך לאתר ראיות תומכות ולחקור את סיבות השורש.

סקר מובנה וטוב, המספק לעובדים ביטחון באנונימיות שלו ואמונה כי יינקטו פעולות לטיפול בחששותיהם, יכול להפיק נתונים המשקפים את תפיסת העובדים את התרבות. כמובן שייתכן שתוצאות הסקר ישקפו תפיסות מוטעות, וזאת הסיבה שעל המבקרים לאתר ראיות תומכות. אם תוצאות הסקר יציגו תפיסות מוטעות של העובדים, גם אז מדובר במידע בעל ערך שיש לדווח עליו למנהלים על מנת שיוכלו לתקן תפיסות שגויות שעלו בסקר.

ניתן להשתמש בסקרי עובדים בשתי רמות: בפרויקט ביקורת או בארגון. לחלק ממחלקות הביקורת הפנימית יש סקרים סטנדרטיים לכל נושא ביקורת, עם סעיף בדוח הביקורת הכולל תוכניות לפעולות מתקנות. אחרים מתחים סקר לביקורת אחת בלבד, כאשר המצב ורמת הסיכון מצדיקים את משאבי הזמן הדרושים לכך. חלק ממחלקות הביקורת פתחו וניהלו סקר ארגוני רחב, אך מצב זה פחות נפוץ.

ברבים מהארגונים הגדולים קיים סקר עובדים רחב. מרבית הסקרים הללו אינם כוללים (או כוללים מעט מאוד) נושאי אתיקה או סיכונים הקשורים בתרבות. כמה מבקרים פנימיים שבחנו את תוכנו של הסקר פיתחו הצהרות שעוסקות בנושאים אלו ושכנעו את ההנהלה להוסיף אותן לסקר. לאחר מכן הם יכולים להשתמש בתוצאות הסקר הארגוני לאיתור גורמי סיכון לצורך הכנת תוכנית ביקורת תקופתית. כאשר הסקר כולל סוגיות תרבותיות בישות הניתנת לביקורת, ניתן להשתמש בתוצאות הסקר גם כדי לסייע בתכנון ובהיקף הביקורת באותה הישות. כאשר מתגלים ליקויים בתהליך, ניתן להסתייע בתוצאות הסקר כדי לזהות את סיבות השורש. הקישור בין הליקוי  האובייקטיבי המובהק לתוצאות הסקר יכול לשכנע  את ההנהלה כי קיימת בעיה תרבותית.

• סדנאות היו בין הכלים הראשונים ששימשו מבקרים פנימיים להערכת בקרות רכות. בטכניקה זאת קבוצה של עובדים מונחית בדרך כלל תוך שימוש באותו סוג של הצהרות שמשמשות בסקרים, יחד עם שימוש בטכנולוגיית הצבעה המבטיחה כי תוצאות ההצבעה יהיו חשאיות. דיון בסוגיות שעלו עם העובדים יכול להיות חוויה עוצמתית. כיום שימוש בטכניקה של סדנאות משמשת יותר את מחלקות ניהול הסיכונים, בעוד מבקרים פנימיים משתמשים לעיתים קרובות יותר בסקרים.

מדדים

מלבד טכניקות אלו, מבקרים פנימיים יכולים להשתמש במדדים שמשקפים את התרבות כדי לפתח תוכנית ביקורת תקופתית, תכנון ומיקוד בפרויקט ביקורת, וכדי לתמוך בתוצאות הביקורת. נתונים מדידים יכולים להיות משכנעים. לוח מחוונים חודשי יכול לספק להנהלה ולדירקטוריון נקודת מבט רבת משמעות על התרבות. לוח המחוונים יכול להציג מדדים, כגון:

• תוצאות סקר שביעות רצון לקוחות.
• מספרים ומגמות בתלונות לקוחות.
• נתונים סטטיסטיים של המחזור.
• נתונים סטטיסטיים של חופשות מחלה.
• תביעות אחריות.
• תדירות וביצועים של יעדים שלא הושגו.
• תדירות כישלונות בפרויקטים גדולים.
• נתונים סטטיסטיים של הקו החם.
• השפעת מידע סביבתי.

המדדים הטובים ביותר לשימוש מבקרים פנימיים תלויים בארגון. מספר מדדים יהיו ספציפיים לארגון או לתעשייה.

מודל הבשלות

תרבות אינה נתונה למתן ציוני עבר /נכשל לפי דעתו של המבקר הפנימי. הנחיות לשכת  המבקרים הפנימיים העולמית ה-IIA כוללים המלצה לשקול שימוש במודל הבשלות לדיווח על תוצאות הביקורת בנושאים רגישים. באמצעות מודל הבשלות, ההנהלה והדירקטוריון יכולים להחליט עד כמה הם רוצים שהארגון יהיה בשל כל אחד מהפרמטרים שמנינו.

תוצאות הביקורת הפנימית יוצגו במונחים של המודל ויסייעו למדוד את מידת הבשלות של כל פרמטר בפועל. צורת דיווח שכזאת מניחה שהארגון שואף להגדיל את רמת הבשלות בפרמטרים החשובים לו, ומסייעת למדוד את ההתקדמות באותם הפרמטרים לאורך הדרך.

 ראיות תרבותיות

ייתכן שתרבות ארגונית היא נושא הביקורת המאתגר ביותר שהמקצוע התמודד איתו אי פעם. מבקרים פנימיים חייבים להיות מציאותיים לגבי האילוצים הקיימים בארגון שלהם. אם האילוצים ממשיים, מבקרים צריכים לעשות את מה שניתן כרגע, ולהמתין להזדמנות להרחיב את הפעילות עם הזמן.

ייתכן שזה יהיה בלתי אפשרי לחוות דעה על תרבות הארגון, אבל מבקרים פנימיים טובים המשתמשים בטכניקות טובות, כושר שיפוט וכישורי תקשורת, יכולים להציג ראיות מוצקות על התרבות להנהלה ולדירקטוריון. לאורך זמן התמונה שתצטייר תהיה ברורה ומשכנעת יותר. זה עשוי להיות המידע החשוב ביותר שהביקורת תספק אי פעם.

• מאמר זה הוא תרגום של המאמרHow to audit Culture By James Roth, PHD, CIA, CCSA

June 2017 Internal Auditor Magazine

The post הסיכון בתרבות – והאופן שבו ניתן לבצע ביקורת בנושא תרבות ארגונית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

המאמר הוא תוצר של הניסיון שנצבר באגף הביקורת בעיריית ירושלים בתהליך תכנון אסטרטגי לביקורת בשנים האחרונות.

בשביל מה צריך תוכנית אסטרטגית לביקורת?

השאלה הראשונה המתבקשת היא מדוע מלבד הכנת 'סקר סיכונים' ותוכנית עבודה רב-שנתית, ו'סקר הבטחת איכות הביקורת' הנדרשים בתקנים המקצועיים של IIA, רצוי שהביקורת תכין גם תוכנית אסטרטגית:

1. 'סקר סיכונים' מאפשר לתעדף את נושאי הביקורת באמצעות התמקדות בנושאים מהותיים וגיבוש תוכנית רב-שנתית ושנתית.
2. 'סקר הבטחת איכות הביקורת' שנערך על ידי גורם חיצוני, מספק תמונת מצב במועד הבדיקה על מיצוב הביקורת בארגון ועל עמידה בסטנדרטים המקצועיים במועד הבדיקה.
3. הצורך בתהליך אסטרטגי לביקורת נובע מהרצון לשיפור מתמיד וכאמצעי משלים למצוינות. לעומת שני הסקרים הנזכרים, הליך תכנון אסטרטגי מסייע לשפר את היכולת המקצועית של צוות הביקורת (מסייע לביצוע של הנושאים שנבחרו ב'סקר הסיכונים' ולשיפור שיטות העבודה, המיומנויות המקצועיות של הצוות, הכלים שעומדים לרשות הצוות וסל התוצרים), ולתכנן את מיצוב הביקורת הרצוי בטווח הארוך ואת הדרך להגיע ליעד המבוקש, ובכך למנף את השפעת הביקורת על הארגון.

מה אומרים התקנים? תכנון אסטרטגי 'מטוב למעולה'

במאמר שכתב ריצ'רד צ'ימברס, נשיא ומנכ"ל לשכת המבקרים העולמית IIA בנושא: "מטוב למעולה – תכנון אסטרטגי יכול להגדיר את פונקציית הביקורת הפנימית" (בבלוג Chambers on the profession מאוגוסט 2014), הוא ציין כי כיום רוב יחידות הביקורת יוצרות תוכנית עבודה רב-שנתית מבוססת סיכונים שמעודכנות על בסיס שנתי, וכי מחלקות הביקורת הפנימית, הטובות ביותר, מבינות כי שני סוגי התכנון הם הכרחיים: "תוכנית שנתית מבוססת סיכון תנחה את הביקורת הפנימית לאורך השנה, בעוד שתוכנית אסטרטגית תתווה את הדרך בשנים הקרובות". עוד הוא מוסיף ש"תכנון אסטרטגי מהווה עבור הביקורת הפנימית דרך מצוינת לזיהוי, ייצור ואומדן של הערך שעליה לספק לבעלי העניין".

מדוע החלטנו על תכנון אסטרטגי לביקורת בעיריית ירושלים?

בשנת 2015 ערכה הנהלת העירייה תהליך תכנון אסטרטגי לפיתוח העיר. במסגרת זאת תוכננה תוכנית אסטרטגית לעיריית ירושלים לשנים 2020-2015, בסיוע מומחים בינלאומיים, ולאחר תהליך מיפוי ואבחון מעמיק.

הנהלת העירייה הגדירה יעדים ומטרות, דרכי פעולה ואסטרטגיות להשגתם, וכן מדדים יעילים לבחינת ההתקדמות בהשגתם. התוכנית האסטרטגית העירונית הביאה לשינויים מהותיים ובהם:

• הגדלת משאבי העירייה מהמדינה.
• הרחבת הפעילות בתחומים רבים שלא היו במיקוד עבודת העירייה לפני כן.
• שימוש בשיטות ניהול מתקדמות ובטכנולוגיות חדשות.
• העברת פעילות ליבה עירונית בהיקפים גדולים לתאגידים העירוניים, תוך התמקצעות התאגידים בתחומי פעילות אלו.
• ערעור מערך הבקרה הקיים בעירייה עם הכנסת טכנולוגיות חדשות ושיטות ניהול מתקדמות (כגון ניהול מטריציוני).

הנגזרת מהשינויים הצפויים בעירייה, הנובעים מהתוכנית האסטרטגית, והשלכתם על ביקורת העירייה הייתה ברורה: על הביקורת היה לבחון את יכולתה להמשיך לתת ערך מוסף להנהלה אל מול השינויים הצפויים בארגון כתוצאה מהתכנון האסטרטגי של העירייה.

הביקורת נדרשה לבחון מחדש את כלי הביקורת, את המיומנויות של עובדי הביקורת והתאמתם לטכנולוגיות החדשות שיוטמעו בעירייה, את אופן ניצול המשאבים העומדים לרשות הביקורת, את המיקוד החדש הנדרש במטלות לבדיקה, ואת שיטות העבודה וסל התוצרים של הביקורת (שדרש הרחבה), כך שכל אלו יותאמו לדגשים שבתוכנית האסטרטגית ולסביבה המשתנה.

היה עלינו "להשתנות או לא להיות".

החלטנו על תכנון אסטרטגי לביקורת שיבוצע במקביל לתכנון האסטרטגי של הארגון, וייעשה בליווי יועץ מומחה לאסטרטגיה.

מהיכן מתחילים?

במאמרו של ריצ'רד צ'מברס מצוין כי בהנחיות המקצועיות שלIIA  קיימת גישה שיטתית ומסודרת כדוגמת הליך שבעת השלבים שלהלן, כדי להבטיח שהביקורת הפנימית תתקדם בכיוון הנכון:

1. הבנת התחומים הרלוונטיים והמטרות של הארגון.
2. לקיחה בחשבון של מסגרת הכללים המקצועיים של IIA.
3. הבנת ציפיות בעלי העניין.
4. עדכון החזון והמטרה של הביקורת הפנימית.
5. הגדרת הפרמטרים הקריטיים להצלחה.
6. עריכת ניתוח SWOT (חוזקות, חולשות, הזדמנויות ואיומים).
7. זיהוי יוזמות מרכזיות.

שלבי התכנון האסטרטגי לביקורת

התכנון האסטרטגי של הביקורת התחיל בניתוח SWOT (חוזקות, חולשות, הזדמנויות ואיומים) בהשתתפות כל צוות הביקורת, ובאמצעותו אספנו עשרות פריטי מידע שנותחו ונבחנו באופן מעמיק.

בנוסף, ערכנו ראיונות עם בעלי העניין של הביקורת (בהנהלת העירייה) להבנת הציפיות שלהם מהביקורת.

מניתוח פריטי המידע שנאספו מעובדי הביקורת וציפיות בעלי העניין, בנינו את 'מפת הדרכים' של הביקורת בעיריית ירושלים, הכוללת זיהוי והגדרת הייעוד, החזון והערכים שלנו.

בהמשך זיהינו את תחומי הליבה שעלינו לפתח ולקדם.

בכל אחד מתחומי הליבה קבענו מטרות, יעדים, דרכי פעולה, מדדים וכלים למדידת הביצועים.

היעד המרכזי שהצבנו לעצמנו הוא הגדלת ההשפעה של הביקורת על העירייה והטמעת תרבות ארגונית בעירייה הנשענת על השמירה על החוק, טוהר המידות והאתיקה, שירותיות ושקיפות, סדרי מינהל תקין, יעילות וחיסכון.

גיבשנו תוכנית חומש, ומתוכה גזרנו תוכנית עבודה לשנת היישום הראשונה.

במקביל, סיימנו את מיפוי הסיכונים בעירייה, והכנו תוכנית חומש לביצוע מטלות ביקורת, שממנה גזרנו את התוכנית של נושאי הביקורת לשנת היישום הראשונה.

השקנו את שלב יישום התוכנית: העובדים חולקו לצוותי יישום שהחלו לפעול הן בקידום מטלות הביקורת והן בקידום מטלות יישום התוכנית האסטרטגית.

השפעת התהליך האסטרטגי על עבודת הביקורת

כבר בסיום שנת היישום הראשונה, מצאנו שהתכנון האסטרטגי לביקורת הביא ערך מוסף. להלן חלק מהתובנות באשר להשפעת התכנון האסטרטגי על עבודת הביקורת ועל עבודת העירייה בהתאמה.

• סקר הסיכונים והתוכנית הרב-שנתית הביאו לסנכרון עבודת הביקורת עם תוכנית החומש העירונית, תוך התמקדות בנושאי ביקורת מהותיים.
• נותחו תהליכי העבודה של הביקורת באמצעות איסוף וניתוח נתונים בדבר עבודת הביקורת בשנים קודמות. באמצעותם נבחנו תהליכי העבודה בביצוע מטלת ביקורת. צוות היישום גיבש המלצות לשיפור, לייעול ולקיצור תהליך ביצוע מטלה והפקת הדוח השנתי, תוך שימוש בשיטות עבודה מתקדמות וחדשניות.
• גובשו תבניות חדשות לתוצרי הביקורת, תוך שימוש בכלים גרפיים ושיפור המיקוד בתובנות העולות מעבודת הביקורת.
• פותח סט נהלים והנחיות לביקורת בכל שלבי העבודה (כולל כתיבת הדוח), והטמעתם בקרב עובדי הביקורת.
• עוצב מחדש סל תוצרי הביקורת, ונוספו מוצרים חדשים המותאמים לביצוע ביקורת תוך כדי תהליכי ניהול פרויקטים, מטלות יעץ ועוד.
• נערך מיפוי של תחומי החוזק והתחומים לשיפור ביכולות המקצועיות של צוות הביקורת.
• גובשה תוכנית הדרכה והכשרה לפיתוח המקצועי של צוות העובדים והמנהלים, שנמצאת בשלבי היישום.
• הביקורת פועלת להגברת הממשל התאגידי בעירייה ובתאגידים, באמצעות פעילות בחמישה תחומים:
• א. עריכת פיילוט להטמעת מתודולוגיה לניהול סיכונים בעירייה.
• ב. הביקורת יזמה רגולציה פנימית לשיפור הממשל התאגידי בתאגידים העירוניים.
• ג. הביקורת פעלה במגוון אמצעים לקידום האתיקה והשיח האתי בעירייה.
• ד. גובשה מתודולוגיה לעריכת 'סקר מעילות והונאות' בתהליכי התפעול בעירייה.
• ה. גובשה מתודולוגיה ל'הפקת לקחים' בכל אגפי העירייה.
• גובש תהליך חדש של איסוף ועיבוד מידע הנחוץ לביקורת, תוך העשרתו, ניתוחו ויצירת תמונת מצב. תהליך זה מאפשר להרחיב את מעגלי ההשפעה של הביקורת ולהשביח את תוצרי הביקורת. במסגרת זו הוחלט על גיוס עובד וכתיבת אפיון למערכת מידע מתאימה.
• במסגרת המגבלות הקבועות בחוק, נוצרו שיתופי פעולה עם גורמי אכיפה וביקורת חיצוניים. פעילות זו עשויה לשדרג את עבודת הביקורת ולהגביר את האפקטיביות שלה ולשפר את תוצריה.
• אותרו כלי ביקורת חדשניים, ובהם כלים לניהול תהליכי העבודה של הביקורת ולניהול הידע הנצבר. כלים אלו עשויים לשפר את איכות העבודה.

לסיכום

בעידן שבו המושג חדשנות טכנולוגית וניהולית הוא מושג מפתח, ארגונים שמבקשים לשרוד מחויבים בתכנון אסטרטגי. בעידן של היום גם הביקורת נדרשת להתאים את עצמה באמצעות תכנון אסטרטגי מקביל, כך שתוכל להמשיך לספק ערך מוסף לארגון גם בעתיד, ולהמשיך להיות רלוונטית לנוכח הסביבה המשתנה.

בכלל זה, על הביקורת לבחון את הייעוד, החזון והערכים שלאורם היא פועלת, לקבוע מטרות ויעדים, לבנות מדדי ביצוע, ולתכנן אסטרטגיות להשגת המטרות והיעדים.

תהליך התכנון האסטרטגי לביקורת ישפר את מיקוד עבודת הביקורת בהשגת המטרות האסטרטגיות וישפר את הסנכרון עם התהליכים האסטרטגיים של הארגון. זה ייעשה באמצעות:

• שיפור וייעול תהליכי עבודה, תוך קיצור משך הזמן להבאת התובנות להנהלה.
• גיוון התוצרים והתאמתם לתהליכי העבודה החדשים בארגון.
• מיקוד תובנות הביקורת והנגשת התוצרים לגורמים שונים בארגון.
• שיפור המקצועיות של צוות העובדים והוספת מגוון כלי עבודה שיאפשרו את הובלת השינוי.

כל אלה הם צעדים חיוניים כדי להשאיר את הביקורת רלוונטית אל מול השינויים המהותיים בארגון ובסביבת העבודה שלו.

The post תכנון אסטרטגי לביקורת – מטוב למעולה appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

בטרם נצלול לראיון המסכם את תקופתה של קארין אלהרר כיו"ר ועדת הכנסת לביקורת המדינה,  שומה עלינו להציג פרופיל אישי מרשים:

אלהרר היא בת למשפחה של עולים ילידי מרוקו, בעלת תואר ראשון ושני במשפטים עם התמחות בזכויות אדם. לאחר סיום לימודיה עבדה במשרד עורכי דין פרטי, ובהמשך עמדה בראש מערך הקליניקות בפקולטה למשפטים של אוניברסיטת בר-אילן.

אלהרר פעילה כחברת כנסת בתחום החקיקה לקידום זכויות אנשים עם מוגבלויות. היא הגישה מספר עתירות עקרוניות בתחום זה שתרמו לשינויים. כמו כן יזמה אלהרר את חקיקתו של חוק אומנה לילדים, שאושר בכנסת ב-23 בפברואר 2016. לדבריה: "אני מקדמת את החוק הזה מהיום הראשון שלי בכנסת ובשביל חוקים כאלה הגעתי למשכן. החוק הזה עתיד לעזור למאות משפחות וילדים על ידי מתן זכויות מוגדרות". היא רשמה גם הישגים חשובים במסגרת הוועדה לביקורת המדינה, בדיונים הביטחוניים סביב מבצע צוק איתן, ובדיונים לקידום הפתרון לחוות מכלי האמוניה במפרץ חיפה. אלה הם רק קומץ מהישגיה של ח"כ אלהרר ועוד ידה נטויה.

את מסיימת קדנציה של שנתיים וחצי כיו"ר הוועדה לביקורת המדינה. מהם הנושאים המרכזיים שטיפלתם בהם בתקופה הזו? מהן התובנות שלך מהשנתיים האלו?  

• החוט המקשר בין הנושאים שטיפלתי עובר בכמה אדנים ראשיים:
  • טוהר המידות, שחיתות, הן בשלטון המקומי והן בשלטון המרכזי. בעניין זה העמקנו וחשפנו למשל את דוח מעונות ראש הממשלה ואת דוח בזק.
  • עניינים חברתיים.
  • בנוסף עסקנו לא מעט בעניין הסביבתי, כולל מכל האמוניה והזיהום הסביבתי בחיפה.
  • לצד כל אלו דנו בדוחות ביטחוניים שרובם חסויים.

מהו האני מאמין שלך בנושא מבקרים פנימיים?

• אני מאמינה שצריך לחזק את שומרי הסף, ובהם היועצים המשפטיים והמבקרים הפנימיים.
  • באשר לתפקיד של מבקר פנימי במסגרת הממשלתית. הגשתי הצעה יחד עם חבר הכנסת יואל חסון לביצור מעמדם של המבקרים הפנימיים. לצערי שרת המשפטים לא ראתה בזה יעד חשוב.
  • באשר למבקרים הפנימיים ברשויות המקומיות, ניכרת חולשה רבה במילוי תפקידם, כי הם כפופים לראש העיר שיכול להשפיע ולצמצם את עבודת המבקר
  • קיומם של מבקרים פנימיים עצמאיים וחזקים יקדם את אזרחי ישראל. אם לא ייתנו למבקר הפנימי עצמאות מהותית, מייתרים את הנחיצות במבקרים פנימיים.
• בראייה מסכמת:
  • אני חושבת שצריכים להמשיך ולחזק את המבקרים הפנימיים ואת מבקר המדינה
  • מבקר המדינה אמור בין היתר לשאת ולייצג את קולם של קבוצות אוכלוסייה חלשות שאין להן קול מהותי בממשלה. בה בעת כנסת ישראל ובייחוד הקואליציה מגישות כל מיני הצעות חוק שאמורות להפחית את כוחו של המבקר ובעיניי זאת טעות.

בציבור קיימת תחושה שפרסום הדוח השנתי של מבקר המדינה בטקס המסורתי של הגשת הדוח לוועדה מוביל ליום או יומיים של עיסוק תקשורתי בממצאים החמורים, ואחר כך הדוח מוכנס למגירה ונשכח. כיצד ובאיזו מידה פועלת הוועדה לתיקון הליקויים ומימוש ההמלצות של דוחות המבקר, בפרט בנושאים המדברים לציבור הרחב?

מבחינתי, התפקיד שלי כיו"ר ועדה היה להגיע למצב שזה ישתנה, שדוח מבקר המדינה לא יהיה רק הכותרת בעיתון אלא באמת להפוך את הדוח למשהו ישים.

זאת משימה קשה ואציין כמה נקודות תורפה דווקא של הממשלה על משרדיה:

• על פי חוק מבקר המדינה, חלה חובת הקמת צוות תיקון ליקויים בראשות מנכ"ל של כל משרד, אך ברוב הפעמים הדבר לא קורה. ניסינו בוועדה להסדיר את נושא המעקב והדיווח של המשרדים אחר תיקון הליקויים, אבל לצערי הקואליציה הפילה הצעה זאת.
• בעבר הייתה ועדת שרים לענייני ביקורת המדינה במשרד ראש הממשלה, ומאז 2009 אין וזה חבל.

מהם הנושאים שבהם הוועדה עדיין נדרשת לטפל ומהן בעיות היסוד שהוועדה העלתה?

דוחות מבקר המדינה יחד עם דיוני הוועדה מעלים אין-ספור נושאים ובעיות יסוד שיש לטפל בהם ולהמשיך ולעקוב אחר התיקונים הנדרשים. להלן המחשות:

• הוועדה נדרשת להמשיך לעקוב, לדון ולטפל באינטגרציה הבין-משרדית בנושאי רוחב שהטיפול בהם מתחלק למספר משרדים, ואין גורם אחד שאחראי לטפל בנושא מתחילתו ועד סופו. כך עניינים מהותיים "נופלים בין הכיסאות".
• חוסר התיאום והיעדר אינטגרציה עלו בצורה חדה ובולטת בתוכנית הלאומית למען נפגעי השואה. קיימתי שלושה ימי דיונים בנושא ובעקבות זאת הגלגלים החלו לנוע, ראש הממשלה מינה ועדת שרים מיוחדת לנושא ואני מקווה שההליכים לא ייעצרו.
• דוגמה נוספת ובולטת היא היעדר חקיקת משנה. ועדת הביקורת של הכנסת, בעקבות דוח של מבקר המדינה, העלתה כי קיימים 175 חוקים ללא תקנות ולכן לא ניתן לתפעלם כראוי לשם השגת יעדי החקיקה. קיימתי שש ישיבות בנושא זה, ובאחת מהן הגיע נציג הממשלה והבטיח הסדרה, כולל גיבוש לוח זמנים בנדון.

כיצד את מעריכה את איכות השלטון בישראל לנוכח פרשיות של היעדר אתיקה, של שחיתות, ושל חשש למעשים פלילים המתגלים בצמרת השלטון, ובהם מעורבים לכאורה ראש הממשלה, שרים, ראשי רשויות ממשלתיות וראשי ערים? מה נעשה ומה יש עוד לעשות לחיזוק שלטון החוק ולחיזוקם של הגורמים המופקדים על איכות השלטון?

• לדעתי מדינת ישראל היא לא מדינה מושחתת ורוב התושבים הם אנשים טובים.
• לצערי, לאחרונה עולות יותר ויותר פרשות שחיתות אצל אנשים מסוימים. אני חושבת שצריך למצות את הדין במלוא החומרה עם אנשים שנמצאו כמושחתים.
• אני מצפה שמוסדות השלטון יהיו נקיים וראשיהם ייתנו דוגמה אישית של יושרה, התנהגות אתית וניקיון כפיים. ברגע שרואים שהראש עובד בצורה לא טובה ולא נקייה, אז גם אלה שמתחתיו יושפעו מכך.
• מבחינתי שומרי הסף, בין היתר המבקרים והיועצים המשפטיים, הם האנשים שיכולים לעצור את הסחף. ולכן אני באמת מזדעזעת, לא רק בשביל הכותרת, מכך שרוצים לרדד את היכולת של יועץ משפטי לומר את האמת המשפטית שלו. יועץ משפטי בשירות הציבורי אמור לבדוק האם הצעות אלה ואחרות עומדות בסטנדרטים, האם הן תואמות את ערכי היסוד של מדינת ישראל, והאם הן תואמות חוקים אחרים.
• האמירה שאנחנו הרוב והרוב קובע היא טובה כדי להרכיב ממשלה, אבל היא לא טובה כדי לפעול לטובת כלל תושבי המדינה.
• לסיכום נקודות אלה: מצד אחד זה מאוד מעציב אותי כי אני תוהה לאן הגענו, ומצד שני אני חושבת שדווקא שמגיעים למקום מאוד נמוך אפשר לעלות אחר כך מאוד גבוה, אז אני שומרת על אופטימיות. אין לי ספק שלאזרחים במדינת ישראל מגיע טוב יותר, ואין לי ספק שהם יקבלו מענה טוב יותר.

בנימה אישית, אילו יעדים אישיים הצבת לעצמך בתחילת הקדנציה? האם הם הושגו? האם יש נושאים שאת מרגישה החמצה שהטיפול בהם טרם הסתיים? מה חשוב לך שיישאר בדרך שהתווית בקדנציה שלך?  

אני חושבת שבסך הכול הייתה תקופה מאוד עמוסת חוויות. היו דיונים עם ראש הממשלה, הרמטכ"ל, המפכ"ל, ובהם דיונים מעניינים ומשמעותיים שהובילו לתוצאות. אם היה לי יותר זמן, אני מאמינה שהיו גם יותר תוצאות, כי בסוף תמיד ההישגים מתחילים להגיע רק בדיון השלישי-רביעי. במובן הזה אני מאוד מצטערת שלא הזדמן לי לסיים את כל המעקבים. הוועדה מאוד מאתגרת במובן הזה שיש להתמקצע לא רק  בנושא מסוים אחד, אלא צריך להבין ולדון לעומק גם בנושאי בריאות, רווחה וביטחון, הכול מהכול. התפקיד חשף אותי לעולם מאוד מרתק ומאתגר, למדתי רבות וגם תרמתי רבות!

The post קארין אלהרר בריאיון סיכום קדנציה כיו"ר הועדה לביקורת המדינה – " קיומם של מבקרים פנימיים עצמאיים וחזקים יקדם את אזרחי ישראל" appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

עם השנים הופכת הביקורת הפנימית לתפקיד מרכזי יותר ויותר בארגונים השונים. בעבר המבקר הפנימי היה פונקציה מבודדת שתפקידה לייצר דוחות ביקורת לוועדת הביקורת, על פי דרישת החוק. כיום, כתוצאה מהעלייה במודעות לחשיבות הבקרה ככלי המקדם את מטרות הארגון, ההנהלות מעריכות הרבה יותר את תפקידו של המבקר הפנימי, ויותר מבקרים פנימיים ברחבי העולם מוגדרים כבכירי הארגון (סמנכ"ל, משנה למנכ"ל וכדומה). גורמי ניהול בכירים אלו מקבלים על פי רוב תגמול על פי ביצועים. אך טבעי הוא שההנהלות יהיו מעוניינות לתמרץ גם את המבקר הפנימי. גם בעלי המניות מעוניינים לקשור את תגמול המנהלים להצלחה הפיננסית של הארגון, כדי שלאלה יהיה תמריץ יתר לשפר אותה. אם כן, מה רע בכך? המתנגדים לשיטת תגמול זו טוענים כי היא עלולה לפגוע באי-תלותו של המבקר הפנימי. בין שתי גישות אלו ניטש מאבק שמשמעותו הכספית רבה, והוא נובע בין השאר מתפיסות עולם שונות. אם כן, מי צודק?

מחקרים בעולם

בשנים האחרונות נעשו בעולם מחקרים רבים בנושא זה במטרה לבחון שיטות חדשות לתמרוץ מבקרים פנימיים על יתרונותיהן וחסרונותיהן. להלן ממצאי חלק מהמחקרים שנעשו:

• מחקר בנושא זה פורסם בשנת 2015 על ידי International Journal of Auditing, בשיתוף פעולה של Multimedia University, Malaysia ושל בית הספר למינהל עסקים באוניברסיטת גריפית, אוסטרליה. המחקר דגם 191 מבקרים משתי מדינות שונות במקביל (מלזיה ואוסטרליה), ובמסגרתו נבדקו דיווחים של מבקרים המקבלים תגמול מבוסס ביצועי חברה, אל מול דיווחיהם של מבקרים המקבלים תגמול המבוסס על ביצועים אישיים. המחקר מצא כי תמריץ המבוסס על ביצועי החברה מהווה איום על אובייקטיביות המבקר הפנימי. עם זאת, תמריץ המבוסס על ביצועים אישיים (כגון עמידה בתוכנית העבודה, איכות דוחות הביקורת לפי חוות הדעת של ועדת הביקורת וכדומה) משפיע פחות על אובייקטיביות המבקר. המחקר קבע כי יש שיטות תגמול אישיות שהן פחות "כשרות" מאחרות (ראו טבלה בסוף המאמר). עוד קבע המחקר כי להבדלי תרבות אין השפעה מהותית על תוצאות המחקר. אולם נמצא כי נשים נטו פחות להטות את דיווחיהם מגברים, וכי מבקרים ותיקים נטו להטות את דיווחיהם פחות ממבקרים חדשים. מסקנת המחקר היא כי ארגונים צריכים לנקוט משנה זהירות בעת עיצוב תוכנית התגמולים למבקריהם הפנימיים, ולהיות מודעים לאיומים פוטנציאליים על האובייקטיביות שלהם כאשר התמריצים מבוססים על ביצועי הארגון. עוד קובע המחקר כי עדיף לתגמל את המבקר פנימי על סמך אינדיקטורים של ביצועים אישיים, כגון שביעות רצון המבוקרים מתהליך הביקורת (הכוונה היא לרמה המקצועית של המבקרים והערך המוסף של דוח הביקורת, ולא מהדוח עצמו ומחומרת הממצאים), וכן קבלת המלצות הביקורת.
• במחקר שנעשה על ידי מחלקת החשבונאות באוניברסיטת קליפורניה בשנת 2016, נבדק האם יש קשר סטטיסטי בין שכר הטרחה של המבקר החיצוני לבין שכר תלוי ביצועים של המבקר הפנימי. המחקר מצא שיש קשר כזה. בחברות שבהן שכר המבקר היה תלוי ביצועי החברה, שכר טרחת רואה החשבון המבקר היה גבוה יותר. החוקרים הסיקו שכאשר המבקר הפנימי מתוגמל על פי ביצועי החברה, רואה החשבון המבקר נוטה פחות להסתמך עליו, מכיוון שהוא חושש שהמבקר הפנימי אינו אובייקטיבי דיו. המחקר מסיק כי על ועדת הביקורת לעשות שימוש זהיר בתגמול המבקר הפנימי באמצעות תמריצים המבוססים על ביצועי החברה.
• מחקר שנערך באוניברסיטת ניירובי בשנת 2015, בדק את אובייקטיביות פונקציית הביקורת הפנימית ב-31 חברות ביטוח בקניה באמצעות שאלונים שמולאו על ידי עובדי הביקורת בעילום שם וכוללים תרחישים שונים. נמצא כי גידול בתמריצים מבוססי ביצועי החברה המוענקים למבקרים הפנימיים, גורם לירידה באובייקטיביות ובעצמאות בדיווח. עם זאת, המִתאם לא היה מובהק סטטיסטית.
• בניסוי שנעשה על ידי כתב העת של נושאים ניהוליים של המכון הטכנולוגי בג'ורג'יה בשנת 2003, נבדקו 172 מבקרים לפי ארבע הקבוצות הבאות:
  • תגמול המבוסס על משכורת בסיס בלבד.
  • תגמול המבוסס על משכורת בסיס בתוספת מענק משמעותי הקשור לרווחים חשבונאיים.
  • תגמול המבוסס על משכורת בסיס בתוספת בונוס משמעותי הקשור למחיר המניה.
  • קבוצת ביקורת הכוללת באופן שווה מבקרים משלוש הקבוצות לעיל.

הניסוי מצא כי כאשר תגמול התמריצים היה קשור למחירי המניות או לרווחים חשבונאיים, החלטות הדיווח של המבקר הפנימי נפגעו. עם זאת, קבלת בונוס הקשור למחיר המניה לא השפיעה על החלטות הדיווח של המבקר (במקרים שבהם הבונוס ניתן במניות, ייתכן שהמבקרים מתייחסים למניותיהם כאל השקעה לטווח ארוך, והאמינו כי אין לדיווחיהם השפעה ארוכת טווח על מחיר המניה).

• במחקר שנעשה ב-2003 במחלקה לכלכלה באוניברסיטת פיטסבורג בקרב 117 מבקרים פנימיים ברחבי ארצות הברית, נערך ניסוי שבו המבקרים התחלקו לשלוש קבוצות שהשוני ביניהן היה שיטת התגמול, התמריצים ובעלות על מניות. המשתתפים התבקשו לקבל החלטות מקצועיות שונות על דיווח. המחקר מצא כי קבוצת המבקרים הפנימיים שתגמולם היה קשור למחירי המניות, נתנו דיווח מוטה ופגום שנבע מאופי התמרוץ.
• מנגד, בנובמבר 2014 פורסם על ידי CGMA Magazine Chartered Global Management) Accountant), סקר שנערך בקרב 1,600 מבקרים פנימיים, מנהלי ביקורת ועובדי ביקורת בצפון אמריקה. הסקר קבע שמבקרים פנימיים המקבלים תמריצים המבוססים על רווחי החברה דיווחו על שביעות רצון גבוהה יותר, נאמנות גבוהה יותר והזדהות גבוהה יותר עם הארגונים שלהם, מבלי לפגוע באובייקטיביות שלהם.

המצב בישראל

חברות ציבוריות – מסקר שערכנו בישראל, המבוסס על נתוני 23 חברות בורסאיות שבהן פועל מבקר פנימי שכיר, עולה על פי מערכת המגנא כי חלק משכרם של כ-35% מהמבקרים מותנה בתוצאות פעילות הארגון באמצעות אופציות או מניות. לא ניתן לדעת על פי מערכת המגנא מה שיעור המבקרים המתוגמלים על ביצועים אישיים.

גופים מוסדיים – רשות שוק ביטוח וחיסכון אינה אוסרת על קבלת תגמול מבוסס מניות, וקבעה כי "שכרם ותגמולם של מבקר פנימי של גוף מוסדי ושל עובדי מערך הביקורת הפנימית לא יותנה בביצועי הגוף המוסדי, אלא אם מדובר במדיניות תגמול כללית שחלה על כל עובדי הגוף המוסדי". הרשות אף מתירה "רכיב משתנה" במדיניות הגמול ל"פונקציות בקרה" (לרבות עובדי יחידת ניהול סיכונים, בקרה, ציות ואכיפה, אקטואריה, חשבות, ניהול כספים, ייעוץ משפטי, או ביקורת פנימית). בחוזר גופים מוסדיים 2014-9-2, הרשות מגבילה את הרכיב המשתנה כך ששיעורו לא יעלה על 100% מהרכיב הקבוע בחישוב שנתי. לגבי בעלי תפקיד מרכזי בפונקציות בקרה, היחס בין התגמול המשתנה לתגמול הקבוע ייטה לטובת התגמול הקבוע בהשוואה ליחס זה אצל בעלי תפקיד מרכזי אחר.

עם זאת, רשות שוק ההון ביטוח וחיסכון קבעה בחוזר גופים מוסדיים 2015-9-31 כי "דירקטור, לרבות יושב ראש הדירקטוריון, יקבל רק רכיב קבוע בשל כהונתו בגוף המוסדי, ולא יקבל רכיב משתנה בשל כהונתו זו". לדעתנו, אם הרגולטור קבע ששכרו של יו"ר הדירקטוריון אינו יכול להיות תלוי בביצועי החברה, מן הראוי להחיל הנחיה זו על כל ישות שכפופה ליו"ר הדירקטוריון, כולל המבקר הפנימי.

מסקר שערכנו עולה כי חלק משכרם של כ-29% מהמבקרים הפנימיים בגופים מוסדיים מותנה בתוצאות פעילות הארגון באמצעות קבלת אופציות או מניות.

בנקים  –חוזר "מדיניות תגמול בתאגיד בנקאי" קובע כי "התגמולים של עובדים העוסקים בניהול סיכונים, בקרה וביקורת ייקבעו לפי סטנדרטים המתחשבים בחשיבות וברגישות התפקידים המוטלים על פונקציות אלו. עובדים אלו יתוגמלו בצורה הולמת, על מנת שהתאגיד הבנקאי יוכל להעסיק עובדים בעלי הכשרה וניסיון מתאימים. מדידת הביצועים של עובדים אלו תתבסס על השגת היעדים של הפונקציות שבהן הם משמשים. תגמולי עובדים אלו לא יהיו תלויים בתוצאות העסקיות של התחומים העסקיים שאת פעילותם הם מנטרים, מבקרים או מפקחים".

למרות האמור, החוזר אינו אוסר על קבלת תגמול משתנה אלא קובע כי "עבור עובדים בפונקציות ניהול סיכונים, בקרה, ביקורת ופונקציות תומכות שונות, היחס בין התגמול המשתנה לתגמול הקבוע ייטה יותר לטובת התגמול הקבוע, בהשוואה ליחס זה אצל העובדים בפונקציות העסקיות".

בנוסף, החוזר קובע כי במקרים שבהם קיים רכיב של תגמול משתנה, יש לפרוס את תשלום התגמול המשתנה לאורך זמן, משום שהסיכונים הפיננסיים מתממשים לרוב על פני מספר שנים, וגם השגת היעדים נמשכת מספר שנים, ולפיכך נדרשת ראייה ארוכת טווח. הנחיה זו אמורה למנוע משומר הסף שקיבל את כל תגמולו ללא פריסה, למכור את כל אחזקותיו ורק אז לדווח מידע שעלול להזיק לשווים.

מסקר שערכנו עולה כי שכרם של כ-50% מהמבקרים הפנימיים השכירים בבנקים מותנה בתוצאות פעילות הארגון באמצעות קבלת אופציות או מניות.

נציין כי רשות החברות הממשלתיות ורשות ניירות ערך אינן מתייחסות לנושא אופי תגמול המבקר הפנימי. חוק הביקורת הפנימית קובע כי אל לו למבקר הפנימי להימצא במצב של ניגוד עניינים בתפקידו.

תקני ה-IIA (איגוד המבקרים הפנימיים העולמי) לא מתייחסים לאופי תגמול המבקר הפנימי.

סוגי התגמול והשפעתם על המבקר

המונח "תמריץ מבוסס תגמול" יכול להתייחס למספר שיטות שונות של תגמול, קצרות או ארוכות טווח. בדרך כלל, חבילת תמריץ מבוסס תגמול כוללת מספר סוגים, כגון בונוס, אופציות למניות, ושיתוף רווחים. תוכניות המבוססות על הצלחת החברה יקשרו את התגמול עם מדדי ביצוע שונים, כגון רווח למניה, תשואה על נכסים או תשואה להון.

להלן טבלה המפרטת את סוגי התגמול השונים שבאפשרות החברה להעניק למבקר ואת מידת השפעתם על אובייקטיביות המבקר, על פי המחקרים שסקרנו:

לסיכום, לשכת המבקרים הפנימיים העולמית (IIA) אמנם לא קבעה כללים בנושא, אך המחקרים שנעשו בשנים האחרונות בחנו את הנושא לעומק וקבעו בבירור אילו שיטות תגמול עלולות לפגוע באי-תלותו של המבקר הפנימי ובאפקטיביות עבודת הביקורת.

אמנם בישראל לא ידוע לנו על דיון בנושא, אך בעולם נערכים דיונים מפותחים על כך ונעשו מחקרים רבים בנושא. מאמר זה הוא בבחינת פורץ דרך ומטרתו להציג את הממצאים שעלו מהמחקר בנושא זה בעולם, ולפלס את הדרך למאמרים נוספים שירחיבו את היריעה.

The post האם תגמול מבוסס הישגים משפיע על אי-תלותו של המבקר הפנימי? appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מבוא

בשנת 2004 פרסם ארגוןCOSO  מסגרת כוללת לניהול סיכונים. מטרת המסגרת היא לאפשר לארגון להגן על עצמו ולהוסיף לו ערך באמצעות ניהול סיכונים אפקטיבי ויעיל. אחת מהנחות היסוד בניהול הסיכונים היא שמקסום הערך של הארגון מושג כאשר ההנהלה: (1) מגדירה אסטרטגיה ויעדים ברורים. (2) פועלת לאיזון אופטימלי בין צמיחה ויעדי החזר ההשקעה. (3) מתפעלת ביעילות את משאביה. (4) מנהלת את סיכוניה.

המודל לניהול סיכונים של COSO חדר בהצלחה גדולה לארגונים רבים, גדולים כקטנים, הן במגזר הציבורי והן במגזר העסקי, ושימש כמודל אחיד ומקובל ברמה גלובלית.

ההבנה והניהול של הסיכונים הארגוניים התפתחו מאוד במהלך העשורים האחרונים. בעקבות השינויים הרבים שחלו בספקטרום ובאופיים של הסיכונים הארגוניים, ביוני 2017 פורסמה מסגרת COSO מעודכנת שזכתה לכינוי "ניהול סיכונים תאגידי – שילוב עם אסטרטגיה וביצועים". המסגרת החדשה משלבת את ניהול הסיכונים הקיימים במהלך העסקים הרגיל יחד עם אלה שבהתהוות. בנוסף, היא מדגימה כיצד שילוב ניהול הסיכונים התאגידי מסייע להאיץ את הצמיחה, לשפר את ביצועי הארגון, ומספקת מסגרת אחידה לקבלת החלטות למועצת המנהלים ולהנהלה. המסגרת מכילה עקרונות שניתן ליישם, החל מקבלת ההחלטות האסטרטגיות ועד ליישום אסטרטגיה זו באמצעות הפעולות התפעוליות השונות של הארגון.

השינויים העיקריים במסגרת החדשה לעומת הקודמת הם אלה:

• מספקת תובנה מקיפה יותר על הערך שיש בניהול הסיכונים התאגידי בעת הגדרת האסטרטגיה.
• משפרת את ההתאמה בין ביצועי הארגון וניהול הסיכונים, ובכך מאפשרת קביעה מושכלת יותר של היעדים ושל הבנת השפעות הסיכונים על ביצועי הארגון.
• מכירה בגלובליזציה של השווקים ובצורך ליישום גישה המתחשבת בתרבויות ובאזורים גאוגרפיים שונים.
• מציגה דרכים חדשות להצגת סיכונים, הגדרת יעדים והשגתם.
• מרחיבה את היקפי הדיווח על מנת לענות על הציפיות של בעלי העניין, תוך יצירת שקיפות גדולה יותר כלפיהם.
• מתאימה את עצמה להתפתחויות הטכנולוגיות, לגידול בכמות המידע הזמין, ולתמיכה בקבלת החלטות.
• קובעת הגדרות ליבה, רכיבים ועקרונות לכל רמות הניהול המעורבות בתכנון, ביישום ובניהול סיכונים תאגידי.

במאמר זה נפרט את מרכיבי המסגרת החדשה לניהול הסיכונים של COSO, ונדון באופן שבו ניהול סיכונים תאגידי משפיע על האסטרטגיה של הארגון ועל ביצועיו.

תפקידי ההנהלה בניהול סיכונים תאגידי

ככלל, ההנהלה נושאת באחריות הכוללת לניהול הסיכונים בארגון. ההנהלה גם אחראית להביא לדיון בדירקטוריון את הסוגיות הקשורות לסיכונים התאגידי ולכרוך אותם בדיונים לבחינת נושאים אסטרטגיים ותחרותיים.

ניהול סיכונים תאגידי אפקטיבי מעשיר את הדיאלוג בהנהלה באמצעות הוספת נקודות מבט לדיון בחוזקות ובחולשות של הארגון. הסתכלות זו הכרחית לדיון באסטרטגיות בתנאים משתנים ולבחינת התאמתה לארגון, בעיקר בזמנים שבהם ההנהלה בוחנת שינויים אסטרטגיים מהותיים.

תפקידי הדירקטוריון בניהול סיכונים תאגידי

תפקידו של הדירקטוריון הוא בראש ובראשונה לפקח על פעילות ההנהלה, על החלטותיה ועל נאותות ניהול הסיכונים בארגון. הדירקטוריון, בהיותו מורכב מאנשים בעלי ניסיון עשיר ומיומנויות מגוונות, גם מסייע להנהלה בעיצוב האסטרטגיה הארגונית ובתוכניות לקידום יעדי הארגון.

מסגרת ניהול הסיכונים התאגידי מספקת חומר גלם רב לדיון ולטיפול בנושאים שבאחריות הדירקטוריון, לדוגמה:

• הממשל התאגידי והתרבות הארגונית.
• אסטרטגיה ובחינת ביצועים.
• מידע, תקשורת ודיווח.
• תהליכים לשיפור ביצועי הארגון.

תפקיד הפיקוח של הדירקטוריון בנושא נאותות ניהול הסיכונים בארגון כולל בין השאר סקירה ובחינה של כל אלה:

• האסטרטגיה ותוכניות העבודה המוצעות על ידי ההנהלה.
• התיאבון לסיכון (RISK APETITE).
• התאמתם של היעדים האסטרטגיים והעסקיים ליעדים ולערכים המוצהרים של הארגון.
• בחינת החלטות עסקיות מהותיות, כולל רכישות ומיזוגים, הקצאות הון, מימון והחלטות הקשורות לדיבידנד.
• תגובה לתנודות בולטות בביצועי הארגון הנובעות משינויים במפת הסיכונים הארגונית.
• תגובה למקרים של חריגה מערכי הליבה של הארגון.

היתרונות של ניהול סיכונים תאגידי יעיל 

ארגונים המשלבים ניהול סיכונים תאגידי בפעילותם השוטפת נהנים מהיתרונות הבאים:

• הגדלת טווח ההזדמנויות: על ידי מיפוי נכון של הסיכונים, ההנהלה יכולה לזהות הזדמנויות חדשות ואתגרים ייחודיים.
• זיהוי וניהול הסיכונים: ההנהלה מזהה ומנהלת את הסיכונים הנרחבים ומשפרת את הביצועים.
• הגדלת התוצאות החיוביות והיתרונות תוך צמצום ההשלכות השליליות: ניהול סיכונים תאגידי מאפשר לגופים לשפר את יכולתם לזהות סיכונים ולספק להם מענה הולם.
• צמצום התנודות בביצועים: ניהול סיכונים תאגידי מאפשר לצפות את הסיכונים ולצמצם תנודתיות לא רצויה בביצועים.
• שיפור השימוש במשאבים: מידע על הסיכון מאפשר ניהול יעיל יותר של המשאבים ותעדוף פעילויות.
• שיפור עמידות הארגון: יכולת הקיום בטווח הארוך והבינוני של הארגון תלויה ביכולתו לצפות ולהגיב לשינויים, להתפתח ולשגשג. ניהול סיכונים יעיל מסייע להשיג מטרות אלו, וככל שקצב השינויים מואץ יותר והמורכבות העסקית עולה, כך ניהול הסיכונים הופך לקריטי יותר.

התחשבות בסיכונים בבחירת האסטרטגיה

בחירת אסטרטגיה נכונה היא אחד התהליכים המהותיים ביותר בארגון. יישום תהליכים של ניהול סיכונים תאגידי בקבלת החלטות אסטרטגיות עשוי לשפר באופן משמעותי את יכולת הבחירה של החלופות הטובות ביותר להשגת יעדי הארגון.

קיימים שני היבטים נוספים לניהול סיכונים תאגידי, העשויים להשפיע על הארגון:

• זיהוי מקרים שבהם האסטרטגיה אינה מתיישבת עם החזון, היעדים והערכים המרכזיים של הארגון.
• זיהוי טוב יותר של מגוון ההשלכות של האסטרטגיה שנבחרה.

על הדירקטוריון וההנהלה לוודא שהאסטרטגיה שנבחרה תואמת את הערכת הסיכונים והתיאבון לסיכון של הארגון, וכי ניהול הסיכונים התאגידי מתיישר לא רק עם האסטרטגיה אלא גם עם ביצועי הארגון.

האיור שלהלן ממחיש את השיקולים לעיל בהקשר של משימה, חזון, ערכי יסוד וביצועי הארגון.

[1] Committee of Sponsoring Organizations of the Treadway Commission.

מסגרת ממוקדת לניהול סיכונים תאגידי
מסגרת ניהול הסיכונים התאגידי כוללת חמישה מרכיבים הקשורים זה בזה:

1. ממשל ותרבות: ההנהלה קובעת את הצביון/האווירה (Tone) בארגון, מחזקת את חשיבות ניהול הסיכונים התאגידי וקובעת אחריות ופיקוח על תהליך זה. תרבות קשורה לערכים אתיים, להתנהגויות רצויות ולהבנת הסיכונים בארגון.
2. אסטרטגיה והגדרת יעדים: ניהול סיכונים תאגידי, אסטרטגיה והגדרת יעדים, משולבים במסגרת תהליך התכנון האסטרטגי. התיאבון לסיכון מבוסס ותואם לאסטרטגיה, והיעדים העסקיים מממשים את האסטרטגיה ומשמשים בסיס לזיהוי, להערכה ולתגובה לסיכון.
3. ביצועים: סיכונים שעלולים להשפיע על השגת האסטרטגיה והיעדים העסקיים צריכים להיות מזוהים ומוערכים. הסיכונים מדורגים לפי חומרתם, על פי התיאבון לסיכון. בהמשך הארגון בוחר את התגובה לסיכון, ועושה הערכה כוללת של כמות הסיכונים שנלקחו. התוצאות של התהליך הזה מדווחות לבעלי העניין בארגון.
4. סקירה ושינוי: על ידי סקירת ביצועי הארגון, הארגון יכול לשקול עד כמה רכיבי ניהול הסיכונים התאגידי פועלים לאורך זמן ולאור שינויים משמעותיים, ואילו שינויים נדרש לעשות.
5. מידע, תקשורת ודיווח: ניהול סיכונים תאגידי מחייב תהליך מתמשך של השגה ושיתוף מידע נחוץ, הן ממקורות פנימיים והן חיצוניים, הזורם כלפי מעלה וכלפי מטה וחוצה את הארגון.

חמשת המרכיבים הנ"ל, שהם חלק מהמסגרת החדשה של COSO, נתמכים על ידי מספר עקרונות (שיפורטו להלן). רמת הציות לעקרונות האלה מהווה אינדיקטור למדידת רמת הקיום או האי קיום של חמשת המרכיבים הראשיים של המסגרת החדשה לניהול הסיכונים הארגוניים.

רכיבים ועקרונות

המודל מפרט לכל אחד מחמשת הרכיבים הראשיים מספר עקרונות (20 עקרונות בסך הכול), שעל הארגון לקיים:

ממשל ותרבות

1. פיקוח של הדירקטוריון – הדירקטוריון מפקח על קביעת האסטרטגיה ועל אופן יישומה, הוא נושא באחריות על ממשל תאגידי, ותומך בהנהלה בהשגת האסטרטגיה והיעדים העסקיים.
2. מקים יחידות תפעוליות – הארגון מקים יחידות תפעוליות להשגת האסטרטגיה והיעדים העסקיים.
3. מגדיר את התרבות הרצויה – הארגון מגדיר את ההתנהגויות הרצויות המאפיינות את התרבות הרצויה בו.
4. מדגים מחויבות לערכי ליבה – הארגון ממחיש מחויבות לערכי הליבה שלו.
5. מושך, מפתח ומשמר עובדים בעלי יכולת – הארגון מחויב לפיתוח ההון אנושי בהתאם לאסטרטגיה וליעדים העסקיים.

אסטרטגיה והגדרת יעדים

6. מנתח הֶקשר עסקי – הארגון שוקל את ההשפעות האפשריות של הקשר עסקי על פרופיל הסיכון.
7. מגדיר תיאבון לסיכון – הארגון שוקל את התיאבון לסיכון בהקשר של יצירה, שימור ומימוש ערך.
8. מעריך אסטרטגיות חלופיות – הארגון מעריך אסטרטגיות חלופיות ואת השפעתן האפשרית על פרופיל הסיכון.
9. מפתח יעדים עסקיים – הארגון מעריך את הסיכון תוך קביעת היעדים העסקיים ברמות שונות, המיושרים עם האסטרטגיה ותומכים בה.

ביצועים

10. מזהה סיכון – הארגון מזהה סיכון המשפיע על ביצוע האסטרטגיה והיעדים העסקיים.
11. מעריך את חומרת הסיכון – הארגון מעריך את חומרת הסיכון.
12. מתעדף סיכונים – הארגון מתעדף סיכונים כבסיס לבחירת תגובות לסיכונים.
13. מיישם תגובות לסיכון – הארגון מזהה ובוחר תגובות לסיכון.
14. מפתח תיק סיכונים – הארגון מפתח ומבצע הערכה של תיק הסיכונים.

סקירה ושינוי

15. מעריך שינוי מהותי – הארגון מזהה ומעריך שינויים העשויים להשפיע באופן מהותי על האסטרטגיה ועל היעדים העסקיים.
16. סוקר סיכון וביצועים – הארגון סוקר את ביצועי היחידה הארגונית ומתייחס לסיכון.
17. שואף לשיפור ניהול הסיכונים התאגידי – הארגון שואף לשיפור ניהול הסיכונים התאגידי.

מידע, תקשורת ודיווח

18. ממנף מערכות מידע – הארגון ממנף את המידע והמערכות הטכנולוגיות של היחידה הארגונית על מנת לתמוך בניהול הסיכונים התאגידי.
19. מתקשר מידע על סיכון – הארגון משתמש בערוצי תקשורת לתמיכה בניהול הסיכונים התאגידי.
20. מדווח על סיכון, תרבות וביצועים – הארגון מדווח על סיכון, תרבות וביצועים ברמות השונות שלו ולרוחבו.

הקשר בין מסגרת ניהול הסיכונים התאגידי לבין מודל הבקרה הפנימית

בנוסף על מסגרת ניהול הסיכונים התאגידי, בשנת 2013 פרסם ארגון ה-COSO מסגרת אחידה לבקרה הפנימית (Internal Control – Integrated Framework)[1]. מודל זה שואף לאפשר לארגונים לפתח ולתחזק ביעילות מערכת בקרה פנימית כדי לתמוך בהשגת יעדי הארגון ובהתאמת פעולותיו לשינויים בסביבה העסקית והתפעולית.

המודל זוכה לאימוץ ולשימוש נרחב ברחבי העולם, והוא מוכר כמודל המוביל לתכנון של הבקרה הפנימית, לעיצובה, ליישומה ולהערכת האפקטיביות שלה בארגון.

חשוב להדגיש ששתי המסגרות, המסגרת לניהול סיכונים תאגידי והמסגרת לבקרה הפנימית, שונות זו מזו במיקוד. הן אינן תחליפיות, אלא דווקא משלימות.

ההזדמנות לביקורת הפנימית

מסקרים על תפקידי המבקר הפנימי בארגונים שונים, עולה כי רק חלק מיחידות הביקורת הפנימית מעורבות בתהליך ניהול הסיכונים. האופנים שבהם מעורבת הביקורת הפנימית בתהליך שונים מארגון לארגון, החל מסיוע לאיסוף נתונים וכלה במעורבות פעילה יותר בתכנון המערך ויישומו.

נייר עמדה של ה-IIA בנוגע לתחומי הסמכות והאחריות בניהול סיכונים תאגידי, מספק מדריך שימושי לאפשרויות ולמגבלות של המבקר הפנימי בנוגע למעורבותו בניהול הסיכונים התאגידי.

מבקר פנימי השואף ליצור ערך לארגון ולביקורת הפנימית, צריך להבין את עקרונות ניהול הסיכונים התאגידי ולשלבם בתהליכי הביקורת הפנימית השוטפים.

המסגרת החדשה לניהול סיכונים תאגידי מספקת הזדמנות למבקר הפנימי להתמחות בתחום ולהפוך לאיש מפתח, כיועץ להנהלה בכל הנוגע לארגון, לתכנון וליישום של המסגרת החדשה לניהול הסיכונים התאגידי.

מבט לעתיד
אין ספק כי גם בעתיד ארגונים ימשיכו להתמודד עם תנודתיות, מורכבות ועמימות. ניהול סיכונים תאגידי יהיה חלק חשוב ובלתי נפרד מניהול הארגון והצלחתו. הארגון צריך להציג יכולת תגובה יעילה לשינוי, כולל קבלת החלטות ויכולת הסתגלות מהירות, תוך שמירה על רמות גבוהות של אמון בקרב בעלי העניין. כאשר אנו בוחנים את העתיד, המגמות הבאות ישפיעו על ניהול הסיכונים התאגידי:

·         התמודדות עם ריבוי נתונים ומידע: בעידן שבו כמות המידע הזמין גדל לממדים עצומים, ובו-בזמן המהירות שבה ניתן לנתח נתונים חדשים עולה, ניהול הסיכונים בארגון חייב לעבור התאמה. הנתונים יגיעו הן מהארגון והן מחוצה לו, ויהיו מובנים בדרכים חדשות. כלי ניתוח מתקדמים וכלים להדמיית תסריטים שונים יתפתחו ויעזרו מאוד בהבנת הסיכון והשפעותיו – הן החיוביות והן השליליות.·         מינוף אינטליגנציה מלאכותית ואוטומציה: העולם המודרני מרגיש היטב את השפעת תהליכי הדיגיטציה והאינטליגנציה המלאכותית. חשוב לשקול את ההשפעה של הטכנולוגיות הקיימות והעתידיות, ולמנף את יכולות ניהול הסיכונים בהתאם.·         ניהול עלות ניהול הסיכונים: מנהלים רבים מביעים דאגה לגבי העלות הכרוכה בניהול סיכונים, במיצוי תהליכי ציות ובפעולות בקרה. לפיכך עולה השאלה של ROI או עלות-תועלת. ככל שיתפתחו תהליכי ניהול הסיכונים התאגידי, כך תגבר התועלת לארגון והתשואה להשקעה בו תלך ותגדל. התפתחות זו עשויה ליצור הזדמנויות עבור ניהול סיכונים תאגידי ולהגדיר מחדש את חשיבותו לארגון.·         בניית ארגונים חזקים יותר: ככל שהארגונים משתפרים בהטמעת תהליכי ניהול סיכונים תאגידי, כך הארגון מתחזק. היכרות והבנה של הסיכונים בארגון (ובמיוחד סיכונים שההשפעה שלהם מהותית), וכן שימוש בתהליכי ניהול סיכונים תאגידי, מסייעים ליכולת הארגון לשרוד, לתת מענה אפקטיבי ומהיר לסיכון, ואף ליצור הזדמנויות חדשות. 

סיכום

ניהול הסיכונים התאגידי יצטרך לעבור שינוי מהותי ולהתאים את עצמו לעתיד כדי לתמוך באופן עקבי ושיטתי בקבלת החלטות ניהוליות, הן בתחום האסטרטגי והן בתחום התפעולי השוטף. עם המיקוד הנכון, היתרונות הנגזרים מניהול סיכונים תאגידי יעלו בהרבה על ההשקעות ויספקו לארגונים אמון ביכולתם להתמודד עם אתגרי העתיד.

[1] חידוש למודל משנת 1992.

The post ניהול סיכונים תאגידי – שילוב אסטרטגיה וביצועים – COSO13 appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

בתקופת כהונתו של חבר הכנסת דוד ליבאי כיו"ר הוועדה לענייני ביקורת המדינה, חוקקה הוועדה את חוק הביקורת הפנימית התשנ"ב-1992 כתגובה לביקורת שנמתחה בזמנו בדוחות מבקר המדינה על תפקידו הלקוי של מוסד הביקורת הפנימית במשרדי הממשלה ובחברות הממשלתיות. תכלית החוק הייתה לשמור על אופיו של המבקר הפנימי ככלי עזר להנהלת המשרד, התאגיד או הרשות ועם זאת לשמור על יכולתו לתפקד באופן בלתי תלוי, ביעילות ובאופן ענייני.

יו"ר הוועדה דוד ליבאי שהציג את החוק במליאת הכנסת אמר: אנו מאמינים שחוק זה יפתח דף חדש בזהות העצמית, ביכולת התפקוד ובדימוי הציבורי של הביקורת הפנימית.

דיוני הוועדה בעניין מבקרים פנימיים:

בין שאר תפקידיה, הוועדה לענייני ביקורת המדינה בכנסת מוסמכת לעסוק במעמדם ובסמכויותיהם של מבקרים פנימיים.

בחלוף 25 שנה מחקיקת החוק, נדרשה לאחרונה הוועדה לענייני ביקורת המדינה, בראשות חברת הכנסת שלי יחימוביץ, לחזור ולדון בסוגיית מעמד המבקרים הפנימיים בכלל ובמעמדם של המבקרים ברשויות המקומיות בפרט. המניע לדיון היה המציאות הקשה,   כשלפתחה של הוועדה הגיעו מקרים רבים של מבקרים פנימיים שלא יכלו למלא כראוי את תפקידם.

• בישיבות הוועדה התברר שמבקרי הפנים, שתפקידם לבקר בין השאר את ראשי הרשויות, עוברים חוויות קשות.
• לאחרונה ראש רשות אף הגיש תביעת דיבה נגד המבקרת הפנימית.
• אף כי מבקר המדינה מוציא צווי הגנה למבקרים, הרי שבלא מעט מקרים ראשי הרשויות המקומיות מפרים צווי הגנה אלה.
• ראוי לציין כי מבקר המדינה נקט לראשונה פעולה חסרת תקדים והגיש תלונה במשטרה נגד ראש עירייה שהפר צו הגנה של המבקר.
• במסגרת הדיונים התברר כי במשך שנים ארוכות לא קבעו שרי הפנים לדורותיהם הוראות כנדרש בנושא תקציב לשכת המבקר הפנימי, ומזה למעלה מ-22 שנה לא נקבעו תקנות בנושא מצבת העובדים בלשכת המבקר הפנימי ברשויות.
• מחדלים אלה נוגדים את הרעיון המסדר: חשיבותו של השלטון המקומי במערכת השלטונית בישראל הולכת וגוברת, ואופי התפקידים הציבוריים המוטלים על הרשויות המקומיות, והגידול בהיקפי תקציבן והרחבת פעילותן מחזקים את הצורך בשקיפות ובמתן דין וחשבון לציבור ובהגברת כוחם של שומרי הסף, ובהם המבקרים הפנימיים.

פעולות וכלים שננקטו:

• הוועדה בחרה להתמודד עם המצב העגום שנוצר והפגיעה במעמד המבקר על ידי התמקדות בתקנות העיריות: תקנים ותקציב שנתי ללשכת מבקר העירייה, שכן ידוע שיעילות פעילותיו של המבקר הפנימי והשפעתן מותנות בתקציבים ובאמצעים העומדים לרשותו, וללא תקציב וכוח אדם מתאים הוא לא יוכל למלא את תפקידו כראוי.
• התנועה לאיכות השלטון, איגוד המבקרים ברשויות המקומיות וחבר הכנסת מיקי רוזנטל, הגישו בשעתו עתירה לבג"ץ נגד שר הפנים בגין חובתו לקבוע תקנים ותקציב מינימלי ללשכת המבקרים. מטרת העתירה הייתה לתקן עוולות ולחזק את מעמדם של המבקרים הפנימיים ברשויות. עתירה זו נמחקה לבסוף לנוכח ההתקדמות המשמעותית שנעשית כיום במשרד הפנים לשם הסדרת התקנות, שתכליתן להגביר את עצמאות המבקרים ולהגביר את יכולתם לבצע את עבודתם כנדרש.
• הוועדה לענייני ביקורת המדינה, שתפקידה לאשר את התקנות, שוקדת בימים אלה על נוסח טיוטת התקנות שהגיש לה משרד הפנים.

הצהרת כוונות:

בסיכום הישיבה האחרונה בנושא, אמרה יו"ר הוועדה חברת הכנסת שלי יחימוביץ: "אני לא הולכת להרפות מהעניין הזה, מבחינתי מבקרי הפנים ברשויות ומבקרי הפנים בכלל הם בני טיפוחים של הוועדה הזאת ולוועדה יש אחריות נרחבת לדאוג לגורלם, לתנאיהם, למצבם וליכולת שלהם לבצע את תפקידם כראוי, כי בעיניי הם שומרי הסף הראשונים במעלה במאבק נגד שחיתות ואי סדרים, ולמען מינהל תקין לטובת אזרחי מדינת ישראל".

The post משולחנה של הוועדה לענייני ביקורת המדינה בכנסת: פעולות לקידום מעמדם של מבקרים פנימיים ברשויות המקומיות appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

אני מוכרחה להודות שלא ידעתי מה השגת היעד תדרוש ממני ומה תהיה ההשפעה על זמני הפנוי. אם אתם מתכננים לקחת על עצמכם את המחויבות להשלים את ההסמכה, כדאי שתדעו שהכנה לכל בחינה יכולה לארוך חודשים ארוכים ולהצריך מכם ללמוד בערבים ובסופי שבוע.

אם המשפט האחרון לא הוציא לכם את הרוח מהמפרשים, ואתם מוכנים להתחייב ליעד, אז דעו לכם שהשלמת ההסמכה מאפשרת למבקר להפגין ידע מקצועי, לרכוש כישורים מקצועיים, ללמוד מתודולוגיות חדשות ולהעשיר את עולמו המקצועי. ישנם כמובן יתרונות נוספים שאפשר למנות, אך היריעה קצרה וכעת הזמן לעבור לחלק המעשי.

החלטתם שאתם מתחילים את המסע להשגת ההסמכה הנכספת? החליטו האם ללמוד לבד או להצטרף לאחד המסלולים שהאיגוד מציע. אני השתתפתי במסלול ההכנה של IIA ישראל  בשיתוף היחידה ללימודי המשך באוניברסיטת חיפה, שהציעה סדרת מפגשים ללמידה שיטתית של תוכני הבחינה בעברית. הלימודים כללו גם שלב מעשי של תרגול שאלות בחינה שתורגמו לעברית.

בין אם בחרתם בלמידה עצמית ובין אם בחרתם באחד ממסלולי ההכנה של האיגוד, דעו לכם שתצטרכו לפנות זמן לא מבוטל לטובת למידה עצמית, אתם וחוברות הבחינה. אנסה לשתף אתכם במספר נקודות שלא ידעתי בתחילת הדרך.

הלמידה העצמית נעשית באנגלית באמצעות הלומדה באתר של ה-IIA. הלימוד כולל:

• חוברות לימוד באנגלית שאינן ניתנו להדפסה. ניתן להוריד ולקרוא אותן בטאבלט או כספר אלקטרוני. אל תדלגו על קטעים בחוברת רק משום שלא הבנתם אותם, נסו להעמיק ולהגיע להבנה, מכיוון שלעיתים תמצאו שאלות שיורדות לפרטי פרטים מקטע מסוים בחומר שחשבתם לתומכם שהוא שולי. אל תוותרו לעצמכם רק כי המינוח הוא באנגלית. כדי להתגבר על מכשול השפה ישנם מספר כלים העומדים לרשותכם: תסתייעו במרצים ובמתרגלים של מסלול ההכנה, נסו לחפש את המונח ב-Glossary שבלומדה, ולבסוף נסו לעשות תרגום בגוגל.

מומלץ להתחיל ברפרוף על תוכן העניינים של החוברת כדי לגבש הבנה להקשר של הפרקים השונים אחד לשני. כך תשפרו את היכולת שלכם לאחזר באופן מובנה חומר מהזיכרון. לעיתים אף תמצאו חפיפה בתכנים בין פרקים מסוימים. נקודת אור אפשר למצוא בכך שאם למדתם לבחינה מס' 1, תגלו שחלק ניכר מהחומר נכלל גם בבחינה מס' 2.

תוך כדי הקריאה, מומלץ לסכם נקודות בחומר שלא נתקלתם בהן בעבר. ייתכן שתמצאו שהסיכום מסייע לכם בשינון החומר. שימו לב כי החוברות מכילות טעויות, ולכן רצוי שמדי פעם תעיינו בתיקונים שפורסמו בלומדה בחלק של ה-"Online Resource Center". בלשונית "StudyPLUS" תוכלו גם למצוא קובץ עם שאלות נוספות שאינן נכללות במאגר השאלות שבלומדה.

• כרטיסי לימוד Flash Cards, שניתן להדפיס ולהשתמש בהם ללמידת מושגים. לא הכרחי ותלוי במשאבי הזמן שלכם.
• מאגר שאלות לתרגול, המאפשר לבצע Pre Test לבחינת הידע שלך לפני תחילת הלימוד, ונועד לסייע לכם למקד את מאמצי הלימוד בחלקים שבהם אתם חלשים.

לאחר שקראתם את החוברת לפחות פעמיים, תעברו לתרגול שאלות "chapter quizzes" על כל נושא ונושא. לכל שאלה יש מספר מזהה הכולל הפניה לחלק הרלוונטי בחוברת הלימוד. בשלב זה מומלץ להסתייע בחוברת ולנתח את הפתרון כדי להגיע להבנה מקסימלית של החומר הנלמד.

כעת הגיע הזמן לנסות מבחן דמה קצוב בזמן, כאשר יש לענות על כל שאלה בתוך 72 שניות. כדאי לתכנן לגשת לבחינה כאשר אתם עומדים על ציון של כ-90%. למידת השאלות והתשובות בעל פה אינה ערובה להצלחה, מניסיוני נתקלתי בשאלות בודדות שחזרו על עצמן בבחינה עצמה. נתקלתי גם במבקרים שנכשלו כי חשבו שיוכלו להימנע מקריאת החוברת והסתפקו בלמידת השאלות בעל פה. עשו לעצמכם טובה ואל תנקטו גישה זו.

אל תחששו מכך שתוכני הלמידה באנגלית, משום שאת הבחינה תוכלו לעשות בעברית. תהיו ריאליים והקפידו לתכנן את זמן הלמידה שלכם היטב. להערכתי משך הזמן שלקח לי להתכונן לכל אחת מהבחינות היה כ-4 חודשים. הלמידה שלי כללה את כל אחד מהשלבים שמניתי לעיל. שימו לב כי אם רכשתם את ערכת הלימוד המלאה של בחינות 3-1, הגישה שלכם ללומדה תקפה למשך שנתיים מיום הרכישה. קחו זאת בחשבון, במיוחד ככל שתצטרכו לעשות בחינות חוזרות.

יצוין כי המשתתפים בקורסי ההכנה של האיגוד מקבלים גישה לערכות הלמידה כחלק מעלות הקורס.

מומלץ למצוא  שותף ללמידה שעמו תוכלו לפתור ולנתח את התשובות לשאלות. אני רתמתי לטובת העניין את בעלי שעוסק אף הוא בביקורת פנימית. הלמידה המשותפת עושה פלאים לזוגיות, רק דמיינו לעצמכם את כמות השעות שהשקענו בוויכוחים על התשובות המורכבות שמומחי ה-IIA ניסחו לשאלות התרגול.

הנה כמה טיפים ורשמים מהבחינה עצמה:

• הבחינה נערכת במחשב במרכז בחינות ברמת גן. הנבחן יקבל דפים מחיקים וטוש לצורך חישובי עזר וכדומה. בנוסף, ישנו יישום ממוחשב של מחשבון כחלק מהבחינה, אך ניתן לבקש מחשבון. לא ניתן להיכנס לבחינה עם שתיה ומזון, לכן קחו זאת בחשבון והגיעו שבעים אך לא רוויים מדי, מכיוון שהפסקות השירותים הן על חשבון זמן הבחינה.

הזמן המוקצה לבחינה מס' 1 הוא 2.5 שעות ל-125 שאלות. בבחינה 2 ו-3 הזמן הוא שעתיים ל-100 שאלות, כלומר 72 שניות לשאלה. מידע נוסף ניתן למצוא ב-"Certification Candidate Handbook" שבאתר ה-IIA העולמי.

• הציבו לכם כמטרה לענות נכון על כמה שיותר שאלות. הדרך להשיג זאת היא לענות באופן שיטתי ומושכל על השאלות. התחילו בלקרוא את השאלה, לעיתים תמצאו שהיא ארוכה ויש לה רקע עמוס בפרטים, דלגו על הפרטים ותקראו רק את השאלה בשורה האחרונה. כך תהיו ממוקדים בפרטים הדרושים לכם כדי לענות על השאלה ותחסכו זמן יקר. קראו היטב את השאלה ושימו לב לניסוח ולמילים כמו "חייב", "רצוי" או "למעט".

לרוב יהיו 4 תשובות, כאשר 2 מתוכן ייראו לכן שגויות באופן מובהק וה-2 הנותרות יהיו די דומות. אם הידע שלכם אינו מספיק בשביל לבחור בתשובה הנכונה, עשו שימוש בניחוש מושכל. עדיף שתענו על השאלה במקום להשאיר אותה ללא תשובה, כך לפחות יהא לכם סיכוי של 25% לבחירת התשובה הנכונה. בנוסף, ישנה אפשרות לסמן בדגל את השאלות שתרצו לחזור אליהן בתום הבחינה, אם נותר לכם זמן. לכן אל תבזבזו זמן יקר על שאלה מסוימת.

בזמן שאתם מתרגלים בבית, אולי תבחינו שלעיתים במבט ראשוני סברתם שתשובה מסוימת היא הנכונה, למרות זאת היססתם ובחרתם תשובה אחרת. האם צדקתם או שדווקא התשובה הראשונה הייתה נכונה? הנקודה שלי היא שככל שידיעותיכם בחומר רחבות ומבוססות יותר, ייתכן שתצליחו במבט ראשון לאחזר מהזיכרון את התשובה הנכונה. לכן השקיעו בלמידה בבית ותגיעו לבחינה עם ביטחון בידע שלכם.

אל תחפשו חוקיות מסוימת בתשובות. כלומר התשובה A לא תמיד תהיה בשכיחות הכי גבוהה. התמקדו בבחירת תשובה מושכלת לפי העקרונות שציינתי לעיל.

• בסיום הבחינה תקבלו דף עם תוצאת הבחינה. הציון נע בין 250 ל-750, כאשר נדרשת תוצאה של 600 ומעלה כדי לעבור. אם עברתם, יהיה רשום שעברתם ולא יופיע ציון. אם נכשלתם, יופיע ציון בצירוף הביצועים שלכם בנושאי הבחינה. זאת על מנת שתוכלו לחזק את ידיעותיכם לקראת הבחינה החוזרת.

אם המשכתם לקרוא עד לנקודה זו, סימן שאתם חדורי מוטיבציה להשגת ההסמכה ולהתמקצע בתחום. כעת, לאחר שהצטיידתם במידע, בכלים ובטיפים, תוכלו גם אתם להתחיל במסע להצלחה ולהצטרף לנבחרת הגאה של מחזיקי הסמכת הדגל של לשכת המבקרים הפנימיים העולמית ה-CIA. תזכרו שהדרך לשם אמנם ממושכת, רצופת מכשולים ומייאשת לעיתים, קצת כמו דוח ביקורת. אך כשתצליחו זאת תהיה אינדיקציה מובהקת ליכולות ולידע שלכם כמבקרים פנימיים.

הערת המערכת:

שאלות הבחינה כיום, בשונה מהעבר, מתמקדות יותר בהבנה ופחות בידע שמצריך שינון בעל-פה.

The post מסע להצלחה: המטרה הסמכת CIA appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

המאמר בגיליון דצמבר 2016 הוקדש לחשיבות מודעות העובדים, הפעם נתמקד בחשיבותו של תהליך ניהול עדכוני תוכנה.

את התקפת הכופרה (Ransomware) האחרונה Wannacry, שפגעה במחשבים וברשתות ביותר מ-150 מדינות, היה אפשר למנוע! היא התאפשרה בעקבות פגיעות במערכות ההפעלה של Microsoft Windows, שהתגלו על ידי הסוכנות לביטחון לאומי ולאחר מכן נוצלו על ידי פצחנים (האקרים).

אולי חשוב לחזור רגע אל היסודות. ניהול עדכוני תוכנה הוא תהליך של וידוא שכל פיסת תוכנה וקושחה (Firmware) שנמצאות בשימוש בחברה מעודכנות בגרסאות הרצויות (בדרך כלל העדכניות ביותר שפורסמו על ידי היצרן), ושכל טלאי האבטחה הרלוונטיים הותקנו. עדכון, או בשפה המקצועית "טלאי תוכנה", הוא למעשה תיקון פגיעויות מערכת (תיקוני קוד) המתגלות לאחר שתוכנה או רכיב שוחררו לשוק ודורשות תיקון מיידי. טלאי תוכנה חלים על חלקים שונים של מערכת מידע, ובהם מערכות הפעלה, שרתים, נתבים, מחשבים אישיים, אפליקציות שונות (דואר אלקטרוני למשל), מכשירים ניידים, firewalls, ורכיבים רבים אחרים הקיימים בתשתית הרשת.

ידוע כי אחד מווקטורי התקיפה הפשוטים ביותר עבור פצחנים המחפשים גישה לרשת הארגונית הוא מערכות שלא עברו עדכון תוכנה. פצחנים וחוקרי אבטחה מגלים כל הזמן פגיעויות חדשות, וחברות תוכנה מפרסמות בתדירות גבוהה עדכונים כדי לטפל בהן. אם עדכונים אלה אינם מוחלים, לפושעי הסייבר יש נקודת כניסה קלה לתוך הרשת הארגונית. אם רכיב אחד ברשת לא עבר עדכון, הוא עלול לאיים על היציבות של הרשת כולה ואף למנוע את הפונקציונליות הנדרשת.

כיום נדרש שפתרון לעדכוני תוכנה עבור מערכות ההפעלה והיישומים השונים יהיה תהליך אוטומטי אך מבוקר. בשוק קיימים כיום יישומים רבים לניהול עדכוני תוכנה. להלן מספר סיבות מדוע מומלץ ליישם תהליך ממוכן ומרכזי לניהול עדכוני תוכנה:

• ציות – בין אם קיימת מדיניות פנימית ובין אם יש דרישות חיצוניות כמו PCI (תקן אבטחה של חברות כרטיסי האשראי), פתרון טוב לניהול עדכוני תוכנה מקל על עמידה בתקנים ומבטיח שכל המערכות נשמרות מעודכנות.
• דיווח – יישומי ניהול עדכוני תוכנה טובים מספקים דיווחים מקיפים, כך שבכל נקודת זמן ניתן לדעת אילו גרסאות תוכנה מותקנות.
• יכולת תמיכה – חברות רבות מגלות כי הרשת שלהם כבר אינה נתמכת כאשר לא בוצעו בה עדכוני תוכנה זמן רב. ניהול נכון של עדכוני תוכנה מסייע להבטיח תמיכה שוטפת ברשת.
• בחינת פגיעויות (Vulnerability Scanning) ואיומים – אחת הסיבות החשובות ביותר לניהול עדכוני תוכנה היא לשמור על רמת אבטחה נאותה במערכות. יישומים טובים לניהול עדכוני תוכנה יכולים לסרוק ולדווח על פגיעויות וכן להמליץ על טלאי האבטחה הרלוונטיים. לאחר מכן יוכלו מנהלי המערכת לבדוק את העדכונים הללו ולחולל אותם במהירות.
• עדכוני אפליקציות צד שלישי – אחד האתגרים העיקריים עבור IT הוא כיצד ליישם עדכוני תוכנה עבור יישומי צד שלישי במערכות שלהם. יישומים לניהול עדכוני תוכנה יכולים לטפל באפליקציות של צד שלישי באותה קלות שבה הם מעדכנים מערכות הפעלה.
• ניהול עדכוני תוכנה חשוב מאוד בעידן החדש של ניידות מוגברת ועבודה מרחוק. ניהול ממוכן של עדכוני תוכנה יכול לוודא שכל המכשירים הארגוניים יישארו מעודכנים, ללא תלות במקום שבו הם נמצאים.

דגשים ליישום מוצלח של התהליך:

• שיקול המפתח העיקרי הוא סדר עדיפויות של עדכוני התוכנה. יש ליישם טלאי אבטחה קריטיים בהקדם האפשרי, אך מעבר לכך יש לקחת בחשבון גורמים נוספים. מנהלי IT צריכים לשקול באיזו תכיפות נעשה שימוש בתוכנה, וכן כמה היא קריטית לארגון, לפני החלטה להחיל עדכון.
• לפני ההתקנה בסביבת הייצור, חשוב לוודא שהעדכונים נבדקים כיאות בסביבת המעבדה וכי נעשה גיבוי לתצורתה הנוכחית של המערכת. כמו כן חשוב להכין תוכנית נסיגה מפורטת למקרה של כשל.
• סימן ההיכר של ניהול עדכוני תוכנה יעיל הוא בחירת הזמן הטוב ביותר לתזמן אותם. יש לוודא כי עדכונים מותקנים מחוץ לשעות העבודה כדי למזער את ההפרעה לעובדים ולתהליכים האוטומטיים.
• ניהול עדכוני תוכנה הוא קריטי לפעולות העסקיות, אולם נוטים לחשוב כי תהליך זה באחריות מחלקת ה-IT. קשה ליישם בהצלחה תהליך זה ללא הבנה ותמיכה של ההנהלה הבכירה.
• לבסוף, מנהלי עדכוני תוכנה יכולים לייעץ בנוגע להחלטות רכישה נבונות להשקעה עתידית. אם ספק מסוים מנפיק עדכוני תוכנה תכופים, ייתכן שמוצריו מהווים סיכון אבטחה וכי נרצה לבחון אפשרויות חלופיות.

כביקורת פנימית, חשוב שנבדוק יישום תהליך של ניהול עדכוני תוכנה מפאת חשיבותו של התהליך לארגון, ללא קשר לגודלו. בבואנו לבחון את התהליך, מומלץ לוודא כי הפעולות הבאות מבוצעות:

• האם הארגון יודע מהן הגרסאות המותקנות ומהן הגרסאות הזמינות להתקנה (הגרסאות החדשות ביותר)?
• האם הארגון יודע אילו עדכוני תוכנה מתאימים למערכות שונות?
• האם כל העדכונים מותקנים כראוי?
• האם קיימות בקרות לבדיקת התקנת העדכון לאחר התקנתו?
• האם קיימים נהלים לתיעוד פעולות ההתקנה, כולל קונפיגורציה שיושמה?
• האם מיושמת מערכת אוטומטית לניהול העדכונים? בהיעדר מערכת כזו נוודא אם קיימות בקרות מפצות.
• האם נעשים גיבויים ובדיקת עדכונים טרם ההתקנה על מערכות קריטיות?

The post ניהול עדכוני תוכנה (Patch Management) appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

ארגונים קיימים על מנת לספק ערך למחזיקי עניין. הגדלת הערך הנ"ל טעונה נטילת סיכונים בעסקים. אך אילו סיכונים, ומהי מידת אי הוודאות שבה ההנהלה צריכה להעריך ולאזן הזדמנויות לצמיחה, לסיכונים הכרוכים בה ולפריסת משאבים אפקטיבית, זאת מבלי להסיר את העיניים מהאסטרטגיה וממטרות הארגון?

ידוע כי למבקרים פנימיים יש תפקיד חשוב בתהליך. עם זאת, חלק מהמבקרים הפנימיים נעים בין עריכת פעילויות מתחום הביקורת המסורתית המתמקדת בפרוצדורה ובין פעילויות שתורמות באופן ישיר יותר ליצירת ערך. "שתי הפעילויות האלה חשובות", אומר לארי בייקר, מנהל בכיר בביקורת פנימית, ניהול סיכונים ותכנון אסטרטגי בעיריית אוקלהומה, "אפילו כאשר ההנהלה משוכנעת שהארגון עושה את כל האפשר להבטחת האפקטיביות של תהליכים, מבקרים פנימיים עדיין צריכים לערוך ביקורת עצמאית על הבקרות שמאפשרות להנהלה להרגיש בנוח".

עם זאת, זמן ומשאבים הם מוגבלים, ומבקרים פנימיים ששואפים להיות יועצים אמינים לארגון חייבים להבטיח שהמאמצים שלהם מספקים מקסימום תמורה להשקעה. חייבים להיקבע סדרי עדיפויות עבור חלק מהמבקרים הפנימיים, והגדרת סדרי עדיפויות טעונה מבט מרענן על מה שחשוב בעסק.

זיהוי הסיכונים "הנכונים"

ביל ווטס, שותף בקראו הורוואף בקולומבוס אוהיו, נזכר שלפני כעשור הגישה לקביעת "מה לבקר" לא הייתה מעמיקת מחשבה כפי היום. מבקרים נהגו להיות מאוד מובנים וחוזרים על עצמם עד שנחקק חוק סרבנס אוקסלי (2002) שבאופן עקיף גרם לחברות לבחון מחדש את מבנה הבקרות וכיצד לשפר בקרות, והוביל לאבולוציה בתחומים אחרים.

"מבקרים פנימיים היום חייבים לחשוב באופן רחב וחוצה ארגון", מציין ווטס, "היכן מתמקדת האסטרטגיה של הארגון? מהן היוזמות המרכזיות של הארגון? והיכן הכסף מושקע? מענה לשאלות אלו יאמר לך היכן צריכים מבקרים פנימיים להתמקד".

לדברי בראד איימס, מבקר פנימי באוולט פקרד בפאלו אלטו, קליפורניה, יש שאלה נוספת שיכולה לסייע למבקר פנימי בזיהוי הסיכונים הנכונים שאליהם עליו לכוון: מי נושא באחריות לאסטרטגיה מסוימת? "ברגע שאתה יודע זאת, אתה יכול לבנות יחסי עבודה אותנטיים ולהפוך אותם ל'בעלי העניין' שלך", הוא מסביר, "שאל אותם מה הם רואים שיכול למנוע מהם להגשים את יעדי האסטרטגיה. התחלת הדיון בסיכון מייצרת שקיפות כך שהם לא יעריכו אותו ביתר או יחששו ממנו, ותקבע מראש כיצד השותפות תחזק את האסטרטגיה העסקית. הקשר הזה יסייע להם לחוש בטוחים יותר לגבי הסיכון. יפחית את הסבירות לאפשר לסיכון לגרום להם שלא ליישם את האסטרטגיה".

במרבית הארגונים, באחד מתחומי המיקוד מעורבת טכנולוגיה. כל הארגונים חייבים ללמוד ליישם באופן אופטימלי את הטכנולוגיה, ואין הכוונה רק לטכנולוגיה המאפשרת יישום פרוצדורות ומתן שירות ללקוחות, אלא לטכנולוגיה שבתהליך העסקי מסייעת להתייעלות ואפקטיביות. הרבה מאוד מהאסטרטגיות של ארגונים כוללות יעדים ספציפיים הקשורים לטכנולוגיה. זהו סימן מובהק לכך שהמבקר הפנימי צריך להתמקד בה.

עוד חשוב שמבקרים פנימיים יבינו שאפילו כשהם מתמקדים ביוזמות אסטרטגיות, הם חייבים לשמר הרבה מהפעילויות הנהוגות בביקורת, כגון בדיקת הפרדת תפקידים, פוטנציאל להונאות, דרישות רגולטוריות ובחינת עסקאות. ועדיין, איימס מציין, אפילו פעילויות של ביקורת מסורתית יכולות וצריכות להיות מוכוונות אסטרטגיה.

הקשר לסיכונים

הגרסה האחרונה של "Enterprise Risk Management – Integrated Framework" של ועדת ארגוני נותני החסות (,(coso מתארת תוכנית לניהול סיכונים כולל (ERM) הקשורה במידה רבה לבקרות. בין אם מבקרים פנימיים משתמשים ב-COSO ERM  להנעת ביקורת על פעילות אסטרטגית, ובין אם הם בונים את מסגרת העבודה שלהם על בסיס תפיסותיהם וניסיונם, ווטס מזהיר מפני בחירה סלקטיבית של נושאים. התמקדות רק בחלקים מסוימים של העבודה בזמן שמתעלמים מחלקים אחרים, עשויה להוביל לעיכוב בהשגת היתרונות שבתהליך וייתכן שאף לאובדן הזדמנויות. התבוננות הוליסטית ורחבה יותר שמתיישרת עם תוכנית ניהול הסיכונים של הארגון והאסטרטגיה, מקלה על מבקרים פנימיים בהבנת האסטרטגיה עצמה ובתפקידם בפעילויות המרכזיות, שמבחינה עסקית הן קריטיות להשגת האסטרטגיה.

אין הכוונה שביקורת פנימית שמתמקדת ביעדי הארגון כפי שהם מתוארים באסטרטגיה, משפרת באופן אוטומטי את ניהול הסיכונים בארגון. "השאיפה היא שכן, אך זה רחוק מלהיות כך", אומרת שרלוטה לופסטרנד היגלם, מבקרת פנימית ראשית בלאנספורסאקרינגאר בשטוקהולם. "אם אין יעדים אין סיכונים, והדבר החשוב הוא לזהות היכן נוצר ערך וכיצד הוא עלול להיות מושפע מאירוע לא רצוי או להשתפר, אם אנו מסוגלים לבטא במילים כיצד ניתן לזהות אותו". הצגת האופן שבו היעדים משפיעים על הערך ועל הסיכון בתחומים אחרים יכולה להיות מועילה מאוד, בדיוק כמו הצבת היעדים כקישור בין תוכנית הביקורת (לרבות פעילות ייעוץ של הביקורת) לתוכניות אחרות של הארגון, כגון תוכנית אסטרטגית, תוכנית עסקית ודוח סיכונים.

מבקרים פנימיים נוטים להצטיין בשימוש בגישה ממוקדת סיכונים. למעשה, איימס מעריך כי ההנהלה נוטה להעריך כי הביקורת הפנימית עוסקת בציות או בסיכון. מנקודת מבטו, גישה מבוססת סיכונים היא "מאושיות היסוד של הביקורת", אך מבקרים פנימיים צריכים להיות יותר ממוקדים בהוספת ערך לעסק, ומיצוב הביקורת הפנימית כשותף אסטרטגי.

ביקורת בזמן אמת

ביטוי שנוהגים להשתמש בו כדי לאפיין את אחד האספקטים ביחסים שבין ביקורת פנימית וניהול סיכונים הוא "לבקר במהירות הסיכון". בסביבה העסקית של ימינו, סוגי סיכונים, סבירות התרחשותם ומידת השפעתם, משתנים כמעט ברמה יומית.

אם מבקרים פנימיים מתמקדים בלתמוך ביעדי האסטרטגיה, ואם המפתח להשגת היעדים הוא הבנת הסיכונים שמקיפים אותם, אז המהירות שבה המבקר הפנימי יכול לזהות את הפעולה שבסיכון חשובה. מבקרים פנימיים חייבים למצוא דרכים להישאר מעודכנים ולנקוט צעדים פרואקטיביים.

ליסה לי, סמנכ"לית ביקורת בגוגל, קליפורניה, אומרת כי בסביבה בעלת קצב מהיר, המפתח להוספת ערך של מבקר פנימי הוא לתקשר קשיים בזמן אמת. "עיסוק מוקדם עם בעלי התהליך לזיהוי סיכונים והערכת בקרות המעצבות אפקטיביות, יסייעו לספק בהירות בניהול סיכונים ברמה הגבוהה ביותר", היא מסבירה. "מעבר לכך, הערכת בשלות הבקרות יכולה לספק מידע משמעותי. זיהוי סוגי בקרות אלה יכול להתאים כאשר תהליך או מוצר מושק לראשונה. אך ככל שהתהליך או המוצר נמדד לאורך זמן, כך גם יש לנהוג בבקרות. שימוש במודל בשלות על רצף שבין 0 (מצביע על היעדר בקרות) ל-5 (מצביע על בקרות אופטימליות), יכול לסייע במקרים שבהם יש צורך בבקרות בריאות יותר.

הגישה המסורתית של תוכנית עבודה שנתית לביקורת פנימית, עשויה שלא להשתלב במהירות העסקית של ימינו. מבקרים פנימיים נאבקים לדבוק בתוכנית העבודה ובד בבד להתאים עצמם לשינוי המתמיד ולהבטיח כי המיקוד נשאר בסיכונים הקריטיים.

לי מציינת שבחברת גוגל הביקורת הפנימית מתחזקת רשימה של יוזמות ומחויבויות לתוכנית עבודה רבעונית המכוונת לסיכונים ברמה גבוה.

תהליך השינוי

עריכת שינויים באופן שבו מבקרים פנימיים מתפקדים לא תמיד תתקבל בזרועות פתוחות. בחלק מהארגונים והתעשיות, תרבות שהתבססה לאורך שנים תתקשה להסתגל לשינויים, לפחות לא בקלות או במהירות. אם הציפייה של הארגון היא לעריכת ביקורת פנימית מסורתית, מחלקת הביקורת צריכה להמשיך ולבצע זאת באפקטיביות אפשרית. תוך שהיא מבטיחה שהיא אכן מוסיפה ערך.

לי מאמינה בלתת לעבודה לדבר בעד עצמה. "ההנהלה מעריכה קבלת מידע רלוונטי ועדכני", היא מסבירה, "אם ביקורת פנימית יכולה לספק מידע שיסייע להנהלה לבצע את תפקידם טוב יותר או יסייע בהשגת המטרה, אז השינוי לא יהווה בעיה משום שהם יראו ערך בעבודת הביקורת הפנימית".

אך מה קורה אם צריך לשכנע את הנהגת הביקורת הפנימית לנקוט גישה יותר אסטרטגית בעבודת הביקורת? לפי איימס, "קשה למחלקת ביקורת להשתחרר מהשגרה ומהגישה המסורתית ללא תמיכה מהנהלת הביקורת עצמה. ייתכן שיהיו כמה בודדים שיגיעו לרמות האלה אבל אף פעם לא כל המחלקה, ואז הביקורת הפנימית לא תהיה שותפה באסטרטגיה הארגונית".

המבקר הפנימי הראשי הוא החלק החיוני. כאשר ארגון דן בסיכונים, המבקר הפנימי הראשי חייב לצעוד קדימה ולהצביע על הצורך בגישה אסטרטגית, ולהסביר את תפקידה של ועדת הביקורת. אם במסגרת ההסבר תפקידה של ועדת הביקורת מתואר תוך התמקדות בהגנה, ההזדמנות לשינוי עלולה להיות מוגבלת. ההזדמנות אף יותר מוגבלת אם המבקר הראשי בוחר שלא להקשיב להצעות המבקרים הפנימיים שלו בדבר הוספת ערך לארגון. "ייתכן שזה הזמן עבור המבקר הראשי לעבור לתפקיד הבא", מציעה הייגלם, אך מודה ש"זה כמובן קל לומר אך קשה לביצוע".

ערך – הפקת הצעות

אם נניח לרגע בצד את השאלה היכן בארגון יש לבצע שינויים פרסונליים, מבקרים פנימיים שמבינים שהרחבת המאמצים שלהם בשרשרת ערכי הארגון יכולה לסייע למחלקתם בהגדלת כיסוי הסיכונים, בחיסכון בעלויות ובהוספת ערך בר מדידה לארגון, חייבים לשאת את הדגל. למעשה, פעילות שכזאת מהווה נדבך חשוב בהשגת יעדי הקריירה שמבקרים פנימיים רבים הציבו לעצמם – להפוך ליועץ אמין. הייגלם מסבירה שכאשר סיכון הופך לערך, "הבטחה" הופכת לתובנה – שינוי שמצופה מיועץ אמין. לעצתה, "דוח המבקר הפנימי הוא לא התוצר העיקרי של עבודת הביקורת. התוצר העיקרי הופך להיות יכולתנו כמבקרים לזהות ולתאר את ההשלכות של סיכון או שילוב של סיכונים. ההבנה, הידע והיכולת של מבקרים פנימיים לתקשר בשפה העסקית, יכולים לסייע להנהלה הבכירה להתמקד ב"בנושאים החמים".

מיקוד פעילות הביקורת הפנימית ביעדים האסטרטגיים החשובים ביותר לארגון מייצר ערך – מניב הצעות. גם אם זה בראש סדר היום, אין מדובר בתפיסה חדשה לגמרי, ייתכן שמדובר בחזרה לבסיס, תפיסות ישנות שחמקו מעינינו לאורך הזמן בלהט של השלמת ביצועי המשימות ברשימות היומיות.

בייקר מציין כי "לפעמים אנו שוכחים שכל חיינו בביקורת פנימית משולבים ביעדים, סיכונים ובקרות. לפעמים אנו מתמקדים יותר בבקרות, ובפעמים אחרות פחות בסיכונים, אבל היעדים תמיד היו שם. ואם לא נעריך את הסיכונים והבקרות כשהיעדים לנגד עינינו, אז למה לעשות זאת?"

ידיעת ביניים:

מעבר לגישה אסטרטגית

מבקרים פנימיים יכולים להוביל לשינוי בתרבות הארגונית, כך שהארגון יקבל גישה יותר אסטרטגית בעריכת ביקורת פנימית. הנה כמה טכניקות שהומלצו על ידי מבקרים פנימיים שרואיינו לכתבה:

• גם בביצוע פעילויות מתחום הביקורת הפנימית המסורתית, היה אמיץ לצאת מדי פעם מחוץ לנורמות המקובלות. יחצן את התוצרים החיוביים של "הניסוי" והאופן שבו הוא הועיל לארגון. השתמש בניצחון הזה על מנת לבנות את הבא.
• נקוט גישה של "כל מסע מתחיל בצעד אחד" והתחל בשינוי קטן. כאשר מגיע הזמן מתאים, עשה צעד נוסף. המפתח הוא לעשות כל צעד בהתאם למוכנות של הארגון למסע.
• השקע יותר זמן בשיח עם לקוחות והקשב לתגובותיהם. אם אתה עורך ביקורת מסורתית כגון התאמת חשבוניות, השקע שעה בשיחה עם אנשים שמטפלים בתהליך. בדרך כלל ניתן ללמוד יותר משמיעה מאשר מצפייה. המידע הזה עשוי לסייע לך בהרחבת נושאי הביקורת.
• לטש את ה"כישורים הרכים" – אלו יודעים לשאול שאלות טובות, לבסס קשרים (בתחומי אי התלות והעצמאות), להאזין בזהירות, לסכם בתמציתיות, הם יותר יעילים בחשיפת האמת ועריכת תוצרים משכנעים.
• חמש עצמך במומחיות לפני ביצוע פעולות. בסביבה של היום יש יותר לחץ לעשות יותר בפחות, להוסיף ערך ולהפגין פריון. זה עשוי לגרום למבקרים פנימיים לצלול לפעילויות שהם לא מכירים לגמרי. אל תעשו את הטעות הזאת. היו מוכנים. ערכו מחקר, קבלו הכשרה מתאימה, ובקשו סיוע של מומחים כאשר יש צורך. אם אתם מנסים משהו חדש, דעו כי יכולתכם לקבל הזדמנות נוספת תלויה בהצלחת הניסוי הראשון.
• אל תפחד מכישלון – לא כל מאמץ יוביל להצלחה, אך זאת לא יכולה להיות סיבה לוותר. יש לפתח כושר התאוששות מלימוד מכישלון והתקדמות הלאה.

The post לבקר את מה שחשוב – ביקורות שתורמות להשגת יעדים אסטרטגיים appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

בשנים האחרונות אנו עדים לקיומה של תופעה מטרידה ההולכת וצוברת תאוצה – "לוחמת סייבר". לוחמה מסוג שכזה משפיעה על כולנו בעתות שלום ומלחמה; היא יכולה לשתק את פעילות הצבא, מערכות החשמל והמים של המדינה. כמו כן, פרטי חשבונות בנק, תוצאות בדיקות רפואיות ופרטים רגישים שלנו עלולים להיות חשופים לעיני פצחנים ערמומיים, וכאב הראש שנגרם מכך הוא של כולנו.

לוחמת סייבר היא שם כולל לפעולות התקפיות המבוצעות ממניעים שונים במרחב הקיברנטי ומכוונות נגד יעד מסוים. ניתן לחלק התקפות סייבר אלו למספר קטגוריות עיקריות: מתקפות על רקע טרור, פשיעה, ומודיעין (לרוב על ידי ארגוני ביון ומדינות). טרור קיברנטי שם לו למטרה לפגוע בתשתיות קריטיות של מדינה, לזרוע הרס ופאניקה בקרב הציבור ואף להוביל למותם של בני אדם. מאידך, פשיעה במרחב הקיברנטי נועדה להשיג בדרך כלל רווח כספי ולעיתים אף להפגין כוח ועוצמה בלבד. נוסף על מתקפות אלו, קיימות מתקפות סייבר לצרכים פוליטיים, צבאיים ומודיעיניים שלרוב מבוצעות על ידי מעצמות עולמיות וארגוני ביון נסתרים. מכיוון שהטכנולוגיה מתקדמת באופן מהיר ומאפשרת ביצוע פעולות באופן אנונימי תוך שימוש במניפולציות וכלים טכנולוגיים מתוחכמים, אנו עדים להתגברות משמעותית בהיקף ותדירות תקיפות הסייבר בעולם כולו. על פי הערכות הפורום הכלכלי העולמי, גובה הנזקים הגלובליים הנובעים מפשעי סייבר מגיע לכ-445 מיליארד דולר בשנה(!), סכום המתקרב לתמ"ג של מדינות מערביות מפותחות כמו בלגיה ופולין. על פי הערכות חברת המחקר "גרטנר", חברות המספקות כלים טכנולוגיים ופתרונות בנושאי אבטחת מידע מגלגלות מחזור עולמי של כ-77 מיליארד דולר, ועד שנת 2020 הסכומים יאמירו ל-170 מיליארד דולר. אם מישהו חשב שאיומי הסייבר הם תופעה שולית שעתידה לחלוף – מומלץ שישקול זאת שוב.

סקירה מהירה של עיתוני חדשות בישראל ובעולם עשויה להמחיש בקלות עד כמה איומי הסייבר רציניים ומשפיעים עלינו כבר עכשיו. האם ייתכן שנשיא ארה"ב, דונלד טראמפ, ניצח בבחירות (לאחר חודשים ארוכים של פליטות פה, ספינים ופרשיות ללא סוף) בזכות התערבות מכוונת שהגיעה מהקרמלין? על פי דוח של שירותי המודיעין בארה"ב, קיימות הוכחות מוצקות לכך שתקיפות סייבר בוצעו על ידי האקרים רוסיים, ובמסגרת התקיפות הללו נפרצו מחשבים ודואר אלקטרוני של בכירים במפלגה הדמוקרטית והודלף מידע רגיש אודותיהם. ניצחונו של טראמפ בבחירות לנשיאות ארצות הברית התקבל בברכה ובשמחה גלויה מצד פקידי ממשל רוסים בכירים. ימים יגידו האם הכינוי "הבובה של פוטין" שהוצמד לטרמאפ על ידי יריבתו, הילרי קלינטון, יצדיק את עצמו או לאו.

השימוש בלוחמת סייבר קיים גם במישור הביטחוני-צבאי. בחודש ספטמבר 2010 עיני העולם כולו היו נשואות לאיראן שהצהירה כי חשפה תולעת  Stuxnetברשתות הפנימיות של מתקניה הגרעיניים. התולעת צוידה בקוד המנצל מספר פגיעויות בלתי ידועות במערכות השליטה ובקרה (SCADA), לרבות חתימה מזויפת ויכולת לשבש את הפקודות והתהליכים הקשורים למהירות מתקני הצנטריפוגה לזיקוק אורניום ופלוטוניום. שיבוש התהליכים במערכות השליטה והבקרה הוביל להטעיית המפקחים באתר הגרעין, מפני שהם לא חשו בשינויים במהירות מתקני הצנטריפוגה. האחריות לביצוע יוחסה לישראל ואף למדינות נוספות כגון ארצות הברית ובריטניה.

דוגמה נוספת לעוצמת ההשפעה של מתקפות סייבר מגיעה מתחום הפיננסיים. בתחילת פברואר 2016 בוצעה אחת מגניבות הסייבר הגדולות בהיסטוריה. קבוצה של האקרים סינים הצליחה לפרוץ את מערכות המחשב של הבנק המרכזי של בנגלדש ולהעביר 81 מיליון דולר מהחשבונות שלו בבנק הפדראלי של ניו-יורק לבתי קזינו בפיליפינים. לטענת מומחי אבטחת מידע, גניבת הכספים בוצעה באמצעות פריצה לתוכנה המשויכת לפלטפורמת העברת הכספים SWIFT המהווה מסלקה בינלאומית בין גופים פיננסיים שונים בעולם תוך טשטוש עקבותיהם באמצעות נוזקה. בעקבות המחדל החמור, נגיד הבנק המרכזי של בנגלדש, אטיור רחמן, הודיע על התפטרותו. על פי דברי סנטור בפיליפינים המעורב בחקירת המקרה, מעל 30 מיליון דולר מהכסף שנגנב הועברו במזומן לאזרח סיני שחי במנילה. מהבנק הפדראלי של ניו יורק נמסר כי לא נתגלתה פריצה במערכות הבנק וכי הם משתפים פעולה עם הבנק המרכזי של בנגלדש.

מתקפת סייבר – קווים לדמותה  

מדי יום אנו נחשפים לשיטות תקיפה חדשות שמשתכללות לנגד עינינו וקצרה היריעה מלפרט את כולן. במסגרת חלק מהמתקפות נעשה שימוש בנוזקות המכילות קוד זדוני ונשתלות במחשבו של המשתמש ללא ידיעתו, מתוך מטרה לפגוע או לשבש את הפעילות השוטפת או לאסוף מידע רגיש אודות הקורבן. בקטגוריה זו ניתן למצוא וירוסים, תולעת (Worm), סוס טרויאני (Trojan horse), רוגלה Spyware)) ועוד. המכנה המשותף לנוזקות אלו הוא שהן מתוכנתות לשרת את התוקף ומסוגלות להפיץ ולשכפל את עצמן בין קבצים שונים ובין מחשבים שונים באותה הרשת, ואף נשלטות מרחוק תוך ניצול משאבי התקשורת וגורמות להאטת הביצועים, שיבוש ומחיקת נתונים רגישים, דלף מידע ועוד.

בתקופה האחרונה אנו עדים לתקיפות מסוג Phishing ותוכנות זדוניות מפותחות שצוברות תאוצה ומכונות בשם "וירוס הכופר" (Ransomware). המשותף לסוגי תקיפות אלו הוא שהן מסתמכות ברובן על הגורם האנושי, וקיימת הסכמה רחבה בקרב מומחי אבטחת מידע שזו החוליה החלשה בכל הקשור להגנה על המידע והמערכות הממוחשבות בארגון. – (אליאור אני מציעה ליד חיצוני כדלקמן: מומחי אבטחת מאמינים שהגורם האנושי הוא החוליה החלשה בכל הקשור בהגנה על המידע הארגוני )

הונאות מסוג Phishing הן שם כולל להתחזות וגניבת זהות באינטרנט, במטרה לגרוף רווחים כספיים באמצעות ביצוע פעולות בחשבונות בנק או עסקאות העושות שימוש בפרטי כרטיסי אשראי ללא ידיעת הקורבן. לעיתים מטרת הונאת ה- Phishingיכולה להיות גניבת מידע רגיש בלבד, ללא שום ניסיון להפיק טובת הנאה כספית. הונאות מסוג זה מבוצעות בדרך כלל על ידי שליחת קישור תמים בדואר אלקטרוני המוביל לאתר מזויף (למשל: דרישה לעדכון פרטי חשבון באתר פייפאל בכתובת הבאה: [email protected]) ושתילת פרסומת רגילה (למראית עין) באתר אינטרנט או פורום. לאחר שהמשתמש התמים מזין פרטים רגישים כגון סיסמאות, מספר כרטיס אשראי או מספר תעודת זהות, נתוניו האישיים מגיעים לידי התוקף, ורק לאחר פרק זמן מסוים ההונאה תתגלה והקורבן יגלה שהוא חסר אונים אל מול המתקפה.

"וירוס הכופר" הוא שיטת תקיפה חדשה הצוברת תאוצה. שיטה זו זכתה לתהודה עולמית בחודש מאי 2017  בשל המתקפה חסרת התקדים שניחתה על מערכות המחשוב בבתי חולים בבריטניה, יצרניות רכב בצרפת וגופים רבים אחרים בעולם שנדבקו בתוכנת הכופר הידועה לשמצה "WannaCry". במסגרת תקיפה שכזו, הווירוס מבצע הצפנה של נתוני המחשב השייכים לבעלים ומציג הודעה מאיימת הדורשת תשלום נכבד (כופר) עבור הסרת האיום, שחזור הנתונים והשבת המצב לקדמותו. ההדבקה בווירוס מסוג זה מתרחשת לרוב לאחר לחיצה על קישורים לא מוכרים המגיעים בדואר אלקטרוני או באתרי אינטרנט שונים. לאחר שהקורבן מעביר את התשלום בהתאם להוראות הגורם התוקף, נשלח לו קוד הצפנה שבאמצעותו ניתן לשחרר את החסימה ולפתוח את הקבצים (ולעיתים תשלום הכופר הוא לשווא וקוד ההצפנה אינו נשלח לקורבן חסר האונים).

על מנת לצמצם באופן משמעותי את הסיכון להיפגע מהונאות Phishing ומהשתלטות וירוס הכופר על מערכות המחשוב, אסור בשום פנים ואופן להתפתות וללחוץ על קישורים וקבצים שאינם מוכרים או לבצע עסקאות באתרי אינטרנט מפוקפקים. בנוסף, קיימת חשיבות רבה לביצוע גיבויים מלאים של הנתונים בתדירות מספקת, לרבות אחסונם באתר מאובטח.

מעבר למתקפות הסייבר שתוארו לעיל, התגלמות נוספת לתופעת "לוחמת הסייבר" באה לידי ביטוי באמצעות "מתקפות מניעת שירות מבוזרות" (DDOS). מדובר בשיטת התקפה המנוהלת מרחוק על ידי גורם בודד או מספר גורמים ששולטים בו-זמנית במחשבים תמימים רבים הנגועים מלכתחילה בנוזקה שהושתלה בהם ללא ידיעת בעליהם. ברגע שהגורם האחראי מחליט על ביצוע המתקפה, הוא מגייס את כל המחשבים הנתונים למרותו באמצעות כלי מרוחק ומורה להם לתקוף את הקורבן. אחת משיטות התקיפה שנעשה בה שימוש רב היא "מתקפת נפח", במסגרתה התוקף מנצל את העובדה כי הרשת בנויה להתמודדות עם נפח תעבורה נתון ולמעשה מציף אותה בנפחים גדולים משמעותית המשתקים את הגישה ברשת. דוגמה לכך היא מתקפת הסייבר שהתרחשה באוקטובר 2016 נגד חברת תשתיות האינטרנט האמריקאית דיין (Dyn). בעקבות המתקפה סבלו מיליוני גולשים ברחבי העולם מהאטה משמעותית בפעילות אתרי אינטרנט גדולים כגון טוויטר, אמזון, נטפליקס ועוד. מתקפת הסייבר נמשכה מעל ל-10 שעות ועוררה הדים רבים בעולם ועד כה אין תשובה חד-משמעית לגבי זהות האחראיים למתקפה הזו.

התמודדות עם איומי אבטחת המידע והסייבר במדינת ישראל

לאור ההבנה כי לא ניתן להקל ראש בהתייחס לאיומי הסייבר ההולכים וגוברים, הוקמו בישראל ובעולם גופים האמונים על קידום הנושא ועל פיתוח מענה טכנולוגי מתאים, לרבות תיאום דרכי התמודדות ותגובה עם גופים שונים בתחומי התעשייה, הביטחון, הפיננסים ועוד. באוגוסט 2011 אישרה ממשלת ישראל את הקמתו של "מטה הסייבר הלאומי" האמון על פיתוח הגנה על התחום הקיברנטי בארץ, תיאום בין הגורמים השונים העוסקים בתחום, הרחבת מעטפת ההגנה על תשתיות לאומיות מפני התקפות קיברנטיות, וקידום הנושא בענף התעשייתי.

בשנים האחרונות אנו עדים לעלייה ניכרת במודעות לעולם אבטחת המידע והסייבר בקרב מקבלי ההחלטות וגורמים רגולטוריים בישראל. בחודש פברואר 2015 פורסם על ידי מנכ"ל משרד הבריאות חוזר בנושא "הגנה על מידע במערכות ממוחשבות במערכת הבריאות" המפרט את עיקרי איומי אבטחת מידע וסייבר העלולים להשפיע על מערכת הבריאות, ובהם: מתקפת מניעת שירות (Denial Of Service), גניבת מידע, שיבוש מידע והפצת קוד זדוני בתחנות קצה. במסגרת ההתמודדות עם איומים אלו, החוזר מפרט קווים מנחים לפיהם גופים במערכת הבריאות בישראל צריכים לנהוג, ומתייחס לסוגיות שונות כגון אופן הטיפול באירועי אבטחת מידע, ניהול הרשאות משתמשים, שימוש בכלים טכנולוגיים לניטור ובקרה אחר משתמשים, הצפנת מידע רגיש וכדומה.

בחודש מרץ 2015 פורסם נוהל בנקאי תקין מספר 361 "ניהול הגנת הסייבר" על ידי המפקח על הבנקים, המחייב את התאגידים הבנקאיים בישראל לנקוט צעדים הכרחיים לצורך ניהול אפקטיבי של סיכוני אבטחת המידע והסייבר בפרט. קיימת התייחסות בנוהל לעקרונות היסוד לניהול הגנת הסייבר כמפורט להלן:

• א. זיהוי – ביצוע בירור ראשוני אודות היתכנות של אירוע סייבר, לרבות נקיטת דרכי פעולה מיידיות לטיפול.
• ב. ניתוח – ביצוע בירור מקיף ומעמיק לגבי האירוע לשם אימוץ דפוסי פעולה הכרחיים תוך בחינת חלופות אפשריות לבלימה והתמודדות עם האירוע.
• ג. הכלה – השגת שליטה ראשונית של האירוע לצורך הכלתו ועצירת החמרת השפעתו על פעילות התאגיד.
• ד. הכרעה – נטרול רכיבי התקיפה שמצויים במערכות התאגיד הבנקאי תוך שאיפה למזעור הנזק שנגרם בשל המתקפה.
• ה. השבה – חזרה לתקינות ופעילות מלאה של התאגיד הבנקאי המותקף.

הוראת המפקח על הבנקים דורשת כי בגין כל שלב יתבצע דיווח לגורמים הפנימיים והחיצוניים הרלוונטיים וכי יתקיים מהלך מקיף לתחקור האירוע והפקת לקחים. כמו כן, מוטלת אחריות על דירקטוריון והנהלת התאגיד ליצור מסגרת אפקטיבית לניהול סיכוני הסייבר, לרבות גיבוש אסטרטגיה ודרכי התמודדות עם האיומים השונים ובהתאם לנדרש בהוראה.

 סיכום

עולם ניהול סיכוני אבטחת המידע והסייבר אינו יודע רגע דל ומשתנה לנגד עינינו מדי יום. חלק מהותי בשמירה על הפעילות השוטפת של הארגון (לרבות הגנה על שרידותו) הוא באמצעות מערך הגנה אפקטיבי ונקיטת אמצעים להתמודדות יעילה בעת משבר, ובפרט בעת התרחשות מתקפת סייבר המכוונת נגד הארגון. על מנת להבטיח קיום מערך הגנה אפקטיבי ומתמשך, נדרשת מחויבותם של הדירקטוריון והנהלת הארגון להתוות מדיניות ברורה ועקבית בנושא זה, לרבות הקצאת משאבים הולמים. כמו כן, קיימת חשיבות רבה להגברת המודעות לאיומי אבטחת המידע והסייבר בקרב כלל העובדים בארגון. סוגיית ההתמודדות עם איומי אבטחת המידע והסייבר צריכה לטפס אל ראש סדר העדיפויות, מפני שמי שלא ישכיל להיערך בהתאם עלול באחד מן הימים להינזק קשות. נראה כי מדינת ישראל הבינה את המשמעות של פגיעה כתוצאה ממתקפות סייבר על המשק הישראלי, ובמהלך יוני 2017 יצאה גרסה מס' 1.0 של "תורת ההגנה בסייבר הארגונית" על ידי הרשות הלאומית להגנת הסייבר, חוברת חובה בכל ארגון הניתנת להורדה בחינם באינטרנט.

תפקידו של המבקר הפנימי מחייב אותו להיות ער לתמורות ולשינויים בתחום אבטחת המידע והסייבר. הסתמכות הארגונים על מערכות המחשוב הולכת וגוברת עם השנים, ולכן המבקר הפנימי חייב לשים דגש במסגרת עבודתו על היבטי אבטחת מידע שונים תוך הקפדה על בניית תוכנית ביקורת אפקטיבית המותאמת לאופיו של הארגון הנבדק.

ראוי כי תוכנית הביקורת תכלול התייחסות להיבטים שונים, כגון קיום מדיניות ונהלים בנושא, אסטרטגיה ותוכנית עבודה רב-שנתית, אבטחה לוגית ופיזית, אופן התמודדות הארגון עם אירועי אבטחת מידע וסייבר, התאוששות מאסון והמשכיות עסקית, יישום תקנים מקצועיים בנושא ועוד. נדרש כי המבקר הפנימי יתריע בפני ההנהלה והדירקטוריון על חולשות וליקויים בתחום אבטחת המידע והסייבר על מנת להבטיח קיום מהלך שוטף לתיקון הפרצות ושיפור מתמיד של מערך ההגנה הכולל בארגון.

The post איומי סייבר ודלף מידע – חשיבותה של הגנה עצמית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.