בעז ענר | רו"ח, MA ,CIA ,מרצה, יועץ, מנהל סדנאות ביקורת, לשעבר משנה למנכ"ל – משרד מבקר המדינה

רקע כללי

במחצית הראשונה של שנת 2020 (בתקופת התפרצות מגפת הקורונה) בוצע על ידי ה-ECIIA (הקונפדרציה האירופאית למבקרים פנימיים) סקר ב-11 מדינות ברחבי אירופה – אוסטריה, בלגיה, צרפת, גרמניה, איטליה, לוקסמבורג, הולנד, ספרד, שוודיה, אנגליה ואירלנד (להלן: "הסקר האירופאי"). לסקר השיבו 579 נשאלים, לצד ראיונות שבוצעו עם 42 מבקרים פנימיים ראשיים ויושבי ראש ועדות ביקורת ו-51 מומחים.

הסקר פורסם בספטמבר 2020 במסגרת 'Risk in Focus' הנערך מדי שנה במהלך 5 השנים האחרונות, ומטרתו לסייע למקצוע הביקורת הפנימית לבצע את עבודת הערכת הסיכונים, את התכנון השנתי ואף את סקירת הביקורת על ידי שיתוף התובנות והלמידות מהמחקר.

במהלך חודש ינואר 2021 ערכנו אנחנו בישראל סקר בקרב מבקרים פנימיים ראשיים. בסקר השתתפו 57 משיבים.

מטרת הסקר הייתה לבחון את השינויים שחלו בעבודת הביקורת הפנימית ובסיכונים שאליהם חשופים הארגונים בשנים האחרונות, והשינויים שצפויים לחול בשנים הבאות. השאלון בנוי בסגנון 'TOP 5', כלומר בכל שאלה נדרשו העונים לסמן 5 תשובות  בלבד, המתאימות ביותר לדעתם.

הסקר בישראל כלל 8 שאלות הנוגעות בעיקרן להערכת הסיכונים בארגון ולמיקוד הביקורת הפנימית בתחום הסיכונים, לפי תקופות כדלקמן:

1. הערכת סיכונים בארגונים בשנת 2020.
2. מיקוד/ השקעת הביקורת הפנימית בשנת 2020.
3. הערכת סיכונים בארגונים בשנת 2021.
4. הערכת סיכונים בארגונים בשנת 2024.
5. המשאבים להתמודד עם השינויים.

בכל אחת מהתקופות לעיל יוצגו להלן התוצאות על פי החתכים הבאים:

• הצגת שיעורי המשיבים בכל אחד מהסיכונים.
• השוואה בין תוצאות המשיבים בארץ בתקופה המוצגת לבין תוצאות המשיבים בארץ בתקופות אחרות רלוונטיות.
• השוואה בין תוצאות המשיבים בארץ לתוצאות המשיבים בסקר האירופאי בגין אותה תקופה.

להלן עיקרי הנתונים והניתוחים (כאמור, במרבית השאלות הנשאלים התבקשו לסמן את 5 התשובות המתאימות ביתר, כך שהנתונים לא מצטברים ל-100%).

1. הערכת סיכונים בארגונים בשנת 2020

להלן תרשים לתיאור התפלגות הערכת 5 הסיכונים העיקריים של הארגונים בישראל בשנת 2020:

חמשת הסיכונים העיקריים של הארגונים השונים בישראל בשנת 2020 – לפי שיטת TOP 5 – היו: סייבר ואבטחת מידע (79%), רגולציה וציות (67%), הון אנושי וניהול (58%), ניהול משברים (46%) ואיכות השירות ללקוח (39%).

ניתן לקשר סיכונים אלה באופן ישיר למשבר הקורונה שהיה משמעותי מאוד בשנת 2020, בין אם בהקשר של ניהול משברים (ברור כי בתקופה זו ארגונים נקלעו למשברים מסוגים שונים), ובין אם בהקשרים של סייבר ואבטחת מידע והון אנושי וניהול (לאור היבטי העבודה שהשתנו, לרבות עבודה מרחוק, שימוש באמצעי טכנולוגיה חדשים, העברת מידע באופן ממוחשב ועוד).

בהתאם, ערכנו השוואה בין תוצאות הסקר האירופאי לתוצאות הסקר בישראל, בדבר הסיכונים שהעריכו הארגונים אודות התפלגות הסיכונים העיקריים בשנת 2020. להלן תוצאות ההשוואה:

הפערים המשמעותיים בהערכת הסיכונים של הארגונים בארץ לעומת הארגונים באירופה היו בסיכוני טכנולוגיה מצד אחד (26% מהמשיבים בארץ לעומת 58% מהמשיבים באירופה), ומנגד בסיכוני הון אנושי וניהול (58% מהמשיבים בארץ לעומת 27% מהמשיבים באירופה). כמו כן, הסיכונים שלא קיבלו ביטוי בסקר האירופאי בגין שנת 2020 וסומנו על ידי המשיבים בסקר בארץ כסיכונים עיקריים ומשמעותיים: סיכוני ניהול משברים (46%) וסיכוני איכות השירות ללקוח (39%).

1. מיקוד/ השקעת משאבי הביקורת בשנת 2020

לצד הערכת הסיכונים בארגונים, בדקנו את התחומים שבהם המבקרים הפנימיים השקיעו את רוב משאבי הביקורת הפנימית, הזמן והמאמץ. להלן תרשים לתיאור התפלגות 5 התחומים העיקריים שבהם הושקעו בישראל בשנת 2020 רוב משאבי הביקורת בארגונים שבהם ממונים המשיבים כמבקרים פנימיים:

חמשת התחומים העיקריים בשנת 2020 שבהם הביקורת השקיעה את עיקר משאביה – לפי שיטת TOP 5 – היו: סייבר ואבטחת מידע (79%), רגולציה וציות (67%), הון אנושי וניהול (58%), ניהול משברים (46%) ואיכות השירות ללקוח (39%).

כמו כן, ערכנו השוואה בגין שנת 2020 בישראל בין הערכת 5 הסיכונים העיקריים של הארגונים לבין 5 התחומים העיקריים שבהם המבקרים הפנימיים השקיעו את רוב משאבי הביקורת. להלן התוצאות:

נראה כי במרבית המקרים, המבקרים הפנימיים בארץ התמקדו במסגרת הביקורת הפנימית בתחומים דומים לסיכונים המהותיים בארגונים, כדוגמת סייבר ואבטחת מידע, רגולציה וציות, שרשרת אספקה ובריאות, בטיחות וביטחון. כלומר הם השקיעו את משאביהם בהלימה לסיכונים של הארגונים. עם זאת, ישנם תחומים שהביקורת התמקדה בהם, בעוד שהערכת הסיכונים הארגוניים בתחומים אלה הייתה נמוכה יותר, כדוגמת מעילות והונאות, תרבות ארגונית, ממשל תאגידי ודיווח, ואיכות השירות ללקוח.

בתחומי ניהול משאבים והון אנושי וניהול, הערכת הסיכונים של הארגונים הייתה גבוהה ביחס למיקוד הביקורת, אולם מדובר בהפרשים שאינם עולים על 10%.

כמו כן, ערכנו השוואה בין תוצאות הסקר האירופאי לתוצאות הסקר בישראל באשר להתפלגות התחומים שבהם הושקעו רוב משאבי הביקורת בשנת 2020. להלן תוצאות ההשוואה:

הן המשיבים בארץ והן המשיבים באירופה התמקדו בשיעורים גבוהים ודומים של כ-70% בתחומי הסייבר ואבטחת מידע והרגולציה וציות. הפערים המשמעותיים בשנת 2020 בהערכת הסיכונים של המבקרים הפנימיים  בארץ לעומת אירופה היו בסיכוני ממשל תאגידי ודיווח, מעילות והונאות וסיכונים פיננסיים. בתחומים אלה המבקרים הפנימיים בארץ התמקדו בהיקף משמעותי (למעלה מ-50% מהמשיבים), לעומת המשיבים באירופה שהתמקדו בהם בשיעורים נמוכים בהרבה (סיכוני ממשל תאגידי ודיווח וסיכומי מעילות והונאות – 26% וסיכונים פיננסיים 39%).

1. הערכת סיכונים בשנת 2021

להלן תרשים לתיאור התפלגות הערכת 5 הסיכונים העיקריים של הארגונים בישראל בשנת 2021:

חמשת הסיכונים העיקריים בארגונים השונים בארץ בשנת 2021 – לפי שיטת TOP 5 – יהיו: סייבר ואבטחת מידע (82%), רגולציה וציות (63%), הון אנושי וניהול (54%), איכות השירות ללקוח (47%) וסיכונים פיננסיים (39%). בהשוואה לחמשת הסיכונים העיקריים בשנת 2020 ניתן לראות שסיכוני ניהול משברים ירדו בשיעורם לעומת הסיכונים הפיננסיים שעלו בשיעורם.

ערכנו השוואה בין הערכת 5 הסיכונים העיקריים של הארגונים בישראל בשנת 2020 לעומת הערכת 5 הסיכונים העיקריים של הארגונים בישראל בשנת 2021. להלן תוצאות ההשוואה:

על פי ההשוואה, הפערים בין השנים 2021 ו-2020 לא עלו על 10% ברוב המוחלט של הסיכונים. הפער המשמעותי ביותר בהשוואה בין הערכת הסיכונים בשנת 2021 לעומת שנת 2020 היה בסיכוני ניהול משברים (הערכתו בשנת 2021 קטנה בכ-15%). ניתן להסביר את הירידה בהערכת הסיכון לאור העובדה שמשבר הקורונה נמשך, והארגונים למדו לחיות בשגרת קורונה מסוימת, כך שהערכת הסיכון קטנה לעומת שנת 2020.

בהתאם, ערכנו גם השוואה בין תוצאות הסקר האירופאי לתוצאות הסקר בישראל, בדבר הסיכונים שהעריכו הארגונים להתפלגות הסיכונים העיקריים בשנת 2021. להלן תוצאות ההשוואה:

הפערים המשמעותיים בהערכת הסיכונים של הארגונים בארץ לעומת הארגונים באירופה בשנת 2021 היו בסיכוני הון אנושי וניהול, כאשר 54% מהמשיבים בארץ סימנו אותם כסיכונים עיקריים לעומת 35% מהמשיבים באירופה. פערים משמעותיים נוספים ניתן לראות בסיכוני שינויי אקלים וקיימות סביבתית וסיכוני טכנולוגיה, שאותם המשיבים באירופה סימנו כסיכונים עיקריים בשיעורים גבוהים משמעותית מהמשיבים בארץ (פערים של כ-20%).

1. הערכת סיכונים בשנת 2024

להלן תרשים לתיאור התפלגות הערכת 5 הסיכונים העיקריים של הארגונים בישראל בשנת 2024:

על פי ההערכות, חמשת הסיכונים העיקריים בארגונים השונים בארץ בשנת 2024 – לפי שיטת TOP 5 – יהיו: סייבר ואבטחת מידע (89%), רגולציה וציות (56%), הון אנושי וניהול (53%), טכנולוגיה ודיגיטציה (47%) וסיכונים פיננסיים (39%).

בהשוואה לחמשת הסיכונים העיקריים בשנת 2021, ניתן לראות שסיכוני איכות השירות ללקוח עתידים לרדת בשיעורם לעומת סיכוני טכנולוגיה ודיגיטציה שעתידים לעלות בשיעורם. כלומר, בארגונים בישראל בשנת 2024 צפויה להיות מודעות גבוהה יותר לסיכונים הטכנולוגיים.

ערכנו השוואה נוספת של הערכת 5 הסיכונים העיקריים של הארגונים בישראל בשנת 2024 לעומת הערכת 5 הסיכונים העיקריים של הארגונים  בשנת 2021. להלן תוצאות ההשוואה:

ניתן לראות כי הערכת הסיכונים לשנת 2024 בישראל דומה במהותה להערכת הסיכונים בשנת 2021. בכל הסיכונים הפערים בין השנים 2024 ו-2021 לא עלו על 10%, למעט תחום הטכנולוגיה והדיגיטציה שבו יחול שינוי גדול יותר – גידול של 12%. המסקנה היא שהערכת הסיכונים העתידית של הארגונים מבוססת על הסיכונים כפי שמוכרים להם כיום.

כמו כן, ערכנו השוואה בין תוצאות הסקר האירופאי לתוצאות הסקר בישראל, בדבר הסיכונים שהעריכו הארגונים להתפלגות הסיכונים העיקריים הצפויים בשנת 2024. להלן תוצאות ההשוואה:

הפערים המשמעותיים בהערכת הסיכונים שיהיו בשנת 2024 של הארגונים בארץ לעומת הארגונים באירופה המשיכו להיות דומים לפערים שהיו בשנת 2021. עיקר הפערים היו בסיכוני הון אנושי וניהול, כאשר 53% מהמשיבים בארץ סימנו אותם כסיכונים עיקריים לעומת 37% מהמשיבים באירופה. פערים משמעותיים נוספים ניתן לראות בסיכוני שינויי אקלים וקיימות סביבתית וסיכוני טכנולוגיה, שאותם המשיבים באירופה סימנו כסיכונים עיקריים בשיעורים גבוהים משמעותית מהמשיבים בארץ (בשינויי אקלים הפער מגיע לכ-30%). לעניין ההשוואה והחיזוי לשנת 2024 בארץ ובאירופה, יש להביא בחשבון שיש קושי בחיזוי סיכונים לעוד שלוש שנים וכולם נאחזים במיטב המידע שבידיהם כיום ומשליכים ממנו לשנת 2024.

1. המשאבים להתמודד עם השינויים

שאלנו את המבקרים הפנימיים בארץ אם הם סבורים שיהיו להם המשאבים הנדרשים כדי להתמודד עם הסיכונים והשינויים הצפויים בשנים הבאות. להלן תרשים המתאר את התפלגות התשובות:

ניתן לראות כי מרבית העונים (76%) סבורים כי יהיו בידם המשאבים להתמודד עם השינויים הצפויים, לפחות באופן חלקי. עם זאת, ניתן לראות שחלק לא מבוטל מהמשיבים (33%) סבורים כי לא יהיו בידם המשאבים או שיהיו להם רק משאבים חלקיים להתמודד עם השינויים, ועוד 12% אינם יודעים אם יהיו בידיהם המשאבים המתאימים. כלומר, 45% מהמשיבים מבטאים ספקות, רבים או חלקיים, לגבי יכולתם להתמודד בעתיד עם הסיכונים והשינויים הצפויים.

סיכום

ככלל, נראה כי רשימת ה-TOP 5 של הסיכונים העיקריים בשנת 2020 נשארה במהותה דומה גם בצפי לשנים הבאות.

גם בהשוואת כלל הסיכונים בין השנים נראה כי בארץ סבורים שהערכת הסיכונים בארגונים לא תשתנה באופן מהותי לאורך השנים, אם כי באשר לשנת 2024 יהיה גידול של 12% בסיכון הטכנולוגי.

הסיכון העיקרי של הארגונים, שכ-80% ומעלה מהמשיבים סימנו לאורך השנים כחלק מרשימת ה-TOP 5, הוא סיכון הסייבר ואבטחת מידע, שגם בסקר האירופאי סומן על ידי מרבית המשיבים כסיכון עיקרי.

בהשוואה בין תוצאות הסקר בארץ לתוצאות הסקר האירופאי, עולה כי ישנם סיכונים שבאירופה קיבלו ביטוי משמעותי אולם בארץ נראה כי סיכונים אלה עדיין לא מהווים סיכונים עיקריים, כדוגמת סיכוני שינויי אקלים וקיימות סביבתית ושינויי טכנולוגיה. לעומת זאת, ישנם סיכונים שקיבלו ביטוי משמעותי בסקר בארץ, אולם נראה כי באירופה אינם מהווים סיכונים עיקריים, כדוגמת הון אנושי וניהול וסיכון איכות השירות ללקוח (שלא קיבל כלל ביטוי בסקר האירופאי).

את הפער באשר לסיכוני אקלים וקיימות סביבתית ניתן להסביר במונחי תרבות חברתית ופוליטית: באירופה המודעות והרגישות לסיכוני אקלים, הן של הממשלות והן של הציבור וכנגזרת מכך של הארגונים, היא גבוהה בהרבה מאשר בישראל. באשר לשינויים טכנולוגיים יש לזקוף זאת לזכות הארגונים האירופאים שמודעים יותר מאשר בישראל לגודל ועומק השינוי הטכנולוגי, וגם להשפעותיו על התעסוקה העתידית – שינוי שכבר מתרחש ומחייב התייחסות מעמיקה. בטווח הקרוב, סביר שהנושא הזה יעלה על פני השטח גם בישראל.

באשר לחיזוי סיכונים לשנת 2024, בארץ ובאירופה יש קושי בחיזוי סיכונים לעוד שלוש שנים, וכולם נאחזים במיטב המידע שבידיהם כיום ומשליכים ממנו לגבי הסיכונים בשנת 2024.

The post תוצאות סקר הערכת הסיכונים היום ובעתיד – ישראל VS אירופה appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

רו"ח ניצה ויקטוריה רוגוזינסקי – סמנכ"לית, מבקרת חברה ונציבת תלונות הציבור בחברת החשמל

 עו"ד עינב דובב – עובדת יחידת הביקורת הפנימית בחברת החשמל

אם נערוך סקר באוכלוסייה, סביר להניח שרוב האנשים יסכימו שנעים וחשוב לחיות בבית נקי. כדי לעשות זאת, נדרש לנקות באופן תדיר וקבוע את המטבח, השירותים, הסלון והחדרים. אם נשאל אותם האם זה חשוב כבר מעתה להכין תוכנית רב-שנתית לניקיון האזורים העיקריים בתוך החדרים, כזו המפרטת מראש באיזה חלק של האזורים יתמקד הניקיון, סביר להניח שרובם ישיבו כי הגדרת מוקדי הניקיון מראש אינה נחוצה, וכי יש להגדירם בתחילת כל ניקיון.

אם נתמקד בדוגמת המטבח, הרי שמרבית האנשים יסכימו כי אין זה נחוץ לצפות מראש ולהגדיר בתוכנית רב-שנתית באיזה חלק במטבח יתמקד הניקיון (ארונות המטבח, הרצפה, השולחן, התריסים, הכיריים, המקרר) ובאיזו שנה, אלא עדיף לעשות זאת בתחילת הניקיון ובהתאם לצורך באותה העת. אם נקשר את האמור לעולם הביקורת, הרי שהבית כולו מייצג את החברה או הארגון, המטבח מייצג את ישות הביקורת – ההליך העיקרי/הראשי הנכלל בתוכנית העבודה, וכל אחד מהאזורים במטבח שנדרש לנקות מייצג את תהליך המשנה/תת-תהליך. כפי שנציג להלן, אנו סבורות כי נכון יהיה להגדיר בתוכנית עבודה שנתית את ניקיון המטבח (התהליך הראשי – ישות הביקורת), וטרם ניקיון המטבח לערוך בדיקה מקדימה (סקר מוקדם) ולהגדיר את החלקים במטבח שיש למקד בהם את הניקיון – מקומות שהסיכון שלהם להתלכלך גבוה יותר (מוקדי סיכון), כגון הכיריים, ארונות המטבח והתנור (תהליכי המשנה/תתי-תהליכים שבהם תתמקד הביקורת).

כפי שנציג במאמר זה, אנו סבורות כי בעידן המודרני שבו השינוי הוא המצב הקבוע, הכנת תוכנית עבודה רב-שנתית ליחידת הביקורת הופכת פחות ופחות רלוונטית. יתרה מכך, מדובר באקט שאינו בהכרח מתכתב עם הצרכים האמתיים של הארגון. על כן, לדעתנו, נכון יותר לפעול בהתאם לתוכנית עבודה שנתית (ולא רב-שנתית), להגדיר בה את התהליכים העיקריים שייבדקו (ולא את תתי-התהליכים), ורק לאחר ביצוע סקר מוקדם להערכת הסיכונים בתהליך העיקרי, לקבוע את המיקוד בביקורת ואת תהליכי המשנה שייבדקו באותה שנה.

האם תוכנית רב-שנתית אכן נחוצה?

הכנת תוכנית עבודה רב-שנתית אינה עניין שבשיקול דעת עבור הביקורת הפנימית של חברת החשמל, שכן הדבר מחויב מכוח הוראות הדין. עם זאת, בעולם דינמי ומשתנה כמו זה שאנו חיים בו כיום, אנו סבורות כי אין משמעות אמיתית לתוכנית עבודה רב-שנתית, וכי מדובר באקט שנעשה בעיקר מכוח החובות החוקיות המוטלות על הביקורת, ושעלול בנסיבות מסוימות גם שלא להיטיב עם הגוף המבוקר.

נסביר: תוכנית עבודה רב-שנתית שנקבעת שנים מראש, אינה יכולה לצפות את מצב הארגון שנים קדימה ו/או את המוקדים והסיכונים שיחייבו את בדיקת הביקורת. לכן הכנת תוכנית כאמור אינה פוטרת את יחידת הביקורת מלבחון מחדש, מדי שנה, את הנושאים שייבדקו בתוכנית העבודה השנתית. בפועל, הנושאים שייבדקו בשנה ספציפית נקבעים בזמן אמת, בהתאם למציאות ותוך חיבור לסיכונים, ליעדים ולצרכים העדכניים של הארגון. לפיכך, הלכה למעשה, לתוכנית העבודה הרב-שנתית יש משקל מופחת, ולדעתנו כך גם ראוי שיהיה.

בנוסף, התוכנית הרב-שנתית של הביקורת נסמכת לרוב על סקר סיכונים ייעודי שמפרט את התהליכים העיקריים והמשניים בכל חטיבה בגוף המבוקר. מטבע הדברים, ביסוס התוכנית הרב-שנתית על סקר המחולק לתהליכים רבים מחייב בחירה בנושאי ביקורת ממוקדים יותר, ומאפשר פחות גמישות בהמשך. בנוסף, על מנת לכסות את כל תתי-התהליכים שהוגדרו בתוכנית הרב-שנתית בארגון גדול, אכן נדרש פרק זמן של כמה שנים.

בביקורת הפנימית בחברת החשמל, התחלנו בשנה הנוכחית (2021) להשתית את תוכנית העבודה השנתית על סקר הסיכונים הארגוני ולא על הסקר הייעודי לקביעת תוכנית עבודה של הביקורת (שכמובן התכתב עם הסקר הארגוני). בסקר הארגוני מפורטים סיכוני אב וסיכוני בסיס עיקריים בארגון, ללא חלוקה לתתי-תהליכים מרובים כמו אלו המופיעים בסקר הייעודי לביקורת. הדבר מאפשר לנו לבחור נושאי ביקורת (הליכים עיקריים/ישויות) רחבים יחסית, ונותן לנו גמישות לגבי מיקוד הבדיקה בהמשך (בעת הנעת הביקורת ולאחר עריכת הסקר המוקדם). בנוסף, הדבר מאפשר לנו כיסוי של הנושאים העיקריים כמדי שנה (ולא מדי כמה שנים), כך שלמעשה אנו משיגים מהר יותר את אחת המטרות העיקריות שעומדת בבסיס התכנון הרב-שנתי: כיסוי של תהליכי העבודה המרכזיים בארגון בתדירות של אחת לשנה (ולא אחת לשלוש שנים). לשון אחר, הבחירה בנושאי ביקורת רחבים יחסית, מובילה לכך שבמקום לכסות את כל הנושאים העיקריים מדי כמה שנים, אנו מכסים אותם מדי שנה בשנה. הדבר משול לעמידה בתוכנית הרב-שנתית כל שנה.

רציונל נוסף בבניית תוכנית עבודה רב-שנתית הוא ליצור מורא ביקורת במובן החיובי, וגם הוא מתקיים בשיטה של תוכנית עבודה שנתית והגדרת הישויות באופן רחב, שכן כל העוסקים בנושאי הליבה בארגון יודעים כי עבודתם צפויה להיות נתונה לביקורת, מבלי לדעת מה יהיה המיקוד באותה השנה, דבר המייצר דריכות.

בשולי הדברים, אך לא בשולי חשיבותם, נדגיש כי קיימת חשיבות גבוהה בהכנת תוכנית עבודה שנתית ליחידת הביקורת, ובהכללת פרטים על לוחות זמנים, תקציבים ומשאבים בתוכנית זו. תוכנית העבודה השנתית קובעת הלכה למעשה את יעדי הביקורת השנתיים ומייצרת שקיפות כלפי הארגון. יתרה מכך, התוכנית מאפשרת מדידה בזמן אמת ובדיעבד של יחידת הביקורת, ובכלל זה בדיקת עמידתה ביעדים ובתקציבים שהוגדרו. בהקשר הזה נדגיש כי הגישה של יחידת הביקורת בחברת החשמל היא שכפי שכל היחידות בארגון נבדקות ונמדדות, כך גם היחידה שלנו צריכה להיבדק ולהימדד ("נאה דורש, נאה מקיים"). עם זאת, כאמור אנו תוהות על הנחיצות בתוכנית עבודה רב-שנתית בימינו.

מספר נקודות בהרחבה

• הבסיס – מתודולוגיה לעריכת תוכנית עבודה: המתודולוגיה בבניית תוכנית העבודה השנתית בחברת החשמל מושתת על כמה אדנים. בבניית התוכנית נלקח בחשבון סקר הסיכונים של החברה, יעדי המנכ"ל/הארגון, נושאים שחובה לכסותם מכוח הוראות דין, תוצרי SOX, ממצאים מדוחות קודמים, אירועי טוהר מידות, שיחות עם מנהלים, וכמובן שיקול דעת מבקרת החברה. כחלק מהמתודולוגיה אנו לוקחים בחשבון כי נדרשת גמישות לבדיקת נושאים דחופים ו/או בלתי מתכוננים במהלך השנה, וכי ככלל יש מקום לשינויים ולתוספות על פי שיקול דעת המבקרת.

• העדפת מהות על פני רגולציה וציות: העלייה שחלה ברגולציה בשנים האחרונות גרמה למבקרים פנימיים רבים למקד את הביקורות שהם עורכים בבדיקת ציות הארגון לחוקים ותקנות, ולהקצות לכך משאבים רבים.

בהקשר הזה נציין כי הגישה של הביקורת הפנימית בחברת החשמל היא שהביקורת אינה מחליפה את קו ההגנה הראשון (המנהלים) ו/או את שומרי סף (מחלקת SOX, יחידת ניהול סיכונים, בקר מעילות והונאות, רו"ח מבקר, ממונה אתיקה, יחידה משפטית, יחידת החקירות ועוד). למעשה, בחברת החשמל תוכנית העבודה השנתית מושפעת, בין היתר, מתוכניות העבודה של שומרי הסף הנ"ל ומתוצאות בדיקותיהם (ולהיפך, גם תוכנית העבודה של הביקורת הפנימית ותוצאות בדיקותיה משפיעות על פעילותם של שומרי הסף האחרים).

לאור האמור, ובהינתן ששומרי הסף מתמקדים בין השאר בבדיקת סיכוני רגולציה וציות, גישתנו היא כי על הביקורת להתפנות ולשים דגש רב יותר על בדיקת סיכונים מהותיים, כגון מעילות והונאות, סיכונים פיננסיים, ואבטחת מידע, סייבר וטכנולוגיה. יודגש: אין משמעות הדבר כי יחידת הביקורת שלנו אינה בודקת סיכוני רגולציה וציות – להיפך, אנו בודקים סיכונים אלו כמעט בכל ביקורת, ותוכנית העבודה שלנו גם כוללת נושאים ייעודיים בתחום זה (לרוב מכוח חובות רגולטוריות). עם זאת, אנחנו לא מתמקדים רק בסיכוני ציות, אלא גם (ולעיתים בעיקר) בסיכונים אחרים.

• יישום המלצות: קטגוריה זו היא אחד הביטויים ל"שיניים" של הביקורת, ובין היתר מטרתה לוודא כי יש משמעות וערך מוסף לעבודת הביקורת ולהמלצותיה, באופן שהיא מובילה לשינויים רצויים בארגון. מדובר בפעילות שאנו בחברת החשמל שמים עליה דגש וקשב רב.

1. נושאים בלתי נצפים מראש: נקודת המוצא שלנו היא שאת תוכנית העבודה חובה ליישם, ולא מדובר בהמלצה. לכן בתוכנית העבודה השנתית נדרש להקצות שעות גם לנושאים לא מתוכננים, דבר המאפשר גמישות לאורך השנה באופן שלא בא על חשבון נושאי ביקורת מתוכננים. מכיוון שהביקורת בחברת החשמל היא פרואקטיבית ומעורבת בנעשה בארגון, היא חייבת להיות גמישה, ותוכנית העבודה שלנו מאפשרת תגובה ובדיקה בזמן אמת של סיכונים שעומדים להתממש ו/או התממשו.

סוף דבר – וגם הרכיב הסודי להכנת תוכנית עבודה (שבדרך כלל לא מגלים במתכון)

גילוי נאות, אני רו"ח ומבקרת פנימית ראשית לא מעט שנים, אך אני לא אוהבת אקסלים, ובטח לא ארוכים ומייגעים כגון האקסל של סקר הסיכונים הייעודי לקביעת תוכנית העבודה הרב-שנתית של הביקורת. כפי שציינו לעיל, בקביעת תוכנית העבודה של שנת 2021 לא נסמכנו עליו, כי אם על סקר הסיכונים הארגוני.

אחרי ימים של נבירה באקסל של סקר הסיכונים הייעודי בניסיון לבחור את הנושאים שייבדקו על ידי הביקורת, החלטנו לזנוח אותו ולהכין רשימת נושאים לבדיקה מתוך היכרותי העמוקה את חברת החשמל. ברגע של השראה נכתבה הרשימה, ומאוחר יותר תיקפנו את הנושאים שבה אל מול סקר הסיכונים הארגוני. במקרה או שלא במקרה, נוכחנו כי מרבית הנושאים שנכללו ברשימה שלנו מדורגים בסקר הנ"ל ברמת סיכון גבוהה או גבוהה מאוד.

הסיבה שאנו מספרות לכם את זה היא שאומנם כל הפרמטרים שצוינו לעיל כבסיס לבניית תוכנית עבודה שנתית מוצלחת הם חשובים, אך ישנו פרמטר נוסף ומהותי לבניית תוכנית איכותית – פרמטר שנוגע להיכרות עם הארגון וחיבור לפעילותו. כמובן שניתן להכין תוכנית עבודה מוצלחת גם ללא פרמטר זה, אך לדעתנו לחוש את הדופק של הארגון הוא הרכיב הסודי שהופך את תוכנית העבודה למנצחת.

הגישה שלנו היא כי הביקורת היא חלק אורגני מהארגון, ומטרתה לשפר ולייעל אותו. לדעתנו אחד מתפקידי הביקורת הוא לחיות את ההווה ולצפות את העתיד, במובן של איתור סיכונים וחשיפות עוד לפני שהם מתממשים, לא כל שכן לפני שהם מגיעים לבחינה של גורמי חוץ ובהם רגולטורים ו/או בתי המשפט.

על מנת להגשים תכליות אלו, נדרש לדעתנו הפרמטר הנוסף, החיבור האמיתי לארגון, לפעילותו וליעדיו, וזהו הסוד האמיתי של ביקורת פנימית שמממשת את מטרתה.

אנו מקוות כי הארנו את עיניכם ולו במעט, ומאחלות לכולם הצלחה בהכנת תוכנית העבודה הבאה של ארגונכם.

The post תכנית עבודה רב שנתית- האם צריך זאת בכלל? appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מאת: ד"ר יוסי נטוביץ | רו"ח מנכ"ל טיוב יועצי מערכות בע"מ

זהירות, תרבות רעה!

הסקנדלים נחתו על חברת אוּבּר ( (Uberבמפתיע. זה החל בשנת 2017, כאשר אובר, שעד אז נחשבה חברה גלובלית מצליחה לשיתוף היסעים, השווה עשרות מיליארדי דולרים, הואשמה בבלוג שפרסמה עובדת בהתנהלות סקסיסטית פרועה ובאפליה. בהמשך, תחקיר הניו יורק טיימס חשף כי עשרות עובדות נוספות באובר חוו הטרדה מינית וזכו להתעלמות ההנהלה מתלונותיהן. הדירקטוריון פתח בחקירה עצמאית שבמסגרתה נפתח "קו חם", שעד מהרה הוצף בדיווחי עובדים על הטרדות מיניות, בריונות, חשש מאלימות, נקמנות מצד מנהלים ואפליה. החקירה פתחה תיבת פנדורה של התנהלות תאגידית חסרת מעצורים במגוון תחומים: עבירות על חוקי תעבורה, פגיעה בזכויות עובדים ובקניין רוחני, מהלכים נצלניים כגון העלאת מחירים בזמן פיגועים ומתקפות טרור, ופעולה יזומה נגד עיתונאים. רצף הפרסומים פגע קשות בתדמית החברה ובעקבותיהם היא נאלצה לשלם מיליוני דולרים פיצויים לנפגעים. כחלק מתהליך השיקום, בשנת 2018 נאלצו המנכ"ל והצוות הבכיר של החברה לפרוש בזה אחר זה.

עד לכאן להציג בצורה בולטת

ביקורת מאתגרת מאוד

המקרה של אוּבר העלה את המודעות לסיכוני התרבות הארגונית. במקביל, מחקרים שפורסמו לאחרונה מצאו כי תרבות ארגונית חזקה מגבירה אפקטיביות והצלחה עסקית. כתוצאה מכך בקהילה העסקית עלה העניין בתרבות הארגונית וגברה ההכרה בחשיבותה. "התרבות אוכלת את האסטרטגיה לארוחת בוקר", קבע היועץ העסקי האגדי פיטר דרוקר.

גם הביקורת הפנימית החלה להבין שיש כאן תחום חדש ובעל ערך אסטרטגי, אך מאתגר ולא פשוט. תרבות ארגונית היא מכלול של התנהגויות אנושיות, ובניגוד לתחומי הביקורת המסורתיים היא פחות מוגדרת ומוחשית, ונעדרת מדדים כמותיים להערכה. איך למשל ניתן לבקר אווירה, אמונות וערכים? כדי לעמוד באתגר, הביקורת הפנימית נדרשת להרחיב את סט המתודולוגיות והכלים שלה. הספר "מסע לתוך ביקורת תרבות" הוא אחד המסמכים המקיפים הראשונים שנכתב בתחום. המחברים, סו ג'קס ואדי בסט, בכירים בניהול סיכונים וניהול משאבי אנוש מפירמת גרנט ת'ורנטון בריטניה, מציעים בו מתודולוגיה ופרקטיקה המבוססות על לקחים מהניסיון החלוצי שצברו בשטח.

המפתח לביקורת שיטתית: מניעי תרבות

אחת ההגדרות המקובלות של תרבות ארגונית היא "שילוב של ערכים, גישות והתנהגויות שהחברה מקיימת בפעילותה וביחסיה עם אלה המושפעים מהתנהלותה, כגון עובדים, לקוחות, ספקים והקהילה".

"תרבות צריכה להיות מנוהלת ומפוקחת", מדגישים המחברים, "ולא רק תאונה של ההיסטוריה או של מי שבמקרה יוצא לו לעבוד בארגון. אין תרבות נכונה או שגויה – אבל יש תרבות נכונה או לא נכונה לאסטרטגיה של הארגון". תפקיד ההנהלה הוא לתכנן ולערוך תוכנית שינוי שתנחיל תרבות נכונה ותואמת למטרות העסקיות שקבעה. כדי לעשות זאת, להנהלה יש כמה דרכים להתערבות הנקראות מניעי תרבות (drivers of culture”").

אז מהם אותם מניעי תרבות שבשימוש ההנהלה? אסטרטגיה היא מניע מרכזי המהווה נקודת מוצא קריטית שרותמת את התרבות בתפקיד מפתח להשגת המטרות העסקיות. מנהיגות גם היא מניע מרכזי. מנהיגים בארגון ברמות שונות של הנהגה, נדרשים לעסוק באופן פעיל בתרבות הארגונית, בין היתר על ידי מתן דוגמה אישית (אבל לא רק). ניהול אנשים מהווה מניע נוסף המשפיע על העובדים ומקדם ומעודד את ההתנהגויות הנכונות ברחבי הארגון. מניעי תרבות נוספים הם ניהול משאבים שונים, כמו שרשרת האספקה, נוכחות באינטרנט, מוניטין ותקשורת, וכן אחריות חברתית וסביבתית.

המתודולוגיה המוצעת לביקורת הפנימית היא התייחסות שיטתית לכל אחד ממניעי התרבות, תוך בחינה והערכה של שני שלבים: הראשון – תכנון ועיצוב התרבות הארגונית, והשני – האפקטיביות התפעולית שלה. גישה זו מאפשרת זיהוי של היעדר תיאום ושל חוסר עקביות, וכפועל יוצא גם זיהוי של נושאים שאינם מוטמעים בתרבות הכוללת ופוגעים ביכולת הארגון להשיג את המטרות העסקיות שלו. אומנם כל מניע תרבות לכשעצמו מהווה גם יעד לביקורת מסורתית, אולם ביקורת התרבות שונה מזו המסורתית בהתמקדות שלה: לא בוחנים את הממשל התאגידי ואת הבקרות, אלא את האפקטיביות של התרבות המוטמעת.

סיפור, הנחיות ורשימת תיוג

בשונה מהספרות המקצועית המקובלת שהיא עיונית באופייה, הספר מספר סיפור עלילתי. הגיבור הוא אלכס, מנהל הביקורת הפנימית בחברת "שייפרס". אלכס מקבל מסאם, הCEO- של החברה, בסיכום עם יו"ר ועדת הביקורת, מטלה לעריכת ביקורת על התרבות הארגונית, כאשר בתחילת הדרך אין לו מושג כיצד לערוך אותה. הספר מלווה את אלכס במסע הביקורת שהוא עורך, בדילוגיו בין הסניפים של החברה בבריטניה והעולם ובפגישותיו עם עובדי החברה. הקורא מתוודע להתלבטויות, להחלטות, לפעולות ולתובנות של אלכס בשלבי הביקורת השונים עד (זהירות "ספוילר") לסיומה המוצלח.

בין שלב לשלב, הספר מניח לעלילה ועובר להדרכה מעשית בסוגיה ספציפית שבה אלכס מתלבט. לדוגמה, בפרק העוסק במנהיגות נמצא הנחיות כגון "מנהיגים צריכים לא רק לעצב תרבות שפועלת כמאפשרת של מטרות עסקיות, הם צריכים למקד את תשומת ליבם בהטמעתה. אלכס היה מודע לכך מההתבוננות שלו בהתנהגות המנהיגות הבכירה… במהלך הביקורת אנו מצפים ממנהיגים להיות מסוגלים לדבר על ההשקעה האישית שלהם בזמן, על הדוגמה האישית שלהם, ומה הם עושים עם הצוותים שלהם במונחים של הכרה בתרומות התנהגותיות חיוביות מאחרים שמסייעים בהטיית התרבות, כמו גם על האופן שבו הם מעוררים השראה בהתנהגות זו באחרים".

גם רשימת התיוג המוכרת ("צ'ק ליסט") אינה נעדרת מהספר. כל פרק נחתם ברשימת גורמי הצלחה מרכזיים וברשימת שאלות חשובות שעל המבקר לשאול לגבי נושא הפרק. רשימות אלה מספקות לחסרי ניסיון בביקורת תרבות נקודות התחלה מועילות ביותר לתכנון הבדיקה.

להמחשה, הפרק העוסק באסטרטגיה מציג שאלות כאלו:

• האם יש אסטרטגיה עסקית כתובה? אם כן, האם היא מכסה הן את המטרות העסקיות והן את התרבות?
• האם הארגון שלך מייחס חשיבות רבה לעובדים כפי שהוא חשוב ללקוחות ובעלי המניות?
• האם הערכים, ההתנהגויות, האתיקה ודרישות ההתנהגות מועברים בבירור לכל העובדים?

ביקור חשוב במטבחון

נושא ביקורת מיוחד דורש גם כלים ושיטות ביקורת מיוחדות. בספר מוצגות מספר שיטות אפקטיביות לביקורת בנושא "רך" כמו תרבות. אחת מהן היא ניתוח סנטימנטים, כלי המשתמש בבלשנות חישובית לבחינת שפה וטקסט במטרה לזהות עמדות ודעות משתנות בארגון. הוא מיושם בדרך כלל לניתוח עמדות הלקוח במשובים וסקירות מוצר במדיה החברתית בתחומים שונים, החל משיווק, דרך שירות לקוחות ועד רפואה קלינית, אבל אין שום סיבה לא להשתמש בו גם במסגרת ביקורת תרבות. למשל, במסגרת ביקורת על המנהיגות, ניתן לנתח את אוסף המסרים שמעבירים המנהלים לעובדים בערוצי התקשורת האלקטרונית השונים בתקופות מסוימות, ולזהות שם התייחסויות לתרבות, לערכים ולהתנהגות. ניתוח כזה יספק מגמות ונתונים שיכולים לשמש את המבקר בביסוס מסקנותיו.

שיטה מעניינת אחרת, פשוטה יותר, מוצעת לביקורת ניהול המשאבים – סקירת סביבת המשרדים והמטבחון… להתבונן איך מעוצב החלל, ובמיוחד מה מוצג בלוחות המודעות. לדוגמה, המחברים נזכרים כי "באחד הארגונים המבוקרים המשרד הראשי היה נוצץ, נקי ומסביר פנים, אבל המשרד האחורי היה מלא בארגזים, קישוטי חג מולד, ספלי קפה מוכתמים, ובלאגן אחר. איזה מסר תרבותי העובדים מקבלים מכך? הלקוחות חשובים, ואנחנו לא!"

מדריך פרקטי למתחילים

הספר שומר לכל אורכו על טון של מדריך פרקטי וטכני לעריכת ביקורת. לא נמצא כאן דיונים בתפיסות ניהוליות ובביקורת. זה לא מפתיע מפני שהספר הוא למעשה ספרון בן פחות מ-80 עמודים ומחציתו מוקדש לעלילה הפיקטיבית, לכן ברור כי אינו יכול להיות ספר עיון מעמיק.

שילוב עלילותיו של המבקר הפנימי אלכס בספר הוא חידוש מרענן העוזר היטב להמחיש את המתודולוגיות המוצעות בספר. אליה וקוץ בה. בסיפור משולבים יותר מדי קטעי "צבע" שכנראה נועדו להחיות את הדמויות בסיפור אך הם חסרי ערך מוסף מקצועי. לדוגמה: "מחר, ביום שבת, הוא תכנן יום חופשי. לא היו לו תוכניות מלבד להירגע ולאחר מכן לארוז את תיק הטיולים שלו לנסיעה להולנד ביום ראשון ולניו יורק כמה ימים לאחר מכן. זו באמת הייתה תקופה ממלאת עבורו, אבל הוא היה צריך להמשיך, להתקדם עם משימת חקר התרבות".

בנוסף, לפי הספר הביקורת מתבוננת במניעי התרבות ובוחנת את התיאום בינם ובין מטרות הארגון, אולם היא פחות מתייחסת לממשל של התרבות הארגונית, האחראי לתפעול מניעים אלה – ובכלל זה בעלי התפקידים, השיטות והתהליכים והבקרות, כמקובל בביקורת פנימית מודרנית. על אף כל זאת, זהו מסמך עדכני, חשוב ומעניין מאוד בתחום חדש ומרתק זה, והוא יכול לשמש לעזר רב למבקרים פנימיים בצעדיהם הראשונים בתחום ביקורת התרבות הארגונית.

The post קצת תרבות גבירותיי ורבותיי: כיצד עורכים ביקורת תרבות ארגונית? appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

ניצה ויקטוריה רוגוזינסקי | רו"ח, סמנכ"לית, מבקרת ראשית ונציבת תלונות הציבור בחברת החשמל

כשהבן שלי, לוחם בצה"ל, סיים מסע כומתה באורך כ-40 ק"מ, הלב שלי התפוצץ פעמיים: פעם ראשונה מגאווה, ופעם שנייה מפליאה. לא הצלחתי להבין איך הוא וחבריו סיימו את המסע כנגד כל הסיכויים ובאפיסת כוחות מצטברת, אחרי חודשים מתישים של תרגילי מלחמה בשטח סביב השעון.

"אמא, זה פשוט מאוד", הוא הסביר לי, "האימונים המפרכים, פעולות הגיבוש, שיחות המוטיבציה עם המפקדים והאכפתיות שלהם הכינו אותנו בדיוק לרגע הזה. הם היו הבסיס שלנו להצלחה".

כך גם בעולם "עבודה בהפרעה" מאז מרץ 2020: מנהיגות אנושית יציבה ומחוברת, שערוכה למגוון תרחישי קיצון ופתרונות אג'יליים בימים של שגרה, תוכל לצלוח כל מסע כומתה, גם אם קוראים לו קורונה. אני מזמינה אתכם לצלול איתי פנימה למסע הכומתה הפרטי שלי כמנהלת בימי קורונה, לאתגרים שפגשתי בדרך ולפתרונות שגיבשתי תוך כדי תנועה.

עד כאן עמוד פתיח

יומן מסע

• העבודה מרחוק והשלכותיה: עם היציאה מהסגר הראשון, העבודה מהבית נתפסה על ידי חלק גדול מהעובדים שלי כיתרון. מבחינתם הפורמט החדש התכתב עם ערכי החדשנות והגמישות שתמיד פעלנו לאורם והם היו נלהבים לנסות את ה"דבר החם הבא". אך כשהעבודה מרחוק הפכה לשגרה החדשה וטשטשה את הגבולות בין הבית לעבודה, הם שיתפו אותי בתחושות של חוסר איזון וקושי להתרכז בעבודה כאשר שאר בני הבית נוכחים, בייחוד במשפחות עם ילדים. תחושות אלה מצאו תיקוף בסקר של מאיירס-ג'וינט-ברוקדייל מחודש יוני 2020 שבו כ-70% מהנשאלים – הורים לילדים בני 18 ומטה – דיווחו על קושי לעבוד מהבית. סקר נוסף של המכון הישראלי לדמוקרטיה מתקופת הסגר הראשון מצא ש-43% מהנשאלים העובדים מהבית סובלים מירידה ביעילותם בהשוואה לעבודה במשרד.
• מילים, מוטיבציה, ומחוברות ארגונית: ביטוי לקשר בין מוטיבציה ומחוברות ארגונית ניכר אצלנו כבר בסגר הראשון כשהוצאנו לחל"ת עובדים שהוגדרו כלא חיוניים. למילים יש כוח, ומתברר שעצם השימוש בביטוי "עובד לא חיוני" פגע בתחושת הערך של העובדים, במוטיבציה שלהם ובתחושת הביטחון התעסוקתי והאישי. תחושות אלה עולות בקנה אחד עם המחקר מיוני 2020 המוזכר לעיל, שמצא כי רמת המחוברות לארגון של עובדים שהוצאו לחל"ת היה נמוך ב-24% בהשוואה לתקופה מקבילה בשנה הקודמת. האתגר שעמד על הפרק היה איך לגרום לעובד שהוגדר כלא חיוני להרגיש חיוני בתקופת הסגר וביום שאחרי.

• ריחוק חברתי ובדידות: לא טוב היות האדם לבדו, ולא טוב היות העובדים שלי לבדם: מאז ומתמיד היינו צוות מגובש, והקורונה טרפה את הקלפים והעמידה את החוסן החברתי שלנו במבחן. העבודה מהבית ללא מפגשים פיזיים בישיבות, בקבוצות עבודה, בחדר האוכל ובפינת הקפה העלה אצל כולנו את מפלס הבדידות והגעגועים. רבות נכתב בעולם על מחלת הבדידות והשלכותיה, ולכן הבנתי שיהיה עליי למצוא דרכים חדשות שיבטיחו זיקה ושייכות גם מרחוק.

• One size doesn’t fit all: בשיחות שקיימתי עם עובדיי מצאתי שונות ביניהם בתפיסת חוויית העבודה ובצרכים המקצועיים והאישיים במתכונת קורונה. ככל שחקרתי את השונות, גיליתי שהיא מושפעת הן מסוג העבודה – למשל תפקיד אסטרטגי לעומת אנליטי, והן ממצב משפחתי ומגדר: נשים מול גברים, אימהות מול אבות, צעירים מול בוגרים, נשואים מול רווקים, הורים לפעוטות מול הורים לבוגרים ועוד. היה עליי להוציא את מכונת התפירה ולתפור לכל אחד חליפה בהתאמה אישית.

• פעילות הביקורת הפנימית: נוכח מציאות העבודה החדשה והנחיות התו הסגול, שאלנו את עצמנו: איך נעצים את שיתוף הפעולה עם היחידות המבוקרות דווקא בתקופה שכופה עלינו ריחוק? התשובה היא: רלוונטיות!

כך תצאו למסע כומתה ארגוני משמעותי ומוצלח:

ההמלצות והפתרונות הבאים מתבססים על ניסיוני כמנהלת ומותאמים לתרבות הארגונית בחברת החשמל – הבית המקצועי שלי. הם אומנם נתמכים גם על ידי מחקרים, אך חשוב לזכור שארגונים שונים זה מזה במטרות, בתרבות ובערכים. אני מזמינה אתכם לאמץ פתרונות שמתאימים לארגונכם, ובמקביל להמשיך לבנות פתרונות משלכם שיעזרו לכם לצלוח את מערבולת ההפרעה הנוכחית וגם את הבאה:

• חזקו את הבסיס: אף פעם לא מאוחר מדי לחזק עמדות בתהליכי עבודה, ביחסי עבודה ובערכים. שבו עם הצוותים שלכם, עשו בדק בית, זַהו מה עובד טוב ומה דורש התאמה, והיו מספיק גמישים ואמיצים כדי להטמיע שינויים דרמטיים. גם אם בהתחלה תרגישו שהשינוי מאולץ מכורח הנסיבות, אתם תרוויחו בענק מהתהליך ותהיו מוכנים לקראת המשבר הבא שיבוא. להסרת ספק: הוא יבוא.

• אמצו ניהול בהתאמה אישית: זכרו שפתרונות 'העתק-הדבק' לא יעילים בשל העובדה שבני אדם שונים זה מזה. חלקו את המשימות החדשות שעל הפרק בין העובדים שלכם לפי תחומי העניין, הרצונות והחוזקות של כל אחת ואחד מהם. במשימות קבוצתיות, הקפידו על ציוות הוליסטי שיבטיח הפריה הדדית ותוצאות טובות. היו זמינים לעובדים שזקוקים לליווי ניהולי צמוד יותר שלכם, ותנו חירות נוספת לעובדים שמעדיפים לרוץ בקצב מהיר. אם עובדים זקוקים לגוון את סביבת העבודה ומקום העבודה מאפשר זאת, עברו למתכונת היברידית שמשלבת עבודה מהבית יחד עם עבודה במשרד. חשוב מאוד לאפשר לעובדים מהבית לחלק את עבודתם על פני שעות היממה הנוחות להם ובהתאמה לאילוצי חייהם, סמכו עליהם שיסיימו את המשימות בהצלחה (כמובן שהדבר מתאפשר גם כשמתקיימת מדידת תפוקות הדוקה ורציפה שמתקיימת בשוטף, עוד ללא קשר לקורונה).

• צרו עוגנים של יציבות וביטחון: היום יותר מתמיד, חשוב לזמן לעובדים איים של יציבות וביטחון ככל האפשר. עדכנו אותם בשקיפות וללא דיחוי על שינויים ארגוניים וצרפו לשיח גורמים מקצועיים רלוונטיים לפי הצורך. שמרו על אותנטיות והציפו אתגרים שעל הפרק, צורך בתיאום ציפיות מחדש ועוד. חשוב מכול, אם נאלצתם להיפרד מעובד בתקופה זו, עשו זאת ברגישות המתבקשת ועזרו לו ככל שתוכלו למצוא מחדש את מקומו במעגל העבודה.

• צרו קוד של כבוד: היטשטשות הגבולות בין הבית והעבודה משוועים לכללי יסוד בריאים שישמרו על מסגרת עבודה מכבדת מרחוק, במיוחד בישיבות זום, כמו לבוש הולם, מצלמות פתוחות, הקשבה פעילה עם מיקרופון סגור וכתיבת פרוטוקול מסכם. לכאורה מדובר בסממנים חיצוניים, אך מניסיוני הם מהלכים קסם על תיאום הציפיות, טיב השיח והתרבות הארגונית.

• תקשורת ישירה כמנוף להנעת תהליכי ביקורת: כדי להבטיח עבודת ביקורת החיונית דווקא בימי משבר, עלינו לעשות הכול כדי למנוע אנטגוניזם וריחוק. הימנעו ככל האפשר מתקשורת מייל לקונית ודברו ישירות אל הגורמים הרלוונטיים. זכרו שמייל אינו מסוגל להסתכל בעיניים, ואגף ביקורת שעוסק בתהליכים, נתונים ומספרים חסרי פשרות צריך לשדר גם הקשבה ופתיחות כבסיס לשיתוף פעולה.

• שמרו על קשר אישי ואמיתי: צאו מהזום והסתכלו לעובדים שלכם בעיניים. לא תאמינו כמה הם ישמחו ויכירו לכם תודה אם תבקרו אותם בסביבת הבית, תתעניינו בשלומם ותגישו להם שי קטן לתשומת לב או משהו המעיד על הוקרה. גם פרגון ו"רק מילה טובה" עושים את ההבדל. נצלו את הזום לא רק לפגישות עבודה אלא גם לציון אירועים חברתיים כמו הרמת כוסית או ציון יום הולדת. השקיעו במפגשי תוכן עשירים ואיכותיים – לא רק בעניינים מקצועיים אלא גם מעולמות האמנות, המדע והרוח. אם תדברו איתם בגובה העיניים בתדירות גבוהה, תדרשו בשלומם, תהיו קשובים לסימני מצוקה ותהיו שם בשבילם – הם יגמלו לכם במחויבות, מחוברות ושמחה.

מאחלת לכם המשך מסע מרתק עם הנעה פנימית חזקה, או כמו שהחייל הפרטי שלי אומר: בהשקט ובבטחה.

The post מנהיגות בימי קורונה: המדריך למסע כומתה בהמשכים appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

לאופן שבו המבקר מנהל את השיח עם המבוקר, ישנה חשיבות רבה הן בהשגת המידע הרלוונטי לתהליך הביקורת והן בחיזוק תדמיתו של המבקר בארגון כמשיא ערך.

במרבית הביקורות, המבוקר מכיר את התהליכים המבוקרים טוב בהרבה מהמבקר, ולכן למידע המתקבל ממבוקר ישנה חשיבות רבה. המידע הזה מאפשר למבקר להכיר את התהליך ולזהות את מוקדי הסיכון. האמצעים הישירים להשגת המידע מהמבוקר הם תשאול, ראיונות ושיחות.

מעבר לצורך באיסוף המידע לצורך זיהוי הסיכונים, לשיח עם המבוקר יש תפקיד גם בבניית התדמית של המבקר בארגון. התנהלות המבקר בשיח תשפיע רבות על האופן שבו הוא ייתפס כמשיא ערך לארגון ולמבוקרים, והאם הוא קשוב, מאפשר שיח פתוח ולא שיפוטי, מאפשר שיח דיסקרטי במידת הצורך, רגיש, ומסוגל לשים לב לנאמר בין השורות.

כשבוחנים את התכונות של המבקר או כיצד הוא היה רוצה להיתפס על ידי הארגון, ניתן בקלות לזהות קווי דמיון בינו לבין מטפל. לא אחת אנחנו מרגישים שאנחנו משמשים "פסיכולוגים" למבוקרים, ולא פעם הם משתפים בקשיים ובתחושות שלהם לגבי הנושא המבוקר, הממשק עם אורגנים שונים בארגון, וההתנהלות הפנים-ארגונית באופן חופשי ומרחיב. לא בִכדי קיים דמיון רב בין תכונותיו של המבקר לתכונותיו של מטפל. מאמר זה בא לבחון כיצד שימוש בעקרונות מתחום הטיפול עשויים להוביל לשיתוף פעולה טוב יותר של מבוקרים ולסייע בבניית תדמיתו של המבקר בארגון.

אמון

אמון הוא אבן יסוד בכל מערכת יחסים, על אחת כמה וכמה במערכת היחסים בין מבקר למבוקר. ככל שייווצר אמון רב יותר, כך המבוקר ירגיש בנוח לשתף את המבקר באירועים וברעיונות, וכן במידע רגיש ובעל חשיבות רבה הן לתהליך המבוקר והן לעבודת המבקר בארגון באופן כללי. מערכת יחסים שמבוססת על אמון בונה אמפתיה המאפשרת לכל צד להבין את המקום שבו נמצא הצד האחר. במערכת יחסים מבוססת אמון, אפשר ביחד לייצר את השיח שיאפשר למבקר לתהות ולהעיר לגבי פעולות, בחירות והעדפות ביתר קלות, שכן שני הצדדים מבינים שמהות התהליך הוא שיפור המצב הקיים ולא חיפוש פגמים. כאשר הסביבה היא סביבת אמון, המבוקר מסוגל להיפתח לרעיונות חדשים ולחלוק עם המבקר נושאים נוספים שלא הובנו במהלך התשאול או הדיון בצורה חופשית.

שיתוף, פתיחות ושקיפות

כאשר המבוקר ירגיש כי לא מסתירים ממנו דבר, ויבין שהמטרה משותפת ושתהליך העבודה הוא משותף ויש בו מקום להחלפת דעות ולדיון, השיח מול המבקר יהפוך למקום בטוח שבו ניתן לחקור ולנסות להבין. זה לא יקרה במקום שבו המבוקר חש צורך להתגונן, להצטדק ולעמוד על שלו. לא פשוט לייצר אווירה של פתיחות. בראש ובראשונה פתיחות דורשת אמון. אך אמון לא מספיק כשלעצמו, המבוקר חייב להרגיש כי יש שקיפות בתהליך ובמטרות הביקורת, וכי במידת הצורך הליקויים שיימצאו יובאו לשולחנו לדיון וחשיבה. המבקר חייב להיות פתוח לשמוע דעה אחרת ולבחון בעצמו אם היא נכונה ומתאימה יותר. לעיתים בתהליך הביקורת ישנן התנגדויות מצד המבוקר. על המבקר מוטלת החובה להבין את מקור ההתנגדות ולנסות לפעול לשכך את ההתנגדות. אמת, לעיתים מחלוקות נותרות בעינן, אולם הניסיון מלמד כי הסכמה על כך שיש מחלוקת מאפשרת לשמור על האמון בין שני הצדדים גם במצב מורכב זה.

שיקוף

כאמור, נדרשת אמפתיה בין המבקר למבוקר ולהיפך. אמפתיה אך לא הזדהות, על מנת שהמבקר יוכל לשמור על אי תלות. מידה נכונה של אמפתיה מאפשרת למבקר לספק למבוקר שיקוף של תהליכי העבודה, הסיכונים והבקרות, ויחד איתו לחשוף את הכשלים בתהליך. תהליך השיקוף נועד להשיג שתי מטרות עיקריות: הראשונה היא לאפשר למבקר לוודא כי התהליך הובן כמו שהוא; והשנייה היא לאפשר למבוקר להרהר פעם נוספת בתהליך ולהגיע לתובנות ולהבנה עצמאית כי נדרש שינוי בתהליך המבוקר. לפיכך, חשוב לספק למבוקרים את תמונת המצב העולה מן הביקורת, בין אם במיילים ובין אם באופן ויזואלי. במקרים שבהם מבוקר מבין את פעולת הביקורת, יש בידי הביקורת הזדמנות להשאיר אחריה כלים ותרבות של ניתוח תהליכים וסיכונים ולעודד את המבוקרים לבצע בחינה עצמית ועצמאית באופן מעמיק שייטיב עם הארגון ואיתם. בדיוק כמו שהמטפל נותן למטופל כלים לניתוח והתמודדות עם מצבים באופן עצמאי.

שאלות

השיח עם המבוקר מבוסס על שאילת שאלות. אופי השאלות, סגנונן, הקצב שלהן ואף הטון שבו הן נשאלות מכתיבים את אופי השיחה ואת התשובות והתגובות של המבוקר. ככל שהשאלות סגורות יותר, כך המבקר הוא זה ששולט בשיח ומכוון אותו, וההיפך, ככל שהשאלות פתוחות יותר, כך הן מעוררות את המחשבה של המבוקר ומותירות לו את המרחב לחשיבה ולמענה. שאלות בכלל ושאלות סגורות בפרט, מעניקות את התחושה כי נמצאים בחקירה או ב"חידון" שבו מצופה מהנשאל לענות את התשובה הנכונה. כישלון במתן מענה כאמור עשוי להוביל לתסכול של הנשאל ולפגוע במערכת היחסים הנבנית. שאלות צריכות להישאל ביחס למטרות של השיחה, כפי שהוגדרה בתחילת השיח, כך שברור למבוקר מדוע השאלה נשאלת. אם יש צורך, רצוי ואפשר להסביר מדוע נשאלת שאלה מסוימת. עוד חשוב להשאיר מקום לשאלות של דעה – "מה דעתך על?", "איך אתה חושב שהתהליך צריך להיות?". שאלות אלו מעניקות לנשאל תחושה של חשיבות ויכולות לצמצם את תחושת החקירה אם נוצרה כזו.

שתיקה

אם קיימים אמון, פתיחות ושקיפות, המבוקר יוכל להתבטא בחופשיות, אך זו אחריותנו לתת לו את המקום להביע את עצמו. לפיכך על המבקר למצוא זמן לשקט, שיאפשר למבוקר לעכל את הנעשה, לסדר את מחשבותיו, להבין את השאלות שנשאלו ולתכנן את המענה שלו. כאשר המבקר מקצה זמן למבוקר לדבר בחופשיות, המבוקר עשוי לשתף אותו בנושאים שהמבקר לא היה מגיע אליהם ברצף שאלות מתוכנן מראש. שיתוף כזה יכול לאפשר למבקר להיחשף למידע חיוני הרבה יותר מהמידע שהיה מקבל אילו היה נצמד לשאלות שתוכננו מראש. עלינו לזכור שהקשבה היא פעולה אקטיבית, שבה כל תשומת הלב מופנית למי שבחר לדבר ובכך מראה את פתיחותו של המבקר לשמוע את דעתו של המבוקר.

סבלנות

ביקורת היא תהליך, וכך גם בניית מערכת יחסים בין מבקר למבוקר. לכל אלו דרושה מידה רבה של סבלנות. סבלנות להקשיב, וסבלנות לשמוע דעות אחרות. סבלנות מעידה בראש ובראשונה על כבוד, כבוד שלנו לאחר, לנאמר על ידו ולמחשבותיו. העולם שלנו מתאפיין ברצון להשיג הישגים ומהר – "לתקתק" עבודה ולעבור למשימה הבאה. תהליך בניית מערכת היחסים עם המבוקר חשוב ודורש הרבה סבלנות. שווה להיות סבלניים גם במחיר של עיכוב קל ודחייה של משימות בתחילת התהליך, מכיוון שמערכת יחסים טובה עם המבוקר בטווח הארוך תקצר את תהליך הביקורת, תייצר שיתוף פעולה טוב יותר מצד המבוקר, ותקל על עבודת המבקר בצורה משמעותית.

סביבה ושפת גוף

הצד השני חייב להאמין שאתם איתו כל העת. לא מספיק רק לשתוק ולהקשיב, חשוב כי גם הסביבה תהיה נכונה ושפת הגוף שלכם תשדר את אותו המסר. בחרו סביבה שקטה: חשבו מהו המקום הנכון לאופי השיח לבצע את השיחה – משרדכם, משרד המבוקר, חדר ישיבות, בית קפה, ובימים אלו למדנו להעריך גם את המרחב הציבורי. לכל סביבה האופי והמסר שלה. קשר עין מאפשר העברת מסרים, ובה בעת מאפשר להתבונן בצד השני, בשפת הגוף שלו ובתגובותיו. הימנעו מלקפוץ ולהעיר את הערותיכם (הנבונות) באמצע השיח, אך הוסיפו מילים מעודדות כמו "תמשיך…" "אהמ…", "ו…". אל תתעסקו במשהו אחר תוך כדי שיחה, ואם בחרתם לכתוב רשימות, מִצאו את הזמן להישיר מבט אל המדבר. לא לשכוח לכבות את הטלפון, ואם אתם ממתינים לשיחה שעשויה להפריע, הציגו זאת כבר בתחילת השיחה.

לסיכום

ניהול שיח זו אומנות שיש להמשיך ולשכלל כל העת. שיח נכון עשוי להועיל לשני הצדדים, ובוודאי מקדם את המטרות של המבקר. מבוקר שיוצא משיח בהרגשה טובה, ובעיקר בהרגשה שהשיחה העניקה לו תובנות, יגיע לפגישות ולשיחות הבאות עם נכונות לשיתוף פעולה רב יותר, ואף יבחר לשתף מיוזמתו את המבקר בנושאים ובמידע בהמשך. כך תדמיתו של המבקר בארגון תעלה, וערך הביקורת הפנימית בארגון יעלה אף הוא.

The post בין ביקורת לטיפול appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

דניאל אטיאס | חוקר פשיעה ומדריך בכיר לשעבר במשטרת ישראל, בעלים של CODE DNA-יעוץ ותשאול עסק

עולם העבודה משנה את פניו בקצב מהיר בעקבות המהפכה הטכנולוגית, הדיגיטציה והאוטומציה, ומחייב אנשי מקצוע בתפקידי שכנוע לעבור תהליכים אדפטיביים בין-אישיים חשובים לבניית מערכות יחסים בארגון. פיתוח יכולות בין-אישיות יכול למקסם הצלחות בביצוע משימות בשגרת העבודה ובקבלת החלטות טובות ומהירות המשרתות את מטרות הארגון ומקדמות את מעמד איש המקצוע.

הצורך בתשומת לב רגשית הולך לתפוס מקום הרבה יותר משמעותי בעולם העבודה החדש. ההנחה היא שככל שתהליכי האוטומציה יתגברו, כך נגיב פחות בטבעיות בפן הרגשי. לכן בשנים הבאות האינטליגנציה הרגשית תהווה אחת מעשר המיומנויות הקובעות בהתאמה לעולם העבודה החדש בכלל, ולאינטראקציות ולמפגשים בין-אישיים במסגרת תפקיד בפרט.

הבינה המלאכותית (AI) מיושמת ביותר ויותר תחומי חיים ומנגישה פתרונות מעשיים בחיי היום-יום ובעולם העבודה. החוקרים מייגן בק וברי ליברט מבית הספר וורטון למינהל עסקים טוענים כי התפתחות הבינה המלאכותית תביא לשינוי דפוסי חשיבה לגבי האופן שבו אנו תופסים עבודה, ובעיקר אינטראקציות הקשורות במערכות יחסים בעבודה. על פי בק וליברט, השלבים החיוניים ברוב משימות העבודה הם איסוף מידע, ניתוח, פירוש ממצאים והתוויית דרך פעולה להטמעתם. הבינה המלאכותית עשויה לתת מענה טוב לשני השלבים הראשונים, בעוד חובת ההוכחה שתישאר בידינו היא השלב השלישי – המיומנות הבין-אישית.

הבינה המלאכותית לא מסוגלת להחליף ניהול רגשות, לשלוט בהם ולהביע אותם כתגובה לחשיפתם אצל האחר. מכאן יש להניח שהאינטליגנציה הרגשית תישאר מרכיב חיוני ביכולת לבנות יחסי אמון מול האדם שמולנו תוך גילוי אמפתיה והקשבה, בעיקר לתחושותיו הרגעיות המשתנות. מערכת יחסים חיובית כזו תאפשר לנו לנווט את האדם שמולנו בדרך בטוחה מבחינתו מצד אחד, ובהתאמה למטרה וליעד שלנו מצד אחר.

רוב שלבי הפגישה עם המבוקר נשענים על מיומנויות בין-אישיות של הקשבה אקטיבית, יכולת הכלה, אמפתיה, אסרטיביות בהעברת מסר, גמישות מחשבתית ואותנטיות אישיותית. כל אלה, בנוסף על תכונות אישיות כגון כריזמה, סמכותיות ומנהיגות – יש בהן כדי להשפיע על אנשים, לשנות את עמדתם ולרתום אותם לשיתוף פעולה. בניגוד לדעה הרווחת, מסוגלות בין-אישית וחברתית זו היא תכונה נרכשת ולא מולדת, והתמקצעות בה תוביל לשיפור יכולת הפקת המידע וקבלת החלטות טובה יותר גם בעידן החדש (ובמיוחד בו).

המפגש בין המבקר הפנימי למבוקר טומן בחובו אתגרים המחייבים את המבקר לפתח יכולות בין-אישיות המהוות גורם קריטי להצלחתו. מיומנויות אלה ימשיכו להיות גורמי מפתח להפקת מידע ושכנוע בארגז הכלים של המבקר גם בעולם העבודה העתידי.        

להלן מיומנויות אינטליגנציה רגשית הנדרשות מהמבקר הפנימי בעולם העבודה החדש:

השפעה והנעה לפעולה שלא מכוח סמכות

הדעה הרווחת היא שהמבקר חייב לפעול תמיד מתוך עמדת כוח וסמכות היררכית למטרות שכנוע והשפעה. ההנחה היא שעל מנת לשלוט ולנצח יש להפעיל עורמה, מניפולציות וטקטיקות בדרך להשגת שיתוף פעולה מקדם. הנחה זו היא מוטעית מיסודה. כחוקר פשיעה וכמדריך דאגתי לשנות את התפיסה שלפיה בחדר החקירות צריך לנצח. אימוץ התפיסה של משחק סכום אפס, שלפיה אני מנצח בתנאי שהצד השני מפסיד, לא משרת את המטרה הסופית של שינוי עמדה ונידוב מידע מרצון.

אחת התכונות החשובות הנדרשות כתנאי בסיסי למבקר הפנימי של העולם העתידי הוא אגו מנוהל. מבקר שיהיה משועבד לאגו העצמי שלו, ייצור עכבות מיותרות, יחטיא את התוצאה המיוחלת של הפקת מידע רב ואמין מהמבוקר, ויפגום בתהליך קבלת ההחלטות.

המטרה היא להצליח ולא לנצח!

הצלחה באה על ידי חבירה אנושית לצד המבוקר תוך צמצום הפער ההיררכי-ביקורתי הטבעי המאפיין מפגש מסוג זה. פתיחת ערוץ תקשורת חיובית, הכלה ויצירת אווירה נינוחה ומרווחת באמצעות שפת גוף, לפחות בתחילת המפגש, תורמות להעברת מסר של אובייקטיביות. מסר כזה, שמתאפיין בחוסר שיפוטיות, מעורר אצל המבוקר תחושה של פניוּת להקשבה והזמנה לשיח פתוח שמקדם שיתוף פעולה והסכמות מרצון.

איתור צרכים ומניעים לשיתוף פעולה

במהלך הביקורת ישנה חשיבות רבה מצד המבקר לאיתור צרכים ומניעים אצל המבוקר, שישמשו אותו בהמשך הביקורת לצורך הפקת מידע, נטרול ההתנגדות ושינוי עמדה בשלב השכנוע.

לשם כך על המבקר להקשיב להתבטאות המילולית של המבוקר כדרך לביטוי תבניתי של דפוסי החשיבה שלו. ככל שהמניעים שייחשפו יהיו בעלי משמעות רגשית ואף סמויה, כך יצליח המבקר להניע את המבוקר לכיוון הרצוי של הסכמה מרצון לשיתוף פעולה.

תחרותיות, רגשנות, גינוני כבוד, חששות, מטען רגשי מחוויה שלילית בעבר, התנשאות או הישגיות – אלה הם מניעים רגשיים, סמויים לעיתים, שמניעים בני אדם לפעולה ולהתנהגות מסוימת. מבקר שיאתר במהלך הביקורת מניע רגשי מסוג זה, יוכל לבסס את טיעוניו בהמשך מתוך נקודת ההתייחסות הרגשית הספציפית למניע שנחשף. זהו כפתור הפעלה רגשי שמאפשר למבקר לפענח את קוד תדר החשיבה של המבוקר ולהצליח לשכנע אותו בשפתו שלו – זו המנטלית-רגשית.

בנוסף, שימת דגש מצד המבקר על הייצוגיות המחשבתית של המבוקר תוך הקשבה להתבטאותו המילולית, עשויה לעזור למבקר לחבור לאישיות המנטלית של המבוקר וכך לרתום אותו לשיתוף פעולה.

מבוקר שהוא ויזואלי בתפיסתו המחשבתית, ישתף הרבה יותר פעולה עם הצגת תוכן שיש בו תיאורים, ציורים גרפיים, טבלאות ומילים בעלות תוכן ויזואלי. לדוגמה: "אני רואה שאתה מבחין בקושי של…", "אתה ואני רואים עין בעין את ה…"

מבוקר שהוא אאודיטורי (שמיעתי) בתפיסתו המחשבתית, ירגיש נוח בתת- המודע שלו להפיק מידע למבקר בעקבות התייחסויות לקולות, לצלילים ולמצבי רעש ושקט: "לפי טון הדיבור שלך אני מבין ש…", "אם נתעלם לרגע מרעשי הרקע שבראש שלנו נוכל לראות ש…".

מבוקר שהוא קינסטטי (תחושתי) באופן חשיבתו, יבטא את עצמו הרבה יותר טוב בשיחה שיש בה התייחסויות רגשיות המעוררות תחושות: "האם אתה יכול לפרט מאיפה נובע הקושי שלך ל..?", "תאר לי מה הרגשת כשנתבקשת לבצע את הפעולה הזו…"

התמודדות עם קונפליקטים

יכולת ההתמודדות עם מצבי קונפליקט במהלך ביקורת מהווה גורם מכריע בהוצאת הצד השני מאזור ההתנגדות, ועל ידי שינוי עמדתו להביאו אל מרחב שיתוף הפעולה.

ניסיוני המקצועי לימד אותי שפנייה לעובדות הנמצאות בקונפליקט כבר בתחילת המפגש מייצרת עימות. מבקר שבוחר להציג כבר בתחילת הביקורת נתונים המוכיחים את טעותו של המבוקר, לא יצליח לשנות את עמדותיו ואף יצטרך להתמודד עם הקצנת עמדתו הראשונית.

עימות – לא פותחים בו, מבטלים אותו!

הקשבה לצורך הכלה היא הפעולה הראשונה שרצוי למבקר לנקוט בה במצבי קונפליקט כבסיס לפריקת לחצים של הצד השני. במקביל עליו לנצל את יתרונות ההקשבה על מנת לעודד את המבוקר לדבר, לזהות את סגנון האמת בשפת הגוף שלו, ובעיקר לחשוף צרכים ומניעים רגשיים וסמויים ככל האפשר.

במצבי התנגדות בעלי עצימות גבוהה, על המבקר לאמץ את הגישה האסרטיבית.

פסיביות היא צד קיצוני אחד של תגובה לא רצויה מצד המבקר, והיא מעניקה למבוקר לגיטימציה להרחיב את גבולות ההתנגדות. הצד הקיצוני השני הלא רצוי הוא גישה אגרסיבית שעשויה רק ללבות יצרים ולהגביר התנגדות מצד המבוקר.

אסרטיביות, לעומת זאת, היא הדרך המאוזנת ביותר לבטא נחישות בהעברת המסר במקביל להפגנת רגישות. הימנעות מהשתלחות מילולית, במקביל לטיפוח שפת גוף פתוחה המשדרת ביטחון ומגובה בטון דיבור מאוזן – יש בהם כדי להעביר מסר תוך בניית מעמדו של המבקר כאישיות אסרטיבית, כריזמטית וסמכותית.

עימות הוא בסך הכול הדרך הזמינה ביותר שעומדת לרשותנו כדי לחמוק מהתמודדות.

שפת הגוף

שפת הגוף היא שפת הרגשות, והיא מאפשרת לנו להעניק פרשנות מודעת ובלתי מודעת לזליגות של תנועות מגופו של האדם שמולנו ומהבעות פניו.

המודעות האישית של המבקר לשפת גופו במהלך ביקורת עשויה להשפיע על תדמיתו הכריזמטית והמנהיגותית כפי שיתפוס אותה המבוקר. במהלך הביקורת על המבקר לאמץ מחוות גוף שיש בהן העברת מסר של ביטחון עצמי, אמון ועמידה מאחורי הדברים. בעיקר עליו לוודא שיש התאמה בין השפה המילולית שלו לשפה הבלתי מילולית.

שפת הגוף, ובעיקר הפרשנות הניתנת לה, צריכות להיות קשורות לרקע ולנסיבות של כל מפגש בין-אישי.

המבקר צריך להקצות בתחילת הביקורת פרק זמן מסוים לשיחה שאינה נמצאת בטריטוריה מאיימת מבחינתו של המבוקר וכזו שלא פונה עדיין לעובדות. כל זאת במטרה לאתר מהו סגנון האמת של המבוקר בשפת גופו, כלומר מהן התנועות הנורמטיביות של המבוקר שטבועות בו מלידתו ומנסיבות רקע מעברו, וגם כאלה שנובעות מתוקף הסיטואציה הנוכחית של הפגישה.

לאחר שלב האיתור של סגנון האמת בתחילת הפגישה, על המבקר להשתמש בו כנקודת ייחוס לתנועות הגוף של המבוקר בהמשך הביקורת – בשלבי הטיפול בהתנגדויות והשכנוע. כל חריגה של המבוקר מתנועותיו שהוגדרו כסגנון האמת בשפת גופו בתחילת הביקורת, אמורה להדליק נורה אדומה אצל המבקר לגבי הקשיים, המחסומים הרגשיים ורמת אמינות דבריו של המבוקר.

לדוגמה: בתחילת הביקורת, כאשר השיחה נינוחה ונעימה, כזו שלא פונה עדיין לנושא הביקורת, המבוקר לרוב נשען עם ראשו על כף ידו שמונחת על הסנטר. זוהי תנוחה המצביעה על נינוחות, תשומת לב לדובר והקשבה לצורך חשיבה (אם כי לעיתים ביקורתית).

בהמשך הביקורת, כשהמבקר מציג עובדה סותרת, המבוקר, מבלי שירגיש בכך, משעין את ראשו על כף ידו שכעת נמצאת במלואה על הלחי. זוהי תנוחה המצביעה על קושי שיכול לנבוע מתוך היסוס בבחירת התגובה.

בשלב הבא, כשהמבקר מציג בפני המבוקר ממצא שחושף שקר שלו, המבוקר תומך את ראשו בכף ידו כשהפעם היא מונחת על הרכה או על המצח. זוהי חריגה בוטה מסגנון האמת בשפת גופו של המבוקר. לכן על המבקר לייחס חשיבות רבה לשינוי זה, המצביע על עוררות רגשית של המבוקר מתוך קושי אמיתי, חרדה או מצוקה נפשית. בהתאם לכך, על המבקר לנתב את שיחת הביקורת לכיוון הרצוי ביותר.

לסיכום:

הפיתוחים הטכנולוגיים שעומדים בפתחו של עולם העבודה החדש עשויים לתרום לעבודתו של המבקר הפנימי בעיקר בשלבי ההכנה ואיסוף המידע. אולם ככל שהביקורת תישאר במהותה מפגש בין מבקר ומבוקר כשני בני אנוש ולא כרובוטים, היכולות הבין-אישיות ופיתוח האינטליגנציה הרגשית (שעיקרה ניהול רגשות ושליטה בהם) הם אלה שימשיכו להוות גורם מכריע להצלחה בתהליכי שכנוע והשפעה, ובכלל זה בביקורת פנימית בעולם העבודה העתידי.

The post לתשומת ליבכם! אומנות התשאול ואינטליגנציה רגשית בביקורת פנימית של עולם העבודה החדש appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

אל המושג Customer Experience (CX) (או בעברית "מסע לקוח"), התוודעתי לאחר שוועדת הביקורת ביקשה ממני לערוך ביקורת על "מסע הלקוח". ניתן לתמצת את ההגדרה של מסע הלקוח כחוויה הפרסונלית-רגשית שעובר הלקוח במכלול נקודות המגע שיש לו עם המותג (או עם המוצר או השירות).

התגובה הראשונית לבקשת ועדת הביקורת הייתה שאנחנו יכולים לבקר את התהליך, אבל לבקר חוויה, לבקר רגשות, "זה לא מתאים". חברי ועדת הביקורת שמעו את הטיעונים שלי וסיכמו "סומכים עליכם, דווקא קצת רגש יועיל לכם, שיהיה בהצלחה".

מאותו רגע החוויה הפכה להיות שלנו. נכנסנו לעולם חדש שבו אנחנו צריכים לבקר, להעריך ולהתבסס על חוויות, על תחושות ורגשות, אלמנטים רחוקים מאוד מעולמות הביקורת המוכרים. לשם כך למדנו מתודולוגיות, תיאוריות וטכניקות מעולמות תוכן שונים מאוד מעבודת הביקורת הפנימית השוטפת והתאמנו אותן לביקורת שלנו.

התוצר, כמו גם תהליך הביקורת והממשק עם המבוקרים, היה מדהים (גם אם אני לא אובייקטיבי).

בסוף הביקורת נפל לי האסימון, אם ישCX  שנועד לשפר את שביעות הרצון של הלקוח באמצעות מיקוד בחוויה הפרסונלית-רגשית שלו לאורך מכלול נקודות המגע, אזי צריך להיות מושג Auditee Experience (AX): חוויה פרסונלית-רגשית שעובר המבוקר במכלול נקודות המגע שיש לו עם הביקורת.

על פניו זה נראה ברור מאליו, אבל זה לא. עד היום חלק לא קטן של אנשי הביקורת לא רואה חשיבות באיך המבוקרים מרגישים, איך הם תופסים את הביקורת (חלקם אף אמר – "אף אחד לא אוהב ביקורת – אז מה זה משנה"), ואלו שכן רוצים לדעת מתמקדים בשאלות כלליות הנוגעות לתהליך ולערך המוסף שהופק מהביקורת.

החידוש ב-AX הוא בשני ממדים עיקרים:

1. רגש ­– הבנה כי מדובר בחוויה רגשית אישית (יכול להיות שהביקורת תייצר ערך מוסף אבל החוויה של המבוקר בתהליך תהיה שלילית).
2. מכלול נקודות – הבנה כי מדובר במספר נקודות מגע לאורך הביקורת. עמדת המבוקר כלפי הביקורת נקבעת על בסיס מכלול החוויות ולא על סמך חוויה אחת. מספיק שהמבוקר חווה נקודה אחת שלילית מתוך מכלול נקודות המגע, כדי שכל החוויה שלו מהביקורת תהיה שלילית.

לאחר שהבנו את הרעיון מאחור ה- AX ניתן להפוך אותו לכלי לחיזוק ממשקי העבודה עם המבוקרים ולשיפור עבודת הביקורת באמצעות הפעולות הבאות:

• מיפוי כל נקודות המגע של הביקורת עם המבוקרים.
• הגדרת פרופילים למבוקרים ולגורמים המעורבים בתהליך הביקורת (לדוגמה, עובד, מנהל ביניים, מנהל בכיר, וועדת ביקורת, דירקטור, אחר).
• איסוף מידע לגבי החוויה של המבוקרים השונים בנקודות המגע השונות (שימוש בטכניקות ומתודולוגיות מחוץ לעולם הביקורת).
• ניתוח התוצאות (איכותי/רגשי וכמותי).
• גיבוש תוכנית פעולה לשימור החוויה החיובית ולשיפור החוויות השליליות.

בתרשים ניתן לראות דוגמה חלקית למיפוי של מסע המבוקר. הדוגמה ממחישה את חוויות המבוקרים לאורך המסע כפי שהם חשים אותה (ירוק – חוויה חיובית, צהוב – חוויה חיובית אבל אפשר לשפר, אדום – חוויה שלילית). מדובר בדוגמה כללית המבוססת על עבודה משותפת של הביקורת עם המבוקרים שבסופה תוצרים רבים ומגוונים שמסתכמים לתוכנית פעולה אופרטיבית. התרשים הוא רק תוצר אחד מתוך רבים, אך כבר אפשר לראות שיש נקודות מגע שכדאי להתמקד בהן. לדוגמה, המבוקרים מתארים את הדיונים הנערכים עם המנכ"ל על דוחות הביקורת כחוויה שלילית. הם מרגישים שהמנכ"ל משפיל אותם. אז אומנם זו לא התנהגות הביקורת אך המבוקרים מקשרים אותה לביקורת ולכן חשוב שאנחנו נפעל על מנת לייצור שינוי, ויש דרכים להשיג את זה.

לסיכום,

חלקכם בטח חושב שזה מוזר.
יש השואלים את עצמם האם המבקרים הפכו לפסיכולוגים?
אחרים אומרים, עזוב אותנו, בואו נמשיך לעשות את מה שלמדנו ואנחנו רגילים לעשות.
אז לכל אלו אגיד: אתם בוודאי יודעים (מתחומים אחרים) שלרגש יש כוח עצום – הוא יכול להרוס והוא יכול לקדם. בואו ננצל אותו לטובת הביקורת ולטובת הארגונים שלנו.
לכל אלו שטרם השתכנעו, אני מציע לנסות. לא חייבים ליישם את כל התהליך בבת אחת, אפשר להתחיל בקטן ולאחר מכן להמשיך.

The post מעבר מ – CX ל – AX או ניצול הרגש בתהליך הביקורת appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

כלל ידוע הוא שהביקורת הפנימית אינה יכולה להשתתף בתהליך קבלת ההחלטות, ושלכל חברה יש צוות הנהלה שמוביל את התהליכים העסקיים ואת ההחלטות הקשורות בהם על סמך ידע עסקי, ניסיון ומומחיות רלוונטיים. עם זאת, במשך השנים מתחדדת השאלה האם הביקורת הפנימית צריכה להתייחס להיבטים עסקיים בעבודתה, והיכן עובר הגבול בין ביקורת סטנדרטית (Assurance) לבין ביקורת מסוג ייעוץ ((Consulting. אם כך, מדוע בכלל להיכנס לזה?

בשנים האחרונות חלו שינוים משמעותיים בתהליכי קבלת ההחלטות הן של הלקוחות והן של החברות. הפיתוחים הטכנולוגיים והדיגיטציה, הסביבה הדינמית שבה מתנהל השוק, והתחרות הגוברת על גיוס ושימור לקוחות, מחייבים את החברות לבחון את דרכי הפעולה שלהן באופן מושכל ומבוסס נתונים כדי להבטיח רווחיות נאותה.

לפיכך הביקורת הפנימית אינה יכולה להישאר מאחור ולבחון רק את התהליכים התפעוליים הקשורים בתהליך קבלת ההחלטות, אלא גם נדרשת להיות גורם שתורם להנהלת החברה, לוועדת הביקורת ולדירקטוריון בכל הנוגע לגיבוש המידע שמובא בפני מקבלי ההחלטות. על הביקורת הפנימית גם לאתגר את דרכי הפעולה ליישום של ההחלטות העסקיות שהתקבלו.

ברור לכל שהמבקר הפנימי אינו יכול להימצא בכל צומתי קבלת ההחלטות וכי הוא לעולם לא יוכל להגיע לרמת המומחיות והבנת העסק של הנהלת החברה שמניעה את הפעולות העסקיות על בסיס יומיומי. עם זאת, להבדיל ממנהל יחידה עסקית מסוימת בארגון, למבקר הפנימי יש היכרות רבה עם כל אחד מהתהליכים בארגון באופן שמאפשר לו לגבש מידע רחב לגבי הפעילות העסקית הכוללת של החברה, ומכיוון שהוא אינו נמצא בתוך הפעילות העסקית השוטפת של היחידה, יש לו אפשרות לבחון את הפעילות מנקודת מבט אחרת.

לעיתים קרובות ביקורת עסקית על תהליך קבלת החלטות עלולה לגרום לחיכוכים בין הנהלת החברה לבין המבקר הפנימי. לכן חשוב מאוד שוועדת הביקורת של החברה היא זו שתתווה את הצורך בביצוע ביקורת על היבטים עסקיים בפעילויות המבוקרות. כמו כן, צריכה להתקיים הבנה בארגון שלפיה הביקורת הפנימית אינה באה להטיל דופי בהתנהלות העסקית ואינה באה לטעון כנגד נכונות החלטות עסקיות, אלא היא נועדה לאתגר את תהליך קבלת ההחלטות ולסייע לארגון להבין מהם השיפורים הנדרשים בתהליכי העבודה ובתשתית המשמשת לצורך קבלת החלטות עסקיות עתידיות שיתמכו בהשגת יעדיה העסקיים של החברה.

אז איך עושים זאת?

המבקר הפנימי צריך לשאול את עצמו מספר שאלות מקדימות:

אילו אני הייתי מנהל את הפעילות, מהם הסיכונים, ההזדמנויות והתהליכים המרכזיים שהייתי רואה לנגד עיניי ככאלה המרכיבים את הפעילות העסקית?

מה הייתי רוצה לדעת על הפעילות ואילו דוחות ונתונים ניהוליים וכלכליים הייתי רוצה לקבל באופן שיתמוך בי בניהול אפקטיבי של הפעילות?

מהם הגורמים המשפיעים על יעדי היחידה שאני מנהל, לרבות רווחיות הפעילות?

האם הפעולות המבוצעות כיום ביחידה תומכות באופן אופטימלי בהשגת היעדים האלה?

האם המידע שאני מקבל על הפעילות הוא מידע שלם ומדויק והאם ניתן לקבלו בזמן רלוונטי?

עצם הצגתן מראש של השאלות המקדימות הללו תשפיע באופן משמעותי על נקודת המבט של המבקר בביצוע הביקורת, ותהפוך אותו מגורם שבוחן רק את ההיבטים הפרוצדורליים בתהליך קבלת ההחלטות לגורם שבוחן גם את נאותות גיבוש המידע ששימש לצורך קבלת ההחלטות.

השאלות ושינוי התפיסה אינם תנאים מספקים לצורך ביצוע ביקורת עסקית נאותה. כמו בכל ביקורת, המבקר הפנימי נדרש לבסס את האמירות שלו בדוח הביקורת באמצעות "ראיות ביקורת". לפיכך, לצורך אתגור הפעילות העסקית והצגת דרכי פעולה אפשריות נוספות על אלו המבוצעות בפועל, המבקר הפנימי נדרש לבצע ניתוח (לעיתים מורכב) של נתונים עסקיים, תוך שימוש בכלי ביקורת מתאימים. כפי שבביקורת טכנולוגית (ביקורת ענ"א) לא תבוצע בדיקה מדגמית כדי לאתגר חישוב של מערכת, ובמקום זאת תבוצע שליפת נתונים עצמאית ובלתי תלויה ותבוצע סימולציה מקבילה של חישוב המערכת, כך גם בביקורת עסקית יידרש המבקר הפנימי לבצע ניתוח אלטרנטיבי של המידע שעומד בפני מקבלי ההחלטות לצורך גיבוש מסקנה בדבר שינוי אפשרי בתפיסה ובתהליך קבלת ההחלטה.

לצורך המחשה, ניקח לדוגמה ביקורת עסקית אפשרית על פעילות סופרמרקטים. ההנחה בדוגמה זו היא שהיעד המרכזי של הפעילות הוא הגדלת היקף המכירות בסניפים.

להלן דוגמאות לניתוחים אלטרנטיביים במספר רמות עומק, התומכים באופן ביצוע הביקורת העסקית:

• ניתוח בסיסי של הפעילות תוך שימוש בנתונים הקיימים באותה יחידה עסקית בלבד:

באלטרנטיבה זו, הביקורת הפנימית בוחנת האם ניתוח הנתונים הקיימים ביחידה העסקית שמבוצע על ידי היחידה עצמה, אכן תומך בתהליך קבלת ההחלטה הנדרשת מהיחידה להשגת יעדיה העסקיים.

לדוגמה, ייתכן שמנהל פעילות הסניפים נדרש לבחון את היקפי המכירות של הסניפים, ולשם כך הוא מקבל בכל חודש רשימה של סניפים שאינם עומדים בהיקף המכירות הנדרש. על פי תפיסה כזו, מנהל הסניפים עלול להתייחס רק לסניפים שאינם עומדים בהיקף המכירות הנדרש, בעוד שהביקורת הפנימית עשויה להאיר את עיני מקבלי ההחלטות לכך שניתן לנתח את הנתונים בדרכים נוספות. לדוגמה, לאבחן מגמה של קיטון במכירות גם בסניפים אחרים שבאותה נקודת זמן דווקא עומדים בהיקף המכירות הנדרש.

שינוי התפיסה ונקודת המבט יכול להוביל לשיפור בתהליך קבלת ההחלטות, ולגרום לא רק לטיפול נקודתי בסניפים שאינם עומדים ביעד, אלא גם במניעה של הידרדרות סניפים שפעילותם מצויה במגמה עסקית שלילית.

• ניתוח הפעילות תוך שילוב מידע ממקורות שונים בחברה:

גם באלטרנטיבה זו, הביקורת הפנימית בוחנת האם ניתוח של הנתונים הקיימים ביחידה תומך בתהליך קבלת ההחלטה, אך מוסיפה ומשלבת באותו ניתוח גם מידע אחר שקיים בחברה אך אינו ידוע למנהל היחידה.

לדוגמה, באותה חברת סופרמרקטים קיימת גם מחלקת רכש מרכזי. לפי המידע שהביקורת ביקשה לקבל ממחלקת הרכש עולה כי הסניפים שאינם עומדים ביעדי המכירות הם אותם הסניפים שמבצעים באיחור את ההזמנות לקבלת סחורה, כך שבסניפים הללו יש באופן קבוע מחסור במוצרים על המדפים.

באמצעות ניתוח זה, הביקורת יכולה להצביע על כך שכל פעולה שיווקית שתבוצע על ידי מנהל הסניפים (כגון הגדלת תקציב פרסום) לא תסייע לשיפור המכירות מכיוון שהלקוחות המאוכזבים לא ימשיכו להגיע לסניפים הללו.

• שימוש במודלים סטטיסטיים בסיסיים (לדוגמה מודל שכיחויות):

באלטרנטיבה זו, הביקורת הפנימית בוחנת אם ניתן לנתח בדרכים סטטיסטיות (בסיסיות) את המידע הקיים בידי היחידה העסקית, כדי ללמוד על משתנים מסבירים נוספים שעשויים לשפר את המידע העסקי המשמש לקבלת החלטות.

לדוגמה, נניח שמחלקת השיווק הארצית בחברת הסופרמרקטים מסייעת בקידום המכירות של הסניפים באמצעות השקת מבצעי שיווק ארציים ומדידת השפעתם בהתאם להיקף המכירות המצטבר של הסניפים לפי מרחבים (מיקום גאוגרפי). לעניין זה, הביקורת יכולה לבצע ניתוחים סטטיסטיים של המידע, תוך הוספת משתנים מסבירים נוספים המשפיעים על היקף המכירות, כדוגמת סוג הסניף (גודל הסניף, מיקום הסניף וכדומה).

באמצעות ניתוח כזה, הביקורת עשויה להצביע על כך שהוספת המשתנים המסבירים תשפר את המידע הניהולי כך שיסביר בצורה טובה יותר את השפעת המבצעים על היקף המכירות בסניפים. למשל, הביקורת תראה שבסניפים שמחוץ לעיר השפעת המבצע המסוים על המכירות גבוהה יותר, ולהיפך.

• שימוש במודלים סטטיסטיים מתקדמים מבוססי Machine learning:

באלטרנטיבה זו, ובהמשך לדוגמה הקודמת, כדי לאתגר עוד יותר את תהליך קבלת ההחלטות של מחלקת השיווק הארצית לעניין נקיטת פעולות להגדלת היקף המכירות, הביקורת תשתמש במודלים סטטיסטיים מתקדמים.

לדוגמה, על בסיס מידע שקיים בחברה על הרגלי הקנייה של הלקוח לפי פעולותיו בכרטיס המועדון, הביקורת יכולה להפעיל מודלים סטטיסטיים מתקדמים מבוססי Machine learning ולבצע חיזוי של השפעת מבצעי השיווק על הרגלי הקנייה של חברי המועדון. כך אפשר לאתר קבוצות של לקוחות (לפי מאפייניהם) שכדאי להפנות אליהם מבצעי שיווק ספציפיים רלוונטיים.

חשוב להבהיר:

ממצאי הביקורת העסקית והמלצותיה לא יכוונו את מנהל היחידה העסקית לנקוט דרך מסוימת או לקבל דווקא החלטה מסוימת, אלא יכוונו את המנהל לביצוע חשיבה בדבר הוספת מידע רלוונטי לצורך שיפור תהליך קבלת ההחלטות. לדוגמה, הביקורת לא תקבע המלצה ספציפית לעשות שימוש במשתנה המסביר המסוים הנוסף שהיא איתרה או במודל הסטטיסטי המתקדם המסוים שבו עשתה שימוש, אלא תמליץ למנהל היחידה העסקית לשפר את תהליך קבלת ההחלטות בדרך של הטמעת כלים סטטיסטיים מסוגים שונים, לרבות כלים סטטיסטיים מתקדמים לחיזוי מגמות.

The post ביקורת עסקית- יש דבר כזה בכלל? appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

קיטי קיי צ'אן | PHD ,היא פרופסורית של פרקטיקה מקצועית באנליטיקה יישומית ומנהלת אקדמית של תואר
MS באנליטיקה יישומית באוניברסיטת קולומביה במדינת ניו-יורק.
טינה קים | CPA, CISA, CRMA, CIA ,היא סגנית מבקר בתחום אחריות דיווח בממשלת המדינה, לשכת מבקר
מדינת ניו-יורק בעיר אלבני.

בעזרת תכנון ותהליכים, בכוחה של בינה מלאכותית לגרום למהפכה בעבודת הביקורת הפנימית ובערכה.

במקום לבזבז שעות בפענוח כתב יד של יומני עבודה בזה אחר זה, תדמיינו מצב שבו מבקרים פנימיים יכולים להמיר אלפי פתקים מקושקשים לטקסט, לנתח אותם, ולבצע התאמה לגיליונות שעות אלקטרוניים, והכול באופן אוטומטי. זאת דוגמה אחת של השימוש בעיבודי שפה טבעית (natural language processing – NLP) ושל ניתוחי טקסט המיועדים לאימות תקפותם של החזרי הוצאות.

טכניקות AI כאלו משנות באופן דרמטי את הנוף העסקי. AI מתייחסת למערכות לניהול וניתוח מידע תוך שימוש באמצעים שמחקים בינה אנושית. אם ניקח כדוגמה שירות משלוחים, מפות חכמות משתמשות ב-AI כדי לאתר את המסלול הקצר ביותר ולמזער עלויות משלוח. נוסף על כך, בשנים האחרונות צמחו מגזרים עסקיים חדשים הנשענים על AI כמעט לחלוטין, כמו המדיה החברתית ושירותי נסיעות שיתופיות.

כעת הגיע תורה של הביקורת הפנימית לנצל את היתרונות של AI כדי לשנות את עבודת הביקורת. השימוש ב-AI יאפשר למבקרים פנימיים לעבד היקפי נתונים גדולים יותר ולנתח טווח רחב יותר של תסדירי נתונים. יתרה מזאת, השימוש ב-AI יאפשר למבקרים לבצע משימות כאלה מהר יותר מאי פעם. כתוצאה מכך מבקרים יוכלו לספק ללקוחותיהם תובנות רבות יותר ולהגדיל לבעלי העניין את ההחזר על השקעותיהם בשירותי ביקורת פנימית.

יישומי AI בביקורת פנימית

על אף הבדלי גודל, היקף, מטרות ארגוניות ודרישות רגולטוריות שבפונקציות הביקורת, כל הפונקציות הנ"ל תורמות לשיפורים בממשל התאגידי, בניהול סיכונים ובתהליכי הבקרה בארגוניהן. במסגרת עבודתם, מבקרים פנימיים מנתחים ומעריכים מידע ממקורות רבים כדי להסיק מסקנות ולהגיש המלצות. ההתפתחויות האחרונות בטכנולוגיית AI כוללות שִכלולים בניתוח היקפים גדולים של נתונים, ומבקרים יכולים לרתום אותן במספר דרכים:

• ראייה ממוחשבת (computer vision). מבקרים פנימיים יכולים להשתמש בטכנולוגיית ראייה ממוחשבת כדי לאמת את הדיוק והאמינות של מידע תפעולי ופיננסי על ידי פענוח וניתוח של תמונות דיגיטליות. לעיתים קרובות, מבקרים מאמתים נכסים כחלק מעבודתם באמצעות בדיקות מדגמיות – משימה שצורכת זמן רב. ראייה ממוחשבת יכולה לשפר את איכותו ויעילותו של תהליך זה, ובנוסף ראייה ממוחשבת יכולה לתת גישה למידע שהיה בלתי ניתן להגיע אליו קודם לכן. לדוגמה: השימוש ברחפנים כדי למדוד אוכלוסיות שלמות של נכסים, כגון מספר המשאיות במפעל לייצור רכבים או רמת מלאי הפחם בתחנת כוח.
• עיבודי שפה טבעית. מבקרים פנימיים יכולים להשתמש בעיבודי שפה טבעית כדי לנתח מסמכי טקסט באופן יעיל יותר. באמצעות שילוב של עיבודי שפה טבעית וטכניקות של למידת מכונה, מבקרים יכולים לסרוק כמויות אדירות של טקסט, כמו מיילים, חוזים ופוסטים במדיה החברתית במהירות חסרת תקדים כדי לאתר אי התאמות ולגלות פרטים חשובים. כתוצאה מכך מבקרים יכולים לבצע בדיקות מקיפות יותר, כגון סריקת מסמכי בנק כדי לבדוק ציות משפטי.
• למידת מכונה. טכנולוגיית למידת מכונה מפיקה תובנות מתוך נתונים באמצעות אלגוריתמים המאפשרים למכונות ללמוד ולהשתפר באופן אוטומטי ואוטונומי. השימוש בלמידת מכונה נעשה בתחומים רבים, למשל כדי להציע ספרים לקונים באינטרנט, וכדי לגלות אם מייל מסוים הוא אמיתי או ספאם. מבקרים פנימיים יכולים להשתמש בלמידת מכונה כדי לאתר חריגים ולזהות סיכונים מתהווים. לדוגמה, מבקרים כבר משתמשים בטכנולוגיה הזו כדי לאתר עסקאות פיננסיות חריגות ולזהות דפוסים של הונאה ברמת הנהלה. כמו כן, מבקרים יכולים להשתמש בלמידת מכונה כדי לבצע בדיקה של כל העסקאות וכל התצפיות, במקום סקירה של תת-קבוצה של נתונים בלבד. בשלב של תכנון והערכת סיכונים, המבקרים קובעים את התחומים המהווים סיכון גבוה על בסיס סקירה של טווח רחב והיקף גדול של מידע, כגון אירועים ספציפיים לארגון, דרישות משפטיות משתנות ומגמות בתעשייה. כחלק מהתהליך הזה, המבקרים צריכים לאזן בין המשאבים הזמינים לבין ההיקף של כל ביקורת. הפעלת למידת מכונה בקנה מידה גדול – המתמקדת בבניית אלגוריתמים כדי לעבד קבוצות נתונים גדולות – מאפשרת למבקרים לעבד מידע רב יותר במהירות גדולה יותר, תוך התייחסות למידע בפירוט רב יותר.

AI בעבודה

בנייה מחדש של פונקציית הביקורת המסורתית כדי לשלב בה שימוש ב-AI דורשת מיומנויות, תשתיות, תהליכים והסתגלות תרבותית. אומנם אין עיצוב אחד שהוא הטוב ביותר, אבל כן יש רכיבים שחשוב לכלול כדי לשלב AI בפונקציית הביקורת בצורה מוצלחת:

• אסטרטגיית AI שמתיישבת עם סדרי עדיפויות עסקיים ומתחברת לביצועים הניתנים למדידה. ההחלטה לשלב AI בפונקציית ביקורת היא החלטה עסקית נכונה אם היא עוזרת לארגון להשיג את יעדיו ומטרותיו. לכן גיבוש אסטרטגיית ה-AI חייב להתאים לסדרי העדיפויות של הארגון. האסטרטגיה צריכה להוסיף ערך לפחות באחד מתחומי המטרה העיקריים ולסייע בזיהוי סיכונים חדשים ומתהווים.
  על אף המטרות העסקיות המשותפות לפונקציות ביקורת, כל מחלקה עשויה לקבוע סדרי עדיפויות שונים בטווח המיידי, כמו למשל מועד תחילת השנה הכספית או שינויים עונתיים בעסקים של ארגוניהם. על הביקורת הפנימית לבנות את אסטרטגיית ה-AI שלה כדי להתאים אותה להתפתחות סדרי העדיפויות העסקיים בטווח הקצר, הבינוני והארוך, ובכך להקצות את המשאבים ליישום האסטרטגיה באופן אופטימלי.
  במידת האפשר, על הביקורת הפנימית לכמת את היתרונות הצפויים לנבוע מאסטרטגיית ה-AI, לרבות חיסכון בעלויות, גידול בהכנסות, ושיפור בהתייעלות בכוח אדם. כמו כן, כדאי לראשי ארגון הביקורת הפנימית להוסיף פירוט לגבי היתרונות הבלתי מוחשיים, כמו הגברת האמון העסקי בקרב בעלי העניין כתוצאה ממתן תובנות מדויקות יותר. נוסף על כך, חשוב מאוד לחשב את עלויות הזמן והמשאבים כדי לממש את היתרונות.
• תשתית AI הניתנת להתאמה. מכיוון שיכולות אנליטיות מתפתחות באופן הדרגתי לאורך זמן, חשוב לבנות את תשתית ה-AI על בסיס איתן המאפשר הגדלת התפוקה והמורכבות. בעת בחירת החומרה והתוכנה בתשתית ה-AI המיועדות לשילוב בתהליך הביקורת, על הביקורת הפנימית להתחשב בצרכים העסקיים והמידה שבה הטכנולוגיות משתלבות היטב עם המערכות הקיימות בארגון.
  חלק משמעותי מתהליך הביקורת כרוך ברישום, שיתוף ודיווח של מידע. לכן תשתית כוללנית צריכה לשלב כלים לניהול וניתוח נתונים שכוללים לא רק ניהול רישומים, שיתוף קבצים ודיווחים מסורתיים, אלא גם תהליכי אוטומציה ומחשוב ענן (cloud computing). בעת בחירת כלים כאמור, כדאי לשקול:
  • האם מבנה המערכת הוא מודולרי ומאפשר התאמה אישית ואינטגרציה מחדש לפי הצורך.
  • רמת התמיכה הזמינה מצד נותני השירותים.
  • דרישות ההכשרה של חברי הצוות בעלי רקע טכני שונה.
  • סכום העלויות הכולל, לרבות עלויות מראש והוצאות שוטפות עבור תחזוקה ושדרוג המערכת.
• תהליכי ניהול אסטרטגיית ה-AI ברורים וסדורים. כדי להשיג את רמת ההשפעה והיעילות הרצויה מאסטרטגיית ה-AI, יש לבנות תהליכים שינהלו את גיבושה ויישומה. בדרך כלל מבקרים פנימיים בעלי מיומנויות וידע רלוונטיים מיישמים AI לאורך כל השלבים במחזור החיים של הביקורת ובהתאם לדרישות העסקיות השונות של פונקציית הביקורת. בניית מבנה במטרה לתאם ולסנכרן עבודה זו היא חיונית על מנת לקבל תוצאות בעלות ערך גבוה. המלצות לבחינה בעת בניית תהליך AI ראשוני כוללות:
  • עריכת פרוטוקולים לניהול וניתוח נתונים עבור כל שלב בתהליך הביקורת.
  • קביעת רוטציה במשימות או בתהליכים אחרים כדי לעודד שיתוף פעולה בין צוותים.
  • קביעה ותיעוד של נוהלי אנליטיקה ככל האפשר. כך ניתן להגביר את השקיפות, העקביות, האיכות וההדירות של הניתוחים.
  • הוספת תוכנית לניהול שינויים.
• מחויבות לטיפוח בקיאות ב-AI. הביקורת הפנימית זקוקה לאנשים בעלי מיומנויות רלוונטיות כדי להשיג תוצאות מיטביות בעזרת AI. לכן ראשי הביקורת הפנימית צריכים להיות מסוגלים למשוך אנשים מוכשרים, ולפתח, לנהל ולשמר אותם. מבנה הצוות צריך להשלים את המבנה והתרבות הקיימים של פונקציית הביקורת. כל חבר בצוות צריך לקבל תפקידים ותחומי אחריות מוגדרים.
  ייתכן שיהיה צורך לספק הכשרה ותמריצים לפיתוח מיומנויות ודפוסי חשיבה ב-AI. קורסים אקדמיים ורוטציות בהכשרה תוך כדי העבודה יכולים להעניק לעובדים מיומנויות בניתוח נתונים. בנוסף, בהתחשב בעובדה שתחום ה-AI יהיה חדש עבור חלק מאנשי הצוות, כדאי לביקורת הפנימית לייצר סביבת לימוד שבה מבקרים יכולים לשאול שאלות ולהתנסות בהתגברות על אתגרים.
• תוכנית תקשור כדי לזכות בתמיכת בעלי עניין. שיתוף פעולה עם מחלקות שונות בארגון הוא עניין חיוני כדי לוודא שאסטרטגיית ה-AI מתיישבת עם הצרכים העסקיים. מאמצי הסברה בכל הרמות העסקיות יכולים להוביל לתמיכה עבור שילוב AI בפונקציית הביקורת. כמו כן, תוכנית הסברה המנוסחת היטב יכולה לסייע לביקורת הפנימית בפעולותיה כדי לוודא שאסטרטגיית ה-AI אכן תומכת בצרכים העסקיים ומפגינה הצלחה כדי להגביר את התמיכה.
  תוכנית התקשור צריכה לזהות בעלי עניין, לבחור ערוצים ולגבש מסרים מותאמים עבור קבוצות שונות (בהתאם להמלצות של שרה לבל וג'ניפר ולדק בספרן Strategic Communication for Organizations). כדאי גם לכלול בתוכנית הוראות לניטור ולהעריך את האפקטיביות שלה. המלצות לבניית התוכנית:
  • לפרט את הסיבות ליישום יוזמת ה-AI כדי לעודד השתתפות.
  • לנסח מסרים קצרים, ברורים, עקביים ומותאמים אישית כדי לבנות אמון.
  • להוסיף מדדי ביצוע עיקריים (KPIs) כדי להעריך אפקטיביות ולוודא שאסטרטגיית ה-AI מתיישבת עם סדרי העדיפויות העסקיים.

אופטימיזציה של AI

ניצול הכוח שב-AI יכול לעזור למבקרים פנימיים לבנות אמון בקרב בעלי עניין בפעילות ארגוניהם ולספק החזר גבוה יותר על השקעותיהם בשירותי ביקורת. על מנת להשיג את המטרות האלה, מחלקת הביקורת הפנימית חייבת לעודד פיתוח נתונים, תשתיות, אנשים ותהליכים. יותר מהכול, נדרש תכנון טוב.

על מובילי הביקורת הפנימית להבין את המצב הנוכחי בניהול נתונים וביכולות אנליטיות כדי שיוכלו למקסם את הערך ש-AI יכולה להביא לארגון. זאת אחריות גדולה, אך שילוב AI בתוך תהליכי ביקורת יכול לאפשר למבקרים לספק ייעוץ קריטי וביטחון בעידן הדיגיטלי.

איך מדינת ניו יורק משתמשת ב-AI בנושא סיכון ספקים?

ככל שמתגבר השימוש במיקור חוץ בתחומי השירותים והפרויקטים, כך מתגבר הצורך בקרב המבקרים הפנימיים לבחון את הסיכונים הכרוכים בעבודה עם ספקים. בעבר, מבקרים קיבלו סיוע בהערכת גורמי סיכון היסטוריים מניתוחים שהתבססו על ניסיון וידע שהופק מעבודות של אחרים כדי לקבל סיוע בהערכת סיכוני ספקים. לעיתים עבודה זו כוללת ניתוח יחסים (השוואה בין אחוזים מסה"כ התשלומים במסגרת קטגוריה מסוימת), הערכת מגמות לאורך זמן ובחינת תוצאות ביקורת קודמות.

כדי לטפל בסיכון ספקים, המבקרים הפנימיים של מדינת ניו-יורק פיתחו מודל חיזוי תוך שימוש בטכניקות של למידת מכונה. המודל מדרג ספקים על בסיס הסיכונים ומאתרת את העסקאות שהמבקרים צריכים להתמקד בהן במהלך עבודת הביקורת. כחלק מתהליך זה, מדינת ניו-יורק השתמשה ב-AI ובלמידת מכונה כדי להפוך תהליכים שהיו ידניים בעבר לתהליכים אוטומטיים לבחינת גורמי סיכון פרטניים, כגון מידע על תשלומים באיחור או שלא שולמו בכלל.

בנוסף, המבקרים בנו מודלים כדי להבין טוב יותר איך גורמים מסוימים תורמים לסיכון של טעויות בסכום התשלום וכדי לקחת בחשבון יחסי גומלין מורכבים בין גורמי הסיכון השונים. מודלים אלה יכולים לכלול גורמים כמותיים ואיכותיים. כתוצאה מכך מודל אחד יכול לבחון תוצאות של ניתוח יחסים, וכן מידע מתוך הביאורים לדוחות כספיים מבוקרים שעשויים לאתר סימני אזהרה, כגון מספר רב של עסקאות עם צדדים קשורים.

המודלים נותנים ציון אחד עבור סיכון תשלום שגוי עבור כל ספק וספק, ומעניקים למבקרים הפנימיים דרך להעריך סיכון בצורה קלה להבנה ולכימות. מבקרים יכולים לקבץ ספקים בעלי סיכון גבוה בקבוצות ולבצע ניתוח סטטיסטי של הוצאותיהם על מנת לזהות התנהלות חריגה. כל זה מאפשר לעבודת הביקורת להפוך לממוקדת יותר, להגדיל את ההחזר על השקעה, ולקצר את תהליך העבודה עבור המבקרים של המדינה.

The post שימוש בבינה מלאכותית בביקורת הפנימית- מאמר מתורגם appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

האם הייתם מסתפקים בקבלת תעודה על הישגי ילדיכם במערכת החינוך בסוף כיתה א' ובסוף כיתה י"ב בלבד? האם יש משמעות לתהליך שעבר הילד בשנים שבאמצע?

הביקורת הפנימית מיועדת להוסיף ערך ולשפר את פעולות הארגון, ובהתאם לתקנים היא עושה זאת באמצעות גישה שיטתית וממוסדת.

כיצד מתבצעת ביקורת טיפוסית?

לביקורת טיפוסית ישנו מחזור חיים אופייני הכולל מספר שלבים מרכזיים:

למעשה, מדובר על הליך שמתבצע בארגון באופן מחזורי, כאשר בהתאם לעיקרון של פארטו, פרק הזמן המוקדש ללימוד הנושא ולתכנון הביקורת הוא 20% מסך הזמן המוקדש לנושא, וכ-80% מוקדשים לביצוע, להפקת טיוטה, לקבלת התייחסויות ועד להפקת דוח.

בקצב דיבור סביר של כ-150 מילים בדקה, ייקח לכם כשבע דקות לקרוא מאמר זה. על פי נתוני ESET, בפרק הזמן הזה ידלפו עוד כ-200,000 רשומות לאינטרנט.

בתקופה זו נשאלת יותר מתמיד השאלה: לאור האופן שבו מתבצעות הביקורות כיום, ולאור קצב איתור הפגיעויות והחולשות במוצרים, האם רמת ההגנה בסייבר בארגון עצמו ואצל ספקיו עדיין רלוונטית?!

למעשה, הפקת דוח ביקורת לאחר מספר חודשים של תהליך במתכונת זו, שקול למתן תעודת סיום כיתה א' לאחר שהילד הגיע לכיתה י"ב. ייתכן מאוד שהמידע הכתוב בדוח נכון ומדויק, אך הוא איננו מועיל ואיננו אפקטיבי.

האם גם לקוחות דוח הביקורת שותפים לתחושה זו?

לעיתים בהרצאות בפני מנכ"לים ודירקטורים, אני מציג בפניהם אמצעי זיכרון (Disk On Key) ובו מותקן וירוס. לאחר שיחה קצרה אני מציג בפניהם את השאלה הבאה:

אתם מודעים לנושא הסייבר ולכן גם הגעתם למפגש זה. אתם ודאי משקיעים רבות בתחום ההגנה, והגדרתם בעלי תפקיד ומערכות להתמודדות עם נוזקה שעלולה להיכנס לארגון באמצעות חיבור התקן כגון זה לרשת המחשבים שלכם. האם אתם מוכנים לחבר התקן זה למחשב במשרדכם?

הרוב המוחלט איננו מוכן לבצע ניסוי (תרגול) מסוג זה. על פי רוב, בעולם ההגנה ארגונים רבים מודדים את התשומות, כלומר את המשאבים שהושקעו בתחום ההגנה, אבל לא בוחנים את התפוקות. השאלה היא האם המאמץ מושקע במקום הנכון? עד כמה הארגון מוכן כנגד איום כופרה? מה יקרה אם יפרצו לאחד הספקים המהותיים שלכם? האם ניתן להוציא מידע מארגונכם באמצעות שימוש באתרי שיתוף קבצים? באמצעות שימוש במייל פרטי?

למעשה, החשש הזה איננו ייחודי רק להנהלות הארגונים. גם הגורמים המבוקרים שותפים לתחושה זו. בסקר שנערך על ידי מכון המחקר Ponemon בנובמבר האחרון עלו הממצאים הבאים:

• 80%-75% מהמשיבים ענו כי הם אינם בטוחים ורגועים מבקרות ההגנה שהם יישמו בפועל.
• 62% מהמשיבים סבורים כי הבקרות הקיימות בארגון אינן נותנות מענה אל מול האיומים האחרונים ושיטות תקיפה מתקדמות.
• 59% מהמשיבים ענו כי הבקרות אינן אפקטיביות בשל ריבוי מוצרי הגנה בארגון.
• 60% מהם מבצעים שינויים ברמה שבועית או יומית בבקרות ובמוצרים, באופן שלדעתם מצריך בדיקה של אפקטיביות הבקרות.

האם לא חשבו על זה כבר בעבר?

במאמרים מקצועיים מעולם הביקורת נכתב הרבה על חשיבות ביצוע ביקורת ובקרה בצורה רציפה. עם זאת, היישום של תפיסה זו בפועל עדיין אינו נפוץ במיוחד.

ממחקר שנערך על ידי ADR (Director Roundtable Audit) בנושא, עלה כי ב-70% ממחלקות הביקורת הפנימיות לא יישמו ביקורת מתמשכת בארגונם.

אז מה ניתן לעשות?

כדי לתת חוות דעת על מצבו הבריאותי של גוף האדם, נדרש לבדוק את תפקוד כלל האיברים כל הזמן. לא מספיק לומר שהרגליים, הלב והמוח עובדים מצוין. כך גם בארגון: אמירה אודות רמת ההגנה של הארגון בהתבסס על ביצוע מבדק חדירה לאתר האינטרנט ולרשת הארגונית, או בחינה של רמת ההגנה על הטלפונים הניידים, איננה מספקת את האינדיקציה הנדרשת לטובת השגת תכלית הביקורת הפנימית.

למעשה, תהליך הביקורת נדרש לעבור לתהליך זריז, בדומה לתהליך שעבר עולם פיתוח התוכנה בראשית שנות האלפיים.

מהו פיתוח תוכנה זריז  ?(Agile Software Development)בהתאם להגדרה המקובלת, זוהי גישה בהנדסת תוכנה המניחה שפיתוח תוכנה הוא בעיה אמפירית, ולא ניתן לפתור אותה בשיטות המתבססות על חיזוי או תכנון. באנגלית, המונח Agile פירושו "זריז, קל רגליים, נע במהירות ובחן", ותרגומו לעברית הוא "זמיש" (הלחם של זריז וגמיש). הגישה קובעת שפיתוח תוכנה הוא פיתוח מוצר חדש ומתייחסת אליו כמשחק של שיתוף פעולה מוכוון־מטרה. הגישה הזריזה לפיתוח תוכנה מניחה שלא ניתן להגדיר במלואה תוכנה מסוימת קודם לפיתוחה בפועל, ובמקום זה מתמקדת בשיפור יכולתו של הצוות לספק תוצרים במהירות ולהגיב לדרישות העולות תוך כדי הפיתוח.

לצורך ביצוע ביקורת פנימית יעילה על תחום הסייבר, יש להטמיע שיטות עבודה שמשלבות את תפיסת ה"בר"מ" – בקרה רציפה ומתמשכת.

תפיסה זו מסייעת למבקר להשיג בין היתר את התועלות הבאות:

• קיצור משמעותי של משך הזמן מרגע ההחלטה על בדיקה של רכיב/מערכת ועד לתחילת ביצוע הביקורת.
• קיצור משמעותי של משך ביצוע הביקורת (איסוף הראיות, ניתוחם, הסקת מסקנות, תיקוף מול המבוקר ועוד).
• הפחתת התלות בזמינות הגוף המבוקר.
• הגדלת היקף המערכות והתהליכים הנבדקים.
• יכולת ניתוח והפקת תובנות מצטברות לאורך זמן.
• יכולת התאמת הביקורת בזמן אמת לאיומי הסייבר העדכניים ביותר, בהתבסס על מודיעין עדכני ועל התקיפות האחרונות בארץ ובעולם.
• יכולת ניהול תהליך מעקב יישום ההמלצות באמצעים ממוכנים ויעילים.

בשל הדינמיות של תחום הטכנולוגיה בכלל, ומרוץ החימוש שבין התוקפים מחד, ליצרנים ולצד המגן מאידך, קמו בשנים האחרונות מספר פתרונות המספקים לארגון את היכולת לבצע ביקורת רציפה, מתמשכת וכוללת. פתרונות אלו עשויים לשלב לדוגמה את עולמות התוכן הבאים:

• מערכת לניהול סיכוני סייבר בשרשרת האספקה (VRM – Vendor Risk Management).
• מערכת לאיסוף מודיעין סייבר (TIP) ולניהול ההגנה על נכסים דיגיטליים כגון חשבונות משתמש ברשתות חברתיות (DRP – Digital Risk Protection).
• מערכת למיפוי משטח החשיפה של הארגון (ASM – Attack Surface Management).
• מערכת לבחינת סימולציות תקיפה (BAS – Breach Attack Simulator).

מימוש יעיל של תוכנית זו יְיצר למבקר תמונת מראה שלמה מנקודת מבטו של התוקף, ותאפשר להציג להנהלה את רמת הבשלות והמוכנות של הארגון בעולמות התוכן השונים.

להלן תרשים המשווה בין הגישה המסורתית לגישה החדשנית בנושא ביקורת סייבר:

כיצד להתחיל?

לטובת בנייה של תוכנית ביקורת על בסיס תפיסה זו, יש להגדיר כמו בכל פרויקט את תכלית הפרויקט, המשאבים הנדרשים והקיימים, בעלי העניין ועוד. רתימת גורמי הגנת הסייבר למהלך עשויה לספק למבקר כלים שנמצאים ברשות הארגון וחיבור הביקורת לאיום הייחוס הרלוונטי לארגון. בנוסף, ניתן להיעזר בשירותי הגנת סייבר מנוהלים (MSSP) שיכולים לתת מענה לארגונים שבהם אין יכולות ומשאבים זמינים מסוג זה.

במהלך חודש נובמבר 2020, פרסם לראשונה מערך הסייבר הלאומי את טיוטת הגרסה הבאה של תורת ההגנה בסייבר לארגון. מסמך זה מספק כלים, שיטות, רשימת תרחישי תקיפה, רשימת בקרות תוצאתיות וקווים מנחים יישומיים להטמעה של תפיסת בר"מ בארגון.

התרשים הבא מתאר תהליך של הטמעת בר"מ בארגון:

1. עיצוב סביבת הבקרה:
   • הגדרת תרחישים לייחוס – לדוגמה, השבתת הפעילות העסקית כתוצאה מאירוע כופרה שיחדור לרשת הארגון באמצעות ניצול ממשקים פתוחים (דוגמת RDP, SSH, FTP).
   • הגדרת אינדיקטורים לסיכון/איום – התראה במערכת ה-SIEM אודות ניסיונות סריקה או ניסיונות התחברות כושלים לממשקי הגישה החיצוניים.
   • הגדרת ערכי סף/יעדים – אפס ממשקים לא מוכרים/מאושרים ואפס ממשקים מאושרים שחשופים בצורה לא בטוחה (כגון ללא מימוש MFA).
   • הטמעת מנגנון לביצוע המדידה – הטמעת כלי לסריקת משטח החשיפה והתקיפה של הארגון מבחוץ (דוגמת כלי ASM, port scan, מנועי חיפוש דוגמת שודן ועוד).
   • ניתוח ותחקור תוצאות המדדים – טיוב חוקי ה-SIEM למזעור התראות שווא ולניהול הטיפול באירוע בצורה אוטומטית.
2. אתגור הבקרה ובחינת אפקטיביות:
   • אתגור אפקטיביות הבקרות עם כלי תקיפה רציפים – בחנו את קיומם של כלים אוטומטיים שמנסים להתחבר בצורה עצמאית לממשקים פתוחים, לסרוק את הארגון, לזהות ממשק חדש ולדמות את פעולת התוקף. בצעו שימוש מבוקר בכלי סימולציית תקיפה לבחינת יעילות מערך האיתור ומערך התגובה בנושא (משך הזמן מרגע פתיחת פורט/ממשק ועד לתחקורו, יכולת זיהוי ותגובה לשינוי בהגדרות גישה מרחוק, ניסיונות ניחוש סיסמאות לממשקים פתוחים ועוד).

לסיכום

במקום להתמקד בקיומן או אי קיומן של הבקרות, בחנו את סביבת הבקרה באופן תדיר באמצעות אתגור הבקרות באופן שמדמה את פעילות התוקף ובצורה אוטומטית.

מדדי ההצלחה יכולים להיות:

1. כמה זמן נמשכת ביקורת סייבר בארגונך? החליפו שיטת עבודה של ביקורות ארוכות שביצוען נמשך על פני שבועות ואף חודשים, מעבר למיקרו-ביקורות שמתבססות על תרחישי תקיפה עדכניים.
2. ביקורת על תפוקות ולא תשומות – עברו לביקורות שבוחנות את מבחן התוצאה בראי האיומים, במקום מבחן המאמצים והתשומות בראי המגן.

במציאות הנוכחית, שבה משטח התקיפה וכמות האיומים על ארגונים רבים גדלים, ומשאבי הביקורת לעיתים פוחתים, יש לנו הזדמנות לבצע ביקורת מדויקת יותר, יעילה יותר, ומקיפה יותר – בפחות משאבים.

או כפי שאמר פיטר דרוקר:

Do-what-you-do-best-and-outsource-the-rest

תנו למחשב לאסוף נתונים ולאתר חשיפות במשטח התקיפה ובמודיעין, ותוכלו להשקיע את הזמן שנחסך בניתוח ובחינת הסיבות וההשלכות של הפגיעות והאיומים שזוהו על סביבת הבקרה.

The post חבל על הזמן – ביקורת סייבר במציאות משתנה appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.