מחקרי בנצ'מרק כאמצעי להעצמת המבקר הפנימי

דנה גוטסמן-ארליך, רו"ח, MA, CIA, CRMA  שותפה בחטיבת ממשל תאגידי ורגולציה, BDO.

ד"ר עופר גוטרמן PhD ראש קבוצת מודיעין עסקי חטיבת ממשל תאגידי ורגולציה, BDO.

המבקר הפנימי נדרש לא פעם להיות "נושא הבשורות הרעות" מול הנהלת הארגון, זה שאמון על חשיפת כשלים בעשייה הארגונית, עמידה על פערי עמידה ברגולציה ובנהלים מחייבים, והצבעה על בקרות שנקבעו אך אינן מיושמות. במילים אחרות, המבקר הפנימי ניצב, ונתפס בראי ההנהלה, בעמדה של מי שתפקידו לחשוף בעיות.

במאמר הנוכחי אנו מבקשים להעלות למודעות את היכולת לעשות שימוש חדש בכלי ותיק – מחקרי בנצ'מרק – כדי לספק ערך מוסף לארגון, ולחזק את תפקידם של המבקרים הפנימיים לא רק כ"חושפי בעיות", אלא גם כ"ספקי פתרונות".

מהו בנצ'מרק? "בנצ'מרק (Benchmark) הוא מדד, תקן או סדרה של תקנים המשמשים נקודת התייחסות להערכת ביצועים ורמות איכות. המונח משמש במשמעות זו במגוון תחומים, הגם שכל תחום משתמש בו בהקשר שלו.

השימוש במונח נפוץ במיוחד בעולם העסקים כתיאור מדדי ביצועים שונים הכרוכים בפעילות העסקית (שיווק, מכירה, ייצור, תפעול, ניהול ועוד). בכלל זה, הבנצ'מרק משמש כמדד להערכת פעילות קיימת, לבחינת פתרונות חדשים ואף להגדרת יעדים… קביעת או מדידת בנצ'מרק יכולה להיעשות באמצעות מחקר וניתוח של מגמות שוק וניסיונם של אחרים…; על בסיס ניסיון קודם של החברה עצמה (למשל, מדידת כמות המכירות בשנים קודמות כדי להעריך את ביצועי המכירות בשנה הנוכחית); או על בסיס דרישות משפטיות".

בהקשר לשימוש בבנצ'מרק בביקורת הפנימית, אנו ממליצים להתייחס לבנצ'מרק ככלי ללמידת הפרקטיקות המיטביות (Best Practices) הנהוגות בתחום מסוים, כדי לאפשר לארגון המבוקר לאמץ ולהטמיע פרקטיקות אלו (כמובן עם ההתאמות הנדרשות במקרה הפרטי שלו).

מחקרי בנצ'מארק יכולים להיעשות במנעד רחב, החל מניתוחים נקודתיים ומקומיים, באמצעות התייעצות עם קולגות או מומחי תוכן, ועד מחקרי בנצ'מרק ייעודיים ומעמיקים שניתן לבצע בסיוע חוקרים ואנליסטים המתמחים באיסוף מידע וניתוחו.

אנו מבקשים לטעון כי מחקרי בנצ'מרק רלוונטיים מאוד לעבודת הביקורת הפנימית, ויכולים לספק כר בלתי נדלה של המלצות ופתרונות לארגון המבוקר, ובכך להעשיר את הארגון ומנהליו. יתרה מזו, להערכתנו מבקרים פנימיים שישכילו לראות בבנצ'מרק כלי חשוב בקידום עבודת הארגון ותהליכיו ייתפסו כגורם התורם לניהול הארגון ולתפעולו השוטף. להלן כמה דוגמאות להמחשה:

1. מבקר פנימי במוסד אקדמי המאבחן פער באופן רישום ההכנסות הנגרם מתהליך שאינו סגור עקב הגבלה במערכות המידע, יכול להביא בנצ'מרק ממוסדות אקדמיים מובילים בארץ ובעולם ולהצביע על אופן התנהלותם בתהליך זה.
2. מבקר פנימי במשרד ממשלתי המצביע על חוסר יעילות בפעילות מוקד שירות לקוחות המתופעל על ידי גורם חיצוני, יכול לברר עם גופי ממשלה אחרים כיצד הם מתנהלים מול מוקדי שירות לקוחות חיצוניים, ואולי אף להביא מידע מגופים ממשלתיים במדינות אחרות.
3. מבקר פנימי בחברה ציבורית המאתר פערים במסגרת ביקורת אבטחת מידע וסייבר ישכיל לתת פתרונות ישימים מחברות אחרות על אופן יישום פתרונות אבטחה באמצעות שימוש במומחה תוכן חיצוני שיסייע בהבנת תהליכי העבודה בנושא, אמצעי ההגנה שבהם משתמשת החברה, אמצעי הגנה קיימים בשוק, ואף יסביר על מגמות רווחות בעולם מהן ניתן לגזור החלטות על הטיפול בנושא לשנים הקרובות.
4. מבקר פנימי בחברת טכנולוגיה הבוחן את "מפת הדרכים" של החברה לשנים הקרובות, ומזהה חשש להתיישנות של הטכנולוגיות שנמצאות בפיתוח על ידי החברה והפיכתן ללא רלוונטיות, יכול להזמין מחקר שיסרוק את הטכנולוגיות העדכניות שבהן נעשה שימוש בחברות דומות, ואף להצביע על כיווני פיתוח חדשים לעתיד.
5. מבקר פנימי שבוחן תהליכים אסטרטגיים ארוכי טווח בארגון יכול להזמין מחקר בנצ'מרק שיבחן את היתכנות התוכניות הללו לאור המגמות הידועות והרווחות בארגונים אחרים בעלי קווי דמיון לארגון המבוקר.

אם כן, מחקרי הבנ'צמרק רלוונטיים לכל ארגון מבוקר, וכמעט לכל היבט שעומד לבחינה במסגרת הביקורת הפנימית – נהלים, תהליכים, תשתיות, מערכות, טכנולוגיות, הון אנושי, אסטרטגיות.

מחקרי הבנצ'מרק גם כדאיים מאוד לארגון בהיבטי עלות-תועלת – תחת ההנחה כי בוצעו כהלכה, מחקרים אלו מנגישים לארגון את הידע והפרקטיקות הטובות ביותר בתחום המעניין אותו, וכל זאת תוך השקעה נמוכה של משאבי זמן, כוח אדם וקשב ארגוני, ודאי בהשוואה לעלויות שכרוכות בניסיון של הארגון לפתח לבד את הפתרון לכל בעיה.

הלכה למעשה – כיצד נבצע מחקרי בנצ'מרק?

היופי שבשיטה הוא הקלות והפשטות היחסיים של ביצועה:

• ראשית, עלינו לאתר ארגונים דומים לארגון המבוקר ומובילים בשוק ("דומים-מובילים")
• שנית, נבחן את הפרקטיקות הנהוגות בכל אחד מהם, בתחום שאנו מעוניינים לבדוק
• לאחר מכן, נבצע ניתוח השוואתי של השונה והדומה ביניהם;
• באמצעות הניתוח ההשוואתי נגבש הכללה של הפארטו המשותף לכל הארגונים שנבחנו, לצד ניואנסים ראויים לציון של כל אחד מהם
• ולבסוף, נציג את המסקנות, ובמידת האפשר נעשה זאת בליווי המלצות ליישום בארגון המבוקר, המתחשבות בהתאמות הנדרשות ליישום במקרה הייחודי שלו.

ככל שהסוגיה העומדת לבחינה פשוטה ומצומצמת, המבקר הפנימי יכול לבצע את הבנצ'מרק לבדו, באמצעות מחקר זריז שיכול להתבסס על מידע נגיש באינטרנט, ועל התקשרות עם קולגות או מומחי תוכן בעלי גישה לנעשה בארגונים אחרים הדומים באופיים ובמבנה שלהם לפעילות הארגון הנבחן.

אולם, לפעמים נכון ללמוד את הבנצ'מרק באמצעות מחקר מקיף ומעמיק, אשר יעמוד בסטנדרטים גבוהים, הן מבחינת שלמות המידע ומהימנותו, והן מבחינת איכות הניתוח וההצגה שלו. הפנייה למחקר שכזה רלוונטית יותר ככל שהסוגיה המבוקרת אסטרטגית יותר ונושאת משמעויות כבדות משקל עבור הארגון, בהיבטי רגישות ארגונית, עלויות כספיות, מגע עם הלקוחות, מוניטין וכדומה, שהרי מחיר הטעות בניתוח הבנצ'מרק יהיה גדול יותר.

כך או כך, קיימים כמה "כללי ברזל" שעליהם ראוי להקפיד אם ברצוננו לשמור על רמתו המקצועית של מחקר הבנצ'מרק, ולהימנע מכשלים שיפגעו באיכותו או בסיכוי שהמלצותיו יתקבלו וייושמו:

• להקפיד על ניתוח "דומים-מובילים" – על מנת שהמחקר יהיה תקף, רלוונטי וישים עבור הארגון המבוקר, עליו להתבסס על ניתוח ארגונים דומים לו ומובילים בשוק המקומי, ולעיתים גם בשווקים דומים בחו"ל (אם אין בנמצא ארגונים רלוונטיים בשוק המקומי או אם הוא סובל מפערים משמעותיים לעומת שווקים מובילים בחו"ל.שיקול נוסף הוא מידת היכולת להשקיע משאבים במחקר מקיף שיתבונן גם בנעשה בחו"ל).
• לא למהר להסתפק בחיפוש באינטרנט – אומנם רשת האינטרנט כוללת היקפי מידע עצומים, אך לא הכול נמצא בה. לכל מחקר יש לגשת בגישת Data-agnostic, כלומר לא לצמצם מראש את מאגר מקורות המידע העומדים לרשותנו, אלא לחשוב באופן יצירתי באילו מקומות עשוי להימצא מידע רלוונטי, למשל ראיונות עומק עם מומחים, או מידע שכבר קיים בנושא בתוך הארגון המבוקר.
• כשמחפשים באינטרנט, לא להסתפק ב"דוקטור גוגל" – מנועי חיפוש שונים יניבו תוצאות שונות, חיפושים ממוקדים במאגרי מידע רלוונטיים יכולים לספק מידע ייחודי ובעל ערך רב, חיפושים מתקדמים יכולים לאתר תשובות שלא נמצא באמצעות חיפוש פשוט של מילת מפתח. אם בוחרים להיעזר באנשי מקצוע בתחום מידענות הרשת (WEBINT – Web Intelligence) אפשר להגיע ביתר קלות אל המידע החשוב שנמצא ברשת ולמצות אותו.
• ניתוח הממצאים והסקת המסקנות בלי לאבד "קשר עין" עם צורכי ומאפייני הארגון המבוקר – הוספת ממצאים ומסקנות, מעניינים ובעלי ערך כשלעצמם אך לא בהלימה לשאלת המחקר או למאפייני הארגון המבוקר, רק תסרבל את העבודה ותקהה את חדות המסרים שלה. עומס המידע יגרום לפגיעה ביכולת של המחקר לזכות בקשב מצד מנהלי ה הארגון המבוקר, ולפגיעה בסיכוי להוביל להטמעת ההמלצות שיעלו מהמחקר.
• הצגת הממצאים והמסקנות באופן תמציתי ומושך – אומרים שלעיתים תמונה אחת שווה אלף מילים. אכן, שימוש בגרפים, תמונות, ויזואליזציות ואינפוגרפיקה יכולים להמחיש את המסרים בצורה קלה להבנה, בנוסף למלל, ולעיתים אף במקומו. עם זאת, יש להקפיד שההמחשות הוויזואליות לא יהפכו מנכס לנטל, ומאמצעי עזר להמחשת המסרים יהפכו לעניין עצמו, על חשבון חדות הממצאים ומסקנות העבודה.

האתגר המרכזי ליישום של המלצות מחקרי הבנצ'מרק הוא בנטייה שמגלים לעיתים ארגונים לדחות את גישת ה־Best Practices שהבנצ'מרק מגלם, בשל הנטייה לדבוק בדפוסי החשיבה וההתנהלות הקיימים, ולהקל ראש ביכולת ללמוד מאחרים (גישה שמגולמת בביטוי "Not invented here"). גישה זו סותרת את עקרונות הארגון הלומד ובולמת תהליכי שינוי והתחדשות חיוניים עבור כל ארגון באשר הוא. ייתכן שדווקא למבקר הפנימי, עם הפוזיציה הייחודית שלו ביחס לארגון, יש יכולת לסייע להתגבר על מכשול ה ־NIE ולהביא להטמעה של ההמלצות העולות ממחקרי הבנצ'מרק שקיים.

לסיכום, הבנצ'מרק מעניק לארגון המבוקר את האפשרות להיעזר בביקורת הפנימית לא רק כדי לסגור פרצות ולתקן ליקויים, אלא למנף את הביקורת לתהליכי התייעלות, לשפר ביצועים, להעלות את רמת המשילות התאגידית שלו ואף לקדם תהליכי חדשנות. כל זאת, באמצעות "התגלחות על זקנם של אחרים", לעיתים אף מתחרים.

עבור המבקר הפנימי, שימוש במחקרי בנצ'מרק מרחיב את "סל השירותים" לארגון. אולם יתרה מכך, שימוש תכוף במחקרים אלו יכול לסייע במיצובו של המבקר הפנימי מול הנהלת הארגון המבוקר, כמי שאינו חי רק ב"עולם הבעיה", אלא גם ב"עולם הפתרונות" (או בפרפרזה מעולם הכדורגל, "בועט מהקרן ורץ לנגוח לשער"). מבקר פנימי שיקפיד להציג להנהלה המלצות מקצועיות, מעמיקות ומנומקות באופן שיסייע לה ליישר קו עם המובילים בשוק, יגדיל באופן מהותי את הצעת הערך שלו לארגון.

The post מחקרי בנצ'מרק כאמצעי להעצמת המבקר הפנימי appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

על חשיבות יישום של כלי BI בעבודת הביקורת הפנימית

מאת: רו"ח יוסי אליאס, Data Analyst ומבקר IT בחטיבת הביקורת הפנימית בבנק דיסקונט.

המידע הקיים בבסיסי הנתונים של הארגון משקף את תוצאות הפעילות העסקית אך גם את הבקרות ששלובות בתהליכים העסקיים.

שימוש יעיל ואפקטיבי בכלי תחקור נתונים על ידי הביקורת הפנימית, במסגרת ההיערכות לעבודת הביקורת וכן במהלכה, יאפשר למבקר לבחון את התהליכים העסקיים ואת אפקטיביות הבקרות בו־זמנית, ולהתמקד באזורי הסיכון בתהליכים המבוקרים.

מהפכת המידע אשר השפיעה רבות על עולם העסקים, הכריחה ארגונים וחברות ברחבי העולם להתאים עצמם לעידן הדיגיטלי. המעבר לעולם המוצף במידע ובנתונים וכן ההתפתחות המואצת של עולם הטכנולוגיה, הביאו ארגונים וחברות לאמץ שיטות עבודה חדשות וכלים מתקדמים, כדי להתמודד בהצלחה עם הגידול הניכר בכמויות המידע שנצבר אצלם ועם ריבוי מקורות המידע. כדי להתמודד בהצלחה עם האתגרים והסיכונים החדשים שהביאה עמה מהפכת המידע, על קווי ההגנה באותם ארגונים, ובפרט יחידות הביקורת הפנימית, לאמץ אף הם שימוש בכלים מתקדמים – בעת ההיערכות לעבודת הביקורת ובמהלכה.

כשם שאותה מהפכה מאפשרת לארגונים רבים להפיק תועלת מהנתונים המאוחסנים במאגרי המידע שלהם, כגון שימוש בנתונים במסגרת תהליכי קבלת החלטות, כך על הביקורת הפנימית לנצל את המידע והנתונים שבמאגרי הארגון, לשם השגת מטרותיה. אימוץ של כלים מתקדמים לניתוח נתונים על ידי הביקורת הפנימית בארגון, תאפשר למבקרים להעצים את היכולות שלהם לבקר את התהליכים המתקיימים בארגון, את המערכות, ואת התשתיות.

היכולות הטמונות בכלים לתחקור נתונים, כגון כלי Data Analysis (DA) וכלי Business Intelligence  (BI), מאפשרות למבקר לעבד כמות עצומה של נתונים בזמן קצר, כולל ניתוח של כלל הפריטים הקיימים באוכלוסייה המבוקרת, להצליב נתונים מתהליכים עסקיים שונים וממערכות שונות. כפועל יוצא מכך, גדל הסיכוי לאתר פעולות חריגות בתהליך המבוקר, זאת בהשוואה לשימוש בדגימת פריטים מכלל האוכלוסייה המבוקרת.

אימוץ כלים מתקדמים בביקורת

שימוש בכלי תחקור נתונים מתקדמים במסגרת עבודת הביקורת יאפשר למבקר, בנוסף לאיתור פעילות חריגה ביחידה המבוקרת, לבחון את מידת העמידה של המבוקרים בהוראות חוק, נוהלי עבודה או רגולציה. הנתונים הנשלפים ממערכות המידע משמשים כלי עזר בידי המבקר לביסוס הבדיקות שהוא עורך במסגרת עבודת הביקורת. שימוש בכלים אלה במסגרת היערכות לביצוע עבודת ביקורת מאפשר למבקר לקבל תמונת מצב על התהליך המבוקר, עוד לפני שהחלה עבודת הביקורת.

לשם כך, הביקורת הפנימית צריכה להכשיר את אנשיה ולפתח יכולות תחקור וניתוח באופן עצמאי, ללא תלות ביחידות אחרות בארגון. ככל שהשימוש בכלים אנליטיים בארגון נעשה נפוץ יותר, והוא הופך לארגון מונחה ־נתונים (Data-Driven Enterprise), כך על הביקורת הפנימית להתאים עצמה ולעשות שימוש רב יותר באותם כלים בפעילותה.

שימוש יעיל ואפקטיבי בכלי תחקור נתונים על ידי הביקורת הפנימית יכול לבוא לידי ביטוי בהיערכות לעבודת הביקורת וכן במסגרת הביקורת עצמה. לדוגמה, שימוש בכלי תחקור נתונים בביקורת פנימית בבנק, בעת בדיקת נושא מתן הלוואות ללקוחות הסניפים.

ניתוח נתונים בהיערכות לביקורת

כלי BI, אשר ארגונים רבים משתמשים בהם להצגת ולמדידת פעילויות עסקיות שונות, מאפשרים לביקורת הפנימית להציג את התהליכים הנכללים בתוכנית הביקורת, לפי חתכים שונים, בהם רמת הסיכון הנשקפת מהם, על סמך הפריטים החריגים שאותרו בשלב המקדים. כך מתאפשר למבקר למקד את עבודתו בתתי-התהליכים שהינם בעלי סיכון גבוה ביחס לשאר, ולהעמיק את בדיקותיו במסגרת עבודת הביקורת. קיימת חשיבות רבה לידע, לניסיון ולהיכרות של המבקר עם הארגון והתהליכים העסקיים המתקיימים בו. תחקור הנתונים יאפשר לו לזהות פעילות חריגה בתהליך, אבל על המבקר להפעיל שיקול דעת במתן המענה לאותם חריגים או סיכונים שזוהו.

בהמשך לדוגמה, כחלק מהיערכות לעריכת ביקורת פנימית בבנק, בנושא מתן הלוואות ללקוחות בסניפי הבנק, על המבקר לערוך מיפוי של אזורי הסיכון בתהליכים העסקיים שיבוקרו על ידו. לשם כך, יש להגדיר תחילה את התהליכים שייכללו בעבודת הביקורת, לדוגמה: דירוג אשראי של לקוחות וקמפיינים לשיווק אשראי בסניפים. באמצעות שימוש בכלי ניתוח נתונים, כגון SQL, ניתן לשלוף מהמערכות התפעוליות של הבנק הרלוונטיות לתהליך האשראי, את נתוני ההלוואות שניתנו בשנתיים החולפות בכל סניפי הבנק. באמצעות כלי BI ניתן להציג באופן ויזואלי את התפלגות ההלוואות לפי חתכים שונים, כגון: היקף כספי, כמות הלוואות, סוגי הלוואות וכן כשל אשראי לפי סניפים, חודשים בשנה וסוגי לקוחות. כך, מתקבלת תמונת מצב ראשונית של אזורי הסיכון בתהליך, וניתן להבחין בסניפים וכן בסוגי הלקוחות וההלוואות שראוי להתמקד בהם במסגרת עבודת הביקורת.

ניתוח נתונים בעבודת הביקורת

במהלך עבודת הביקורת, המבקר יכול להשתמש בכלים לתחקור נתונים לשם בדיקת בקרות השלובות בתהליכים העסקיים. לשם כך, לאחר בחירת אזורי הסיכון בתהליכים המבוקרים בשלב ההיערכות לביקורת, על המבקר למפות את הבקרות השלובות בתהליכים הללו, באמצעות סקירת נוהלי עבודה, הנחיות והוראות רגולטוריות הרלוונטיים לנושא הביקורת. באמצעות שימוש בניתוח נתונים בבדיקת ההלוואות, סוגי הלקוחות והסניפים שנבחרו על ידי המבקר, ניתן לאתר את הפעילויות החורגות מנוהלי העבודה, ההנחיות והוראות הרגולציה שהוגדרו, כגון: מתן הלוואות בסכומים ובשיעורי ריביות שאינם תואמים את דירוג האשראי של הלקוחות; אישור/מתן הלוואות ללקוחות בניגוד למדרג ההרשאות הקיים בבנק; איתור סוגי לקוחות/סוגי הלוואות עם כשל אשראי חריג. נוסף לכך, קיומם של פריטים חריגים באוכלוסיית ההלוואות עשוי להעיד על מידת האפקטיביות של הבקרות השלובות בתהליך המבוקר. ניתן להיעזר בכלי תחקור לשם שחזור עצמאי של הבקרות הקיימות בתהליך ובדיקתן על נתונים זהים אך ממקור שונה, כדי לאתר כשלים אפשריים בבקרות.

השפעת מהפכת המידע על הביקורת הפנימית

מהפכת המידע צפויה להשפיע גם על עתיד הביקורת הפנימית, על ידי אימוץ יכולות תחקור המבוססות על Big Data. אם עד כה שימוש בניתוח נתונים במסגרת הביקורת נתן מענה לשאלות שהוגדרו מראש על ידי המבקר, הרי שבשיטת ניתוח נתונים המבוססת על Big Data, הנתונים עצמם מגדירים את שאלת הביקורת. כלומר, שימוש אפקטיבי ויעיל בכלים מתקדמים לניתוח נתונים במסגרת עבודת הביקורת הפנימית, יאפשר למבקר להעלות תובנות עסקיות, לזהות מגמות בפעילות יחידות הארגון ולאתר קשרים בין נתונים, אשר ממבט ראשון לא קיימת קורלציה ביניהם. שימוש בכלי ניתוח מתקדמים, כגון שפת R, שפת Python ושילוב עם מתודולוגיות חדשניות כ ־Machine Learning ו־Data Science, עשויים לאפשר למבקר הפנימי לקבל מענה לשאלה "למה", זאת בנוסף ל"כמה" ו"מתי".

לסיכום, העידן הנוכחי שבו פועלים ארגונים וחברות צפוי לחולל שינוי גם בתפיסה העתידית של מטרות השימוש בכלי תחקור נתונים בביקורת הפנימית. אם עד כה המטרה העיקרית של ניתוח נתונים היה להסביר מגמות המתרחשות בארגון (Descriptive Analysis), באמצעות מדידה של ביצועים או בחינה של אופן עמידה ביעדים ובמטרות, אזי המגמה היא מעבר למודל של חיזוי ואופטימיזציה (Predictive Analysis). מודל זה בא לידי ביטוי באיתור קשרים בין נתונים שונים, המצביעים על מגמות עתידיות.

The post חשיבות יישום של כלי BI בעבודת הביקורת הפנימית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

על המשמעות המעשית של עודף בקרות ואומץ המבקר הפנימי

מאת: רו"ח ניצה ויקטוריה רוגוזינסקי – סמנכ"לית, מבקרת חברה ונציבת תלונות הציבור בחברת החשמל

 עו"ד עינב דובב – עובדת יחידת הביקורת הפנימית בחברת החשמל

כמה פעמים כמבקרים פנימיים המלצתם להפחית בקרות, אם בכלל?

ב-13 במרץ 1964 נדקרה קיטי ג'נובזה למוות ליד ביתה בשכונת קווינס, בניו יורק. שכנים רבים היו עדים לרצח, אך לא טרחו להזעיק משטרה או להתערב בנעשה. המקרה הוביל למחקרים בפסיכולוגיה חברתית של "אפקט הצופה מהצד" ו"אפקט דילול האחריות". מחקרים אלו הראו כי בניגוד לציפייה המקובלת, כמות גדולה של "צופים מהצד" מפחיתה את הסיכוי שמישהו מהם ינסה לסייע לאדם במצוקה. הסיבה העיקרית לכך היא שכל אחד מהצופים מניח שהאחר ייקח אחריות וינקוט פעולה, ולכן הוא מסיר מעצמו את נטל האחריות לפעולה, ואינו פועל בעצמו.

איך כל זה קשור לבקרות? ובכן, באותו האופן שבו ריבוי "צופים מהצד" באירוע גורם לתחושה של הסרת אחריות מהפרט הבודד ומקטין את הסיכוי לפעולה, כך גם עודף בקרות עלול לייצר תחושה מוטעית של ביטחון בתהליך ושאננות, ולהוביל להסרת האחריות האישית מתוך אמונה שהאחר יפעל. כאשר מבקר פנימי נתקל בליקוי, הדבר שנתפס הכי טריוויאלי ונכון הוא להמליץ על הוספת בקרות בתהליכי העבודה. אלא שכפי שנציג להלן, עודף בקרות עלול להביא בדיוק לתוצאה ההפוכה, ובין היתר להתפתחות תרבות ה"סמוך" ("יהיה בסדר", "מישהו כבר יטפל בזה"), להסרת אחריות אישית ולהיווצרות חסמים. על כן, הארגון בכללותו, לרבות המבקר הפנימי, נדרשים להיות ערים לכך שלעיתים ליקוי אינו מעיד על בקרות בלתי מספקות בתהליכי העבודה, אלא אולי דווקא על אי יישום אפקטיבי של הבקרות הקיימות, ואפילו על עודף בקרות (כן – לדעתנו יש דבר כזה!). במקרה האחרון, לדעתנו, מבקר טוב יהיה מקצועי דיו כדי לזהות זאת, ולא פחות חשוב מכך – אמיץ דיו כדי להעיר על כך.

הסיכונים בעודף בקרות

עודף בקרות הוא מצב שבו בתהליכי העבודה מעוגנים שריונים רבים מדי (כגון שרשרת חתימות ואישורים ארוכה ומלאה, הפרדת תפקידים מופרזת ועוד). כלומר שגם אם נסיר חלק מהם, לא זו בלבד שהדבר לא יפגע בתהליך העבודה ולא ישפיע מהותית על מזעור הסיכונים, אלא שנגלה כי ההפחתה אף תועיל לתהליך העבודה בהרבה מובנים.

מצב של עודף בקרות בארגון אינו רצוי, וחשוב להכיר את הסיכונים שבו. נמנה להלן את המרכזיים שבהם:

1. הסרת אחריות אישית והסתמכות על גורמי בקרה אחרים בתהליך חלקנו ודאי מכיר תהליכי עבודה שבהם קיימים מספר גורמים בשרשרת הבקרה ("חתימה שנייה"). בתהליכים אלו החשש הוא שככל שתתקדם שרשרת הבקרות, המאשר יסתמך על הבקרה/ות שביצע קודמו, בלי לערוך בקרה אפקטיבית עצמאית, כך שבפועל אישורו ישמש "חותמת גומי" בלבד. הסיבה היא כי כך בדיוק פועלות בקרות עודפות בארגון: הן עלולות לייצר מראית עין כי התהליכים מתנהלים באופן תקין ותחת פיקוח ובקרה מספקים. כפועל יוצא, הן מובילות ליצירת אשליה של ביטחון, ולהשגת תוצאה הפוכה של אי הקפדה עליהן ושל הסרת אחריות אישית.

2. בירוקרטיות ארוכות, סרבול והאטה של תהליכים, אפילו עד אובדן רלוונטיות בקרות מטבען דורשות השקעה של זמן ומשאבים, וגורמות להאטה של תהליכים ולהפיכתם למורכבים יותר. במקרי קיצון של עודף בקרות, החשש הוא כי היקף ההשקעה בבקרות עלול בסופו של דבר שלא להשתלם, ואף להפוך את התהליך כולו לבלתי רלוונטי. עצם קיומם של גורמים מאשרים רבים מדי והתיאום ביניהם עלול להיות כה מסורבל וכה ממושך, עד שיגרום לגלגלי הארגון להסתובב לאט מדי ומאוחר מדי.

3. צמצום עד ביטול של שיקול הדעת והגמישות עודף בקרות יכול להתבטא גם בריבוי נהלים ואסדרה מוגזמת, לפרטי פרטים, של אופן הפיקוח על ביצוע תהליכים. המשמעות המעשית של האמור היא צמצום למינימום של שיקול הדעת מצד מבצעי הפעולות, לעיתים עד כדי ביטולו. במרבית המקרים, נרצה להותיר מקום לשיקול דעת וגמישות ולעודד תרבות של מנהלים ועובדים שחושבים ושאינם טכנוקרטיים.

דגשים לארגון בהקשר של עודף בקרות   

מה יכול ארגון לעשות כדי לזהות מצב של בקרות עודפות ולהתמודד איתו, וכיצד משתלב בכך המבקר הפנימי? לעניין זה, להלן מספר הצעות:

1. בדיקת אופן יישום הבקרות הקיימות וניתוח סיבות שורש, לפני המלצה/החלטה על הוספת בקרות  עצם קיומן של בקרות רבות בתהליכי העבודה עלול לייצר מצג מוטעה ומראית עין של ביטחון בקרב כל הגורמים בארגון – החל מהדירקטוריון, המנכ"ל, חברי ההנהלה, שומרי הסף (לרבות המבקר הפנימי) ועד המנהלים בשטח, באופן שיטשטש את ערנותם לאפקטיביות היישום של הבקרות בפועל. לכן, אין זה נכון להסתפק בעצם הגדרת הבקרות בתהליך ו/או קיום האסמכתא להן, אלא הכרחי להתייחס גם לאופן היישום שלהן בפועל ולאפקטיביות שלהן, לפני שיוסיפו בקרות חדשות.

2. עלות מול תועלת, בדגש מיוחד לגבי הוספת בקרות טכנולוגיות בקרות עולות כסף, ועל כן חשוב כי הארגון יוודא שלא מופר האיזון שבין עלותן לתועלת שלהן, וזאת כמובן מבלי לפגוע בחשיבות עיקרון הפרדת התפקידים.

בהקשר זה נזכיר את השימוש ההולך וגובר במערכות מידע ממוחשבות למטרות פיקוח ובקרה. חשוב לוודא כי אותן מערכות אינן הופכות למטרה בפני עצמה. במילים פשוטות, עלול להיווצר מצב שבו אנו עובדים עבור המערכת, ולא להפך ("הזנב מכשכש בכלב"). לעיתים, נכון להיוותר עם אמצעי הבקרה הפשוט והיעיל "של פעם", בלי לחשוש להיתפס כפרימיטיביים – פשוט לעשות ולעשות פשוט.

3. לא לפחד להגיע עמוק יותר לתחום התרבות הארגונית לעיתים, עודף בקרות בתהליך אינו מקומי ונקודתי, אלא מבטא את הדנ"א הארגוני  ומשמש סימפטום לתרבות שמתחת לפני השטח. הוא עשוי, למשל, ללמד על ארגון "מתגונן", ארגון שאינו סומך על אנשיו או שלא ניתן לסמוך על אנשיו, ארגון שמתעסק בפרוצדורות ולא במהות, ועוד. על כן, חשוב לבחון האם יש משמעויות ורבדים עמוקים יותר לקיומן של הבקרות העודפות, והאם נדרש לפעול במישורים בסיסיים אלה של תרבות ארגונית.

סוף דבר,

אם כל אחד מאיתנו יישיר מבט למראה וישאל את עצמו בכנות "האם ומתי כמבקר המלצתי על הפחתת בקרות?" – כמה מאיתנו יוכלו באמת להשיב בחיוב? יתר על כן, כמה מאיתנו אי פעם בכלל זיהו מצב של עודף בקרות? ניתן להניח כי התשובות לשאלות תהיינה בטווח שבין "אף פעם" לבין "פעמים בודדות".

על כן, הצעד הראשון הוא הגברת המודעות לקיום אפשרות של בקרות עודפות והסיכונים בכך. השלב הבא, – והוא לדעתנו האתגר הגדול והחשוב יותר עבור כל אחד בארגון, כולל המבקר הפנימי – הוא שהמלצה על צמצום בקרות כשלעצמה טומנת בחובה סיכונים, ובשל כך – היא מצריכה אותנו למידה לא מבוטלת של אומץ.

כאשר אנו כמבקרים איננו נותנים את הדעת גם לנושא של עודף בקרות, או לחלופין איננו מספיק אמיצים להעיר על כך, אנו מחמיצים חלק גדול מייעודנו ומוותרים מראש על תרומה ממשית ועל ערך מוסף שנוכל לקבל בנושא, לאור היכרותנו העמוקה את הארגון והתהליכים שבו.

על כן, בטרם מתן המלצות על הוספת בקרות באופן אוטומטי, שנתפס אולי כ"טבעי", כדאי למבקר הפנימי לבחון שורשית מה הביא להתרחשות הפער. אם סבור המבקר כי בתהליך הנבדק קיים עודף בקרות, נדרש מהמבקר לאזור את האומץ להעיר לארגון על כך, ואף להמליץ על הסרת בקרות. כמה ואיך? כאמור, כל מקרה לגופו ולנסיבותיו, אך כמו במרבית מישורי חיינו, איזון הוא מילת המפתח.

The post משמעות מעשית של עודף בקרות ואומץ המבקר הפנימי appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

בשנים האחרונות הארגונים לסוגיהם מתמודדים עם "שיבושיות" – שינויים כבדי משקל המחייבים חדשנות ארגונית ניהולית נמשכת ומואצת. גם הביקורת הפנימית בארגונים מתמודדת ותמשיך להתמודד עם השינויים הרבים והמשתנים. שינויים והתפתחויות אלה הגבירו את הצורך של הביקורת הפנימית לאמץ שיטות ביקורת מ"הדור הבא" (כדוגמת גמישות ויכולות טכנולוגיות, יחד עם שיטות ביקורת חדשניות) ולרכוש מיומנויות בתחומים האלה.

ככל שהביקורת הפנימית תלך בדרך ההתחדשות יהיה בכך לבסס את מעמד הביקורת הפנימית כמערכת התורמת לארגון.

כדי לבחון את אופן ההתמודדות ואת מידת ההתאמה של הארגונים בישראל לשינויים, ובהתאמה, גם של יחידות הביקורת הפנימית, ערכנו בקרב מבקרים פנימיים ראשיים בארץ שאלון לדירוג הבשלות הדיגיטלית ושל ההתפתחות בהיבטי היזמות והחדשנות של הארגונים ובהתאמה גם של יחידות הביקורת.

השאלון נעשה בהלימה לשאלון בינלאומי שבוצע בתקופה דצמבר 2020 – פברואר 2021 על ידי חברת הייעוץ הבינלאומית Protivity שהקיף 870 מבקרים ראשיים ובעלי תפקידים מקבילים ואחרים בתחום הביקורת הפנימית.

ניתוח תוצאות השאלון, כפי שיובא להלן, בוצע תוך השוואה בין התוצאות השאלון בארץ לתוצאות השאלון הבינלאומי בחו"ל.

מתודולוגיית השאלון

כדי להבין את תוצאות השאלון, יש להבין ראשית מהי בשלות דיגיטלית ניהולית וכיצד היא מקבלת ביטוי בארגונים.

בשלות דיגיטלית וניהולית – משמעותן שינוי הדרך שבה הארגונים ובמיוחד יחידות הביקורת הפנימית מתכננים ופועלים בכל פעולה שהם מבצעים, כדי להתמודד טוב יותר מול המציאות המשתנה ומול מתחרים (ארגונים מובילים ויחידות ביקורת פנימית מובילות) מבחינה דיגיטלית וניהולית. תהליכים אלה כוללים גידול בשימוש במידע ובטכנולוגיה מתקדמת וחדשנית כדי לשפר את מערך הקשרים עם הלקוחות, דיגיטציה של שירותים ומוצרים, ביצוע טוב יותר של קבלת החלטות, שיפור הביצועים התפעוליים, בחינה ושינוי של האסטרטגיה, הטמעת שיטות בדיקה חדשות, הכשרה ושינויי כוח אדם נדרשים וכדומה.

השאלון כלל שני חלקים עיקריים:

1. דירוג הבשלות הדיגיטלית בארגון בכללותו לצד דירוג הבשלות הדיגיטלית והניהולית ביכולות שונות של יחידת הביקורת הפנימית בארגון.
2. היבטים שונים ביחידת הביקורת הפנימית בארגון הנוגעים ביזמות לשינוי ולחדשנות.

לצורך דירוג הבשלות הדיגיטלית והניהולית, הוגדרו 10 דרגות בשלות דיגיטלית:

1. ספקנות דיגיטלית שמשמעותה התנגדות לשינוי: אין תוכנית דיגיטלית פורמלית והחידושים מנוהלים "אד הוק" או בדרך של תגובה נקודתית.
2. ספקנות דיגיטלית (+)עדיין קיימת התנגדות לשינוי אך כבר עם נטייה לאימוץ השינוי.
3. התחלה דיגיטלית אימוץ השינוי: התוכנית הדיגיטלית עדיין לא מפותחת באופן מלא, למרות שיש כבר יוזמות דיגיטליות בעיצומן והמטרות של יוזמות אלה ידועות.
4. התחלה דיגיטלית (+) אימוץ השינוי כולל נטייה לפיתוח אסטרטגיית פעולה.
5. המשכיות דיגיטלית – פיתוח אסטרטגיית פעולה וגמישות: הארגון פיתח אסטרטגיה דיגיטלית ואישר אבני דרך של ביצוע יוזמות דיגיטליות. החדשנות הדיגיטלית מתמקדת בעיקר באספקטים של סודיות והגנת הפרטיות של הלקוחות.
6. המשכיות דיגיטלית (+)פיתוח אסטרטגיית פעולה וגמישות מתקדמים עם נטייה ליישום האסטרטגיות.
7. מומחיות דיגיטלית יישום אסטרטגיה דיגיטלית: היבטים טכנולוגיים נלקחים בחשבון בניהול בארגון בכללותו. הושגה רמה גבוהה של תהליכים אוטומטיים. הארגון אישר אבני דרך תוך אימוץ טכנולוגיות מתפתחות.
8. מומחיות דיגיטלית (+) יישום אסטרטגיה דיגיטלית מתקדמת עם נטייה ושאיפה לחדשנות.
9. עליונות דיגיטלית חדשנות ו"שיבוש"- יציאה ממודלים מסורתיים: הארגון אישר אבני דרך של יציאה מהמודלים העסקיים המסורתיים. היבטים טכנולוגים בתוכנית האסטרטגית ממשיכים להשתפר ומיושמים בכל הארגון בהתבסס על ניסיון שנלמד ועל מדדי ניבוי.
10. עליונות דיגיטלית (+) הארגון כבר מוכיח ומיישם, באופן משמעותי ולאורך זמן, תרבות ארגונית של יציאה ממודלים מסורתיים תוך חדשנות מתקדמת, יזמות לשינויים, שימוש במחקרים ומדדי ניבוי, שבירת המוסכמות ויציאה מהקופסה.

בנוסף חילקנו את הנשאלים לפי דירוג הארגון בכללותו כדלקמן:

• ארגונים מובילים דיגיטלית – ארגונים שדורגו בכללותם בדירוג בשלות דיגיטלית של 7 ומעלה (מומחיות דיגיטלית ועליונות דיגיטלית)
• ארגונים אחרים (שאינם מובילים דיגיטלית) ארגונים שדורגו בכללותם בדירוג בשלות דיגיטלית של 6 ומטה.

ניתוח הבשלות הדיגיטלית בארגון בכללותו

להלן התפלגות דירוג הבשלות הדיגיטלית בארגונים בארץ בהשוואה לדירוג הבשלות הדיגיטלית בארגונים בחו"ל על פי שיעור המשיבים:

ניתן לראות כי בעוד ש־70% מהמבקרים הראשיים בחו"ל דירגו את ארגונם ברמות בשלות דיגיטליות שעד דרגה 6 – בין התחלה דיגיטלית להמשכיות דיגיטלית, הרי ש-70% מהמבקרים הפנימיים בארץ דירגו את ארגונם ברמות בשלות דיגיטליות גבוהות יותר -דרגות 7 ומעלה שנעות בין מומחיות דיגיטלית לעליונות דיגיטלית.

53% מהמשיבים בארץ דירגו את הארגון בציונים 7-8 – מומחיות דיגיטלית, לעומת 13% מהמשיבים בחו"ל באותן קטגוריות.

אפשר שהפערים נובעים מהיותה של ישראל ""START UP NATION, או לחלופין שיש כאן הערכת־יתר של המבקרים הראשיים בישראל באשר לבשלות הדיגיטלית של הארגונים שלהם.

ניתוח הבשלות הדיגיטלית והניהולית-ארגונית של הביקורת הפנימית

המבקרים הפנימיים הראשיים נתבקשו לדרג כל אחת מתוך 12 יכולות של הביקורת הפנימית בדירוג הבשלות הדיגיטלית מ־1 עד 10.

לצורך ניתוח הנתונים, בכל אחת מיכולות הביקורות ערכנו ממוצע של הדירוג של כלל הנשאלים.

יכולות הביקורת הפנימית – הבשלות הדיגיטלית והארגונית־ניהולית – כלל המשיבים:

להלן התפלגות הציון הממוצע של דירוג הבשלות הדיגיטלית של כלל הארגונים בארץ בהשוואה לדירוג הציון הממוצע של הבשלות הדיגיטלית בארגונים בחו"ל:

ניתן לראות שממוצע דירוג יכולות הביקורת הפנימית דומה במרבית היכולות בארץ ובחו"ל. יחד עם זאת, נראה כי ביכולות "רכות" יותר, כדוגמת בניית חזון אסטרטגי, שינויים במבנה הארגוני של יחידות הביקורת, ניהול המשאבים וכוח האדם בדגש על איתור, גיוס והכשרת "טאלנטים", תחום ההבטחה – ASSURANCE ועוד, הדירוג הממוצע של הבשלות הדיגיטלית בארגונים בחו"ל גבוה יותר מאשר בארץ. יחד עם זאת יש להביא בחשבון כי הציונים בארץ ובחו"ל הם הערכות סובייקטיביות של העונים לשאלון.

כך או כך, ממוצע כלל הציונים נמוך מציון 6 וקרוב יותר לציון 5 ומטה. כלומר, בממוצע יש עוד דרך ארוכה בפני המבקרים הראשיים בארץ ובחו"ל, לשאוף לשיפור ניכר בכל המרכיבים לעיל ולשאוף לציונים של 7 ומעלה.

הצורך בשיפור הנתונים בישראל נכון שבעתיים מול הבשלות הדיגיטלית הגבוהה של הארגונים בישראל, כפי שהוצגה בתרשים 1 לעיל וכפי שתוצג גם בהמשך.

להלן נבחן את הבשלות הדיגיטלית והניהולית של יחידות הביקורת הפנימית יחסית למדד הבשלות של ארגונים מובילים דיגיטלית (ציון 7 ומעלה) לבין הארגונים האחרים (ציון 6 ומטה) :

ארגונים מובילים דיגיטלית – יכולות הביקורת הפנימית – (ארגונים בדירוג כולל של בשלות דיגיטלית 7 ומעלה):

להלן התפלגות הציון הממוצע של דירוג הבשלות הדיגיטלית של יכולות יחידות הביקורת בארץ בארגונים מובילים דיגיטלית בהשוואה לדירוג הציון הממוצע של הבשלות הדיגיטלית של יכולות יחידות הביקורת בחו"ל:

ניתן לראות כי בארגונים מובילים דיגיטלית בחו"ל ממוצע הבשלות של הביקורת הפנימית גבוה מממוצע דירוג הבשלות הדיגיטלית של הביקורת הפנימית בארגונים מובילים דיגיטלית בארץ. ההפרשים נעים בין חצי ציון לציון וחצי.

יתר על כן, ממוצע הבשלות הדיגיטלית של יכולות הביקורת בארץ נמוך אף מציון 6 ובדרך כלל הוא בדרגות של 5.5 -4.5 – דרוג נמוך מבחינה אובייקטיבית. לעומת זאת, ממוצע הבשלות של הביקורת הפנימית בחו"ל הוא בדרגות 7 עד 6.5.

בניתוח מעמיק של הנתונים עולה כי 43% מהמשיבים לשאלון בארץ דיווחו שהארגון שלהם מוביל דיגיטלית (7 ומעלה) אבל ממוצע יכולות יחידת הביקורת אינו עומד בקטגורית מוביל דיגיטלית (6 ומטה), לעומת 8% בלבד בחו"ל.

כלומר, הביקורת הפנימית בישראל, בדגש על הביקורת בארגונים מובילים דיגיטלית, צריכה להיערך להשתנות מהותית בכל ממדי הבשלות.

יודגש כי ההערה היא על רקע התוצאה הממוצעת ובכל ממוצע ישנן יחידות ביקורת פנימית בדרגת בשלות דיגיטלית וניהולית גבוהה ותואמת את צרכי הארגון וישנן גם יחידות ביקורת שנמצאות בפער ניכר מול הבשלות הדיגיטלית של הארגונים.

ארגונים שאינם מובילים דיגיטלית – יכולות הביקורת הפנימית – (ארגונים בדירוג כולל של בשלות דיגיטלית של 6 ומטה):

להלן התפלגות הציון הממוצע של דירוג הבשלות הדיגיטלית של יכולות יחידות הביקורת הפנימית בארגונים שאינם מובילים דיגיטלית בארץ, בהשוואה לדירוג הציון הממוצע של הבשלות הדיגיטלית של יכולות יחידות ביקורת פנימית בארגונים שאינם מובילים דיגיטלית בחו"ל:

ככלל, ניתן לראות מהטבלה שבארגונים שאינם מובילים דיגיטלית בחו"ל, גם היכולת של יחידות הביקורת נמוכה, פעמים עד מאוד, והיא נעה מציון 2.5 עד ציון 5, לעומת ציון של כ־2.5 עד ציון 4.5 בישראל. יתר על כן, בכל יכולות הביקורת (למעט שתיים), הבשלות בישראל נמוכה יותר מאשר בחו"ל ובשיעור ניכר.

בניתוח מעמיק של הנתונים עולה כי 39% מהמשיבים לשאלון בארץ דיווחו גם שהארגון שלהם אינו מוביל דיגיטלית (6 ומטה) וגם שממוצע יכולות יחידת הביקורת שלהם אינו עומד בקטגורית מוביל דיגיטלית (6 ומטה), לעומת 78% בחו"ל.

ובהרחבה, בעוד שיש יכולות ביקורת שבהן ממוצע הבשלות הדיגיטלית של יחידות הביקורת בארגונים שאינם מובילים דיגיטלית בארץ ובחו"ל דומה (בעיקר ביכולות טכניות הנוגעות לשיטות העבודה כדוגמת ניטור מתמשך, ביקורת אג'ילית ואנליטיקה מתקדמת) הרי שביכולות הנוגעות לניהול המשאבים וכוח האדם, תחום ההבטחה, הראיה האסטרטגית והמבנה הארגוני, הבשלות הדיגיטלית של יכולות הביקורת בארגונים בחו"ל גבוהה בממוצע עד כדי כ-2 ציונים מהבשלות של יכולות הביקורת בארץ.

בשורה התחתונה, בארגונים שאינם בשלים דיגיטלית, גם ממוצע יכולות יחידות הביקורת הפנימית בארץ ובחו"ל נמצא בבשלות דיגיטלית־ניהולית נמוכה עד נמוכה מאוד. ובדרך כלל, בשלות בישראל אף נמוכה מאשר בחו"ל.

בארץ – תמונת מצב כוללת

בשלות דיגיטלית של הארגונים בישראל מול הבשלות של יחידות הביקורת באותם ארגונים

לפי הערכת המבקרים הראשיים ממוצע הבשלות הדיגיטלית של הארגונים בארץ עומד על 6.3, בעוד שממוצע הבשלות הדיגיטלית של יחידות הביקורת באותם ארגונים בארץ עומד על 4.4 בלבד.

ובאחוזים: על פי דיווחי המבקרים הפנימיים הראשיים בארץ, 61% מהארגונים הינם מובילים דיגיטלית (בדירוג של 7 ומעלה), בעוד שרק 18% מיחידות הביקורת הן מובילות דיגיטליות (ממוצע יכולות הביקורת).

קרי, קיים פער משמעותי בדיווחי הנשאלים בארץ בין הבשלות הדיגיטלית של הארגונים בכללותם לבין הבשלות הדיגיטלית של יכולות הביקורת.

גודל יחידות הביקורת

ערכנו ניתוח ייחודי רק לישראל לבחינת ההשפעה של גודל יחידות הביקורת על ממוצע הבשלות הדיגיטלית של יחידות הביקורת הפנימית ולהלן תוצאותיו:

הערה: רוב רובן של יחידות הביקורת בקבוצה הראשונה שנעה בין עובד אחד ל-20־ עובדים הם בקטגוריה של עובד אחד עד 10 עובדים (71%)

מהנתונים בטבלה ניתן ללמוד כי ממוצע הבשלות הדיגיטלית של יכולות הביקורת בארגונים שבהם יחידת הביקורת מונה עד 20 עובדים הוא 4.1 – ממוצע הנמוך באופן משמעותי ממוצע הבשלות הדיגיטלית של יכולות הביקורת בארגונים שבהם יחידת הביקורת מונה מעל 20 עובדים – 5.6.

מכאן ניתן לומר (בזהירות הראויה לנוכח היקף המשיבים לשאלון בארץ) כי בשאלת הבשלות הדיגיטלית והניהולית של יכולות הביקורת הפנימית, יש יתרון לגודל ולמספר עובדי הביקורת ביחידת הביקורת.

היבטים שונים הנוגעים ליזמות באשר לשינוי ולחדשנות ביחידת הביקורת הפנימית

במסגרת השאלון נשאלו המבקרים הפנימיים הראשיים שאלות נוספות הנוגעות ליזמות לשינוי ולחדשנות בעבודת הביקורת הפנימית.

להלן יפורטו השאלות וניתוח המענה (התפלגות התשובות) של המבקרים הראשיים בארץ תוך השוואה למענה של המשיבים בחו"ל:

האם יחידת הביקורת הפנימית כבר השלימה עריכת שינוי או יוזמת חדשנות או לקחה על עצמה לערוך שינוי או ליזום חדשנות בעבודת הביקורת הפנימית?

ניתן לראות כי גם בארץ וגם בחו"ל שיעור הארגונים שבהם הביקורת הפנימית לקחה על עצמה לערוך שינוי או ליזום חדשנות הוא גבוה ועומד על 61%. לעומת זאת, בעוד ש־33% מהמשיבים בחו"ל דיווחו שהביקורת הפנימית לא לקחה על עצמה לערוך שינוי, כאמור, רק 18% מהמשיבים בארץ השיבו לשאלה זו בשלילה.

האם ליחידת הביקורת הפנימית יש כעת תכנון/תוכנית לעשות שינוי או ליזום חדשנות?

בשאלה זו נתבקשו לענות כל המבקרים הפנימיים שעדיין לא עשו איזשהם שינויים או יזמות וחדשנות באשר לתוכניותיהם לערוך שינויים בהווה הקרוב ובעתיד.

ניתן לראות שבעוד שבחו"ל 49% לא מתכננים לעשות שינויים או פעולות חדשניות בשנים הקרובות, בארץ נתון זה עומד על 30% בלבד.

איזו מהאמירות הבאות מגדירה הכי טוב את מידת הבשלות של יחידת הביקורת הפנימית לשינויים או לחדשנות?

על אף שקיימת שונות בהתפלגות בין התשובות בארץ לתשובות בחו"ל, נראה שמרבית יחידות הביקורת הפנימית מכירות בחשיבות של החדשנות והחשיבה היצירתית ומעלות רעיונות ופתרונות חדשניים. כן ניתן לראות כי הן בארץ והן בחו"ל שיעור הארגונים שבהם אין לביקורת הפנימית תכנית לעורר חשיבה חדשנית הוא נמוך בצורה משמעותית.

בהשוואה לשנה שעברה, איך השתנה הפוקוס (המיקוד) של יחידת הביקורת באשר לחדשנות ויזמות לשינויים?

ניתן לראות שהתפלגות התשובות בארץ ובחו"ל דומה במהותה וכי כמעט לא הייתה ירידה בהשוואה לשנה שעברה בפוקוס של יחידות הביקורת בארגונים באשר לחדשנות ויזמות לשינויים.

איך תדרג את ההחזר על ההשקעה (return on investment – ROI) ואת התרומה לארגון ולמעמד יחידת הביקורת עקב פעולות החדשנות והיזמות לשינוי של יחידת הביקורת בארגונך?

ניתן לראות כי עיקר המשיבים בארץ (54%) ובחו"ל (40%) השיבו כי לדעתם פעולות החדשנות והיזמות של יחידת הביקורת יביאו לתרומה בינונית לארגון. עם זאת, בארץ 30% מהמשיבים סבורים כי התרומה תהיה רבה, לעומת רק 15% מהמשיבים בחו"ל.

בכל מה שנוגע לאימוץ חדשנות ויזמות לשינוי, איך אתה רואה, באופן יחסי, את יחידת הביקורת בארגונך כיום ובעוד שנתיים בהשוואה ליחידות ביקורת פנימית בארגונים אחרים דומים באותו ענף/ תעשייה?

להלן שיעורי התפלגות התשובות בשאלון בארץ לעומת השאלון הבינלאומי בחו"ל:

ניתן לראות שקיים שוני משמעותי בין שיעורי המשיבים בחו"ל לעומת שיעורי המשיבים בארץ. בעוד ששיעור המשיבים בחו"ל שהעידו על עצמם כי הם הרבה לפני רוב המתחרים עמד על 4%-11% כיום ובעוד שנתיים, שיעור המשיבים בארץ שהעידו על עצמם כי הם הרבה לפני רוב המתחרים עמד על 29%. מנגד, 5%-11% מהמשיבים בחו"ל העידו כי כיום ובעוד שנתיים הם הרבה אחרי רוב המתחרים ולעומת זאת בארץ אף משיב לא העיד כי נמצא הרבה אחרי המתחרים.

סביר שהתפלגות התשובות באשר למצב כיום תהא התפלגות נורמלית. ואכן התפלגות התשובות בחו"ל באשר למצב כיום קרובות להתפלגות נורמלית: 24% לפני רוב המתחרים, 38% כמו יתר המתחרים והיתר – 34% בפיגור לעומת המתחרים.

לעומת זאת, בישראל יש הערכת־יתר של יכולות יחידות הביקורת הפנימית לעומת המתחרים באותו ענף: 79% מיחידות הביקורת סוברות שהן מקדימות יחידות מתחרות באותו ענף וכאמור, נתון זה מהיבט של התפלגות נורמלית (התפלגות פעמון) מעורר שאלות.

באיזו רמה ועדת הביקורת בארגונך מעורבת ומקבלת מידע על אודות תוכנית היזמות לשינוי והחדשנות שיחידת הביקורת לקחה על עצמה?

להלן שיעורי התפלגות התשובות בשאלון בארץ לעומת השאלון הבינלאומי בחו"ל:

ניתן לראות שבארץ כ-40% מהמשיבים סבורים כי ועדת הביקורת בארגונם אינה מעורבת בתכנית היזמות והחדשנות של הביקורת הפנימית, לעומת 25% בחו"ל. מנגד, כ-40% מהמשיבים בחו"ל סבורים כי ועדת הביקורת מעורבת בתוכנית היזמות והחדשנות של הביקורת בצורה בינונית, בעוד שבארץ כ־30% מהמשיבים סבורים כך.

כן ניתן לראות כי גם בארץ וגם בחו"ל כ־20% מהמשיבים סבורים שוועדת הביקורת מעורבת ברמה גבוהה בתוכנית היזמות והחדשנות של הביקורת הפנימית.

נדגיש כי המצב הראוי הוא שוועדות הביקורת אכן יהיו מעורבות ביזמות של יחידות הביקורת, אלא שכאן מתחייבים עוד ניתוחים (שלא נעשה אותם כאן ועכשיו). כמו כן, קיימות הגדרות משפטיות חוקיות שונות לתפקידי וועדות הביקורת, שיש להביאן בחשבון בארץ, ואין דין ועדת ביקורת בחברות ציבוריות לדין ועדות ביקורת במגזר הממשלתי, בשלטון המקומי ובארגונים ציבוריים אחרים ו/או מלכ"רים.

סיכום – תמונת המצב באשר לביקורת הפנימית בישראל

המבקרים הפנימיים הראשיים בישראל מעריכים כי הבשלות הדיגיטלית של הארגונים שלהם היא גבוהה ואף גבוהה יותר מאשר עולה בשאלון הבינלאומי.

אפשר שהפערים נובעים מהיותה של ישראל ""START UP NATION; גם אפשר שיש כאן הערכת־יתר של המבקרים הראשיים בישראל באשר לבשלות הדיגיטלית של הארגונים שלהם.

פער מהותי קיים בין הבשלות הדיגיטלית של הארגונים בארץ לבין הבשלות הדיגיטלית והניהולית של יחידות הביקורת בארץ: ממוצע הבשלות הדיגיטלית של הארגונים בארץ עומד על 6.3 בסקלה של 10-1, בעוד שממוצע הבשלות של יחידות הביקורת בארץ עומד על 4.4 בלבד באותה סקלה.

כך: על פי דיווחי המבקרים הפנימיים הראשיים בארץ, 61% מהארגונים הם ארגונים מובילים דיגיטלית (בדירוג של 7 ומעלה), בעוד שרק 18% מיחידות הביקורת הן מובילות דיגיטליות וניהולית

ממוצע הבשלות הדיגיטלית והניהולית של הביקורת הפנימית בארץ דומה למרבית תוצאות הבשלות של יחידות הביקורת הפנימית בחו"ל.

יחד עם זאת, נראה ביכולות "רכות" יותר, כדוגמת בניית חזון אסטרטגי, שינויים במבנה הארגוני של יחידות הביקורת, ניהול המשאבים וכוח האדם ועוד, הדירוג הממוצע של הבשלות הדיגיטלית והניהולית של המבקרים הפנימיים בחו"ל גבוה יותר מאשר בארץ.

זהו סימן קריאה וגם מפת דרכים לקידום יחידות הביקורת בארץ:  הדרך עוד ארוכה בפני המבקרים הראשיים בארץ, לשאוף להשתפרות ניכרת ולו רק במרכיבים דלעיל.

השוואה ייחודית שערכנו רק בישראל נוגעת למידת הבשלות הדיגיטלית והניהולית ביחידות הביקורת הפנימית בארץ בהתייחס למספר עובדי הביקורת בכל יחידה.

הממוצע המשוקלל של הקבוצה שכללה עד 20 עובדים מהווה כ־79% מכלל העונים לשאלון בארץ וממוצע הבשלות של אותה קבוצה עמד על 4.1. בקבוצה שכללה 20 עובדים ומעלה ממוצע הבשלות עמד על 5.6, ממוצע הגבוה ב־30% מהקבוצה הראשונה.

זאת תוצאה מעניינת וגם סבירה. נראה סביר כי באשר לשאלת הבשלות הדיגיטלית יש יתרון לגודל בהתייחס למספר עובדי הביקורת שביחידה.

נקודת אור עולה באשר לשאלה האם יחידת הביקורת הפנימית בארץ שנמצאות בפער בתחום החדשנות יש תכנון/תוכנית לעשות שינוי או ליזום חדשנות כבר כעת. התשובות בישראל העלו אופטימיות: 49% מהן הביעו נכונות לפעולה כבר כיום.

אופטימיות מרובה עולה בישראל גם באשר להערכת המצב היחסי כיום, באשר לאימוץ חדשנות ויזמות לשינוי של יחידת הביקורת בהשוואה ליחידות ביקורת פנימית שבארגונים אחרים דומים בישראל באותו ענף/תעשייה.

בעוד ששיעור המשיבים בחו"ל שהעידו על עצמם כי כיום הם הרבה או מעט לפני רוב המתחרים, עמד רק על 24%, שיעור המשיבים בארץ שהעידו על עצמם כי הם הרבה או מעט לפני רוב המתחרים עמד על 79%.

בארץ אף מבקר פנימי ראשי לא העיד כי יחידתו נמצאת כיום בפיגור ניכר אחרי המתחרים, לעומת 11% בשאלון הבינלאומי.

בשורה התחתונה: נראה שבישראל יש הערכת־יתר של יכולות יחידות הביקורת הפנימית לעומת יחידות ביקורת מתחרות באותו ענף. מנגד, הנתון אינו סביר במונחים של התפלגות נורמלית-"התפלגות פעמון"

הבהרה על חובת הזהירות :

• התוצאות לעיל מתבססות על ממוצעים של יחידות ביקורת מתחומים שונים מאוד ובהם: פיננסים, תעשייה כולל הייטק, משרדי ממשלה ורשויות מקומיות שיש ביניהן שונות רבה
• יש שונות רבה גם באשר למספר עובדי ביקורת בכל יחידת ביקורת: שונות שנעה בין עובד אחד לחמישה במספר רב של יחידות ביקורת פנימית לעומת 30-20 עובדי ביקורת ומעלה, ביחידות אחרות
• ייתכן שקיימות גם הטיות בתשובות עקב מורכבות השאלונים
• יחד עם זאת, יש במכלול הניתוחים לעיל מספר הדגשים המחייבים תשומת לב המבקרים הפנימיים הראשיים בארץ : בראייה צופה פני עתיד, יש להמשיך ואף להאיץ את כיווני החדשנות הדיגיטלית והניהולית בכל יחידות הביקורת הפנימית, כי העתיד וגם כבר ההווה מחייבים זאת.

The post ממצאי שאלון: ביקורת פנימית – הדור הבא appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

באמצעות מדידת יעילותה, בכוחה של הביקורת הפנימית להכניס שיפורים לעבודתה ובכך להשפיע יותר על תפקוד הארגון

המונח "יעילות" מתייחס להיקף התשומות הנדרש כדי להשיג תפוקה מסוימת. אם פחות תשומות מושקעות כדי להשיג את אותה תפוקה, או אם אותו היקף של תשומות מושקע כדי להשיג תפוקה גדולה יותר – אזי היעילות מוגברת. כשמדובר בעבודת הביקורת הפנימית, אפשר למדוד יעילות באמצעות כמה דרכים ועבור פעילויות שונות. במקרים שבהם יש לבצע פעילויות ביקורת עם משאבים מוגבלים, עניין היעילות הופך לנושא חשוב במיוחד.

רבות הן מחלקות הביקורת הפנימית המתקשות לבצע  את תוכנית העבודה שלהן כמתוכנן  או לשפר את יעילותן. עבורן, ניתן למדוד את יעילות הביקורת על פי מספר השעות שהוקדשו בביצוע תהליכי ביקורת ופעילויות אחרות הנדרשות כדי לסיים את הביקורת.

מדדים להערכת יעילות הביקורת הפנימית

• הודעה מראש על ביצוע ביקורת

מן הראוי שמבקרים ישאפו להפעיל גישה של שקיפות בכל הקשור לתוכנית הביקורת במקום גישה של חשאיות. אמנם, יש מקום לביקורות פתע עבור משימות ביקורת מסוימות, אבל הן לא מתאימות לרוב המשימות. כמו כן, הודעה מראש על ביצוע ביקורת עשויה לעזור למבקרים בביצוע עבודתם בתקופות מאתגרות, כמו בתקופות החגים או בעונת החופשות. בכך אפשר להימנע ממצבים של "צוואר בקבוק" הנובעים מהמתנה ממושכת לקבל מסמכים או עד שנבדקים זמינים לראיונות. בסך הכול, בהנחה שמבקרים שואפים להוות יועצים נאמנים לארגוניהם, ושהאמון הוא הדדי, הרי צריך שתהיה גם שקיפות.

• הערכת משאבים

כאשר מבקרים פנימיים מגבשים את תוכניות העבודה השנתית, עליהם להעריך את שעות העבודה הנדרשות לכל משימה בנפרד. ככל שמקצים משאבים באופן זהה או ממוצע בתור סטנדרט אחיד, מדיניות זו לא עוזרת כשרוצים למדוד ולשפר את יעילות הביקורת. כשמיישמים מדיניות כזו, תיתקלו במטלות ביקורת עם לו"ז צפוף, ובמטלות ביקורת שלהן הוקצה זמן עודף. היבטים אחרים שעל מבקרים לשקול ולתכנן באופן ריאליסטי כוללים חופשות, ימי מחלה, פעילויות אדמיניסטרטיביות ופעילויות ביקורת אחרות, כמו גם את כל המשאבים הנדרשים עבור חקירות הונאה ועבור פעילויות ייעוץ העשויות להתבצע בו זמנית עם משימת הביקורת.

• תכנון מועדי מטלות הביקורת

תכנון מועדי מטלות הביקורת מאפשר לכל העובדים – ולא רק למבקרים הפנימיים – להיות מודעים לעבודה הנדרשת מהם ולתכנן את עבודתם בהתאם. היעדר תכנון כזה וקביעת תחילת העבודה על מטלת הביקורת רק לאחר סיום המטלה הקודמת עלולים לגרום לצוות הביקורת עומסי עבודה בלתי סבירים ולחץ מיותר, ובוודאי שזה לא מוביל לשיפור היעילות. גרוע מכך – מצב כזה יכול לגרום לירידה בפריון העבודה וביעילות.

• מועדי סיום מוגדרים – דדליין

מועדי סיום מוגדרים של משימות ביקורת הם הכרחיים לשם שמירת היעילות, אולם יש להתייחס אליהם כאל כלים לניהול זמן שעוזרים למבקרים לעמוד בתוכניות וביעדים הרלוונטיים, ולא כאל מגבלות נוקשות ומחמירות. אי הגדרת דדליין עלולה לגרום לכאוס במחלקת הביקורת ולמשימות שאין להן סוף. דדליין רחוקים אכן נדרשים לפעמים, אבל דדליין רחוק צריך להיות עניין חריג ולא הנורמה. כאשר מבקרים מגדירים דדליין רחוקים באופן תדיר, מצב זה עלול להצביע על תכנון או ביצוע לקוי של הביקורת.

• העצמת צוותי הביקורת

ככל שמבקרים ראשיים סומכים יותר על חברי הצוות שלהם בעניין ארגון משימות וביצוען, פעולה בהתאם לשיטות הביקורת ועמידה בתאריכי היעד– בלי "לעמוד להם על הראש" כל הזמן – כך מאפשרים לחברי הצוות למצוא פתרונות גמישים בעצמם כדי לסיים את כל המטלות. כשמקיימים מערכת יחסים פתוחה, כנה ומבוססת אמון, מנהלים מתערבים רק כשחברי צוות מבקשים עזרה במציאת פתרון לבעיות שלא הצליחו לפתור ביניהם. חשוב שאמון זה  יתקיים גם בקרב חברי הצוות עצמם.

• אוטומציה של פעולות ביקורת

אוטומציה של פעולות ביקורת יכולה לשפר את יעילות העבודה תוך כדי מתן יכולות כמו מתן תובנות אנליטיות בקצב מהר יותר, ניתוחי מגמות, המחשות גרפיות וזיהוין במדגם סטטיסטי. אולם, הישענות יתרה על אוטומציה עלולה לגרום להשלכות שליליות אם השימוש בה לא תוכנן כראוי. הישענות יתרה על אוטומציה עלולה לגרום לעבודה ידנית רבה יותר לאחר סיום הפעולות האוטומטיות מאשר היקף העבודה שהיה נדרש אילו אותן פעולות היו מבוצעות באופן ידני מלכתחילה.

• שקילת ביצוע ביקורת בשיטת "עצירה והתקדמות" ("Stop and Go Auditing)

יישום גישת "עצירה והתקדמות" עשוי לעזור למחלקות מסוימות במציאת אמצעי התייעלות ולהוסיף ערך. כאשר מבקר ראשי מתכנן פרויקט ביקורת, הוא מפתח:

Ÿ  הבנה מעמיקה ומעודכנת יותר של הסיכונים בנושא הביקורת מאשר ההבנה שהייתה להנהלת  הביקורת בעת שהוספה המטלה לתוכנית העבודה של הביקורת.

Ÿ  הבנה טובה יותר של  סביבת הבקרה והתרבות הרלוונטיות.

לאחר סיום שלב תכנון המטלה, על המבקר האחראי ומנהל הביקורת להחליט אם להפסיק או להמשיך את המטלה.  ההחלטה על הפסקת המטלה תתקבל כאשר הסיכון המוערך הוא נמוך יותר בהשוואה לתחומים אחרים אשר אינם נכללים בתוכנית העבודה של הביקורת, ועל הגורמים האמורים לתעד ההחלטה המסבירה את הנימוקים להפסקת המטלה.

אם הוחלט להמשיך את מטלת הביקורת, השלב הבא הוא לבחון את השפעת עיצוב הבקרות על הסיכונים העיקריים. אם מגיעים למסקנה כי הבקרות עוצבו היטב והמבקרים התרשמו לחיוב מסביבת הבקרה , הם  עשויים להחליט להפסיק את מטלת הביקורת בלי לבצע בדיקות כלשהן. במקרה כזה  יצוין בדוח הביקורת באופן ברור כי חוות הדעת מתייחסת אך ורק לעיצוב הבקרות בלי שבוצעו בדיקה אם הבקרות פועלות כפי שתוכננו. לחלופין, ייתכן שיוחלט להמשיך לבצע את הבדיקות.

שיטה זו חשופה לסיכון של אי ־גילוי ליקויים, אך היא אפשרית. עצירת תהליכי ביקורת כאשר הסיכון מוערך בגדר הסביר חוסכת זמן ומאפשרת למבקרים לבצע משימות ביקורת בתחומים אחרים שבעת תהליך התכנון התקופתי העריכו כמעלים סיכון נמוך יותר אך כעת נראים כבעלי סיכון גבוה יותר.

מדדי ביצוע בנושא יעילות

אין בנמצא סט ייחודי של מדדי ביצוע עיקריים בנושא יעילות המתאים לכל פעילויות הביקורת. כאשר מגבשים מדדי ביצוע עיקריים, מבקרים יכולים להפעיל את הגישה המקובלת באשר להערכות סיכון כדי לזהות את אותם היבטי סיכון הדורשים פעולה. הפעולות הראשונות המומלצות הן אלה: הערכת רמת היעילות הנוכחית; בחינת החוזקות, החולשות והתחומים המוסיפים מוטיבציה למבקרים;  וזיהוי סיכונים. עם הגישה הזו, מבקרים יכולים לזהות את ההיבטים שכדאי להם להתמקד בהם כדי לשפר יעילות, ולגבש ולאמת מדדי ביצוע עיקריים המתאימים להערכותיהם.

 ניטור מתמשך

ביצוע מעקב אחר ההתקדמות הוא פעולה חשובה כדי למדוד ולשפר את יעילות הביקורת. כדי לקבל סקירה כללית לגבי מחלקת הביקורת הפנימית כולה, כדאי לבנות לוחות מחוונים (Dashboard), אשר יציגו את סטטוס ההתקדמות בזמן אמת, בזמינות גבוהה. בדרך זו, כל חברי צוות הביקורת יכולים לעקוב אחרי ההתקדמות שלהם, לראות מתי והיכן נדרשות פעולות תיקון ולבצע אותן מבעוד מועד.

שמירה על איכות

בהתחשב בכך שמבקרים פנימיים נחשבים ליועצים נאמנים, וארגונים סומכים עליהם שיעניקו תובנות שימושיות ובעלות ערך, אין משמעות לפעולות הנועדות למדידת יעילות הביקורת ולשיפורה אם פעולות אלה גורמות לדוחות ביקורת באיכות נמוכה. לכן, יש לזכור כי שיפור ביעילות עלול להביא לפגיעה באיכות ולוודא כי פגיעה זו תהיה מזערית.

*המאמר תורגם מגיליון אפריל 2021 של כתב העת Internal Auditor

The post ארגון יעיל של ביקורת פנימית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

הגבינה כבר זזה וגם אני בעקבותיה…

נודדת מתחנת המילים הישנה שפינתה מקומה לתחנות שקמו מצוידות בכלים חדשים, המיטיבים לבטא את תוצאות הבדיקות והמסרים שלנו.

לצד הצבעוניות הרעננה (זהירות, לא להגזים!) נפתחו הזדמנויות חדשות להעביר את התוכן באפקטיביות ובקלות. כמובן, אם רק נעשה זאת נכון.

גם עבור צוות הביקורת זו הזדמנות לגלות תחומים חדשים ולבטא כישרונות חבויים שמתגלים. יצירתיות. סדנאות, התנסות ושיתוף.

בעולם שבו יש עודפי מילים, תיאור ארוך מידי של ממצא עלול להסתיים באיבוד הקורא.

זה הזמן לאמץ כלים חדשים!

האפשרויות הן כמעט בלתי מוגבלות: צבעוניות אוניברסלית רעננה, Flow חזותי או סמלילים.

65% מהאנשים הם לומדים חזותיים וחבל לפספס יתרון כזה.

זהירות, לא להגזים!

אם בחרתם מוטיב חזותי אחד- כדאי שהוא יהיה כזה המשרת את המסר המרכזי ורץ לאורך הדוח. כך גם לגבי פלטת הצבעים הנבחרת.

ליקטתי כאן עבורכם שמונה עקרונות עבודה בסיסיים, עם דוגמאות מפורטות.

תנסו את זה בבית?

בהצלחה!

ו….אל תשכחו לשתף אחרים בחוויה.

שימו לב לסוג הגרף! האם הוא ממוקד מטרה?

מהו הגרף המתאים לבטא את הממצא ?

כ-72% מהמשתמשים בוחרים את הברים או הפאי מתוך הרגל. זאת למרות שישנם כ-20  סוגי גרפים המיועדים למטרות שונות בהן: הצגת מידע השוואתי, הצגת קומפוזיציה או  תיאור על פני זמן.

ובדוגמא שלנו- הנתונים בשני הגרפים זהים, אבל כל אחד מהם מעביר מסר שונה.

בעוד גרף ימין מבליט את נקודת המפנה גרף שמאל מבליט את ההתרחבות במקביל בשתי הקטגוריות.

שימוש בגרף המתאים או במערכת גרפים מתוחכמת- מאפשר לנו לדייק ולהדגיש את המסר שנרצה להעביר!

הקפידו על יישום מדויק של צבעוניות

השימוש בצבעוניות הוא אחד האתגרים בביקורת החזותית. אין המדובר (רק) באסתטיקה! לעיתים קרובות זה ההבדל שבין צל"ש לטר"ש!

באופן כללי, עדיף שימוש בצבעוניות מתונה או מונוכרומטית ויישום פלטת צבעים אחידה לאורך הדוח, תוך הדגשה המשרתת את המסר. .

בדוגמה, בחרתי להדגיש באמצעות צבע כהה יחסית, את שלוש הסדרות של היחידה שבה בחרתי להתמקד, ברירת המחדל היא שכל סדרה בצבע אחר- אך היא מסיטה את תשומת הלב מהמסר.

אמצו שפה חזותית אוניברסלית

בעבודה משותפת עם אירית, מבקרת של חברה תעשייתית בינלאומית, השתמשנו במפת העולם על מנת לשקף תמונת מצב לפי מדינות או אזורים גאוגרפיים.

השתמשנו בצבעוניות אוניברסלית כדי להצביע על היקף החריגות.

היפכו ממצאים מילוליים לממצאים חזותיים

בעבודה משותפת עם מבקרת רשות מקומית הפכנו דוח ציות מילולי (52 עמודים) לדוח חזותי (15 שקפים).

"הדוח החזותי מצמצם את המלל ומאפשר לי להנגיש את הממצאים לתושבי העיר, בדרך שמושכת אותם לקרוא"

משמאל דוגמא של שקף המנגיש מידע מילולי רב בדרך חזותית אינטואיטיבית.

צרו תבניות גרפיות מותאמות לממצאים חוזרים

התבנית בצד משמשת באופן תדיר לתיאור ממצאים של הפרדת תפקידים.

שימוש בתבנית אינפוגרפית חוזרת לתיאור ממצאים ארגוניים שכיחים מסייעת:

• בקיצור זמן הלמידה, הכתיבה ובקרת האיכות
• בהצפה והעלאת המודעות לשכיחות הבעיה

השתמשו ב-Flow חזותי לארגון הממצאים כתמונת מצב

במקרה שלפנינו בדיקתנו כללה נושאים רבים המרכיבים תהליך יצורי שלם end to end.

רצינו להציג את הנושאים המנוהלים כראוי, לצד אלה שלא, בקליפת אגוז.

השתמשנו בצבעוניות אוניברסלית, כדי לשקף תמונת מצב כוללת, ולהמחיש את ריכוז הבעיות בשוק המקצועי.

באילו סיטואציות השימוש בכלים חזותיים מתאים פחות?

כמו תמיד, גם כאן יש מקרים שבהם היה כדאי לצמצם שימוש בכלים חזותיים:

• חשש לאי סדרים
• נושאי ציות, דרישות רגולציה וחששות להפרות רגולציה ואכיפה (עורכי דין, ביטוח ורשויות החוק יעדיפו דוח מלא בכתב)
• נושאי נישה מקצועיים ומורכבים
• מערכות יחסים מורכבות קודמות עם המבוקרים (פתיחות לשינויים נמוכה)

במקרים כאלה, מומלץ בחום להישאר בתצורת הביקורת הקלאסית.

דוח מילולי לרבות חילופי טיוטות, במתכונת המקובלת.

התחילו בקטנה! 

כככל שמשתמשים בהמחשות ממקורות שונים, חשוב לא להגזים בהמחשות, ולשמור על פלטת צבעים אחידה ומונוכרומטית ככל שאפשר, Less is more.

לא חייבים להתחיל בגרפים מסובכים, אפשר להשתמש בסמלילים.

ישנו מגוון רחב של אפשרויות ביניים- המשלבות בדוח הביקורת מינונים שונים של מילולי וחזותי בהעברת המסרים.

לא צריך להיות מעצב/ת. אפשר להוריד תמונו,  סמלילים והמחשות חזותיות מהאינטרנט, או להשתמש בטמפלייטים חזותיים מוכנים מהslide forest.

בחן את עצמך

ככל שסכום התשובות שאספת גבוה יותר, רמת הבשלות החזותית גבוהה יותר

65% מהאנשים הם לומדים חזותיים. חבל שנפספס את היתרון זה!

שימוש ב- visuals מוחשיים לצד מופשטים, צבעוניות מדוייקת, וארגון חזותי של רכיבי הדוח, מאפשרים לנו להעביר רעיון בפחות מילים. במינימום שיפוטיות.

ישנו מגוון רחב של אפשרויות יישום (לא, לא חייבים PowerPoint או מעצב מקצועי) וישנן גם אפשרויות ביניים- המשלבות בדוח הביקורת מינונים שונים של מילולי וחזותי בהעברת המסרים.

בסופו של יום, ההשלכות על תהליך הביקורת מרחיקות לכת: ממצאים ויזואליים שמאורגנים בצורה נכונה, מפחיתים את ההתנגדויות  ומעודדים יצירתיות בפתרונות שמוצא הארגון לממצאי הביקורת.

בהצלחה!

The post טיפים מנצחים להצגה ויזואלית ואפקטיבית של ממצאי הביקורת appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

פרטיות הוא הנושא החם ביותר בשנים האחרונות בכל העולם.

כולם מדברים על פרטיות, רוצים לשמור עליה ולהודיע על כך בריש גלי ללקוחותיהם.

החברות לא נהפכו בן־לילה ללוחמי הפרטיות אלא מדובר בתהליך ארוך שנים שהבשיל בשלוש השנים האחרונות בעקבות רגולציה מסודרת שחוקקה בכל העולם, לרבות בישראל, שבמסגרתה מושתים על חברות מפרות קנסות בסכומי עתק על ידי רשויות הפרטיות המקומיות.

כמו כן, העלייה המתמדת באירועי אבטחת מידע וסייבר תורמת לרצון החברות לאמץ את הוראות הרגולציה לא רק כדי לצאת ידי חובה אלא גם כדי להגן עליהן מפני איבוד מידע ופגיעה אנושה בעסקיהן.

כך למשל, חברת הביטוח שירביט חוותה במהלך חודש דצמבר 2020 מתקפת כופר על ידי האקרים אשר הדליפו פרטים אישיים על לקוחות החברה לאחר שמועד תשלום דמי הכופר חלף.

מעבר לפגיעה בעסקים ונזקי המוניטין שנגרמו לחברה, הרי שהוגשו נגד שירביט מספר בקשות לאישור תובענות ייצוגיות בבית המשפט וכן נפתחה כנגדה חקירה על ידי הרשות להגנת הפרטיות.

נושא הפרטיות מביא עמו אתגרים רבים לביקורת הפנימית, לרבות הצורך להכיר לפרטי פרטים את התקנות והחוקים המקומיים והעולמיים החלים על החברות המבוקרות.

תקנות ה־GDPR

תקנות הגנת המידע האירופיות, ה-GDPR (General Data Protection Regulation) התקבלו אומנם בשנת 2016 אך הפכו לבנות אכיפה החל ממאי 2018. רגולציה זו חלה על כל גורם המעבד נתונים של אזרחי האיחוד האירופי ולכן גם חברות ישראליות רבות כפופות לה, ללא קשר למקום התאגדותן, ובלבד שהן משווקות את מוצריהן באירופה.

רשויות הפרטיות המקומיות באירופה רשאיות להטיל מכוח ה ־ GDPR קנסות חמורים אשר יכולים להגיע לכדי 4% מהמחזור השנתי הגלובלי של גוף מפר או קנס עד 20 מיליון יורו, לפי הגבוה מביניהם.

להלן כמה מקרים בולטים שפורסמו לאחרונה:

• באוקטובר 2019 הודיעה רשות הפרטיות הבריטית ה־ICO (Information Commissioner'sOffice) על כוונתה להטיל קנס חסר תקדים על סך 183.4 מיליון פאונד על חברת התעופה בריטיש איירוויס בגין הפרת אבטחת מידע (Security) שגרמה לדלף מידע אישי. בסופו של דבר, באוקטובר 2020 הוחלט להשית על החברה קנס בסך 20 מיליון פאונד – סכום לא מבוטל לכל הדעות.
• בדצמבר 2020 הטילה רשות הפרטיות הצרפתית, ה־CNIL (Commission National Informatique & Libertés) קנס בסך מצטבר של 135 מיליון tאירו על חברות גוגל ואמזון בגין העדר שקיפות ואי קבלת הסכמה מדעת של המשתמשים לעשות שימוש במידע האישי שלהם אשר נאסף באמצעות עוגיות[1] (Cookies) לצורכי פרסום מודעות מותאמות אישית.

רגולציית ה־GDPR הציבה סטנדרט חדש של ציות בכל הקשור לפרטיות ואף יצרה הגדרת תפקיד חדשה לחברות שמעבדות מידע רגיש בהיקף רחב – "ממונה על הגנת הפרטיות" או "DPO" (Data ProtectionOfficer).

תקנות ה־CCPA וה־CPRA

תקנות הגנת פרטיות הצרכן בקליפורניה, ה־CCPA (California Consumer Privacy Act) נכנסו לתוקף במהלך 2020 והן כוללות שורה של הגנות לצרכן בדומה ל־GDPR ואף שדרוגים והרחבות לזכויות הפרט, כגון הזכות הישירה למנוע מחברות למכור מידע אישי לצדדים שלישיים ;מדובר בהרחבה לחובת יידוע על הזכות לבטל הסכמה (Opt-out) בדיוור ישיר מותאם אישית (למשל לצורכי פרסום ממוקד).

כמו מקבילו האירופי, גם ה־CCPA עשוי לחול על חברות ישראליות ובלבד שהן אוספות או מוכרות מידע אישי של תושבי קליפורניה או מספקות לתושבי קליפורניה שירותים או מוצרים באמצעות רשת האינטרנט או בכל דרך אחרת.

למרות שתקנות ה־CCPA נכנסו לתוקף לא מכבר, הן כבר עודכנו והחל מינואר 2023 יוחלפו ב־CPRA (California Privacy Rights Act). התקנות הוחלפו ונוספה בהם הנחיה ששומרת על הצרכן ואוסרת על החברה שאוספת מידע על הלקוח – למכור את אותו מידע הלאה לאחרים.

למשל, פייסבוק שמקבלת פרטים עלינו ועל החיפושים שלנו ומוכרת אחר כך את המידע הזה למפרסמים..

ומה המצב בישראל?

בשנת 2017 הותקנו תקנות עדכניות לחוק הגנת הפרטיות שחוקק עוד בשנת 1981 ואשר מיישרות קו עם רוב ההוראות המקובלות בעולם – תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017.

התקנות נכנסו לתוקף במאי 2018 והן חלות על כל מי שמנהל, מחזיק ו/או בבעלותו מאגר של מידע אישי כולל ארגונים, חברות, עסקים ואנשים פרטיים.

התקנות מפרטות את אופן יישומה של חובת אבטחת המידע וקובעות מנגנונים ודרישות שמטרתם להפוך את אבטחת המידע לחלק שוטף ושיגרתי. מדובר בדרישות קונקרטיות וטכניות, כגון הכנת:

1. מסמך הגדרות מאגר. רשות הפרטיות מספקת תבנית גנרית של מסמך הגדרות אשר יש למלאו תוך התייחסות לנושאים כגון: אופן איסוף המידע, מטרות השימוש בו, סוגי המידע השונים וכיו"ב.
2. נוהל אבטחת מידע אשר מתייחס לאספקטים השונים הכתובים בתקנות, בהתאם לרמת האבטחה החלה על המאגר (נמוכה, בינונית, גבוהה).
3. מיפוי מערכות המאגר הכולל רשימת מצאי מעודכנת של מערכות המאגר.

את כל המסמכים הללו יש לעדכן אחת לשנה ובמסגרתם לבדוק גם כי לא מוחזק במאגר מידע רב מהדרוש למטרותיו.

התקנות מפרטות חובות נוספות למאגר בעל רמת אבטחה גבוהה כגון החובה לערוך סקר סיכוני אבטחת מידע, לקיים מבדקי חדירה, להדריך את בעלי הרשאות הגישה למאגר ולקיים דיונים שוטפים בדבר אירועי אבטחה.

פעולות אכיפה של רשות הפרטיות בארץ

על פי תקנות העבירות המנהליות (קנס מנהלי – הגנת הפרטיות), תשס"ד-2004 הרשות להגנת הפרטיות רשאית להטיל קנסות מנהליים בסכומים של עד 25 אלף ₪ על יחידים וחברות במקרים של הפרת הפרטיות בעבירות של אחריות קפידה[2].

סכום זה אומנם נראה נמוך אך הרשות רשאית להכפיל את הקנסות ככל שמדובר במספר אירועי הפרה על פני תקופה.

כך למשל באוקטובר 2017 הוטלו קנסות בסך 400 אלף ₪ ו־150 אלף ₪ על שתי חברות סיעוד,  חברת שי-חברה לשירותי סיעוד בע"מ וחברת מ.ס.ד חיפה חברה למסחר בע"מ, בהתאמה, בגין שימוש במידע רפואי רגיש על חולים מאושפזים שמקורו במאגרי המידע של בתי החולים בהם אושפזו, וזאת לצורכיה העסקיים, ללא ידיעתם או הסכמתם של המאושפזים. גובה הקנס בסך 400 אלף ₪, שהושת על חברת שי, משקף מכפלה של 16 אירועים נפרדים ולכן הגיע לסכום משמעותי זה.

במרץ 2018 הוטל קנס מהלי בסך 100 אלף ₪ על חברת ליבנה דני שירותים פיננסיים בע"מ, שפועלת תחת השם המסחרי "אובליגור". החברה לא רשמה מאגר מידע כנדרש ופגעה בפרטיותם של נושאי המידע בכך שעשתה שימוש בתוכנה לצורך איתור פרטי קשר של לקוחות פוטנציאליים על מנת לעניין אותם בשירותיה. בנוסף, עשתה החברה גם שימוש מסחרי במאגר המידע שבאתר "נט המשפט" של הנהלת בתי המשפט, ובמסגרתו איתרה תיקים שבהם אזרחים נתבעו על ידי בנקים מסחריים, ופנתה אליהם כלקוחות פוטנציאליים בדיוור ישיר שלא כדין, כדי להציע להם שירותים לטיפול בתביעות נגדם.

כמו כן, במקרים מסוימים הפרת פרטיות עשויה להיחשב עבירה פלילית. במקרים אלו, הרשות להגנת הפרטיות מוסמכת לקיים חקירה ולהעביר את ממצאיה לפרקליטות לצורך הגשת כתב אישום.

בכל הקשור לאירועי אבטחת מידע, הרשות מבצעת פעולות אכיפה ופיקוח מנהלי אך לרוב מסתפקת במתן הנחייה לתיקון ליקויים ללא השתת קנסות וזאת משום שתקנות העבירות המנהליות מיושנות ואינן מאפשרות הטלת קנסות על רוב הפרות אבטחת המידע המפורטות בתקנות אבטחת המידע.

כך למשל בספטמבר 2020 נקבע כי חברת סיקינג אלפא בע"מ הפרה את סעיף 17 לחוק הגנת הפרטיות והתקנות בקשר לאחריותה לאבטחת מידע, וזאת בעקבות אירוע של ניצול פרצת אבטחת מידע בקוד אתר החברה, שאפשר להשיג באמצעות הדפדפן גישה למחשבי משתמשים אחרים הרשומים באתר החברה.

ניתן לראות בנקל כי לעת עתה רשות הפרטיות האמונה על אכיפה חוק הגנת הפרטיות במשרד המשפטים הינה "חסרת שיניים" ביחס לחברותיה בעולם.

בעוד שבעולם מדובר בסכומים דמיוניים שמגיעים למאות מיליוני דולרים, הקנסות המנהליים בארץ יכולים להגיע לתקרה של עשרות אלפי שקלים בודדים ובמקרים של מספר הפרות או הפרה נמשכת למאות אלפי שקלים.

עם זאת, הצעת חקיקה עברה בקריאה ראשונה בכנסת בשנת 2018 ומאז עומדת על שולחנה של ועדת החוקה, חוק ומשפט לתיקון חוק הגנת הפרטיות ובמסגרתה מוצע להקנות לרשות הפרטיות סמכויות אכיפה משמעותיות, לרבות היכולת להטיל עיצומים כספיים משמעותיים בסכומים של מאות אלפי שקלים ואף מיליוני שקלים במקרה של הפרה נמשכת וחוזרת[3].

ומה תפקידה של הביקורת הפנימית?

בהתאם למודל שלושת הקווים של ה־IIA, ניתן לומר כי תפקידו של הממונה על הגנת הפרטיות בחברה  הוא לשמש כקו ההגנה השני בארגון, קרי אותו גורם שאחראי על פיקוח הציות להוראות הרגולציה בתחום הגנת הפרטיות.

המבקר הפנימי, כאמור, משמש כקו השלישי והבלתי תלוי, ואכן תקנה 16 לתקנות הגנת הפרטיות קובעת כי בעל מאגר מידע שחלה עליו רמת אבטחה בינונית יערוך אחת לשנתיים ביקורת פנימית או חיצונית, על ידי גורם בעל הכשרה מתאימה לביקורת בנושא אבטחת מידע.

במסגרת ביקורת פנימית כזו, על המבקר לבחון האם הארגון מקיים את הדרישות הקבועות בחוק ובתקנות, כגון הכנת נוהל אבטחת מידע, מסמך הגדרות ומיפוי מערכות המאגר, וכן לאתר פערים בין נוהלי הארגון והוראות החוק אל מול אופן יישומם בפועל.

מוצע להיעזר בגורמים בעלי ידע והכשרה טכנולוגית שכן על המבקר לאמת את ממצאיו, לעיתים באמצעות טסטים, בנושאים טכניים כגון ניהול הרשאות גישה, זיהוי ותיעוד גישה, גיבוי ושחזור המידע וכן שימוש באמצעי הגנה נאותים בחיבור התקנים ניידים למערכות המאגר.

לאחר הגשת דו"ח הביקורת, על החברה לקיים דיון ענייני בממצאים על מנת לבחון את הצורך בעדכון נוהליה הפנימיים, עדכון בקרות והוספת אמצעי הגנה נוספים.

לפיכך, המבקרים הפנימיים יכולים לשמש כוח עזר לממונים על הגנת הפרטיות, הן לאור התמחותם בנושאי הפרטיות ואבטחת המידע והן לאור היותם אובייקטיבים.

לסיכום

יש לצפות כי לאחר תיקון החוק ומתן סמכויות אכיפה משמעויות ואפקטיביות יותר לרשות הפרטיות, יתעורר ביתר שאת הצורך מצד החברות לקיים באופן דווקני את הוראות הפרטיות וכך בהתאמה גם יגדל הצורך בעריכת ביקורות פנימיות יסודיות ומקיפות כדי לוודא את עמידתן בהוראות כאמור ובכך להימנע או לצמצם באופן משמעותי את חשיפתן לסנקציות.

עם זאת, פעילות פרואקטיבית של מבקר פנימי, המעוניין להפחית את הסיכונים שעלולים להתקיים אם יתרחש אירוע של דלף מידע, דוגמת האירוע בחברת שירביט, עשויה להוסיף גם במצב הקיים ערך רב לארגונים שבהם הם מכהנים.

[1] מחרוזת אותיות או מספרים המשמשת לאימות, למעקב ולאגירת מידע על אודותיו של גולש באתר אינטרנט, כגון שמירת העדפות המשתמש.

 [2] אחריות קפידה הינה עבירה שבה די להוכיח כי אדם ביצע את העבירה ואין צורך להוכיח "יסוד נפשי" של מחשבה פלילית או רשלנות. הדוגמה הבולטת לאחריות קפידה היא דו"ח תנועה שמהווה עבירה פלילית.

[3] הצעת חוק הגנת הפרטיות (תיקון מס' 13), התשע"ח-2018

The post על תפקידה של הביקורת הפנימית בהגנת הפרטיות appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מבוא

שאלת אימוץ כללי הממשל התאגידי התורמת לחוסנו של ארגון (אם אין חובת רגולציה לכך) בדרך כלל תעמיד את מקבלי ההחלטות בחברה בפני שאלת האיזון בין יישום כללי הממשל התאגידי, כתיבת החוקים, המדיניות והתהליכים בהתאם לסביבתו העסקית והקהילה שבה היא פועלת לבין המשאבים הנדרשים לצורך קיומו של ממשל תאגידי, הפיקוח עליו, וחשוב מכך עיכובם של ההישגים הכלכליים אשר עשויים להיגרם לארגון עקב אימוץ כללים אלו.

במאמר זה, ננסה לענות על השאלה האם אימוץ כללי ממשל תאגידי תקין יכול להשפיע על שגשוג הארגון והישגיו?

כמו כן, נבדוק את הקשר בין אימוץ ממשל תאגידי לבין ועדת הביקורת ומידת האמון בארגון של קוראי הדוחות הפיננסיים.

ממשל תאגידי הוא מכלול התהליכים, המנהגים, המדיניות, החוקים, המוסדות ומבני הבקרה שלפיהם מתנהל ומבוקר ארגון. על מנת לבחון את הקשר ולענות על שאלת המחקר האמורה לעיל, בהתחשב בעובדה שמדובר במכלול נושאים רחב מאוד ומתוך רצון לחדד את השאלה, בחרנו לשקף את אימוץ כללי הממשל התאגידי באמצעות ועדת הביקורת והשקיפות על הדוחות הכספיים.

למען הבהירות, הנחת המוצא תעסוק בארגונים שאינם מחויבים בממשל תאגידי מכוח רגולציה. שאלה זו, המונחת לפתחו של הדירקטוריון מעת לעת, משפיעה על תעדוף העבודה ועל האסטרטגיה הארגונית המיושמת בפועל. זאת, כיוון שבמקום המתנהל בהתאם לכללי ממשל תאגידי תקין, הדוחות הכספיים יהיו שקופים לקוראיהם, תפקידה של ועדת הביקורת וחשיבותה יקבלו תעדוף גבוה, והמלצותיה יתקבלו תוך הקפדה יתירה למרות שוועדת הביקורת אינה גוף בעל סמכויות ביצועיות ותפקידיה הם לבדוק, לחקור ולהגיש את מסקנותיה והמלצותיה ללא כלי אכיפה מהותיים.

לצורך מענה על השאלה הנ"ל, סקרנו מספר מחקרים שבחנו את הקשר בין שימוש בוועדת ביקורת לאמינות המידע הכספי המוצג בדוחות הכספיים וכן את ההשפעה על אמון הציבור. אנו סבורים כי הבעת אמון מצד ציבור קוראי הדוחות הכספיים ביחס לכתוב בהם מעידה על איתנותה של החברה, ובטווח הארוך משפיעה גם על שגשוגה.

מתוך כך, בחנו בין היתר גם את השאלה העומדת מעת לעת לפתחו של הדירקטוריון: מהו האיזון המתבקש במקומות שבהם הרגולציה לא מחייבת?

1. ממצאים

מספר מחקרים מהשנה האחרונה עסקו בתפקידה של ועדת הביקורת והשפעתה על שקיפות הדוחות הכספיים. נמצא כי חיזוק ועדת הביקורת הוא מרכיב חשוב יותר ויותר בסדר היום של אנשי אקדמיה ובעלי תפקידים בארגונים קובעי המדיניות במאמץ לקדם ולשפר את איכות המידע הכספי ולקדם את איכות הביקורת (George Drogalas, 2020).

במחקר שנערך בהולנד בקרב 90 חברות בורסאיות בין השנים 2010–2019 (Mardessi, 2021) נמצא קשר ישיר בין ועדת הביקורת, עצמאותה ועצמאות חבריה ותדירות קיום הישיבות לבין ניהול והצגת הרווחים האמיתיים של החברה. במחקר, הודגשה הרלוונטיות של מדיניות ניהול הרווחים והצגת מידע פיננסי אמין, עושר הבעלים ומאפייני ועדת הביקורת בשיפור איכות הביקורת, לאחר הנחיות רגולטוריות חדשות. תוצאות המחקר הוכיחו כי קיים קשר מובהק בין מאפייני ועדת הביקורת לבין הצגת הרווחים האמיתיים בדוחות הכספיים.

בהקשר דומה, נערך מחקר אחר באיטליה (Rubino, 2020) על סמך מדגם מתוך אוכלוסייה של 125 חברות. המסקנה הייתה כי המשתנה החשוב המסביר את הצלחת וועדת הביקורת הוא עצמאות ותדירות פגישותיה. מעניין לציין שתמהיל חברי הוועדה, לדוגמה– חברים בעלי מיומנות פיננסית, לא הווה גורם משמעותי בהסבר הצלחתה של ועדת הביקורת.

אם כן, מתי קל יותר להציג מצגי שווא בדוחות הכספיים?

מחקר שנערך באינדונזיה (Dewi, 2021), מצא כי יש קשר מובהק בין שמירה על מנגנון של ממשל תאגידי תקין, לבין ניהול הרווחים האמיתיים והצגתם בדוחות הכספיים. יחד עם זאת, הסיק המחקר כי בחברות בצמיחה יש פתח גדול יותר למצגי שווא בדוחות הכספיים. נקודה חשובה שהוצגה במחקר זה ועליה כדאי להתעכב הינה כי קיומה של ועדת ביקורת משפיע ומחליש את צמיחת החברה. האומנם?

מה שמחזיר אותנו לשאלה הראשית – האם אימוץ כללי ממשל תאגידי תקין יכול להשפיע על שגשוג הארגון והישגיו?

השפעת אימוץ ממשל תאגידי על הישגי החברה

מחקר נוסף מבריטניה, (Alzeban, 2020) בחן את אימוץ כללי הממשל התאגידי בכלל ועדת הביקורת ובפרט על ביצועי הארגון לרבות ההשפעה של יישום המלצות הביקורת הפנימית על ביצועי החברה והאם מאפייני ועדת הביקורת מגבירים או מקטינים את ההשפעה על הביצועים. במחקר נמצא כי קיימת השפעה של הממשל התאגידי על ביצועי הארגון, וכן כי IIAR (Implementation of Internal Audit Recommendations) אכן מנעה ביצועים גבוהים יותר של ארגונים, אולם, היו גם מאפיינים מסוימים של ועדת ביקורת אשר הגבירו את ההשפעה החיובית של IIAR על הביצועים .

אחד הממצאים העיקריים של המחקר הראה שבמקרים שבהם יש שיח ועבודה משותפת בין הביקורת הפנימית לוועדת הביקורת יש גידול בביצועי החברה.

3. סיכום

בתוך כך, ומתוך בחינה של ועדת הביקורת המהווה נדבך אחד בתוך כללי הממשל התאגידי, ניכר כי קיים קשר ישיר בין אימוץ כללי ממשל תאגידי בכלל וועדת ביקורת בפרט ובין רכישת אמונו של ציבור קוראי הדוחות הכספיים, הצגת הנתונים וחוסנו של ארגון. מחקרים אלו מצביעים על מספר נקודות קריטיות ועל קשר ישיר בין ועדת הביקורת ואמינות הדוחות הכספיים מחד ועל ההגבלה בביצועים הכספיים אם הארגון מאמץ לעצמו כללי ממשל תאגידי העשויים לעכב הישגים אלו מאידך.

מתבקש לציין כי מתוך האמור לעיל עולה כי אימוץ עקרונות ממשל תאגידי בפרט בכל הקשור לוועדת הביקורת -במקרה שאינו חובה על פי הרגולטור – עלול לעכב את הישגי החברה לטווח הקצר שכן לחברה כזו יש חופש פעולה ויכולת להגדלת הרווחים באופן מהיר יותר. אולם, נראה כי אימוץ כללים אלו לטווח הארוך יכול להשפיע על אמון ציבור קוראי הדוחות הכספיים ומתוך כך, ישפיע על חוסנו ואיתנותו של התאגיד ואולי אף יביא להגדלת הרווחים בטווח הארוך.

שקיפות זו מול קוראי הדוחות הכספיים ומול כלל בעלי העניין, מאפשרת ביסוס ובנייה של הארגון לטווח הרחוק. שקיפות זו הינה אבן יסוד לערכי הקיימות שעל פיהם הוקם איגוד הדירקטורים בישראל, ואין ספק כי לוועדת הביקורת תפקיד חשוב בקיומה, בפרט במקומות שבהם הרגולציה אינה מחייבת שימוש בערכים אלו.

באשר לשאלת האיזון בין אימוץ ערכי ממשל תאגידי ובין היעדר בירוקרטיה לגידול הרווחים, הרי שבמקום שבו הרגולציה לא מחייבת שימוש בעקרונות אלו, ראוי כי הארגון ימצא לעצמו את דרך המלך המתאימה לו, בהתאם לסביבה העסקית שלו, ענף הפעילות והתקופה.

The post השפעת ממשל תאגידי על הישגי הארגון appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

דוחות המבוססים על נתונים יכולים לעיתים להיות מטעים, מה שעלול להוות בעיה כאשר ארגונים מסתמכים עליהם בקבלת החלטות עסקיות קריטיות. דוחות בלתי מהימנים עלולים גם לשבש את הבקרות הניהוליות השוטפות, דבר שעלול למנוע איתור או מניעה של טעויות מהותיות או של אי סדרים. לפיכך, ארגונים צריכים לוודא את הלימת הדוחות המשמשים לקבלת החלטות או לבקרות מפתח.

מבקרים פנימיים יכולים ליישם כלים וטכניקות שיטתיות כדי להבטיח את מהימנותם של דוחות מידע ונתונים.

השפעתם השלילית של נתונים בלתי מהימנים

מחקר של גרטנר מגלה שאיכות נתונים ירודה גררה הפסד ממוצע של 15 מיליון דולר לשנה לארגון. איכות נתונים ירודה הינה גם הסיבה העיקרית לכך ש-40% מכלל היוזמות העסקיות נכשלות בהשגת מטרותיהן. דוחות שאינם מהימנים יכולים להשפיע על:

• החלטות אסטרטגיות – כגון ביצוע מיזוגים ורכישות, שינוי מבנה ארגוני, התרחבות של הפעילות העסקית לאזורים חדשים, או בפיתוח מוצרים חדשים.
• החלטות תפעוליות – כגון תמחור פרויקטים, החלטות הקשורות בתקציב וקביעת סדרי עדיפויות, תחזית מכירות, ייצור, דרישות מלאי ומשאבים נדרשים.
• החלטות פיננסיות – כגון דיווח כספי, אשראי והלוואות, גביה והשקעות.
• רגולציה וציות – כגון דיני עבודה, קניין רוחני, פרטיות ורישוי תוכנה.

לעיתים השפעתם השלילית של נתונים בלתי מהימנים יכולה להגיע עד לכדי תביעות אזרחיות או פליליות, סנקציות, קנסות ופגיעה המוניטין.

הצעד הראשון :  הערכת סיכונים

באופן טבעי לא ניתן לבדוק לעומק את מהימנותם של כלל הדוחות הניהוליים ודוחות הבקרה בארגון. לפיכך, הצעד הראשון הוא לבצע הערכת סיכונים אשר תקבע אילו דוחות צריך לבדוק ואיזה עומק בדיקה נדרשת. על הערכה זו לכלול סקירה של סוג הדוח, השפעת הדוח על קבלת החלטות, הערכה בנוגע לבקרות מפתח, תהליך ניהול השינויים והגבלת גישה.

באופן כללי, ניתן לסווג דוחות לשלושה סוגים: "דוחות מקור", "דוחות מותאמים" ו-"דוחות ידניים". דוחות מקור מופקים ממערכת ללא מעורבות של גורמים חיצוניים למערכת. הסיכון לטעות בדוחות אלה הוא בדרך כלל נמוך בהיבטים של שלמות ודיוק וזאת בהנחה שהנתונים שמהם מורכב הדוח עברו טיוב ובדיקות הלימה.

לא דומה הדבר ב-"דוחות מותאמים" המפותחים בהתאם לדרישות המשתמש והם בעלי סיכון גבוה יותר בהיבטים של שלמות ודיוק. דוחות ידניים נוצרים על ידי משתמש קצה ולא עברו תהליך של ניהול שינויים פורמלי. הם בדרך כלל בעלי הסיכון הגבוה ביותר.

היות שכל סוג של דוח מייצג רמת סיכון שונה, זיהוי סוג הדוח הינו חיוני להערכת מהימנותו. כל סוג דוח ידרוש בדיקות שונות.

גורמים אחרים שיש לקחת בחשבון בעת ​​קביעת דוחות לבדיקה כוללים:

• שימוש בנתונים – האם הדוח והנתונים הכלולים בו מתייחסים להחלטות אסטרטגיות, פיננסיות, תפעוליות או רגולטוריות?
• השפעת הדוח – האם טעות בדוח תגרור סיכון פוטנציאלי אסטרטגי, פיננסי, תפעולי, או רגולטורי לארגון?
• שיקולי בקרה – האם הדוח משמש לביצוע של בקרות מפתח כדי להפחית סיכונים משמעותיים?
• ניהול שינויים – עד כמה יעיל ניהול השינויים ליצירת הדוח?
• הגבלות גישה – אילו מנגנוני הגבלת גישה, כגון סיסמה או הרשאות, קיימים?

בדיקת שלמות הנתונים

מבקרים פנימיים צריכים לזהות את סוג הדוח ולהבין את הפרמטרים המשמשים ליצירתו. פרמטר אחד לא נכון עלול להשפיע בצורה מהותית על אמינות הדוח. היות שלרוב יש מספר פרמטרים המשמשים ליצירת דוח, המבקר הפנימי צריך להבין מבעל הנתונים (DATA OWNER) מה עומד מאחורי כל אחד מהפרמטרים שעל בסיסם נבנה הדוח.

בנוסף לכך, מבקרים פנימיים צריכים לבדוק האם חריגים כלשהם הוגדרו בממשק המשתמש של היישום או ברמת הקוד. אם חריגים הוגדרו ברמת הקוד, יתכן שיידרש סיוע מהמפתחים.

מבקרים צריכים גם להיזהר מאוד שלא "ללכת על עיוור" אחר שם או כינוי הדוח. דוח רכש בשם "סך ההוצאה לספקים" יכול להציג רק הוצאות הקשורות ברכש, אבל לא את כל ההוצאות.

מבקרים פנימיים צריכים לבצע מספר בדיקות כדי לקבוע את מידת המהימנות והשלמות של דוחות:

• בדקו מתי הדוח שונה לאחרונה – בדיקת תאריך השינוי האחרון יכולה להצביע על שינויים שנעשו בדוח.
• במקרים רבים הרשאות הגישה של משתמשים מוגבלות לצפייה או שינוי של נתונים מסוימים על בסיס "Need to know" (לדוגמא: כרטיסי אשראי של לקוחות). הגבלות אלו עלולות לשבש את הדוחות המופקים ע"י משתמשים שהרשאתם מוגבלת. לפיכך, רצוי תמיד לגשת ל"בעל" המערכת.
• יש לערוך השוואת בין דוחות שונים שאמורים להציג את אותם הנתונים – היות שכל דוח בנוי עם לוגיקה שונה, זו דרך טובה לבדוק את מהימנות הדוח. השוו אותו מידע ממקורות שונים ושאלו בעלי עניין שונים את דעתם על סבירות הנתונים.
• השתמשו בשיטת "Full and False Inclusion" (שיטה בה יש לוודא כי כל מה שהיה אמור להילקח בחשבון נילקח בחשבון ולא נכלל משהו שלא היה צריך להילקח בחשבון). קחו מדגם של עסקאות שאמורות ואשר אינן אמורות להיכלל בדוח, ואמתו בהתאם.
• בדקו האם בדיקות ידניות או בדיקות מערכת כלשהן מונעות רשומות כפולות. כדי לזהות מקרים כאלה, בצעו בדיקת כפילות פשוטה אך יעילה עבור מדגם של שדות נתונים.
• בדקו שדות נתונים ריקים. נתונים חסרים הינם אינדיקציה טובה לכך שיש לבצע בדיקות נוספות.
• בעת שימוש בכלי דיווח, כגון יישום בינה עסקית, הבטיחו כי נעשה שימוש בגרסה האחרונה של היישום. שדרוגים בדרך כלל פותרים פגמים טכניים, וממשקים למחסן הנתונים יכולים להיות שונים.

בדיקת דיוק הנתונים

בבדיקת דיוק, מבקרים פנימיים צריכים להבין איזה אמצעי קלט או שיטת לכידת נתונים (Data Capture) הייתה בשימוש, שכן לכל קלט או שיטה יש רמת סיכון שונה למהימנות הנתונים: על גבי טופס נייר, על ידי משתמשים שהזינו נתונים ישירות, או על ידי מערכת. חשוב גם כי המבקרים יזהו את סוג הבקרות על הזנת הנתונים במערכת, כגון מניעת הקלדה כפולה.

פרטים נוספים שעל המבקרים לבדוק בנוגע לדיוק הנתונים כוללים:

• המשמעות של שדה נתונים – אסור למבקר הפנימי להניח, בהתבסס על תיאורי העמודות, שברור לו מהו הנתון.
• נתוני המקור של שדות מפתח – ניתן לבצע על ידי התחקות אחר נתוני המקור.
• סבירות המידע – לדוגמה, האם זה סביר כי הושכרה מכונית תמורת 2,000 דולר ללילה?
• שדות תאריך – בתבניות תאריך כפולות עלולות להשפיע על ניתוח מבוסס תאריך. לדוגמה, תאריך בדוח כגון 03/05/2019 עשוי לייצג את ה-5 במארס 2019, או ה-3 במאי 2019, זאת בהתאם לאזור הגאוגרפי של המשתמש.

סיכום הדברים: היזהרו מאמונה עיוורת בדוחות ניהוליים

נתונים לא מהימנים יכולים להשפיע לרעה על החלטות עסקיות מהותיות. במקרים רבים, ארגונים אינם מודעים לדיווחים בלתי מהימנים, וכתוצאה מכך בעלי העניין מתמודדים עם נתונים פגומים, אשר בסופו של דבר, עלולים להוביל להחלטות שגויות או לא-אופטימליות. חוסר המודעות עלול להוביל ארגונים רבים לסמוך באופן עיוור על הנתונים שלהם, וזה עלול להיגמר לעיתים באסון.

ביקורת בנושא מהימנות דוחות ניהוליים הינה הזדמנות מיוחדת למבקרים פנימיים להוסיף ערך משמעותי להנהלות ולמועצות מנהלים בארגון שעשויות למנוע נזקים מהותיים ובלתי הפיכים.

The post הערכת מהימנות נתונים appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מאמר זה עוסק בסיכונים המוגברים של התרחשות הונאות ומעילות המאיימים על הארגונים בתקופת הקורונה. כמו כן, המאמר מציג דרכי היערכות והתמודדות עם סכנה זו.

• מבוא

מגפת הקורונה הובילה להאצה בשינויים בתהליכים מרכזיים בארגון שעלולה לגרור עלייה בחשיפה להתרחשות ליקויים ואירועי כשל בארגונים, גם בהיבטי מעילות והונאות. כיצד מתכוננים לעניין? נוקטים פעולות מנע באופן מיידי. חשוב להבהיר, שהמדובר בסיכון שלא ניתן למנוע לחלוטין אלא רק להביא לצמצום החשיפה אליו. לפיכך, חייבים לקחת בחשבון במסגרת ההיערכות תרחיש של התממשות אירוע בסדר גודל כזה או אחר ודרכי הפעולה לכשיתממש. כניסה לסטטיסטיקה היא רק עניין של זמן. מתחילת שנת 2020, כתוצאה מהשפעת מגפת הקורונה, העולם והמשק הישראלי בפרט מתמודדים עם שינויים מרחיקי לכת. תאגידים נדרשו להסתגל למצב החדש הכולל בין היתר, קשיי תזרים מזומנים, שיבושים בשרשרת האספקה, פעולות מרחוק והעברת עובדים לעבודה מהבית, צמצום כוח אדם והסבת תהליכי עבודה משמעותיים בארגון דיגיטליים (אוטומציה). נוכח המצב החדש, קיימת חשיפה גבוהה לאירועי כשל לרבות מעילות והונאות.

• השפעת משבר הקורונה על משולש המעילות וההונאות

במשולש המעילה וההונאה – קיימים שלושה פרמטרים:

1. לחץ – מצב קיומי, נפשי, המניע את המועל לבצע את המעילה (בעיות כלכליות, איבוד מקום עבודה וכו').
2. הזדמנות – גישה, פרצה הקוראת לגנב, כשל או היעדר בקרות  על ביצוע פעולות המועל.
3. תירוץ – הצדקה של המועל למעשה (הורידו לי בשכר, אני צריך להתקיים, אחזיר את הכסף בעוד חודש, למה הם ואני לא וכו').

מגפת הקורונה משפיעה באופן מיידי על שני פרמטרים: לחץ ותירוץ. לעומת זאת, פרמטר ההזדמנות יושפע בהמשך. מטבע הדברים, המעבר לעבודה מהבית והעברת תהליכים מרכזיים בארגון לאוטומציה יצרו שינויים בתהליכים תפעוליים בליבת הארגון ולעיתים ללא בקרות מספקות.

חשוב להבהיר, כי ככלל הסיכונים האינהרנטיים בפעילות לא השתנו – תהליכי העבודה השתנו ומערך הבקרות לא בהכרח עודכן בהתאם (ממשקים, מערך עובדים, קפסולות וכו').

• נתוני סקר ACFE

ה ־ ACFE(Association of Certified Fraud Examiners) – הארגון הגדול ביותר בעולם העוסק באימון ובהכשרת אנשי מקצוע לטיפול במניעת הונאות ומעילות ובמאבק בשחיתות ומרמה בארגונים – פרסם בדצמבר 2020 דוח בעקבות סקר שביצע בהתייחס להשפעת מגפת הקורונה במאבק במעילות והונאות. עיקרי ממצאי הדיווח מובאים להלן.

1. 79% מהנשאלים בסקר השיבו כי הם כבר חוו או צפו עלייה ברמת ההונאה הכוללת כאשר 38% ציינו כי עלייה זו הייתה משמעותית.
2. לקראת שנת 2021 נצפתה התמדה במגמה זו, שלפיה 90% צופים לעלייה נוספת ברמת ההונאה הכוללת במהלך 12 החודשים הבאים, כאשר 44% ציינו שככל הנראה השינוי יהיה משמעותי.
3. הונאת סייבר (כגון: פריצה, תוכנות כופר ותוכנות זדוניות) היא הסיכון הגבוה ביותר, כאשר 85% מהנשאלים כבר רואים עלייה בהיקף ההונאות, ־ 88% מצפים לעלייה נוספת במהלך השנה הבאה.
4. סיכוני הונאה משמעותיים נוספים שנצפו וצפויים לקראת שנת 2021 הם: הונאת תשלומים (כגון: הונאות בכרטיסי אשראי ותשלומים ניידים במרמה), גניבת זהות ועוד.

בתרשים הבא מובאים סוגי ההונאה העיקריים שצפויים לגדול בשנת 2021:

• כיצד להתכונן מול המשבר?

על הארגון לוודא, כי הוא פועל ב־ 3 אופנים במסגרת ההתמודדות עם הסיכונים:

1. ניהול שוטף של פעולות מנע:

הגדלת המשאבים והידוק הבקרות תוך התאמתם לתהליכים החדשים ישמשו גורם הרתעה ויסייעו בגילוי מוקדם של הפרצות והחשיפות בארגון ואף יביאו לצמצום של הונאות ומעילות בארגון ומחוצה לו. במסגרת זו, על הארגון לוודא כי הוא פועל בכלל האמצעים לצמצום החשיפה והידוק המבדק הפנימי ובכלל זה (רשימה חלקית):

• ממשל תאגידי – הידוק הפיקוח ועדכון מדיניות ונהלי עבודה בארגון.
• סקרי סיכונים ייעודיים ומותאמים לארגון לרבות היבטים של מעילות והונאות – מיפוי ואיתור מוקדי סיכון בארגון (השקעות, שכר, ספקים, עמלות, מערכות מידע וסייבר וכו') לאיתור פרצות בבקרות. כתוצאה, עדכון מפת הסיכונים וטיפול בחשיפות.
• הגברת פעילות הביקורת החקירתית עקב השינוי לעבודה מרחוק, כמו גם שינוי בתהליכים כספיים ובחינת יישום עיקרון הפרדת התפקידים.
• הגברת בדיקות רקע לספקים ולקוחות ובחינת עמידה בהסכמים.
• איתור "דגלים אדומים" באמצעות ניתוח נתונים מתקדם ( (BIG DATAזיהוי דפוסי פעולה חריגים, זיהוי אנומליות ותחקור מסמכים.
• רענון מנגנון "קו חם" – בקרב מנהלים ועובדים בארגון לרבות ספקים. יצירת מספר אנשי מפתח בארגון שיכולים לשמש גורם יעד לתלונות כאמור.
• יצירת מנגנון לאיתור בעיות כלכליות (חשבונות מוגבלים, הוצל"פ, התנהגויות חריגות וכו') של עובדים או מנהלים לרבות גורמי מפתח המעורבים בתהליכים כספיים (הקפדה על חופשה או רוטציה).
• הגברת הדרכות ומנגנוני ההרתעה – הסבר לעובדים על מוקדי התורפה והסיכונים הקיימים, שימוש בביקורות פתע ופרסום אי סדרים (אפקט פסיכולוגי) ובמקרים מסוימים ענישה.

1. מנגנון הפקת לקחים:

העמקת התרבות הארגונית בהתייחס לדיווחים של אירועים חריגים ובניית מנגנון אפקטיבי לתיעוד אירועי כשל וחשש לאירועי כשל (בארגון ומחוצה לו על פי פרסומים מחברות אחרות וכו') ובכלל זה אופן תיעוד האירועים בארגון, למידה, פרסום אי סדרים, עדכון הבקרות, טיפול בכשלים, הסקת מסקנות על בעיות רוחביות וכו'.

1. מתודולוגיה להתמודדות עם אירוע:

חשוב לזכור, שאירוע כזה (מעילה/הונאה) ככל שמתכוננים ומבצעים פעולות מנע יכול להתממש – וכשזה קורה זו רעידת אדמה.

שלב קריטי בהיערכות של הארגון עם סיכוני מעילות והונאות הוא שלב ההתמודדות.  מה עושים לאחר האירוע?

חשוב לבנות תוכנית פעולה להתמודדות עם אירוע מעילה/הונאה הכוללת בין היתר: אומדן הנזק, תגובות לעיתונות ודיווחים לגורמי מפתח (רשויות) בארגון ומחוצה לו לרבות לקוחות, ניהול העובדים בעת המשבר ופנים ארגוני, מתן מענה לפעילות השוטפת, ליווי האירוע בסיוע גורמי מקצוע, תביעות ייצוגיות וכו'.

מתודולוגיה כאמור קריטית ותסייע להתמודד עם אי הוודאות בעת התממשות של סיכון ועשויה להשפיע על יציבות הארגון בעת התרחשות אירוע.

• סיכום

בתקופת הקורונה חלו שינויים משמעותיים בתהליכי העבודה, הבקרה והפיקוח בארגונים. לנוכח שינויים אלה, גברו הסיכונים להתרחשות מעילות והונאות כתוצאה מההשפעה המיידית על גורמי משולש המעילות וההונאות. על הארגונים להתכונן בהקדם האפשרי מול תופעה זו באמצעים הבאים: ניהול שוטף של פעולות מנע, יצירת מנגנון הפקת לקחים  ובניית מתודולוגיה להתמודדות עם אירועים.

The post משבר הקורונה – כיצד להתכונן מול העליה הצפויה של המקרים במעילות והונאות appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.