ביקורת מתמשכת חזון והיבטים יישומים

מאת: אורן שחר | גיליון 01 - עם הפנים לעתיד | ינו 2015 | אין תגובות

מבוא:

דמיינו כי אתם המבקרים הפנימיים הראשיים של חברה קמעונאית רב לאומית. תוך כדי קריאת עיתון הבוקר, אתם מקבלים דוא"ל לטלפון החכם המיידע אתכם על תנועת תיקון מלאי חריגה שנעשתה באחד הסניפים המרוחקים מעבר לים. עקב כך אתם שוקלים לשלוח נציג מטעמכם לבדוק את הנושא או להמתין ולעקוב אחר הטיפול של מנהל הכספים האזורי שקיבל גם הוא את הדוא"ל.

עתה חִשבו על דוח המגיע אליכם מדי חודש, המחווה את מצב בריאות הבקרה בתחומים הכפופים לניטור ו/או לביקורת מתמשכת. אתם מבחינים כי אזור פעילות מסוים "נצבע אדום" (כלומר בעל סיכון גבוה) לאחרונה עקב הרעה בשורה של מדדים שהוגדרו מראש כמו: עלייה במספר עזיבות העובדים, ירידה בשיעורי הרווח לעומת תקופות קודמות, עלייה בפקודות תיקוני המלאי הנובעים מחוסרים שהתגלו בספירות, עלייה במספר אי ההתאמות בין ספרי החשבונות של החברה למערכות העזר וכדומה. כעת אתם שוקלים האם יש צורך לבצע התאמות בתכנית הביקורת השנתית כך שתענה טוב יותר לתחומי הסיכון המהותיים הקיימים בחברה.

חזון הביקורת המתמשכת אמור להביא שינוי דרמטי בצורה שבה מבקרים פנימיים פועלים. עיקרו הוא מעבר מגישת הביקורת המסורתית שבה תחומים נבדקים אחת לתקופה, לגישה שבה תחומים  רבים נבדקים באופן תכוף יותר. כך יתאפשר לביקורת הפנימית לתת הבטחה מתמשכת (Continuous Assurance) לכך שסיכונים מהותיים מנוהלים בצורה אפקטיבית.

במאמר יוסבר מהי ביקורת מתמשכת וכיצד היא אמורה להשתלב בממשל התאגידי ובניהול הסיכונים של התאגיד, לרבות הבחנה בין תפקיד הביקורת הפנימית לתפקיד ההנהלה ויחסי הגומלין ביניהן. המאמר גם יסקור את יתרונות הביקורת המתמשכת ומגבלותיה, ויפרט שלבים רצויים ביישומה.

הגדרות:

ביקורת מתמשכת – Continuous Audit (להלן ב"מ): בהנחיה לפרקטיקה מספר 3 של לשכת המבקרים הפנימיים העולמית(3) כשיטה לביצוע פעולות ביקורת באופן תכוף או מתמשך יותר על ידי הביקורת הפנימית.

ניתן לחלק את הביקורת המתמשכת לשניים:

  • הערכה מתמשכת של הבקרות ((Continuous Control Assessment – מתייחסת לבדיקות שנועדו להבטיח כי הבקרות פועלות כיאות, כמו בדיקה של תנועות כנגד חוקי בקרהControl Rules) ). לדוגמה: בדיקה כי לא הייתה חריגה מנוהלי אישור ההוצאות בחברה באמצעות השוואה של הוצאות החברה למטריצת זכויות החתימה, לרבות בדיקה שהוצאות לא פוצלו כדי לעקוף את דרישות נוהל זה.
  • הערכה מתמשכת של הסיכון(Continuous Risk Assessment) – בדיקות אלה מלוות בדרך כלל בבדיקת מגמות ובהשוואות של נתונים כנגד נתוני ייחוס שונים.  לדוגמה: השוואת מספר השעות הנוספות לתקרה שנקבעה כדי להימנע מהוצאות מופרזות, או השוואת מספר תאונות עבודה כנגד תקרה שהארגון קבע כנסבלת ושאינה מחיבת פעולות מניעה נוספות.

ניטור מתמשך –Continuous Monitoring  (להלן נ"מ): מוגדר כתהליך שההנהלה מיישמת כדי להבטיח שהנהלים והתהליכים שהגדירה פועלים כיאות וכי הארגון פועל לפיהם. עקרונות הניטור המתמשך כוללים:

  • הגדרת נקודות הבקרה (Control Points) בתהליכים העסקיים השונים, לרבות מטרות כל בקרה (Control Objectives).
  • הגדרת סדרה של מבחנים אוטומטיים הבוחנים את כל התנועות הכפופות לבקרה וקובעים האם הבקרה פועלת כנדרש לגביהן.
  • חקירת התנועות שנראה כי הבקרות לא פועלות כיאות לגביהן.
  • תיקון התנועות או שיפור הבקרה בהתאם לתוצאות החקירה הנ"ל.

הבטחה מתמשכת Continuous Assurance : הערכה מתמשכת בלתי תלויה (המתבצעת על ידי הביקורת הפנימית) של ניהול הסיכונים והניטור המתמשך שמבצעת ההנהלה ושל מצב הענייניים העסקי, רמת הסיכון והציות, נאותות ואפקטיביות הבקרות ונכונות המידע.

הצורך בביקורת ובניטור מתמשך

הצורך בביקורת ובניטור מתמשכים נובע משורה של סיבות:

  • שינויים מהירים בסביבה העסקית ובסיכונים האסטרטגיים והתפעוליים העומדים בפני החברות, דורשים מהן להקים מערך של ניהול סיכונים תאגידי המסוגל לקבל מידע מהימן ורלוונטי בזמן אמת כדי להתאים את אופן פעולתן ולשפר את מערך הבקרה שלהן.
  • צורך תכוף מבעבר בדיווח מפורט ומחייב על מצב הבקרה ודרישה לסקירה פרו-אקטיבית לזיהוי הונאות, טעויות וכשלי בקרה עקב השינויים בסביבה החוקית בעשור האחרון, כגון כניסתם לתוקף של תקינת SAS 99 וחוק סרבנס אוקסלי.(2)
  • כיסוי של 100% מהתנועות הכפופות לניטור מאפשר גילוי מוקדם של טעויות והונאות, ובכך הקטנה משמעותית של כמותן, שיפור האפקטיביות התפעולית, מניעת אובדן הכנסות ושיפור של הרווח הנקי.
  • אפשרות לעבודה מול כמה פלטפורמות מידע בו-בזמן, דבר המאפשר ביצוע בקרות תהליך ו/או בדיקת נאותות בקרות מקצה לקצה התהליך, והצלבת מידע בין תהליכים ומערכות שאינם קשורים זה בזה ישירות.
  • השיפורים הטכנולוגיים בתחום המחשוב, מערכות המידע ועיבוד הנתונים, מאפשרים מגוון של פתרונות המותאמים לצורכי הארגונים ליישום ביקורת וניטור מתמשכים, תוך חיסכון משמעותי בעלויות הביקורת, הבקרה והציות. חיסכון זה יכול לנבוע משימוש נרחב יחסית בניתוחים אנליטיים במקום בטכניקות ביקורת מסורתיות הצורכות זמן ומשאבים רבים יותר.
  • אפשרות לכימות מצב הבקרה והכנת דוחות חיווי לשימוש בעלי העניין השונים (הנהלה, ביקורת פנימית, המבקרים החיצוניים וכדומה).
  • שיפור סביבת הבקרה עקב אלמנט ההרתעה שנוצר בארגון עם היוודע דבר קיומם של ביקורת ו/או ניטור מתמשכים.

אתגרים ביישום ביקורת פנימית מתמשכת

למרות האמור לעיל, היישום בפועל של ביקורת מתמשכת עדיין אינו נפוץ במיוחד. ממחקר שנערך על ידיADR – Audit Director Roundtable  בשנת 2004 עולה שכ-70% ממחלקות הביקורת הפנימית לא יישמו ביקורת מתמשכת, אף שמרבית המבקרים הפנימיים שהשתתפו בסקר ציינו את הצורך בכך.

מסקר שנעשה בדצמבר 2012 על ידיKPMG  לגבי המודעות והיישום של ביקורת וניטור מתמשכים   בחברות וארגונים באירופה (בעיקר), במזרח התיכון ובאפריקה, עולה שרק 9% אחוז מהארגונים  יישמו ביקורת וניטור מתמשכים במשולב, אף שיותר מ-80% היו מודעים ליתרונות שביישום ו-83%  שקלו  זאת. כמו כן צוין כי יש צפי לגידול משמעותי בהשקעה וביישום בשנתיים הבאות.

הסיבות לשיעור היישום הנמוך כוללות:

  • יישום ביקורת מתמשכת דורש שינוי פרדיגמת הביקורת הפנימית, לרבות שינוי בתהליך הביקורת, ראיות הביקורת ועיתוי עריכת הביקורות.
  • היישום אינו פשוט, כמות המידע הניתן לבדיקה הוא עצום, ולמבקרים הפנימיים יש קושי להחליט היכן להתחיל.
  • בחברות שבהן מערכות המידע מבוזרות, הגישה למידע ואיסופו ממערכות שונות כרוך בקשיים, בעלויות ובזמן ניכר.
  • התפיסה שלפיה ביקורת מתמשכת היא באחריות ההנהלה, וחשש כי כניסה לתחום היא למעשה כניסה לנעליה של ההנהלה.
  • קושי בהגדרת מדדים ברורים להצלחה או לכישלון בקרות מסוימות, הגדרה הנדרשת ביישום ביקורת מתמשכת.
  • קושי בשילוב הביקורת המתמשכת עם תכנית הביקורת השנתית.
  • מחסור במשאבים ובכישורים נדרשים. לדוגמה, ידע לא מספק של צוות הביקורת בניתוח נתונים ובבניית אוטומציה של הבדיקות.
  • קושי בבחירת כלים ותשתית טכנולוגית שתתמוך ביישום יעיל של ביקורת וניטור מתמשכים על ידי הביקורת הפנימית וההנהלה.

יישום ביקורת מתמשכת

לאור האמור לעיל, על מבקר פנים המיישם ביקורת מתמשכת בארגונו לתכנן בקפידה את היישום תוך התייחסות להיבטים הבאים:

  • קבלת תמיכה מוועדת הביקורת וההנהלה הבכירה
    • על ההנהלה הבכירה להבין את השלכות יישום ב"מ בארגון, לרבות דרישות הגישה למערכות השונות, תהליך הדיווח ושיתוף הפעולה הנדרש מגופים שונים בארגון. בהיעדר תמיכה והבנה ייתכנו חיכוכים עם גורמים שונים בארגון שלא יבינו את מהות הב"מ, ויופתעו לדעת שנושאים הקשורים אליהם היו כפופים לביקורת ללא ידיעתם. תופעות אלה עלולות לפגוע בלגיטימיות של הביקורת המתמשכת.
  • הגדרת תפקידי הביקורת הפנימית וההנהלה ויחסי הגומלין ביניהן
    • יש לשמר את העיקרון שהנהלת החברה היא האחראית לניהול הסיכונים ולהגדרת הבקרות ויישומן, בעוד תפקידה המרכזי של הביקורת הפנימית הוא להעריך את אפקטיביות התהליכים שההנהלה מיישמת. על הביקורת הפנימית להימנע ככל האפשר מלקיחת אחריות על יישום הבקרות כדי שלא לפגוע באי תלותה. עם זאת, יש להכיר בכך שיישום ביקורת מתמשכת עשוי לעתים לכלול אלמנטים דומים לניטור המתמשך שמבצעת ההנהלה. יותר מזה, בעת בחירת התחומים שיהיו כפופים לביקורת המתמשכת וההחלטה על היקפה ועל תדירותה, על הביקורת הפנימית לקחת בחשבון את חוסן הבקרה והניטור המתמשך בתחומים אלה. במקומות שבהם היקף הניטור המתמשך אינו מספק או לא קיים, יישום נרחב של ביקורת מתמשכת על ידי הביקורת הפנימית יוסיף ערך מוסף ברור לארגון. לעומת זאת, כאשר ההנהלה מיישמת ניטור מתמשך אפקטיבי, יישום כזה עלול לגרום לבזבוז משאבים, לכפילויות ולחיכוכים מיותרים.
    • כדי שהביקורת המתמשכת לא תהפוך לבקרה המרכזית (בהיעדר ניטור מתמשך או בקרות מספקים), יכולה הביקורת הפנימית בשלב מסוים להעביר את יישום הבדיקות שפיתחה לידי ההנהלה כדי שייכללו במערך הניטור המתמשך, ולהסתפק מכאן ואילך בבדיקה תקופתית כי הניטור פועל כיאות.
  • הגדרת תהליך לבחירת הנושאים הכפופים לב"מ, בחירת ותעדוף הנושאים
    • על הביקורת הפנימית להתייחס לפרמטרים הבאים בעת קבלת ההחלטה על התחומים שיהיו כפופים לביקורת המתמשכת:
      • רמת הסיכון השאריתי ((Residual Risk הטבוע בתחום – כדי לקבוע זאת יכולה הביקורת הפנימית להיעזר במיפוי הסיכונים המתבצע לצורך הכנת תכנית הביקורת השנתית ובסקירה של דוחות ביקורת משנים קודמות, תוך תעדוף של תחומים שבהם באופן עקבי נמצאו ממצאים מהותיים על כשלי בקרה.
      • כמות התנועות (טרנזקציות) – ככל שהתהליך מלווה במספר רב יותר של תנועות, כך לביקורת המתמשכת יש ערך מוסף רב יותר.
      • זמינות הנתונים ואיכותם – על הביקורת הפנימית לבחור תחומים שבהם קיימים נתונים מהימנים זמינים עבורה.
      • רצוי להתחיל מהתחומים שבהם היישום צפוי להיות פשוט יחסית, עם ערך מוסף ברור ומהיר ((Quick Wins. דבר זה יסייע לביקורת הפנימית לקבל תמיכה ומשאבים לפיתוח התחום.
      • יישום הדרגתי – רצוי להתחיל עם פיילוט הכרוך במשאבים קטנים יחסית. בפיילוט זה ייבחנו טכניקות יישום, כלי ניתוח נתונים ותשתית מחשוב נדרשת לצורך פיתוח של הביקורת המתמשכת בארגון.
    • הטמעת הביקורת המתמשכת בתכנית הביקורת השנתית
      • יישום ביקורת מתמשכת מחייב שינוי בתהליך הכנת תכנית הביקורת השנתית ושל הביקורות הספציפיות השונות, תוך הפיכתן לדינמיות יותר. לדוגמה, בעת עריכת ביקורת "רגילה" בתחום מסוים ניתן להתמקד בתהליכים שבהם הביקורת המתמשכת הצביעה על חריגים רבים.
    • פיתוח כישורי המבקרים הפנימיים
      • יישום ביקורת מתמשכת דורש ידע מעמיק של צוות הביקורת לגבי:
        • התהליכים המבוקרים, לרבות הסיכונים המרכזיים, הבקרות המרכזיות והמערכות התומכות.
        • בסיסי הנתונים, לרבות הכרת שדות הנתונים השונים ומשמעותם.
        • טכניקות ניתוח נתונים, לצורך בדיקת איכות הנתונים, בניית בדיקות אפקטיביות לבחינת חוסן הבקרות ו/או רמת הסיכון, וידע בבניית בדיקות אוטומטיות (Scripts).
      • הטמעת כלים וטכנולוגיות שיאפשרו גישה לנתוני החברה המבוזרים וניתוחם
        • הביקורת הפנימית יכולה לשלב כמה פלטפורמות של כלים ומערכות לצורך יישום הביקורת המתמשכת:
          • שילוב הביקורת המתמשכת במערכות העסקיות של החברה. לדוגמה, מודלי ה-) GRC3) במערכות ה-ERP שלSAP או של.Oracle
          • השגת גישה למערכות ובסיסי הנתונים השונים, משיכת הנתונים וניתוחם בתוכנות ביקורת ייעודיות כמוACL אוIDEA  או בכליBI  כמו Microsoft SQL Reporting Services.
        • יש לקחת בחשבון כי יישום ביקורת מתמשכת כרוך בעיבוד כמות עצומה של נתונים, לכן סביר כי בשלב מסוים תידרש שיפור תשתית המחשוב (לדוגמה, שרת ייעודי לצורכי הביקורת המתמשכת).
        • בניית תהליך לדיווח ולמעקב אחר ממצאי הביקורת המתמשכת
          • על המבקר הפנימי הראשי לקבוע את אופן ותדירות הדיווח של תוצאות הביקורת המתמשכת, ואת תהליך המעקב אחר פעולות ההנהלה לטיפול בחריגים שנמצאו ובכשלי הבקרה שגרמו לכך. יצוין כי לביקורת מתמשכת יש יתרון מובנה במעקב מסוג זה בשל הבדיקות החוזרות המתבצעות בתדירות גבוהה, כך ששיפורים שההנהלה מבצעת אמורים להקטין את מספר החריגים בדוחות הביקורת המתמשכת הבאים.

סיכום

יישום ביקורת מתמשכת הכרחי למחלקות ביקורת פנים השואפות לספק הבטחה מתמשכת נאותה לארגוניהן.

היישום כרוך באתגרים  ודורש שינוי בפרדיגמת הביקורת המסורתית, תקשורת ושיתוף פעולה עם גורמים בארגון, רכישת כישורים חדשים לצוות הביקורת הפנימית וכן טכנולוגיות וכלים.

יישום הדרגתי ומתוכנן יתרום רבות לארגון בשיפור רמת הבקרה וסביבתה, בהקטנת עלויות הציות לחוקים ותקנות, ולחיסכון כספי עקב גילוי ומניעה מוקדמים של טעויות ומעילות.

 

אורן שחר (CIA ,CISA ,MBA) הוא חבר בצוות הביקורת הפנימית של אינטל העולמית ונציגה בישראל, כמו כן הוא דירקטור ב-IIA ישראל – איגוד מבקרים פנימיים, יו"ר הוועדה לפניות מקצועיות של חברים, עורך מידעון האיגוד וחבר בוועדת מידע ופרסומים והוועדה המקצועית.

הערות:

  • המאמר מבוסס על מאמר שפורסם בכתב העת "רואה החשבון" בחודש ספטמבר 2011 תחת הכותרת "פנים אל פנים".
  • חוק סרבנס אוקסלי דורש מהחברות הנסחרות בארה"ב להעריך את מערך הבקרה התומך בנאותות הדיווחים הכספיים שלהן ולגלות שינויים מהותיים במצב הפעילות הכספית וכן לחולשות במערך הבקרה.

SAS 99 – Consideration of fraud in Financial Audit דורש מהמבקרים לכלול בדיקת מעילות במהלך ביקורות דוחות כספיים תוך שימוש בכלי ביקורת ממוחשבים.

  • GRC-Governance, Risk Management and Compliance

ביבליוגרפיה

  • Global Technology Audit Guid (No 3) – Continues Auditing: Implications for assurance, monitoring and Risk assessment, David Code 2005
  • Continuous Control Monitoring Enabling Rapid Response to Control Breakdown – Audit Director Round Table, 2004 Corporate executive Board
  • A look into the future: The next evolution of Internal Audit – Continuous risk and Control assurance , SAP Business Objects
  • Maximized Monitoring, M Lehmann PHD ,CISA, "Internal Auditor" June 2010

Continuous auditing and Continues monitoring: The Current status and the reod ahead, KPMG EMA sur

אודות הכותב/ת

אורן שחר

רו"ח, CIA ,CISA ,MBA
יו"ר הוועדה למענה על שאלות מקצועיות של חברים

[email protected]