ביקורת פנימית מבוססת נתונים

מאת: מוחמד חסן ריזבי | גיליון 16 - Yes We Can | ספט 2022 | אין תגובות

מחלקות ביקורת פנימית רבות עדיין לא מנצלות את היתרונות המוצעים משימוש בבינה מלאכותית וכלי ניתוח נתונים

מאמר מתורגם מגיליון פברואר 2022 של ה-INTERNAL AUDITOR

הודות להתרחבות המתמדת של טכנולוגיות כמו בינה מלאכותית, מחשוב ענן וביג דאטה, היום ארגונים מסוגלים לעבד ולאחסן כמויות גדולות יותר של נתונים מאי פעם, מה שמקל עליהם לקדם אסטרטגיות עסקיות והחלטות המבוססות על תובנות המופקות מכלי ניתוח נתונים. על אף השימוש הגובר בטכנולוגיה לצורך קבלת החלטות עסקיות, ועל אף השפעת הטכנולוגיות על הפרדיגמה העסקית העולמית, מחלקות ביקורת פנימית רבות טרם ניצלו את מלוא היתרונות המוצעים משימוש בבינה מלאכותית וכלי ניתוח נתונים.

 

ביקורת פנימית מבוססת נתונים יכולה להפוך לכוח המניע שינוי עבור ארגונים, ולאמץ גישה מבוססת ביצועים ומבוססת סיכון. הארגון יכול להפיק תועלת מביקורת פנימית מבוססת נתונים במגוון דרכים:

דוחות על ביצועים בארגון

הביקורת הפנימית יכולה לדווח על ביצועי הארגון בעיתוי הנכון לוועדת הביקורת ולהנהלה על ידי מיפוי הביצועים מול מדדי סיכון מרכזיים ומול גורמי הצלחה קריטיים. דיווחים כאלה מאפשרים להנהלה להתחיל תהליך של הפחתת הסיכונים העלולים להשפיע באופן משמעותי על היכולת להשיג יעדים ארגוניים.

גילוי ומניעת הונאות

מבקרים פנימיים יכולים ליזום פעולות לגילוי מקרי הונאה על ידי הטמעת דגלים אדומים במערכות הבקרה הפנימיות. המערכת תרים דגלים אדומים אם היא תזהה מצבים חריגים ולא רק מקרי הונאה. לדוגמה, אם הוטמע פרמטר במערכת הבקרה לבחינת חשבונות עסקה, המערכת תציג התראה אם אותו ספק הגיש מספר חשבונות באותו חודש עבור אותו סוג של מוצר.

ניטור מתמשך

משימות ביקורת מבוססות נתונים יכולות להתמקד בהגדרת הסף שיפעיל התראת הונאה, כגון לפי מספר, כמות, קטגוריה ותדירות העסקאות. מבקרים יכולים לתחקר התראות כאלה כדי לזהות הפרות פוטנציאליות של מדיניות או נהלים ומקרי חריגה מסמכות. יכולת זו מאפשרת לעסקים לעקוב באופן ממוכן יותר אחר פעילות הבקרה.

שיפור הערכות סיכונים וכיסוי סיכונים

ניתן לשפר הערכות סיכונים באמצעות חיבור כלי ניתוח סיכונים למסד הנתונים המכילים את מדדי הסיכון המרכזיים, על ידי הפקת דיווחים על הפסדים הנובעים מסיכונים שהתממשו, ובאמצעות השימוש בדשבורדים על סטטוס העמידה בכללי ממשל תאגידי, ניהול סיכונים וציות (governance, risk and compliance dashboards). השימוש בכלי ניתוח סיכונים מאפשר למבקרים פנימיים לזהות תהליכים בעלי סיכון והשפעה גבוהים במקום הפעלת שיקול דעת בלבד. יתרה מזאת, השימוש בכלים כאלה עשוי לשפר את היקף הכיסוי של הביקורת באמצעות:

Ÿ   זיהוי משימת הביקורת הנכונה שיש לבצע.

Ÿ   הגדלת מספר משימות הביקורת בשנה.

Ÿ   הקטנת משך הזמן הדרוש כדי להשלים את כל נושאי הביקורת.

Ÿ   הגברת תדירות הביקורות בתחומי סיכון מרכזיים.

Ÿ   הרחבת ההיקף של ביקורות ספציפיות.

 

יעילות הביקורת

השימוש בכלי ניתוח נתונים מאפשר למחלקות הביקורת הפנימית להגדיל יכולות ניתוח נתונים קריטיות. לדוגמה, כלי ניתוח נתונים יכול לשפר את יעילותה של המחלקה בזיהוי אנומליות סיכון ונתונים, כמו גם בזיהוי הזדמנויות לשפר ביצועים ברחבי הארגון. בנוסף, גישה המאפשרת למבקרים לבחור דגימות בסיכון גבוה מסייעת להשגת חיסכון במשך ביצוע ביקורת וצמצום היקף ההפרעה ללקוחות הביקורת.

ביקורת פנימית מבוססת סיכון

השימוש בכלי ניתוח נתונים כדי לזהות אנומליות יכול לעזור למבקרים פנימיים לזהות אזורים בסיכון גבוה בתוך שלל תחומי הביקורת, ולפתח נושאי ביקורת המאפשרים בחירת תהליכים בסיכון גבוה שמצריכים עבודת ביקורת מקיפה מקצה לקצה.

בניית דשבורדים ודיווחים אנליטיים על מדדים, כגון מדדי סיכון מרכזיים ומדדי ביצוע מרכזיים בכל אזור תפעולי בארגון, יכולה לעזור למבקרים למנף את יישומה של ביקורת מתמשכת. הם גם יכולים להוות פלטפורמה לתהליכי הערכת סיכונים חזקים ורציפים יותר בעת תכנון משימות הביקורת.

כמו כן, הביקורת הפנימית יכולה לקשור את עבודתה למטרות האסטרטגיות של הארגון על ידי פיתוח נושאי ביקורת הנגזרים מתוצאות הערכות תקופתיות של מדדי סיכון מרכזיים.

תהליך הביקורת

ניתן להטמיע נתונים וכלים אנליטיים במספר אבני דרך במחזור הביקורת. לדוגמה, מבקרים יכולים להשתמש בכלי בינה עסקית (business intelligence) כדי לאסוף נתונים ולקבוע את היקף המשימה לפני תחילת העבודה בשטח. השימוש בכלי ניתוח מאפשר תכנון ביקורת דינמי באמצעות תהליך הערכת סיכונים מתמשך, מבוסס טכנולוגיה ונתונים כמותיים. מבקרים גם יכולים להשתמש בכלים אנליטיים לבדיקות באזורים ספציפיים, כגון הגנה פרואקטיבית מפני הונאות.

 

גישת ביקורת פנימית מבוססת נתונים כוללת את השלבים הבאים:

  1. זיהוי נושאים רלוונטיים לשימוש בביקורת מבוססת נתונים

על מבקרים פנימיים לנתח את כלל נושאי הביקורת כדי לקבוע ולבחור נושאי ביקורות שבהם ניתן להפיק תועלת מהשימוש בכלי ניתוח נתונים, בהתבסס על גורמים כגון:

זמינות הנתונים. יש לבדוק אם ישנם מספיק נתונים זמינים כדי לנתח את הנושא המבוקר, ואם קיימת בביקורת הטכנולוגיה המתאימה לניתוח הנתונים.

אמינות הנתונים. יש לבדוק אם הנתונים הזמינים הם עקביים ומתקבלים ממקור אמין.

ניתוח סיכונים. בהתבסס על הערכת הסיכונים שבוצעה, יש לקבוע האם התחום הנבחן מוערך כתחום בסיכון גבוה. ככל שהערכת הסיכון גבוהה יותר, כך יקבל התחום תעדוף גבוה יותר לעבור לתהליך של ביקורת מבוססת נתונים.

מורכבות. מורכבות הנתונים מבוססת על מספר המקורות שמהם נגזרים הנתונים ועל הזמן הדרוש להשגתם.

תדירות. מספר הפעמים שביקורת נדרשת לביצוע במהלך תקופת הביקורת השנתית.

  1. הרחבת ההיקף של משימות ביקורת

מבקרים פנימיים צריכים לבחון את מוקדי הסיכון הקיימים בתהליכים בתחום הנבדק כדי לקבוע את מדדי הביצוע המרכזיים, את מדדי הסיכון המרכזיים, ואת המגמות או האנומליות שישפיעו על היקף הביקורת.

  1. ביצוע הביקורת

שלב הביצוע מתחיל בשליפת נתונים. הביקורת הפנימית יכולה להשיג קבוצות נתונים מדיווחים ממערכות מידע ניהוליות, ממערכות ניהול ידע ומדוחות תפעוליים ספציפיים מהמערכות הזמינות, כאשר המקורות נקבעים בשלב הניתוח של כלל נושאי הביקורת. לאחר קבלת הנתונים, על המבקרים לחלץ אזורי נתונים רלוונטיים ממערכת המקור, להעביר אותם לתבנית מסד נתונים ולטעון אותם לכלי אנליטי.

לאחר מכן, על המבקרים לנתח את הנתונים כדי לזהות בעיות פוטנציאליות, מגמות ואנומליות. אפשר להשתמש במנוע אנליטי כדי לבצע ניתוחים מתקדמים, לרבות סקריפטים מבוססי כללים, מודלים תיאוריים או מודלים ניבויים. ניתן לבקש עזרה ממומחה עם הכשרה טכנית מתקדמת וניסיון רלוונטי.

רצוי לשלב כלים אנליטיים בתוכנית הביקורת על מנת לעמוד ביעדים. על המבקרים לתכנן ולבצע בדיקות הרצה על כלים אלה תוך שימוש בנוהלי ביקורת מבוססי ניתוחי נתונים על מנת לוודא השגת יעדי הביקורת. לדוגמה, ביקורת בנושא ניהול ספקים עשויה לכלול:

Ÿ   פעילות – ניהול נתוני אב על ספקים.

Ÿ   סיכון תהליכי – חוסר יעילות תפעולית כתוצאה מניהול לא יעיל של נתוני אב על הספקים.

Ÿ   ביצוע נוהל מסורתי – יש לוודא שמנהלי הרכש בוחנים את נתוני האב על הספקים כדי לאתר אי דיוקים או נתונים חלקיים.

Ÿ   ביצוע נוהל ביקורת מבוססת נתונים – לשם הפקת נתונים סטטיסטיים עבור כל שדה בקבוצות נתונים קריטיות, לרבות בחינת מדדים כדי לאתר יחידות נתונים בטווח הרלוונטי.

לאחר השלמת נוהלי הביקורת, על הביקורת הפנימית לבחון את התוצאות ולפתח תובנות. על המבקרים לבצע עבודת שטח נוספת כדי לאמת את ביצוע הניתוח כראוי וכדי לזהות את המגמות, האנומליות או הבעיות שיש לדווח עליהן. כדאי להשתמש בכלי המחשה חזותית כדי לאמת את תוצאות הניתוח.

  1. דיווח על הממצאים

לאחר השלמת הביקורת, המבקרים הפנימיים ידווחו על התוצאות תוך שימוש בכלי המחשה חזותית המאפשרים דיווחים משופרים באמצעות חיבור, שליפה וניתוח נתונים תוך קשירתם למדדי הביצוע המרכזיים ולמדדי הסיכון המרכזיים. ניתן להשתמש גם בדוח ביקורת סטנדרטי שאפשר לשתף עם ההנהלה. בנוסף, המבקר הפנימי הראשי יכול לתכנן ולהקים מנגנוני דיווח, דשבורדים לניתוחי נתונים והתראות.

סיכום

יישום גישה של ביקורת פנימית מבוססת נתונים יכול להיות מסע ארוך. כדי להתחיל בו, המבקר הפנימי יכול לתכנן פרויקט פיילוט ולבצע התקשרות אחת המיישמת גישה זו, ולאחר מכן לחדד עוד יותר את אסטרטגיית הביקורת הפנימית.

 

מוחמד חסן ריזבי הוא יועץ בכיר ב-Grant Thornton UAE בדובאי.

אודות הכותב/ת

מוחמד חסן ריזבי