בלחיצת כפתור- – לבקר את תחום התשלומים בעידן של שינויים טכנולוגיים

מאת: חן דיאנה כץ , לילך זילבר-טל | גיליון 10 - להיות טכנולוגי | פבר 2021 | אין תגובות

לחיצת כפתור – לבקר את תחום התשלומים בעידן של שינויים טכנולוגיים

מאת:

חן-דיאנה כץ,  מבקרת פנימית ראשית בשירותי בנק אוטמטיים (שב"א) ובמסלקה הבנקאית (במס"ב)

לילך זילבר-טל, מנהלת מחלקת ביקורת פנימית ב-Cal חברת כרטיסי אשראי

 

בשנים האחרונות אנו עדים למהפכה כלל עולמית בתחום התשלומים. המהפכה מונעת על ידי שינויים רבים בשרשרת ביצוע תשלום, המשפיעים ומושפעים זה מזה בתאוצה הולכת וגוברת. בין היתר, שינויים טכנולוגיים, שינויים בצרכים ובציפיות של הצרכנים ושינויים רגולטוריים. מבקרים פנימיים בארגונים כאלה נדרשים להתאים עצמם למציאות החדשה, לרבות קיום מעקב מתמיד אחר השינויים ובחינת השפעתם על הארגון, עדכון יעדי הביקורת ושדרוג האמצעים לביצועה.

 

מאמר זה מנתח ממעוף הציפור את התפקיד של פונקציית הביקורת הפנימית בארגונים המעורבים בשרשרת ביצוע תשלומים ואת האתגרים העומדים בפניה בעת הזו.

כיום,  עדיין קיימים מספר אמצעי תשלום מסורתיים מקובלים: מזומן, צ'קים, תשלומים ישירים אלקטרוניים וכרטיסי חיוב (כרטיסי אשראי, כרטיס דביט וכרטיסים נטענים). בנוסף, קיימת מגמה של התפתחות באמצעי תשלום אלקטרוניים מתקדמים.

בתרשים להלן, מתוך דוח "שרשרת ביצוע עסקה בכרטיסי חיוב" של בנק ישראל (יולי 2016), מוצגים שחקני מפתח בשרשרת ביצוע תשלומים בישראל.

התקדמות טכנולוגית ושינויים בצרכים ובציפיות של הצרכנים – איפה הביצה ואיפה התרנגולת?

 

ההתקדמות הטכנולוגית מרגילה אותנו לגישה מיידית לדברים שאנחנו רוצים, והציפיות בנוגע לתהליכי תשלומים אינם יוצאי דופן. בעולם שבו הכול מתרחש בלחיצת כפתור – אנשים לא מסתפקים עוד רק בעצם העברת התשלום משולח לנמען באופן בטוח, אלא מהירות זה שם המשחק החדש. ואכן, בשנים האחרונות אנו עדים למהפכה בתחום התשלומים, מהפכה שמשפיעה על כל אחד מהשחקנים בשרשרת ביצוע העסקה (צרכנים, סוחרים ומגוון ארגונים התומכים בשלבים שונים של תהליכי התשלום (מנפיקים של כרטיסי חיוב, סולקים, מאגדים, מעבדים, חברות ניכיון, ספקי נזילות, מפעילי מערכות תשלומים וכו').

 

לשם הדיון על צורכי השוק, חשוב להבחין בין פעולת התשלום המתבצעת במעמד ביצוע העסקה לבין התהליך של הסליקה הכספית בפועל בין הגופים הפיננסיים התומכים בתהליכי התשלום. צרכנים וסוחרים רוצים מהירות תשלום (כלומר היכולת לראות עסקאות המשתקפות בחשבונותיהם תוך מספר שניות וגישה מיידית לכסף). עם זאת, הגישה המיידית של הצרכנים לכסף לא בהכרח מחייבת כי גם הסדרת הפירעון בפועל בין השחקנים בשרשרת ביצוע העסקה היא מיידית. הארגונים התומכים בתהליכי ביצוע העסקה רוצים נתוני תשלום עשירים יותר ומערכות מתקדמות כדי להבטיח גם את הסדרת הפירעון ביעילות ובמהירות האפשרית. כולם רוצים אבטחה ופרטיות. בהתאם, כל השחקנים בתעשייה חייבים לפעול להתקדמות טכנולוגית כדי להישאר רלוונטיים.

 

יד ביד עם הרגולטורים וגורמי הפיקוח

 

לגורמי הרגולציה והפיקוח יש תפקיד משמעותי במהפכת התשלומים העולמית. בתגובה לשינויים של השוק, יותר מ-30 מדינות ברחבי העולם השיקו יוזמות גדולות למודרניזציה של תשתיות התשלומים הלאומיות שלהן. בו-בזמן הרגולטורים רצו להבטיח כי שירותי התשלום המתפתחים מציעים לא רק מהירות ביצוע אלא גם שקיפות וסיכון מופחת לצרכנים ולעסקים. כתוצאה מכך הם החילו על השחקנים בשרשרת ביצוע התשלום תקני ניהול סיכונים מחמירים יותר.

 

המעורבות הרגולטורית בתחום התשלומים ניכרת גם בישראל. להלן מספר דוגמאות מרכזיות מהשנים האחרונות כפי שעולה מאתרי האינטרנט של גורמי הרגולציה השונים (משרד האוצר, רשות החדשנות, בנק ישראל וכו'):

 

  • חוק אמצעי תשלום
  • דוח של הוועדה לקידום השימוש באמצעי תשלומים מתקדמים בישראל
  • צעדים להרחבת התשתית של אמצעי התשלום האלקטרוניים
  • חוק סליקה אלקטרונית
  • חוק שירותי התשלום
  • חוק הפיקוח על שירותים פיננסיים
  • החוק להגברת התחרות ולצמצום הריכוזיות בשוק הבנקאות

 

תפקיד הביקורת הפנימית

 

ארגון המהווה חוליה בתהליך זרימת תשלומים, חשוף במהות לסיכונים רבים. כמו כן, בעת התממשות סיכון משמעותי קיימת חשיפה מוגברת לאפקט דומינו אל השחקנים האחרים המעורבים בתהליך זה, עד כדי גרימת נזק רוחבי למערכת הפיננסית (המקומית ואף הבינלאומית).

 

לפיכך, בארגונים כאלה יש חשיבות רבה לאתגור מתמשך של מנגנוני ניהול הסיכונים וקווי העסקים על ידי הביקורת הפנימית. עם זאת, קיימת שונות בהגדרת תפקידי הביקורת הפנימית והאתגרים העומדים בפניה, בהתאם למגוון פרמטרים המאפיינים את הארגון המסוים ואת  אופי פעילותו.

כך לדוגמה:

  • שוני במיקום של הארגון על פני שרשרת ביצוע העסקה, שבא לידי ביטוי בין היתר בשוני בסל השירותים שהארגון נותן, שוני בתיחום גאוגרפי של הפעילות, ושוני בהגדרת לקוחות הארגון (צרכנים פרטיים, בתי עסק, גופים פיננסיים אחרים וכו').
  • שוני בסוגי הסיכונים הגלומים בפעילות של הארגון: ארגונים שפעילות הליבה שלהם יוצרת סיכונים פיננסיים מגוונים לעומת ארגונים המהווים תשתית טכנולוגית וחשופים בעיקר לסיכונים תפעוליים.
  • שוני במערכות המידע עליהן מתבססת הפעילות: ארגונים ותיקים עם מארג מערכות מידע מדורות שונים אל מול ארגונים צעירים עם מערכות מידע חדשות ומסונכרנות היטב אחת עם השנייה.
  • גורמי פיקוח ורגולציה: ארגונים הכפופים לרגולציה פיקוחית שונה בהיקפה ו/או במהותה.

 

בישראל, שחקני המפתח בתחום התשלומים (התאגידים הבנקאיים, חברות כרטיסי האשראי וחברות שירותים משותפים) פועלים על פי הוראות המפקח על הבנקים, לרבות בנושא הביקורת הפנימית. ואכן, תפקידי הביקורת בארגונים אלו הוגדרו בהרחבה במסגרת הוראות ניהול בנקאי תקין של בנק ישראל. זאת החל מהוראה ייעודית בנושא "פונקציית ביקורת פנימית" ודרך הדגשת תפקידי הביקורת בהתייחס למגוון נושאים המטופלים בהוראות נוספות (ניהול טכנולוגיות המידע, ניהול המשכיות עסקית, ניהול הגנת הסייבר, ניהול סיכונים מחשוב ענן).

 

בנוסף, ארגונים המוגדרים כמערכת תשלומים על פי חוק מערכות תשלומים, נדרשים לפעול על פי הוראות יחידת הפיקוח על מערכות תשלומים של בנק ישראל, ומסמך עקרונות למערכות תשלומים המהוות תשתיות של השוק פיננסי. במסמך העקרונות מוצגת הגדרה מורחבת של תפקיד הביקורת הפנימית, תוך מתן דגש רב לביקורת על מנגנוני ניהול הסיכונים.

 

 

השפעת ההנחיות על תוכנית הביקורת
(ולמעשה – איך הביקורת צריכה/יכולה לסייע ולתת ערך מוסף לארגון)

 

על פי הוראת בנק ישראל באשר לתפקידי הביקורת הפנימית: "ההנהלה הבכירה תבטיח כי פונקציית הביקורת הפנימית תעודכן באופן מלא בהתפתחויות חדשות, יוזמות, מוצרים ושינויים תפעוליים כדי להבטיח שכל הסיכונים הנלווים יזוהו בשלב מוקדם".

 

על פי מסמך העקרונות למערכות תשלומים המהוות תשתית שוק פיננסי: בעת ביצוע שינויים בארגון רצוי שתהיה מעורבות פרואקטיבית של הביקורת. סקירה של הביקורת טרם הטמעת השינויים בדרך כלל תפחית את הצורך בבזבוז משאבים עודף לשיפור רטרואקטיבי של תהליכים ומערכות, ותאפשר שילוב בקרות קריטיות כחלק מתהליך התכנון הראשוני.

 

בדומה לנדרש מקברניטי הארגון, גם הביקורת הפנימית צריכה לשלוט בשפה החדשה בתחום התשלומים, לעקוב בזמן אמת אחר השינויים המהירים, ולהבין את ההשלכות המיידיות ו/או העתידיות שלהם. תוכנית העבודה של הביקורת הפנימית צריכה להתייחס לשינויים החלים בארגון ולבדיקת נושאים שבליבת התוכנית האסטרטגית של החברה.

 

 

כך לדוגמה:

  1. הביקורת צריכה להעריך האם היעדים והתוכניות העסקיות של הארגון נותנים מענה הולם לתהליכים המואצים של טרנספורמציה דיגיטלית (כלומר, שימוש בכלים טכנולוגיים במקום בכלים פיזיים מסורתיים) הן אצל הלקוחות והן אצל המתחרים, לסייע לארגון בעיצוב ובהטמעה של מסגרת שליטה ובקרה על תהליכים ומערכות דיגיטליים (כגון ליווי פרויקטים אסטרטגיים, עריכת ביקורת בזמן אמת) ולזהות הזדמנויות של הארגון במיכון תהליכי עבודה.

 

  1. ההסתכלות הביקורת צריכה להיות גם בראייה צופה פני עתיד. כך לדוגמה: קול קורא מטעם בנק ישראל ציין במפורש את האפשרות להקמת תשתית תשלומים מיידית מבוזרת (DLT). אמנם כרגע נראה שהשוק עדיין לא בשל אליה, אך לא מן הנמנע כי עם הזמן טכנולוגיות אלו יתפתחו וישתלבו גם במערכות התשתית הפיננסיות בישראל.

 

  1. הביקורת צריכה להיות ערה ולתת תשומת לב ומשאבים לנושאים המתאפיינים בזיקה מוגברת להתפתחות הטכנולוגית בעולם התשלומים, ובכלל זה: סייבר ואבטחת מידע, שימוש בפלטפורמות ענן, בנקאות בתקשורת, חדשנות בתהליכי שירות לקוחות (תוך מיקוד בחוויית לקוח) והתמודדות עם מערכות  "LEGACY".

 

 

לסיכום,

 

באופן כללי, ובעולם התשלומים בפרט, הביקורת צריכה לנצל את זמינות המידע בעידן הטכנולוגי כדי לשדרג את תהליכי הביקורת והערך המוסף הנגזר מהם. חשוב להבין כי ניתוח נתונים צריך להיות בסיס לכל מטלת ביקורת ולא רק למטלות שהוגדרו כביקורת מערכות מידע. זאת לרבות התייחסות לכל הנתונים הקיימים בתהליכים המבוקרים, איכותם ואופן ניהולם.

 

 

 

דוגמאות למונחים מקצועיים מתחום התשלומים שצריכים כבר להיות חלק מהשפה היומיומית של הביקורת ולקבל ביטוי בתוכנית העבודה שלה – ממש על קצה המזלג:

  • ארנקים דיגיטליים (Apple pay, PayPal, Google wallet, Samsung pay)
  • אפליקציות תשלום (BIT, Paybox, פייפר)
  • אבטחה ואימות צרכנים (הזדהות ביומטרית, זיהוי באמצעות קול ופנים, סורק של טביעת אצבע וכו')
  • מאפשרי תשלום (NFC, Tokenization, מודלים מבוססי ענן וכו')
  • סטנדרט הבנקאות הפתוחה – API
  • P2P
  • EMV

 

 

אודות הכותב/ת

חן דיאנה כץ

אודות הכותב/ת

לילך זילבר-טל