הביקורת הפנימית וניהול הסיכונים בארגון – היכן עובר הגבול?

מבוא

בעשורים האחרונים המורכבות בעולם העסקי מושפעת מגישת ניהול סיכונים, לפיה התממשות סיכונים עלולה לפגום בפעילותו השוטפת של הארגון עד כדי מצב של פגיעה בהשגת יעדיו.

במקביל לסטנדרטים שנקבעו על ידי רגולציות שונות (כגון באזל 2), המעודדים יישום של תהליכי ניהול סיכונים בארגון, התפתחה בארגונים נורמה של בחינה מעמיקה יותר של ניהול הסיכונים כחלק מהממשל התאגידי.

כחלק מהתפתחות זו, טבעי שעבודתם של מבקרים פנימיים, העוסקים בסיכונים במהלך עבודתם השוטפת, תושפע מניהול הסיכונים בארגון ותשפיע עליו.

מעורבות בתהליך יישום ניהול סיכונים בארגון עשויה להיות מאתגרת עבור מבקרים פנימיים, אך אלו בעלי רמות המיומנות והניסיון המתאימות, יכולים לעורר את המודעות והחשיבות לנושא בקרב הנהלת הארגון, למלא תפקיד מפתח ולהיות חלק מתהליך היישום תוך הוספת ערך משמעותי.

מבקר פנימי המבקש להוסיף ערך לארגון בתחום זה צריך לעשות זאת בזהירות יתרה ובכפוף לתקנים מקצועיים.

במאמר זה נדון בפעילויות שמבקר הפנים יכול ורצוי שיהיה מעורב בהן כחלק מתהליך ניהול הסיכונים בארגון, בפעילויות לגיטימיות, ובפעילויות שעל המבקר הפנימי להימנע מהן.

ניהול סיכונים כולל בתאגיד (Enterprise-wide Risk Management – ERM)

ניהול סיכונים כולל הוא תהליך ארגוני שוטף הכולל זיהוי, הערכה, החלטה, תגובה ודיווח, בכל הנוגע להזדמנויות ואיומים העלולים להשפיע על השגת יעדי הארגון.

 לתהליך זה יתרונות רבים, ובהם היכולת להביא תרומה משמעותית לארגון לצורך השגת יעדיו. לדוגמה:

• סבירות גבוהה יותר להשגת מטרות הארגון.
• שיפור היכולת לאתר סיכוני מפתח והבנת ההשלכות הרחבות שלהם.
• זיהוי ושיתוף של סיכונים חוצי ארגון.
• התמקדות גדולה יותר של ההנהלה בנושאים מהותיים.
• אפשרות לצפות מראש משברים ובכך להימנע מהם.
• שיפור סביבת הבקרה של הארגון.

תהליך זה מקיף פעילויות רבות של זיהוי, הערכה, דירוג וניטור של סיכונים, לרבות:

• קביעת ה"תיאבון לסיכון" (Risk Appetite) של הארגון.
• הקמת מודל ניהול סיכונים.
• זיהוי איומים פוטנציאליים להשגת יעדי הארגון.
• הערכת הסיכון (השפעת האיום והסיכוי להתממשותו) – ההשפעה ((Impact והסבירות (Likelihood) של האיום.
• בחירת התגובות לסיכונים.
• יישום בקרות וטיפול בסיכונים.
• העברת מידע בנוגע לסיכונים באופן עקבי בכל שכבות הארגון.
• ניטור ותיאום של תהליכי ניהול הסיכונים ותוצריו.
• בדיקת והבטחת האפקטיביות של ניהול הסיכונים.

 האחריות על ניהול הסיכונים נתונה בידי ההנהלה הבכירה. בשנים האחרונות הורחבה אחריותם של חברי הדירקטוריון בנושא, וכיום מצופה מהדירקטוריון לוודא כי סיכונים בארגון מנוהלים. בפועל, הדירקטוריון בדרך כלל מסמיך את הנהלת הארגון לביצוע ניהול הסיכונים, וכך האחריות לזיהוי הסיכונים וניהולם היא של ההנהלה.

ישנם ארגונים, בייחוד במגזר הפיננסי, שבהם קיימת פונקציה בעלת ידע מקצועי בארגון שתפקידה לתאם ולנהל את מגוון פעילויות ניהול הסיכונים.

מעורבות הביקורת הפנימית בתהליך ניהול סיכונים

לאור החשיבות הרבה של תהליך ניהול הסיכונים בארגון, נבחן האם וכיצד יכולה הביקורת הפנימית להוסיף ערך כחלק מתהליך זה.

ככלל, הביקורת הפנימית היא פעילות עצמאית, "בלתי תלויה ואובייקטיבית של הבטחה (Assurance) וייעוץ (הגדרת הביקורת הפנימית, IPPF). נראה כי אין מחלוקת לגבי פעילויות הביקורת הפנימית המותרות והרצויות כחלק מניהול סיכונים, ובעיקרן לספק לדירקטוריון הבטחה בנוגע לאפקטיביות ניהול הסיכונים (הבטחה שהסיכונים העיקריים מנוהלים באופן הולם ומספקים ביטחון שניהול הסיכונים ומסגרת הבקרה הפנימית פועלים באופן אפקטיבי). פעילויות אלו מייצגות תהליכי ליבה של הביקורת הפנימית עבור תהליך ניהול סיכונים.

תקן 2120 של לשכת המבקרים הפנימיים העולמית (IIA) בנושא ניהול סיכונים קובע כי: "הביקורת הפנימית חייבת להעריך את האפקטיביות, ולתרום לשיפור תהליכי ניהול סיכונים". על פי הביאור לתקן, קביעה אם תהליכי ניהול סיכונים הם אפקטיביים, היא שיפוט הנובע מהערכת מבקרים פנימיים כאשר:

• סיכונים משמעותיים מזוהים ומוערכים (בהתבסס על יעדי הארגון).
• תגובות הולמות לסיכונים נבחרות בהתאמה ל"תיאבון הארגון לסיכון".
• מידע רלוונטי אודות סיכונים נקלט ומדווח במועד בארגון, כדי לאפשר לצוות העובדים, להנהלה ולדירקטוריון לממש את תחומי האחריות שלהם.

כמו כן, התקנים הבאים מוסיפים עוד נדבכים לפעילויות המבקר הקשורות בניהול סיכונים:

• על פי תקן A1 הביקורת הפנימית חייבת להעריך חשיפות לסיכונים הקשורים לממשל תאגידי, פעילויות ומערכות מידע של הארגון, בנוגע ל:
• השגת המטרות האסטרטגיות של הארגון.
• אמינות ושלמות המידע הכספי והתפעולי.
• אפקטיביות ויעילות הפעולות והתכניות.
• שמירה על נכסים.
• עמידה בדרישות חוקים, תקנות, מדיניות, נהלים והסכמים.
• על פי תקן A2, הביקורת הפנימית חייבת להעריך את הפוטנציאל להתרחשות הונאה וכיצד הארגון מנהל סיכוני הונאה.
• תקן 2600 קובע כי כאשר המבקר הפנימי הראשי מסיק שההנהלה השלימה עם רמה מסוימת של סיכון, שעלול להיות בלתי-מקובל על הארגון, חובה עליו לשוחח על כך עם ההנהלה הבכירה. אם המבקר הפנימי הראשי מסיק כי הסוגיה לא נפתרה, המבקר הפנימי הראשי חייב לדווח על הסוגיה לדירקטוריון.

לאור האמור לעיל, ניתן לראות כי הגורמים העיקריים שיש להביא בחשבון בבואנו לקבוע את מעורבות הביקורת הפנימית בפעילות הם:

1. האם הפעילות מאיימת על העצמאות והאובייקטיביות של הביקורת הפנימית?
2. האם הביקורת הפנימית עשויה לשפר את תהליכי ניהול הסיכונים הארגוני, הבקרה והממשל התאגידי?

נדגיש כי היקף פעילות הייעוץ המבוצעת על ידי הביקורת הפנימית חייבת להיקבע בכתב האמנה של הביקורת הפנימית (Charter) על פי תקן 1000.C1 של לשכת המבקרים הפנימיים העולמית, וכן יש להגביל את פעילויות הייעוץ רק לכאלה שלביקורת הפנימית יש מומחיות בהן במשאבים הקיימים. תקן 1210.C1 קובע כי המבקר הפנימי חייב לסרב לפעילות ייעוץ או להשיג את המומחיות הנדרשת בהיעדר ידע וכישורים הדרושים לביצוע פעילות הייעוץ או חלקים ממנה.

כמו כן, על פי תקן 1130.C2, אם קיימת אפשרות לפגיעה באי-תלות או באובייקטיביות של המבקרים הפנימיים, הקשורות לשירותי הייעוץ המוצעים, חובה לתת על כך גילוי לפני קבלת מטלת הייעוץ.

אין לקבל מטלות ייעוץ רק מכיוון שההנהלה מבקשת זאת. המטלה חייבת להיות רלוונטית ומתוכננת. התקנים הבאים קובעים הוראות בנוגע למטלות ייעוץ:

• תקן C1 קובע כי ראוי שהמבקר הפנימי הראשי ישקול לבצע מטלות ייעוץ המבוססות על הפוטנציאל לשיפור ניהול הסיכונים, להוספת ערך לארגון ולשיפור פעולתו. מטלות הייעוץ שהתקבלו חייבות להיכלל בתכנית העבודה המאושרת על ידי ועדת הביקורת.
• תקן C1 קובע כי מטרות מטלת הייעוץ חייבות להתייחס לתהליכי הממשל התאגידי, ניהול הסיכונים, והבקרה במידה המוסכמת עם הלקוח.
• תקן C2 קובע כי מטרות מטלת הייעוץ חייבות להיות עקביות עם האסטרטגיות, המטרות וערכי הארגון.
• תקן C1 קובע כי במהלך ביצוע מטלת ייעוץ, מבקרים פנימיים חייבים להבטיח כי היקף מטלת הייעוץ מספק כדי לעמוד במטרות שעליהן הוסכם. אם מבקרים פנימיים מפתחים הסתייגות בנוגע להיקף המטלה במהלכה, חובה עליהם לדון עם הלקוח אודות הסתייגויות אלה, כדי לקבוע אם להמשיך בביצוע מטלת הייעוץ.

בנוסף, תקן 2120.C3 קובע כי בעת סיוע להנהלה במיסוד או בשיפור תהליכי ניהול סיכונים, מבקרים פנימיים חייבים להימנע מלקחת על עצמם אחריות ניהולית על ידי ניהול הסיכונים בפועל.

התרשים הבא (להלן – "המניפה") לקוח מתוך נייר עמדה שפורסם על ידי לשכת המבקרים הפנימיים העולמית. הוא מתאר את מגוון פעילויות ניהול הסיכונים התאגידי ומציין אלו פעילויות רצוי שיבוצעו על ידי הביקורת הפנימית, כאלה שהן לגיטימיות לביצוע על ידי הביקורת הפנימית וכאלה שרצוי כי הביקורת הפנימית לא תבצע:

מקור: IIA Position Paper: The Role Of Internal Auditing in Enterprise-Wide Risk Management, IIA The Institute of Internal Auditors, January 2009. תרגום: עו"ד אלון קוחלני

הפעילויות בצד שמאל של ה"מניפה" הן פעילויות הבטחה. פעילות ביקורת פנימית העומדת בתקנים הבינלאומיים, צריכה לבצע לפחות חלק מהפעילויות האלו.

הפעילויות במרכז התרשים הן פעילויות ייעוץ העשויות לשפר את הממשל התאגידי, ניהול הסיכונים, ותהליכי הבקרה בארגון. פעילויות אלו הן לגיטימיות בכפוף לאמצעי זהירות מקצועיים. בעוד נייר העמדה מתאר אמצעי זהירות שיש לנקוט, פעילויות אלו מתמקדות באי לקיחת החלטות ניהוליות. מעורבות הביקורת הפנימית בפעילויות אלו עשויות להוסיף ערך לארגון.

לבסוף, הפעילויות בצד ימין הן כאלה שרצוי כי הביקורת הפנימית לא תיקח על עצמה מכיוון שהן באחריות ההנהלה ועלולות לפגוע באופן ברור בעצמאות ובאובייקטיביות הביקורת הפנימית.

נציין כי כאשר בשלות תהליך ניהול הסיכונים בארגון גדלה וניהול הסיכונים הופך להיות מוטבע יותר בפעילות העסקית, תפקיד הביקורת הפנימית בניהול הסיכונים התאגידי עשוי וצריך להצטמצם. באותו אופן, אם ארגון מעסיק את שירותיו של מומחה לניהול סיכונים או פונקציה שכזו, סביר כי הביקורת הפנימית תיתן ערך על ידי התמקדות בתפקיד ההבטחה שלה, מאשר ביצוע של פעילויות ייעוץ.

בתחומים שבחלקה האמצעי של ה"מניפה" טמון לדעתנו הערך המוסף של הביקורת הפנימית – בכפוף לזהירות הראויה, כדלקמן:

• סיוע בזיהוי ובהערכת הסיכונים

הכוונה במילה "סיוע" (Facilitation) היא לאפשר/לקדם את התרחשותו.

מבקרי פנים יכולים ליישם את מומחיותם וכישרונם כדי לספק ייעוץ מועיל להנהלה בנוגע לזיהוי והערכה של סיכונים. סיוע זה יכול להיעשות לדוגמה על ידי השתתפות בסדנת סיכונים (סיעור מוחות), באמצעות מתן משובים על מטריצת תעדוף הסיכונים של ההנהלה, באמצעות סקירה של ממצאי ביקורת מהותיים שמומלץ להנהלה לקחת בחשבון בעת התהליך, ועוד. על הביקורת הפנימית להקפיד כי במהלך הסיוע להנהלה היא לא הופכת לגורם המנחה את ההנהלה באילו סיכונים להתמקד ובקביעת התיאבון לסיכון, כדי שלא ליטול את האחריות מההנהלה.

• הדרכת/אימון ההנהלה להגיב לסיכונים

אימון משמעו נקיטת פעולות שונות, ובהן סדנאות הדמיה, כדי לאמן ולהכין את ההנהלה למצבי סיכון שונים, ובכך להבטיח את ההמשכיות העסקית של הארגון. במילים אחרות, אימון נועד לשפר את יכולת ההנהלה להגיב באופן אפקטיבי לסיכון, כדי שההנהלה תוכל להתמודד טוב יותר עם סיכונים ולקבל החלטות מושכלות בתכנון וביישום התגובות לסיכונים. האימון יכול להתמקד בבקרות ספציפיות כאשר מזוהות חולשות מסוימות. לחילופין, אימון יכול להיות כללי יותר, במטרה לבנות הבנה רחבה של הסיכונים והחלופות לתגובה אליהם. המטרה באימון היא ליצור תנאים שבהם הנהלה עושה שימוש מושכל בידע ובכישורים שנרכשו.

למבקרים הפנימיים יש יתרונות רבים היכולים לסייע לאימון ההנהלה במוכנות ובתגובה לסיכון, וזאת מכיוון ש:

• המבקרים הפנימיים מכירים ומבינים את הארגון.
• המבקרים הפנימיים מומחים בממשל, סיכון ובקרה.
• האינטראקציה של המבקרים הפנימיים עם אנשי הארגון כרוכה לעתים קרובות באימון והדרכה.
• תיאום פעילויות ניהול סיכונים

לא כל הארגונים מיישמים פרקטיקה לניהול סיכונים כולל. המבקרים הפנימיים יכולים לסייע להנהלה בתיאום פעילויות ניהול סיכונים, כדי לשפר את העקביות, האפקטיביות והיעילות שלהן.

כדי לנהוג באופן עקבי, סביר כי המבקרים הפנימיים יהיו מעורבים בתיאום נושאים בניהול סיכונים, לדוגמה:

• סקירת מסמכים הקשורים לניהול סיכונים כדי לזהות האם הארגון כולו משתמש באותם מונחים והגדרות.
• פגישות עם מנהלים כדי להגביר את המודעות שלהם לאחריותם, לשימוש בנוהלי ניהול סיכונים, ואת הבנתם באשר לסובלנות לסיכון.
• החלטה על לוחות זמנים של סקירת סיכונים, הכנת רשימת סיכונים ועדכונם. 

• דיווחים מאוחדים על הסיכונים

בעלי עניין רבים (מתוך הארגון ומחוצה לו) סומכים על אפקטיביות הדיווחים. היכולת לאחד דיווחים תחת מערכת מובנית אחת, נשענת על תיאום אפקטיבי של פעילויות ניהול סיכונים וזיהוי קהל היעד לדיווח ודרישותיו.

אחד מתפקידי המפתח של מנהל הסיכונים הראשי (CRO) הוא לאחד דיווחים שונים לדוח אחד המציג את כל הסיכונים שאליהם הארגון החשוף. בהיעדר מנהל סיכונים ראשי, מבקר הפנים יכול להתבקש לקחת על עצמו תפקיד זה.

• תחזוקה ופיתוח של מסגרת ניהול הסיכונים

לתחזק מסגרת ניהול סיכונים משמעו לקיים פרקטיקה מתפקדת לניהול סיכונים, על ידי בדיקה כי רכיבי המודל פועלים כראוי וכי החריגים מדווחים להנהלה. פיתוח המסגרת דורש ניתוח של המצב הקיים, הסכמה לגבי השיפורים הנדרשים, והצעת תכנית להנהלה ליישום השינויים הנדרשים. בקשה לייעוץ שכזה צריכה להיות לפרק זמן מוגבל בלבד, ובסיומו על ההנהלה ליטול אחריות מלאה.

• תמיכה בהקמת ניהול סיכונים

המבקרים הפנימיים, כסוכני שינוי בארגון, מעודדים את ההנהלה, באמצעות המלצות, להגביר את בשלות תהליכי ניהול הסיכונים. גם הביקורת הפנימית עצמה "נהנית" ממסגרת ניהול סיכונים מפותחת.

• פיתוח אסטרטגיית ניהול סיכונים לאישור הדירקטוריון

הדירקטוריון אחראי לוודא כי ניהול הסיכונים קיים ולאשר את האסטרטגיה. הביקורת הפנימית יכולה לסייע בניסוח אסטרטגיית ניהול סיכונים. הביקורת הפנימית יכולה לסייע להנהלה בפיתוח גישה לניהול סיכונים, תהליכים ונהלים. מעורבות כזו בהקמת האסטרטגיה היא דרך להגביר את ההבנה ולקדם את חשיבות הנושא.

אמצעי זהירות

מבקר פנימי המבקש לעזור להנהלה להקים או לשפר תהליכי ניהול סיכונים, חייב לנקוט משנה זהירות כדי לא להפר את אי התלות. תכנית העבודה תכלול מדיניות ברורה ולוח זמנים מסודר להעברת האחריות על מקטעים בתהליך ניהול הסיכונים שהובילה הביקורת הפנימית לזמן קצוב עד למיסודם על ידי ההנהלה.

כדי להבטיח כי מעורבותה של הביקורת הפנימית בניהול הסיכונים התאגידי אינה פוגעת באי-תלות, מומלץ לנקוט את אמצעי הזהירות הבאים:

• יש להבהיר כי תהיה מעורבות של הביקורת הפנימית אשר תהיה, ההנהלה היא זו שנשארת אחראית לניהול הסיכונים.
• אחריות המבקר הפנימי צריכה להיות מתועדת בכתב האמנה של הביקורת הפנימית ומאושרת על ידי הדירקטוריון.
• הביקורת הפנימית לא תנהל עבור ההנהלה סיכונים.
• ביקורת פנימית צריכה לספק ייעוץ להנהלה כדי לסייע לה לקבל החלטות, בניגוד לקבלת החלטות בניהול סיכונים במקום ההנהלה.
• הביקורת הפנימית לא יכולה, בנוסף על פעילות הייעוץ, לתת הבטחה אובייקטיבית על כל חלק של מסגרת ניהול סיכונים תאגידי שייעצה בו. במקרים כאלה ההבטחה צריכה להינתן על ידי גורם מתאים אחר.

כישורים וידע

יש להגביל את פעילויות הייעוץ רק לכאלה שלביקורת הפנימית יש את הכישורים המתאימים והידע בהן. ללא אלה, המבקר הפנימי חייב לסרב לפעילות ייעוץ או להשיג את המומחיות הנדרשת בהיעדר ידע וכישורים הנדרשים לביצוע פעילות הייעוץ או חלק ממנה. 

סיכום

בעשורים האחרונים המורכבות בעולם העסקי מתגברת. עובדה זו שמה במוקד את הסיכונים שעלולים לפגוע ביעדי הארגון ולפגום בפעילותו. במקביל לרוח הגבית מכיוון הרגולציה, שמחייבת ומעודדת יישום של תהליך ניהול סיכונים בארגון, גוברת חשיבות ניהול הסיכונים לארגון.

כחלק מתפקידי הליבה של המבקר הפנימי בניהול הסיכונים התאגידי, הביקורת הפנימית צריכה לספק הבטחה להנהלה ולדירקטוריון על אפקטיביות ניהול הסיכונים. כאשר הביקורת הפנימית מרחיבה את פעילותה מעבר לתפקיד ליבה זה, יש לנקוט אמצעי זהירות על פי התקנים הבינלאומיים. כך הביקורת הפנימית תגן על עצמאותה ועל האובייקטיביות שלה.

בתוך אילוצים אלו, תרומתה של הביקורת הפנימית היא בהוספת הערך ושיפור הבקרה הפנימית. כמו כן, המבקר הפנימי יכול לנצל את הידע הרב שצבר על התהליכים בארגון כדי לסייע בשיפור תהליך ניהול הסיכונים.

מבקרים פנימיים שיבחרו שלא להיות מעורבים בתהליך ניהול הסיכונים עלולים להחמיץ הזדמנות להוסיף ערך לארגון ולפתח קשר חזק יותר עם הדירקטוריון.

ביבליוגרפיה

התקנים המקצועיים הבינלאומיים של לשכת המבקרים הפנימיים העולמית (IIA), מהדורת יולי 2015, איגוד המבקרים הפנימיים בישראל (www.theiia.org.il)

IIA Position Paper: The Role of Internal Auditing in Enterprise-Wide Risk Management, The Institute of Internal Auditors (IIA), January 2009

Internal Auditing’s Role in Risk Management, The Institute of Internal Auditors Research Foundation (IIARF) White Paper, March 2011

קוחלני, א', ביקורת פנימית מבוססת סיכונים – ניהול סיכונים ככלי לעריכת ביקורת פנימית, , 2012

CRMA (Certification in Risk Management Assurance), Exam Study Guide, The Institute of Internal Auditors Research Foundation (IIARF), 1^st Edition

Internal Audit Involvement in Enterprise Risk Management, Griffith Business School Discussion Paper, Laura de Zwaan, Jenny Stewart and Nava Subramaniam, 2009

אודות הכותב/ת

אורי גלאור

רו"ח, MBA ,CRM

אודות הכותב/ת

דרור בר משה

רו"ח, CRISC ,CISA ,CRMA ,LLM ,CIA
סגן מבקר ראשי, אמדוקס

[email protected]