הדחף לשינויים בביקורת הפנימית
את המאמר על הדחף לשינויים בביקורת הפנימית כתבנו לפני משבר הקורונה, על רקע התפיסה המקובלת בשנים האחרונות, ולפיה היכולת של הביקורת להסתגל ולקדם שינוי היא רכיב הכרחי לצורך ביקורת חדשנית ומתקדמת.
החשש היה דווקא מסטגנציה וחוסר מוטיבציה לבצע שינויים ושיפורים, ומחוסר רצון לצאת מאזור הנוחות שעלול לפגוע באפקטיביות הביקורת. המאמר נועד לקדם יוזמה לשינוי, גם אם הוא לא נכפה עלינו.
כולנו ידענו שהיכולת להתאים את עצמנו לשינויים וגמישות הביקורת הן חשובות. ידענו, אבל לא הבנו עד הסוף. שום דבר לא הכין אותנו למשבר הקורונה, שבה כלל העסקים במשק נקלעו למצב חירום. מרבית תשומת הלב הופנתה לשימור רציפות תפקודית, ובבנקים ניתן דגש על מתן שירות ללקוחות במוקדי שירות, בחדרי העסקאות ובסניפים. בתקופה זו נדרשה הביקורת להתאים את עצמה במהירות למצב החדש ולבחון את מקומה בעת חירום.
בתקופה זו עלו שאלות כמו האם הביקורת צריכה להמשיך בפעילותה הקלאסית, הכוללת הפקת דוחות ביקורת וניהול מעקב אחר יישום המלצותיה, או שמא היא נדרשת להתאים את פעילותה ולעבור לפעולות חשובות יותר לארגון, כגון סקירת הבקרות והאפקטיביות שלהן על רקע השינויים בתהליכי העבודה ובפעילות בתקופת המשבר.
על פי התיאוריה של המדען דניאל וולפרט, המוח דרוש אך ורק כדי לאפשר תנועה, כלומר שינוי. במחקר שבו בדק את האיצטלן, ייצור תת-ימי המנווט את דרכו באוקיינוס הגדול, הוא מצא שכאשר האיצטלן בוחר בסביבה המיטבית עבורו, הוא קובע בה את מושבו עד סוף חייו, ומוחו נעלם.
הביקורת היא אורגן חי. תפקידה הוא לספק מענה לצרכים משתנים בסביבה חיצונית משתנה ולפי דרישות של בעלי עניין שונים. היא נדרשת להיות בתנועה ולהתאים את עצמה תוך שמירה על מטרותיה ועקרונותיה. בעת משבר הקורונה נדרשה הביקורת להקפיא את פעילותה לרגע, כדי לאפשר לבנק להתמודד ולהתאושש ולחזור לפעילות באופן מותאם אחר למגבלות הקורונה.
השינויים בביקורת הפנימית לא התחילו עכשיו. במהלך עשרות שנים חוותה הביקורת שינויים רבים בסביבתה הארגונית, העסקית, הרגולטורית והטכנולוגית, כמו גם שינוי בצרכים של בעלי העניין, ובהם ההנהלה והדירקטוריון.
למרות זאת, ביצוע שינויים כחלק משגרת החיים של הביקורת בימים כתיקונם נותר אתגר, בין היתר בשל התשומות שנדרש להשקיע בשינוי, הסיכון לפגוע בקיים, והיציאה מאזור הנוחות הכרוכה בכך. לעומת זאת, השינויים בתקופת הקורונה שתוארו לעיל אומנם לא היו פשוטים, אך היו כרוכים בפחות היסוסים והתחבטויות מפני שהם נכפו מחוסר ברירה.
כדי להביא ערך אמיתי, הביקורת חייבת ללמוד את השינויים באופן מתמיד ולפעול בין היתר כ"סוכן שינוי", הן לגבי עצמה והן לגבי הארגון בכל "תנאי מזג אוויר".
במאמר זה נציין את ההיבטים העיקריים שבהם חל שינוי בביקורת הפנימית ושהביאו להתפתחותה במהלך העשורים האחרונים. הדברים נכונים לכלל הארגונים ולבנקים בפרט.
אילו שינויים חלו בביקורת בשנים האחרונות?
בעשורים האחרונים חלו שינויים מהותיים בפעילות הארגונים בענפים השונים, שינויים שמקורם בהתפתחויות רגולציה ובתקנים חדשים שפורסמו על ידי גופים מקצועיים מובילים בעולם.
בעקבות המשבר העולמי במהלך 2009-2008 חוזקו הבקרות, ובענפים מסוימים (לרבות ענף הבנקאות) ניתנה הנחיה לגיבוש מסגרת לניהול סיכונים הכוללת שלושה קווי הגנה ולהקמת מעגל בקרה שני. בנוסף נדרשה הביקורת להעריך את אפקטיביות הבקרות וניהול הסיכונים בארגון ולהתייחס לנושאים ולידע שלא נדרשה להם בעבר.
אם כן, הביקורת נאלצה להגדיר את מקומה מחדש בארגון, לחדד את גבולות הגזרה, ולקבוע ממשקי עבודה עם יחידת ניהול הסיכונים.
תקופת המשבר הנוכחי חידדה את חשיבות תפקיד הביקורת בעת הזו. לאור החשיפה ההולכת וגוברת של סיכונים שאליהם חשוף הארגון בעת משבר, כאשר יחידות עסוקות בהישרדות תוך נוכחות מצומצמת של עובדים ותחת מגבלות הקורונה, קיים צורך אמיתי בהפניית משאבים לניהול הסיכונים. לפיכך החלטנו להגביר את מעורבות הביקורת בניהול הסיכונים, בדגש על סיכוני מעילות והונאות וסיכוני סייבר. המטרה היא לוודא כי אפקטיביות הבקרות נשמרת גם במקרים שבהם חל שינוי מהותי בתהליכי העבודה או בסביבה העסקית.
המשברים שאירעו וההתפתחויות הרגולטוריות שהגיעו בעקבותיהם הביאו את הביקורת הפנימית למספר התפתחויות משמעותיות.
תפיסת הביקורת בארגון
לאורך שנות קיומה של הביקורת חל שינוי בתפיסת הביקורת בארגון ממצב של קיום ביקורת כחובה חוקית לתפיסת הביקורת כגורם חיוני המצמצם סיכונים לארגון ולגורמי הנהלה החשופים לדרישות רגולציה ולאחריות אישית.
לפיכך, קיימת חשיבות רבה לתפיסת הביקורת בארגון ולמיצובה כפונקציה משמעותית וחיונית עבור ההנהלה והדירקטוריון.
ביקורת שנתפסת כעניינית, אובייקטיבית ובלתי תלויה על ידי המבוקרים, תוכל לקיים את תפקידה טוב יותר ולהביא ערך משמעותי יותר לארגון. לצורך כך, הביקורת נדרשת להציג תמונה מאוזנת של הפעילות הנבדקת ולציין נקודות לשיפור, תוך התייחסות לפעולות מהותיות שנמצאו תקינות.
מגמה זו מתחזקת בשל הצורך במתן ציון והערכה כוללת (כפי שנדרש מהביקורת הפנימית בבנקים בהתאם להוראת ניהול בנקאי תקין 307), המחייבים הסתכלות כוללת על פעילות היחידה או הישות הנבדקת.
על מנת לספק מענה לשינויים אלה, נדרשת אבולוציה בתחומים הבאים:
פרופיל המבקר
כבר היום, על מנת לתת מענה לצורכי הביקורת, המבקר הפנימי נדרש לקשת יכולות ולכישורים רבים ומגוונים, כמו יכולת למידה וניתוח לוגי ותהליכי, תקשורת בין-אישית, יכולות כתיבה והבחנה בין עיקר לטפל, וכן ידע וניסיון בתחומים המבוקרים, כגון כספים, מערכות מידע, פעילויות מטה תומכות ועוד.
בעקבות שינויים שחלו בשנים האחרונות, מלבד סט הכישורים והיכולות הללו, המבקר נדרש גם לכישורי שליפה וניתוח נתונים, לרבות יכולות שליפה וניתוח נתונים ממספר מקורות מידע, חשיבת BI ושליטה בכלים טכנולוגיים מתקדמים לביצוע תחקורים. מגמה זו צפויה להתעצם בשנים הקרובות.
אתגרים אלה יחייבו את הביקורת לשים דגש על קליטת מבקרים המשלבים יכולות בין-אישיות המאפשרות תקשורת פתוחה ועניינית עם הגורמים בארגון, ראייה מאוזנת וחסרת משוא פנים, וידע מקצועי. בו-בזמן נדרשת הכשרת כלל המבקרים לידע בנושאים טכנולוגיים, והנגשת השימוש בכלי תחקור לכלל המבקרים ביחידה.
שיטת ביצוע הביקורת
- ביקורות בין צוותיות
יחידות הביקורת מחולקות בהתאם להתמחותן בסיכונים השונים או על פי סוג הפעילות (כגון ביקרות סניפים, מערכות מידע). על מנת לייצר תמונה כוללת של ניהול הסיכונים בנושא, עולה בשנים האחרונות הצורך בעבודה צוותית המשלבת מספר מיומנויות שונות לתוצר אחד.
מדברים יותר ויותר על עבודה בתצורת Agile. שינוי זה דורש שיתוף פעולה ותיאום תוך כדי תנועה, ויוצר אתגרים הנוגעים לתיאום זמנים, לתיאום הבדיקות, לכתיבת הדוח ועוד. כדי להתמודד עם השינוי הזה נדרשת הגדרה של שיטת עבודה עדכנית לתהליך הביקורת, והדרכת המבקרים והמנהלים לעבודה משותפת.
- כלים טכנולוגיים
סקר מוקדם שכולל איסוף חומרים לפגישה ראשונית, יהווה התחלה טובה לביקורת. אז למה צריך לשנות? אנו חיים בסביבה עתירת נתונים, ולרוב יש לנו גישה ישירה ועצמאית לנתונים שמאפשרים לנו לקבל מידע רב באמצעות זיהוי חריגים וניתוח אנומליות שיכולים להוות לידים כבר בשלב הראשון לביקורת. לשימוש בכלים טכנולוגיים יש מגוון יתרונות, ובהם:
- כיסוי רחב יותר.
- מעבר מבדיקות מדגמיות לבדיקות אוטומטיות, המאפשרות לבחון היקף גדול יותר של נתונים ואף אוכלוסייה שלמה.
- ביצוע בדיקות נתונים בכלים ממוכנים המותאמים לצורכי הביקורת, עשוי לייעל את עבודת הביקורת ולהפחית את היקף המשאבים הנדרש.
- זיהוי קשרים או אנומליות יכול לחשוף ליקויים שגם המבוקר אינו מודע להם, ושלא יעלו בשיחות או בבדיקות מדגמיות.
עם זאת, קיימות גם מגבלות לשיטה זו:
- זמן ומומחיות בביצוע שליפות ממוקדות ומדויקות לצורך הבדיקה.
- תלות בגורמי BI.
- סיכון שלא נגלה בדרך זו ליקויים שהיינו מגלים בבדיקות תיקים ובשיחות.
לפיכך, ההתמודדות עם השינוי תחייב אותנו לבצע התאמות:
- גיוס אנליסטים מומחים לשליפות נתונים. צפוי כי מספר העובדים בתחום זה יגדל משמעותית בשנים הבאות.
- כאמור, נדרשת הכשרת מבקרים לתחומי ה-BI, SQL, ו-SAS, על מנת להפחית את התלות בגורמים השולפים את הנתונים, ולשם יצירת מבקרים בעלי ידע מקצועי הכולל ידע בשליפת נתונים.
חשוב להדגיש שלצד ההיערכות לשינויים, יש לשמר את היתרונות של הביקורת המסורתית ולזכור שתקני הביקורת שלא השתנו במהותם, מהווים בסיס טוב ורלוונטי גם היום. לאור זאת, שילוב של ביקורות חדשניות באמצעות שליפות נתונים, לצד הביקורות המסורתיות לצורך קבלת מידע שלם על סיכונים בפעילות, עשוי להביא לביקורת אפקטיבית התורמת לארגון.
עם החזרה לפעילות ביקורת מסורתית בשגרת קורונה, שבה פעלו ארגונים תחת עומס, אילוצי כ"א מצומצם ומגבלות על התקהלות ושמירת מרחק, מגובשים בימים אלה עקרונות לפעילות הביקורת הפנימית בתקופת הקורונה.
מטרת הביקורת היא להמשיך בפעילות הביקורת תחת המגבלות והקשיים הקיימים, תוך נקיטת זהירות מיוחדת הנוגעת לסיכוני בריאות והשבתת יחידות.
בהתאם לזאת, תהליך הביקורת והיקף הנושאים הנבדק התחדד ודויק, ושיטת הביקורת הותאמה למציאות שבה פגישות פיזיות נדירות. ההתאמות שאליהן נדרשנו, בתחילה כאילוץ, התגלו כהזדמנות להתייעלות וחידוד דוחות הביקורת ולשדרוג היכולות ושיטות העבודה.
לסיכום, אנחנו המבקרים עוסקים בשינויים של אחרים באופן שוטף, אך האם נוכל לבחון ולהחיל את אותם עקרונות גם על עצמנו?
לאור ההתבוננות בשינויים שחווינו בתקופת הקורונה אל מול השינויים שביצענו בתקופות קודמות – הן מבחינת קצב והן מבחינת עוצמה – עולות מספר שאלות שמן הראוי לשאול את עצמנו. נזכיר שהביקורת עושה זאת באופן מובנה ופנימי כחלק מתהליך מתמשך ושוטף של שיפור איכות הביקורת, וכן באמצעות סקירה חיצונית אחת לתקופה.
