המבקר הפנימי על רקע שיבושים
"העולם שיצרנו הוא תוצר מחשבתנו, הוא לא יכול להשתנות בלי שנשנה את החשיבה שלנו"
(אלברט איינשטיין)
שיבוש מוגדר כ"קלקול, הפרעה, תקלה". לעיתים המונח מופיע כ"חדשנות משבשת" – המובילה ליצירת שוק חדש ובמקביל גורמת לשיבוש השוק הקיים (המסורתי) שלא נערך בהתאם.
לדוגמה: שיבוש הקורונה האיץ את הצורך בתקשורת מרחוק. למשל, טכנולוגיית ה-ZOOM מיושמת בכל עסק ובכל בית ואין ילד שהמילה הזאת אינה שגורה בפיו. השימוש הנרחב בכלי הזה, שלמעשה נכפה על הארגונים, תרם להמשכיות עסקית, לחיסכון ולהתייעלות. קיום ישיבות רבות משתתפים באמצעות ה-zoom מאפשר לצפות במצגות ובמקביל לנהל דיון פורה עם המשתתפים. הוא חוסך זמן ועלויות ניכרות של נסיעות בארץ ולחו"ל, ומאפשר למנהלים ולעובדים לנצל את הזמן הזה למשימות אחרות.
הקורונה החלה והעצימה שיבושים וסיכונים רפואיים-ויראליים, אך במהרה הפכה ל"סופה" של שיבושים. בין השאר היו שיבושים מדיניים, פוליטיים, טכנולוגיים, כלכליים, רגולטוריים, חברתיים, תעסוקתיים, תקשורתיים ועוד. במציאות של הכפר הגלובלי, "משק כנפי הפרפר" בסין אכן יצר טורנדו כלל עולמי.
המסקנה המערכתית: אנו בדור של שיבושים, לא חשוב מה שמם. יש להסתגל לכך ששיבושים ובהם שיבושים חיוביים (כמו פריצות דרך טכנולוגיות) הם מנת חלקנו השוטפת – היום, מחר, מחרתיים.
דוגמאות לשיבושים טכנולוגיים ולחדשנות בהווה ובעתיד הקרוב: מכוניות אוטונומיות, בינה מלאכותית, שימוש נרחב יותר בלוויינים וברחפנים, רפואה מרחוק, עבודה והוראה מרחוק, והגברת עוצמת הבינה המלאכותית, ומול כל זה עולים הסיכונים של אובדן פרטיות וכדומה.
פועל יוצא – אופן ניהול העסקים שהכרנו לא ישמש אותנו לאורך זמן. הארגונים השונים צריכים להדביק את קצב השינויים (ולא רק העסקיים) על מנת להישאר רלוונטיים. ארגונים שאינם מתחדשים עתידים לקרוס (כפי שקרה לקודאק), כאשר יזמים חדשים או קיימים יבינו איך לשפר ולפתח טכנולוגיות או עסקים יעילים יותר, המשרתים טווח רחב יותר של לקוחות. לפי מחקר שפרסם בית הספר למינהל עסקים אולין (,(Washington DC 40 חברות מרשימת ה-Fortune 500 ייעלמו בעשור הקרוב או יעברו טרנספורמציה משמעותית.
במאמר זה נציג את השפעת ה"שיבושים" על המבקר הפנימי, שצריך להמשיך לעשות את הביקורת בהתאם להוראות החוק והתקנים, אולם בפורמט חדשני, מהיר, זריז וגמיש, ובצורה ההולמת את המציאות של שיבושים חוזרים ונשנים. במילים אחרות: לשלב בין מודלים חדשים לביצוע ביקורת ואופן הצגתה, לבין הטכנולוגיה, המשאבים והמתודולוגיות, כדי לייצר ערך ולהישאר רלוונטיים בעולם משתנה.
שיבוש גורם לך להרגיש משותק, כאילו הקרקע מתחת לרגליך נשמטת, אתה מחפש פתרון מוכר מהארסנל שבתודעתך, אבל לא חושב באופן יצירתי איך להתמודד עם הסיטואציה שנוצרה בעקבות השיבוש. במצבים כאלו יש לנסות לאלתר, לצאת מהקיפאון ולהפוך את החיסרון ליתרון. אורית וולף בהרצאתה "להמציא את עצמנו מחדש" הציגה סרטון על כנר שבאמצע הקונצרט התמודד עם "שיבוש": צלצול טלפון מהקהל. ה"שיבוש" גרם לכָּנר לצאת מריכוז לכמה שניות ואז הוא החל לנגן את הנעימה של צלצול הטלפון. הקהל פרץ בצחוק, וכך הפך את השיבוש הרגעי ליתרון.
והנמשל בהקשר של ביקורת: מבקרים פנימיים צריכים להתעשת במהירות ולמצוא את הדרך להביא ערך מוסף: לערוך השוואות (BENCMARKING) ; להעמיק ב-BEST PRACTICES, לשוחח עם מקבלי החלטות ועם דרגים אחרים, ובאמצעות מידע זה לבחון את ההערכות הארגונית לשיבושים;
ו\או לנתח ולמפות באופן מזוקק סיכונים\שיבושים עתידיים ומהם לגזור מטלות לבדיקה;
ו\או להיכנס לבדיקות בתחום התרבות הארגונית – תחום חדשני הכולל סיכונים שארגונים רבים טרם העריכו את עוצמתם;
ו\או לעזור ולתמוך ולספק תובנה לארגון כיצד הוא יכול לרתום את הכוח המשבש ליתרון ולהביא ערך מוסף.
האתגר: להביא ערך – זווית ראייה שונה, לתת את "הקונטרה" הדרושה בדיונים בדירקטוריון, להעביר תובנות להנהלה דרך ניתוח שונה או ניתוח המוסיף בדבר השלכות הסיכון והמשאבים – תהליכים הדרושים לצמצמו. המטרה – שמקבלי ההחלטות בארגון יוכלו לבחור\לשקול טוב יותר אסטרטגיות להמשך הפעילות העסקית בצורה מושכלת.
מטרת העל מבחינת המבקר הפנימי – להיות מבקר חדשני העוסק לא רק בביקורת מקובלת, אלא לובש דמות של מבקר הצופה פני עתיד ופועל כיועץ באמצעות דוחותיו והמלצותיו.
בסביבת עסקים דינמית, סוגי הסיכונים, הסבירות להתרחשותם ומידת השפעתם, משתנים בתדירות גבוהה. כדי להוסיף ערך, על המבקר הפנימי לספק את תוצרי הביקורת במהירות, בדיוק ובחדות, תוך חדשנות רעיונית ותפעולית.
תובנות, הדגשים והמלצות לשינוי
- עידן הדבקוּת בתוכנית הביקורת השנתית הנוקשה – התערער. כעת הקו המוביל, תחת אישור של ועדת הביקורת, הוא זריזות ונכונות לשינויים מהירים בתוכנית ובביצועה.
- הביקורת המסורתית מפנה את מקומה לביקורת "רזה" (Lean Audit) או לביקורת זריזה-גמישה ((AGILE. זהו תהליך עבודה המאתגר את המבקר שצריך כל העת לשאול את עצמו אם הוא מספק את צורכי הלקוח ונוגע בליבת הבעיות (5-TOP), מתעלם מהטפל ומתמקד בעיקר, ונוקט את השיטה היעילה ביותר תוך חיסכון במשאבים. זהו עידן של התייעלות בלתי מתפשרת. כל עבודה שלא תומכת במדיניות זאת תתבטל מאליה.
- יש לקיים ישיבות, להפיץ שאלונים ולהתייעץ עם בעלי תפקידים האחראים על מעגל הבקרה הראשון (מנהלים ועובדי תפעול), ולאחר מכן עם בעלי התפקידים האחראים על המעגל השני (מנהל סיכונים, מנהל בקרה, מנהל ציות). יש לבצע סיעור מוחות עם כל הגורמים האלה בזמן קצר, דבר שיסייע לספק בהירות בהערכת הסיכונים ויתרום לאפקטיביות הבקרות הקיימות.
- כפועל יוצא, יש להתמקד בתחומים בעייתיים ובסיכונים מהותיים תוך צמצום הכניסה לביקורת באזורים שבהם קו ההגנה השני כבר מוליך לבקרה נאותה ולמציאות של סיכונים לא גבוהים לארגון.
- לבנות תוכנית ביקורת מוכוונת סיכונים ולא בקרות. באופן כזה ניתן לזהות סיכונים חדשים שטרם הוטמעו בגינם בקרות.
- לייעץ להפחתת הסיכונים באמצעות מתן המלצות אופרטיביות שהארגון יכול להכיל.
- להכין תוכנית ביקורת המבוססת על תחומים שבהם יש מקום להתייעלות וחיסכון.
- לדרג נושאים שעלו בסקר ובתוכנית הביקורת, להתמקד בעיקר (5-(TOP ולוותר על הטפל.
- לזהות ולנתח סיבות שורש לכל בעיה מהותית שעולה.
לשפר את אופן הצגת ממצאים בעידן של שיבושים
תמצית מנהלים קצרה וממוקדת היא שם המשחק. מדיניות Less is More"" נכונה לאמור לעיל ונכונה גם לאופן הצגת דוחות הביקורת. הקשב בעידן הזה הוא קצר, ולכן יש למקד את עיקרי הממצאים, סיבת השורש ומתן פתרונות לבעיות בדרך הקצרה והיעילה ביותר להבנה.
שימוש בכלים כמו תרשימי זרימה, גרפים, טבלאות, אלמנטים חזותיים, תמונות מהשטח (יעיל ביותר לכשלי בטיחות), הוא אפקטיבי מאוד להשגת המטרה.
חדשנות בשיטות בדיקה
- רובוטיקה –Robotic Process Automation ((RPA
אנו חיים בעידן של שינוי. אין לחשוש מזה, אלא לראות בעבודה דיגיטלית כאמצעי עזר ולא איום.
RPA הוא קוד תוכנה המבצע אוטומציה של פעולות/משימות מובנות החוזרות על עצמן, ויודע להשתמש במערכות תוכנה קיימות כדי לנצל את הבקרות הקיימות בחברה.
שימוש מרכזי ב-RPA הוא איסוף ראיות ביקורת על ידי איסוף מידע מנתונים במערכות שונות שאינן משולבות. באמצעות מידע זה ניתן לנתח נתונים במהירות ובקנה מידה גדול כדי לשפר הערכות סיכון או לספק ראיות ביקורת. כמו כן, ניתן להשתמש בכלי זה לצורך ביצוע פעולות מובנות שלא מצריכות הפעלת שיקול דעת (כגון דרישות בסיסיות למתן אשראי ללקוח).
לשימוש ב-RPA לטובת הביקורת הפנימית יש יתרונות לא מעטים:
- ניצול נכון יותר של משאבים – הפניית פעולות פשוטות ל- RPA(כמו בדיקת עמידה בנהלים טכניים) מאפשרת לאנשי הצוות להתמקד בפעילויות מורכבות יותר המצריכות ניתוח וחשיבה מעמיקה, כגון ניתוח סיבות שורש לחריגות שנמצאו, שיפור תהליכים ואינטראקציות בין אישיות.
- הגדלת היקף הביקורת, יעילות וחיסכון – שימוש ב-RPA לביצוע משימות ביקורת בקצב מואץ ומסביב לשעון יכול להביא לחיסכון משמעותי בעלויות, וכן לבדיקת אוכלוסייה מלאה במקום מדגם.
- תוצאות הביקורת מדויקות יותר – עם סטנדרטיזציה מובנית של תהליכים, רמת הדיוק באיכות הנתונים הממוחשבים גבוהה יותר מאשר בתהליכים ידניים.
- הגברת תדירות הביקורת – תוכנית הביקורת הנבנית היא מבוססת סיכונים. אם בעבר במקומות שבהם הסיכון נמוך נהגנו לערוך ביקורת בתדירות של אחת לכמה שנים, שימוש ב-RPA יאפשר ביצוע ביקורת בפרקי זמן קצרים יותר, ללא ניצול משאב של זמן או עובד, שבדרך כלל חסר בצוותי ביקורת.
כמובן, יש לתת את הדעת לכך שגם הסיכונים משתנים עם הטמעת RPA בתהליכי עבודה (כגון סיכונים טכנולוגיים, איבוד ידע, הפרדת תפקידים וכדומה).
- כניסה משמעותית לתחום הביקורת הרכה –SOFT AUDIT ועימה כניסה לבדיקות בלב התרבות הארגונית.
- בדיקות לפי מודלים (כמו מודל הבקרה – מודל COSO מודל הבשלות).
סיכום
אנו בפתחו של עידן שבו קצב הגורמים המשבשים רק יואץ. הדבר מחייב חדשנות, יצירתיות וחשיבה שונה בביקורת הפנימית. מַעבר לשימוש בטכנולוגיות מתקדמות כמו אנליטיקס ו-RPA, לצד מתודולוגיות חדשניות בתהליכי הביקורת, כמו ביקורת גמישה, זריזה ותמציתית – המנתחת טוב יותר גורמי סיבות השורש, נוגעת בעיקר ומגבשת המלצות פרגמטיות, קצרות וממוקדות ופתרון מעשי לבעיות – יביאו להעלאת הערך המוסף של המבקר לארגון. מבקר פנימי שיניע שינוי מהותי יחזק את מעמדו כמבקר-יועץ הפועל בזמן אמת ומייצרSECOND OPPINION – זווית ראייה נוספת, שונה וחדשנית.
