הערכת מהימנות נתונים
על קוצו של י'
דוחות המבוססים על נתונים יכולים לעיתים להיות מטעים, מה שעלול להוות בעיה כאשר ארגונים מסתמכים עליהם בקבלת החלטות עסקיות קריטיות. דוחות בלתי מהימנים עלולים גם לשבש את הבקרות הניהוליות השוטפות, דבר שעלול למנוע איתור או מניעה של טעויות מהותיות או של אי סדרים. לפיכך, ארגונים צריכים לוודא את הלימת הדוחות המשמשים לקבלת החלטות או לבקרות מפתח.
מבקרים פנימיים יכולים ליישם כלים וטכניקות שיטתיות כדי להבטיח את מהימנותם של דוחות מידע ונתונים.
השפעתם השלילית של נתונים בלתי מהימנים
מחקר של גרטנר מגלה שאיכות נתונים ירודה גררה הפסד ממוצע של 15 מיליון דולר לשנה לארגון. איכות נתונים ירודה הינה גם הסיבה העיקרית לכך ש-40% מכלל היוזמות העסקיות נכשלות בהשגת מטרותיהן. דוחות שאינם מהימנים יכולים להשפיע על:
- החלטות אסטרטגיות – כגון ביצוע מיזוגים ורכישות, שינוי מבנה ארגוני, התרחבות של הפעילות העסקית לאזורים חדשים, או בפיתוח מוצרים חדשים.
- החלטות תפעוליות – כגון תמחור פרויקטים, החלטות הקשורות בתקציב וקביעת סדרי עדיפויות, תחזית מכירות, ייצור, דרישות מלאי ומשאבים נדרשים.
- החלטות פיננסיות – כגון דיווח כספי, אשראי והלוואות, גביה והשקעות.
- רגולציה וציות – כגון דיני עבודה, קניין רוחני, פרטיות ורישוי תוכנה.
לעיתים השפעתם השלילית של נתונים בלתי מהימנים יכולה להגיע עד לכדי תביעות אזרחיות או פליליות, סנקציות, קנסות ופגיעה המוניטין.
הצעד הראשון : הערכת סיכונים
באופן טבעי לא ניתן לבדוק לעומק את מהימנותם של כלל הדוחות הניהוליים ודוחות הבקרה בארגון. לפיכך, הצעד הראשון הוא לבצע הערכת סיכונים אשר תקבע אילו דוחות צריך לבדוק ואיזה עומק בדיקה נדרשת. על הערכה זו לכלול סקירה של סוג הדוח, השפעת הדוח על קבלת החלטות, הערכה בנוגע לבקרות מפתח, תהליך ניהול השינויים והגבלת גישה.
באופן כללי, ניתן לסווג דוחות לשלושה סוגים: "דוחות מקור", "דוחות מותאמים" ו-"דוחות ידניים". דוחות מקור מופקים ממערכת ללא מעורבות של גורמים חיצוניים למערכת. הסיכון לטעות בדוחות אלה הוא בדרך כלל נמוך בהיבטים של שלמות ודיוק וזאת בהנחה שהנתונים שמהם מורכב הדוח עברו טיוב ובדיקות הלימה.
לא דומה הדבר ב-"דוחות מותאמים" המפותחים בהתאם לדרישות המשתמש והם בעלי סיכון גבוה יותר בהיבטים של שלמות ודיוק. דוחות ידניים נוצרים על ידי משתמש קצה ולא עברו תהליך של ניהול שינויים פורמלי. הם בדרך כלל בעלי הסיכון הגבוה ביותר.
היות שכל סוג של דוח מייצג רמת סיכון שונה, זיהוי סוג הדוח הינו חיוני להערכת מהימנותו. כל סוג דוח ידרוש בדיקות שונות.
גורמים אחרים שיש לקחת בחשבון בעת קביעת דוחות לבדיקה כוללים:
- שימוש בנתונים – האם הדוח והנתונים הכלולים בו מתייחסים להחלטות אסטרטגיות, פיננסיות, תפעוליות או רגולטוריות?
- השפעת הדוח – האם טעות בדוח תגרור סיכון פוטנציאלי אסטרטגי, פיננסי, תפעולי, או רגולטורי לארגון?
- שיקולי בקרה – האם הדוח משמש לביצוע של בקרות מפתח כדי להפחית סיכונים משמעותיים?
- ניהול שינויים – עד כמה יעיל ניהול השינויים ליצירת הדוח?
- הגבלות גישה – אילו מנגנוני הגבלת גישה, כגון סיסמה או הרשאות, קיימים?
בדיקת שלמות הנתונים
מבקרים פנימיים צריכים לזהות את סוג הדוח ולהבין את הפרמטרים המשמשים ליצירתו. פרמטר אחד לא נכון עלול להשפיע בצורה מהותית על אמינות הדוח. היות שלרוב יש מספר פרמטרים המשמשים ליצירת דוח, המבקר הפנימי צריך להבין מבעל הנתונים (DATA OWNER) מה עומד מאחורי כל אחד מהפרמטרים שעל בסיסם נבנה הדוח.
בנוסף לכך, מבקרים פנימיים צריכים לבדוק האם חריגים כלשהם הוגדרו בממשק המשתמש של היישום או ברמת הקוד. אם חריגים הוגדרו ברמת הקוד, יתכן שיידרש סיוע מהמפתחים.
מבקרים צריכים גם להיזהר מאוד שלא "ללכת על עיוור" אחר שם או כינוי הדוח. דוח רכש בשם "סך ההוצאה לספקים" יכול להציג רק הוצאות הקשורות ברכש, אבל לא את כל ההוצאות.
מבקרים פנימיים צריכים לבצע מספר בדיקות כדי לקבוע את מידת המהימנות והשלמות של דוחות:
- בדקו מתי הדוח שונה לאחרונה – בדיקת תאריך השינוי האחרון יכולה להצביע על שינויים שנעשו בדוח.
- במקרים רבים הרשאות הגישה של משתמשים מוגבלות לצפייה או שינוי של נתונים מסוימים על בסיס "Need to know" (לדוגמא: כרטיסי אשראי של לקוחות). הגבלות אלו עלולות לשבש את הדוחות המופקים ע"י משתמשים שהרשאתם מוגבלת. לפיכך, רצוי תמיד לגשת ל"בעל" המערכת.
- יש לערוך השוואת בין דוחות שונים שאמורים להציג את אותם הנתונים – היות שכל דוח בנוי עם לוגיקה שונה, זו דרך טובה לבדוק את מהימנות הדוח. השוו אותו מידע ממקורות שונים ושאלו בעלי עניין שונים את דעתם על סבירות הנתונים.
- השתמשו בשיטת "Full and False Inclusion" (שיטה בה יש לוודא כי כל מה שהיה אמור להילקח בחשבון נילקח בחשבון ולא נכלל משהו שלא היה צריך להילקח בחשבון). קחו מדגם של עסקאות שאמורות ואשר אינן אמורות להיכלל בדוח, ואמתו בהתאם.
- בדקו האם בדיקות ידניות או בדיקות מערכת כלשהן מונעות רשומות כפולות. כדי לזהות מקרים כאלה, בצעו בדיקת כפילות פשוטה אך יעילה עבור מדגם של שדות נתונים.
- בדקו שדות נתונים ריקים. נתונים חסרים הינם אינדיקציה טובה לכך שיש לבצע בדיקות נוספות.
- בעת שימוש בכלי דיווח, כגון יישום בינה עסקית, הבטיחו כי נעשה שימוש בגרסה האחרונה של היישום. שדרוגים בדרך כלל פותרים פגמים טכניים, וממשקים למחסן הנתונים יכולים להיות שונים.
בדיקת דיוק הנתונים
בבדיקת דיוק, מבקרים פנימיים צריכים להבין איזה אמצעי קלט או שיטת לכידת נתונים (Data Capture) הייתה בשימוש, שכן לכל קלט או שיטה יש רמת סיכון שונה למהימנות הנתונים: על גבי טופס נייר, על ידי משתמשים שהזינו נתונים ישירות, או על ידי מערכת. חשוב גם כי המבקרים יזהו את סוג הבקרות על הזנת הנתונים במערכת, כגון מניעת הקלדה כפולה.
פרטים נוספים שעל המבקרים לבדוק בנוגע לדיוק הנתונים כוללים:
- המשמעות של שדה נתונים – אסור למבקר הפנימי להניח, בהתבסס על תיאורי העמודות, שברור לו מהו הנתון.
- נתוני המקור של שדות מפתח – ניתן לבצע על ידי התחקות אחר נתוני המקור.
- סבירות המידע – לדוגמה, האם זה סביר כי הושכרה מכונית תמורת 2,000 דולר ללילה?
- שדות תאריך – בתבניות תאריך כפולות עלולות להשפיע על ניתוח מבוסס תאריך. לדוגמה, תאריך בדוח כגון 03/05/2019 עשוי לייצג את ה-5 במארס 2019, או ה-3 במאי 2019, זאת בהתאם לאזור הגאוגרפי של המשתמש.
סיכום הדברים: היזהרו מאמונה עיוורת בדוחות ניהוליים
נתונים לא מהימנים יכולים להשפיע לרעה על החלטות עסקיות מהותיות. במקרים רבים, ארגונים אינם מודעים לדיווחים בלתי מהימנים, וכתוצאה מכך בעלי העניין מתמודדים עם נתונים פגומים, אשר בסופו של דבר, עלולים להוביל להחלטות שגויות או לא-אופטימליות. חוסר המודעות עלול להוביל ארגונים רבים לסמוך באופן עיוור על הנתונים שלהם, וזה עלול להיגמר לעיתים באסון.
ביקורת בנושא מהימנות דוחות ניהוליים הינה הזדמנות מיוחדת למבקרים פנימיים להוסיף ערך משמעותי להנהלות ולמועצות מנהלים בארגון שעשויות למנוע נזקים מהותיים ובלתי הפיכים.
אודות הכותב/ת
דוד גברהאודות הכותב/ת
דני פרידמן
