הערכת סיכונים בעולם שלאחר מגפה עולמית

מאת: ריק רייט | גיליון 12 - עידן של שיבושים | ספט 2020 | אין תגובות

הביקורת הפנימית חייבת לכייל מחדש את מערך ניהול הסיכונים שלה בתגובה לסביבת סיכונים שונה לחלוטין

ככל שמגפת נגיף הקורונה משנה את העולם, כך נאלצים מבקרים פנימיים להתמודד עם אותו עולם בדרכים שונות. אם לפני ההתפרצות עבדו המבקרים הפנימיים בהתאם לאותם כללי התנהגות ואותם תקנים והשתמשו בכלים דומים, כיום יש למבקרים עוד דבר במשותף: הצורך להתאים את עצמם לתנאי סיכון המשתנים בתכיפות.

הקורונה שינתה מן היסוד את פרופילי הסיכון של ארגונים רבים. הביקורת הפנימית צריכה להתאים את עבודתה לשגרה החדשה, ובו-בזמן גם לכייל את תוכנית הביקורת שלה מנקודת מבט על סיכון שונה לחלוטין.

תוכנית העבודה בסכנה

בואו נבדוק את השתלשלות האירועים. לקראת סוף שנת 2019 מבקרים פנימיים רבים כבר התחילו את תהליכי תכנון הביקורות והערכות סיכונים. עד החודשים הראשונים של שנת 2020, רוב מחלקות הביקורת הפנימית ברחבי העולם כבר בנו לפחות את השלד של תוכניות העבודה השנתית שלהם וחלקם כבר הגישו תוכניות פורמליות לוועדות הביקורת ולחברי ההנהלה. בחודשים הראשונים של שנת 2020, חלק מהמבקרים כבר התחילו לבצע את מטלות הביקורת.

הכול השתנה בחודש מרץ, כאשר נגיף הקורונה התחיל להתפשט ברחבי העולם ועסקים חוו את ההשלכות הראשוניות של צעדי הריחוק החברתי. מבחינה תפעולית, ארגונים רבים שינו את אופן התנהלותם העסקית. מבחינת ציות, במהלך ההתפרצות תעשיות שלמות קיבלו הקלות בדרישות הרגולטוריות ודרישות אחרות הושהו.

ככל שצעדים אלה התגברו, מבקרים רבים שינו באופן דרסטי את תוכנית העבודה שלהם. ארגונים נתקלו בשיבושים רבים כל כך עד שכמעט היה בלתי אפשרי לבצע חלק ממטלות הביקורת או שפשוט לא היה טעם לבצען. במסגרת סקר בזק שערך ה-IIA בחודש אפריל 2020, רוב המשיבים דיווחו שעצרו או צמצמו את ההיקף של חלק ממטלות הביקורת, וכמעט מחציתם ביטלו כליל חלק מהמטלות.

ארבעה מתוך עשרה משיבים דיווחו שנאלצו להטיל על צוותי הביקורת משימות שאינן קשורות לביקורת. משיבים אחרים דיווחו על הוצאת צוותי ביקורת לחל"ת, על צמצומי תקציבים שהובילו לעצירת עבודת הביקורת, ועל צוותי ביקורת שמבצעים רק עבודות אדמיניסטרטיביות.

תוכנית עבודת הביקורת הפנימית לאחר מגפה עולמית

תוכנית העבודה לפני המגפה הייתה מבוססת על פרדיגמת הסיכון הישנה. בעולם שלאחר המגפה, על מבקרים פנימיים ראשיים לחשוב אחרת לגבי הסיכונים העומדים בפני ארגוניהם ולבחון איך להקצות מחדש את משאבי הביקורת. להלן מספר שאלות שכדאי שמבקרים פנימיים ראשיים ישאלו במסגרת חשיבה מחדש על תוכניות הביקורת שלהם.

איך נראה המצב הנורמלי החדש בארגון? אפילו ארגונים שנפגעו בצורה מינימלית מהקורונה עוברים שינויים מערכתיים בסביבת הסיכון שלהם (ראו "שאלות למבקרים פנימיים ראשיים" בסוף כתבה זו). נזקים כבדים עלולים להיגרם למוסדות ולמערכות שעליהם נשענים ארגונים רבים, ורגולטורים, מוסדות פיננסיים ושרשראות אספקה עלולים לחוות שיבושים במשך זמן רב. לא מן הנמנע שחלקם לא ישרדו את המשבר.

האם תהליך הערכת הסיכונים שלי מספיק גמיש? השאלה הזו קריטית כאשר מבקרים פנימיים ראשיים מתחילים לקבוע סדרי עדיפויות בעניין הקצאה מחדש של משאבים כדי לטפל ברמות סיכון גבוהות יותר, הן בתחומי סיכון המסורתיים והן בתחומי סיכון חדשים ולא ידועים. הערכות סיכונים חייבות להיות גמישות ומסוגלות לנתח מצבים תוך כדי תנועה, מפני שהדינמיקה של הסיכונים עשויה להשתנות בכל עת בטווח הקרוב. על מבקרים פנימיים ראשיים לבחון תהליכי הערכות סיכונים מסורתיים ולייעל אותם.

האם לצוות שלי עדיין יש את המיומנויות הנדרשות כדי לבצע הערכות סיכונים ותוכניות ביקורת? סביר להניח שבעולם שלאחר המגפה העולמית פרופילי הסיכון ישתנו, ובחלק מהארגונים – באופן דרמטי. מבקרים פנימיים ראשיים צריכים להעריך את כישורי הצוותים שלהם ואת היכולת של מחלקת הביקורת הפנימית לזהות סיכונים ולבצע משימות ביקורת שמתמקדות בסוגים חדשים של סיכונים. עליהם להתייחס לשאלות כגון:

  • איך השתנה הצוות במחלקת הביקורת הפנימית?
  • האם רמת המקצועיות בקרב העובדים השתנתה והאם חלו שינויים בכישורים?
  • האם נדרשים כישורים חדשים כתוצאה מהשינויים בפרופיל הסיכון של הארגון?

האם לצוות שלי עדיין יש דפוס חשיבה אובייקטיבי? זמנים חסרי תקדים דורשים אמצעים חסרי תקדים, ובמהלך מצב החירום מבקרים פנימיים רבים נקראו לבצע מטלות שלעולם לא העלו על דעתם שיבצעו. מבקרים פנימיים ראשיים צריכים לבחון את האובייקטיביות של צוותיהם, ולבדוק אם מבקרים עסקו בפעילויות שלא קשורות לביקורת פנימית בתוך העסק, או שביצעו פעילויות שבמצב נורמלי היו נחשבות כמנוגדות לסטנדרטים המקצועיים.

עולם חדש של סיכונים

העולם שונה עכשיו והסיכונים שונים. על מבקרים פנימיים לכייל את נקודת המבט שלהם על הסיכונים הטבועים העומדים בפני ארגוניהם עכשיו, כשתקופת ההתאוששות מתחילה.

מעבר חד מתקופה לתקופה אינו תופעה חדשה, אך הקורונה מנחיתה פגיעה בקנה מידה גלובלי ובעוצמה חזקה יותר מכל אירוע אחר שחוו רוב המבקרים אי פעם. יכולת התגובה של הביקורת הפנימית היא חיונית לא רק למידת התאוששות הארגונים שמשרתת הביקורת, אלא גם לאופן שבו הביקורת הפנימית מתאימה את עצמה מחדש לצרכים של בעלי העניין שלה.

שאלות למבקרים פנימיים ראשיים

על מנת להעריך את המצב בארגונם במהלך משבר הקורונה, כדאי שמבקרים פנימיים ראשיים ישאלו את השאלות הבאות:

  • איך נראית מצבת כוח האדם בארגון כעת? האם בוצעו צמצומים או ארגון מחדש?
  • האם בעלי העניין העיקריים השתנו? האם צפויים להיות לנו מבוקרים חדשים?
  • האם צמצומים בכוח האדם או ארגון מחדש השפיעו על אופן הביצוע של בקרות פנימיות? האם יש צורך לבחון בעיות חדשות של הפרדת תפקידים או של בקרות שכבר אין מישהו שאחראי עליהן?
  • אילו תהליכים השתנו באופן זמני או קבוע?
  • אילו מערכות עברו התאמות זמניות או שונו באופן קבוע? האם במהלך ביצוע שינוים אלה בוצעו בקרות IT ראויות? אם לא, מהן ההשלכות לכך?
  • אילו בקרות שונו כדי להתאימן למצבים עסקיים או לסיכונים יוצאי דופן?
  • האם חלו שינויים בתפקידי מפתח, כגון אובדן של מומחיות בתחום ספציפי או אובדן של מנהלים המובילים תחומים אסטרטגיים?
  • האם הארגון שינה את המיקוד האסטרטגי שלו בטווח הקצר או הארוך?
  • האם השתנו מבני העלויות?
  • האם התרחשו שינויים יסודיים במבני החוב וההון של הארגון? האם חלות אמות מידה פיננסיות חדשות או שונות?
  • אילו אתגרים משפטיים או אתגרי ציות עומדים בפני הארגון (חשיפות לתביעות או שינויים בתשתית הציות)?
  • האם צמחו הזדמנויות עסקיות חדשות? אם כן, האם זוהו הסיכונים הנלווים?
  • האם השתנו יסודות הפעילות של היחידות עסקיות או האסטרטגיה שלהן?
  • איך השתנתה הדינמיקה של ההמשכיות העסקית (שינויים בתשתיות מרכזיות, שינויים בלקוחות עיקריים)?
  • איך השתנתה הדינמיקה של ניהול סיכונים עסקיים (סיכונים מרכזיים, מדדי סיכונים מרכזיים, תוכניות תגובה, תיאבון סיכון)?
  • איך השתנתה הדינמיקה של החוק האמריקאי סרבנס-אוקסלי משנת 2002, לרבות שינויים מול מבקרים חיצוניים, הדינמיקה הרגולטורית, ושינויים בגורמים האחראים על בקרות?

אודות הכותב/ת

ריק רייט