חמש מגמות שיעצבו את המקצוע: סיכונים תנודתיים, ציות, דרישות בעלי עניין, סיכון טכנולוגיה, הכשרת מבקרים

בעולם רצוף בשינויים תמידיים, קשה לחזות את העתיד. עם זאת, בהסתכלות רחבה על עולם הביקורת הפנימית אפשר לזהות מגמות ברורות שעמן מבקרים פנימיים יצטרכו להתמודד ב-10-5 השנים הקרובות: סביבת סיכונים תנודתית, בחינה גוברת אל מול רגולציה, ציפיות גוברות של בעלי העניין, סיכוני טכנולוגיה מורכבים ותחרות על הכישרונות הגדולים במקצוע הביקורת.

ייתכן שלמבקרים לא תהיה היכולת לחזות בדיוק כיצד חמש המגמות האלו יתפתחו בטווח הרחוק, אך מעקב אחר התפתחותן כיום יכול לסייע לביקורת הפנימית ולארגון להתכונן לקראת העתיד. כתב העת "Internal Auditor" ביקש מ- מובילים במקצוע הביקורת בעולם לדון בכל אחת מהמגמות האלו, וכן בשאלה מה צריכים המבקרים הפנימיים לעשות על מנת לספק ביטחון וייעוץ בנושאים אלה בשנים הבאות.

עולם של סיכונים תנודתיים

לוסי אליוט, ACA, דירקטורית, ביקורת פנימית והערכה, הארגון לשיתוף פעולה ולפיתוח כלכלי (OECD)

מהירות השינוי בעולם גוברת; השינויים הם מהירים ולפעמים גם מפתיעים. התנודתיות, הרב-תחומיות והמורכבות של סביבת הסיכונים שבה עוסקים המבקרים מתגברות בצורה מתמדת. לדוגמה, משבר המהגרים הנוכחי באירופה משליך על מדיניות ציבורית וכן על המגזר הפרטי, ומשפיע גם על שירותים, שווקים וביטחון מקומיים ולאומיים – ממדים מרובים שעלולים להוביל לסיכוני ביקורת באירופה ומחוצה לה.

דוגמה נוספת היא המעבר לכלכלה דלת-פחמן, שעשויה להשפיע על מודלים עסקיים ורווחיות, ולהוביל לשינוי של פרופיל הסיכון בשנים הבאות. יותר מזה, טכנולוגיות חדישות מאיימות על שווקים קיימים  ויכולות להוביל לסיכונים עסקיים אמיתיים ומידיים כגון תחרות חדשה דרך כלכלת השיתוף, כפי שחברת אובר מאתגרת את שוק שירותי המוניות המסורתי.

אם מבקרים פנימיים רוצים להיות רלוונטיים, עליהם להצליח להישאר בקצב של השינויים ולהתמודד עם הדרישות של הסיכונים המשתנים. מבקרים פנימיים אינם יכולים להרשות לעצמם יותר לשקוע באזור הנוחות של עבודת ביקורת צפויה, מחזורית, אולי אף משעממת, ובעלת תוצאות שניתן פחות או יותר לצפות אותן מראש. כעת הם עומדים בפני סביבה לא ודאית של סיכונים, שבה הביקורות ילכו ויהיו מאתגרות, מעניינות ורבות השפעה יותר, כל עוד הם יבינו לעומק את סביבת הסיכונים.

בעולם של היום, סיכונים משתנים מהר יותר מאשר תכנית העבודה של הביקורת הפנימית. לעתים הסיכונים אף משתנים במהלך מטלת הביקורת עצמה ומשפיעים הן על הביקורת הפנימית והן על הלקוח. על המבקר לנתח ולהבין סיכונים חדשים ולתקשר אותם בצורה רגישה, וכן לנהל את ההבחנה בין עבודת ביקורת לייעוץ, הבחנה שהולכת ומיטשטשת ככל שהסיכונים משתנים. על התכניות ולוחות הזמנים לביקורת להיות מותאמים למצב החדש, וכך גם המבקרים, שיזדקקו לכישורים שיאפשרו להם לשלב תובנות מתחומים אחרים, לתקשר עם אחרים ברמה טובה, להביא למודעות חוצת מגזרים ולהקשיב. בנוסף, על המבקרים להישמר מפני "נוקשות אינטלקטואלית", שבמסגרתה אין למבקר את היכולת לחשוב על סיכונים מחוץ לתבונה המקובלת של הלקוח, ולערוך חשיבה קבוצתית בצוות הביקורת.

על מנת להבין את סביבת הסיכונים החדשה הזו, מבקרים פנימיים צריכים להטיל ספק בשיטות   ובתובנות ביקורת קונבנציונליות ולחשוב באופן מתמשך לגבי העתיד. לדוגמה, פיתוח הסתכלות אסטרטגית לעתיד יסייע למבקרים פנימיים לבחון מצבים עתידיים אפשריים שונים, לשמור על פתיחות ביחס לתמונה הגדולה, ולגבש הבנה טובה יותר לגבי אתגרים מורכבים בטווח הארוך. המבקרים צריכים לקחת בעצמם סיכונים באמצעות שימוש בגישות חדשות לניהול סיכונים, עדכון המסגרת הניתוחית שלהם, ובחינת דרכים, שיטות וסוגיות חדשות. כך, הסיכונים שנוטלים המבקרים יקצרו פירות. הם ישלבו בעבודה היומיומית שלהם חשיבה חדשנית ויקדמו את מדיניות ומחקר הביקורת שלהם באמצעות ניסוי וטעייה.

נכון שעבור מבקרים מסוימים, קבלת התנודתיות של סביבת הסיכונים יכולה ליצור אי נוחות. אך אם מבקרים פנימיים לא יעדכנו את דפוסי החשיבה שלהם, יבינו את העתיד, ינתחו את ההשפעה על פונקציית הביקורת הפנימית והלקוח ויתאימו את עצמם לכך, הם ייוותרו מאחור בעולם המשתנה.

ציות: מה היקפו?

ג'ונתן בלקמור, CA, שותף וראש תת-תחום סיכונים, אירופה, מזה"ת, הודו ואפריקה, EY

לאחר המשבר הכלכלי העולמי, סביבת הציות לרגולציה הפכה למורכבת יותר והקנסות גדלים ואף צפויים להמשיך ולגדול בעתיד. מאחר שכשלים בציות הם בעלי השפעה משמעותית על המיתוג ושווי השוק של ארגונים, ישנה חשיבות אסטרטגית עבור ההנהלה והדירקטוריון למנוע כשלים כאלה. בעוד שהיקף הציות ממשיך להתרחב, על ארגונים לנהל מערך מורכב ומשתנה תמידית של פעילויות ציות.

כאשר מדובר בקביעת היקף בחינת הציות של הביקורת הפנימית, אין תשובה אחת נכונה. ההיקף "הנכון" מושפע מבשלותן של הפונקציות הקיימות בארגון ויכולותיהן. ארגונים שאין בהם צוות ייעודי לנושא הציות, ירחיבו בסבירות גבוהה יותר את היקף פעילויות הציות של הביקורת הפנימית שלהם.

קימת סבירות גבוהה שיחידות ביקורת פנימית האחראיות להיבטי ציות ייקחו על עצמן פעילויות נוספות הקשורות לציות. על הביקורת הפנימית לשקול להבהיר במפורש במקרים אלה את היקף פעילויות הציות לבעלי עניין מרכזיים, לאמוד באופן מציאותי את כשירותה להעריך את דרישות הציות, ולהבהיר את הסיכונים או הפערים הקיימים בשל אילוצי משאבים או יכולות.

מבקרים פנימיים ראשיים צריכים לקרוא תיגר על המצב הקיים באמצעות בחינת השאלות הבאות:

• האם הביקורת הפנימית היא הפונקציה המתאימה לנושא סיכוני ציות ובקרות ציות?
• האם הביקורת הפנימית מתייחסת לסיכונים המתאימים הקשורים לציות?
• האם לרשות הביקורת הפנימית עומד הצוות המתאים לצורך התייחסות והוצאה לפועל של פעילויות ציות ביחס לרגולציה, כדוגמת החוק למניעת שחיתות ושוחד של עובדי ציבור זרים בארה"ב (S. Foreign Corrupt Practices Act), "הסטת רווחים ושחיקת בסיס המס" של ה-OECD, ופרטיות הנתונים (Data Privacy) של ה-E.U.?
• האם הביקורת הפנימית ממנפת באופן מיטבי את האמצעים הטכנולוגיים והאוטומטיזציה שעומדים לרשותה?

ישנה חשיבות רבה לכך שהביקורת הפנימית תתמקד בהפקת ערך מפעילויות הציות שהיא מבצעת. ערך זה עשוי לכלול:

• אינטגרציה, תקשורת, תכנון, ביצוע ודיווח משופרים בין פונקציות שונות בארגון.
• תובנות והתבוננות לעתיד, ולא רק התבוננות בדיעבד.
• קישור בין פעילויות הציות של הביקורת הפנימית לבין שיפורים בבקרות ותהליכים.
• הדגשת מגמות ואנומליות באמצעות ניתוח נתונים.
• שיתוף בלקחים שהופקו מהפרות של דרישות ציות.
• מעורבות בחזית של שינויים עסקיים מהותיים.
• סיוע להנהלה בציות לדרישות חדשות הנובעות משינויים ברגולציה או מחוקים חדשים.

יוזמות להפחתת עלויות של ישויות עסקיות וחוסר ודאות כלכלית עולמי, יוצרים לחץ גובר להפחתת העלות של דרישות הציות. ההנהלה מצפה שעלויות הציות יופחתו, אך מגלה "אפס סובלנות" לאי ציות. עליה להבין את ההשפעה של השינויים בשלבים מוקדמים של התהליך ולשאוף לכך שיהיו רשתות ביטחון לניהול כל שינוי או מעבר.

פונקציות ביקורת פנימית מתקדמות מעורבות באופן פעיל בדיון בעניין עלות הציות. הפעולות המקובלות לייעול כוללות עריכת הערכה מפורטת של פעילויות הציות והאופן שבו הן מוצאות לפועל, עריכת סקר סיכוני ציות, ומינוף האוטומטיזציה ושימוש בניתוח נתונים לצורך ביצוע בדיקות, ניתוח מגמות, איתור מוקדם של טעויות ובחינה בזמן אמת של ציות.

באמצעות מינוף הידע של הביקורת הפנימית על הארגון, התהליכים והבקרות שלו, ניתן לסייע להנהלה בזיהוי סיכוני הציות הרלוונטיים וההזדמנויות לאוטומטיזציה ושיפור בתהליכים ובקרות שישדרגו את ביצועי העסק במקביל לשיפור האפקטיביות של הציות.

דרישותיהם הגוברות של בעלי העניין

קריסטין אונג, CIA, CRMA, FCA (Aust.), מנהלת בכירה, ביקורת פנימית, IGB Corp. Berhad

הפרופיל של מקצוע הביקורת הפנימית עלה באופן משמעותי בשנים האחרונות הודות למאמצים בלתי נלאים ולמקצועיות שמגלים מבקרים פנימיים ברחבי העולם. בעלי עניין נעזרים במבקרים פנימיים בתחומים של ממשל תאגידי, ניהול סיכונים ובקרות. עם ההכרה הגוברת במקצוע, גם הציפיות של בעלי העניין התגברו.

רגולטורים מכירים במבקרים הפנימיים כאחד מעמודי התווך של ממשל תאגידי. ככל שהרגולטורים הפכו לאקטיביים יותר בפרסום חקיקה, קודים אתיים ודרישות סף למסחר על מנת להסדיר את סביבת העבודה הדינמית, כך הם מצפים ממבקרים פנימיים להתעדכן בהוראות החדשות ולייעץ ללקוחותיהם בהתאם. הרגולטורים גם מבקשים לקבל הערות והצעות מהמקצוע על מנת לקבל נקודת מבט שונה ביחס להשפעה של הרגולציה. במובן זה, על ה-IIA וחבריו להיות בחזית התפתחויות אלו ולהוות את קול המקצוע.

ככל שארגונים מאמצים טכנולוגיות משתנות תמידית, כך ההנהלה מצפה ממבקרים פנימיים לגלות בקיאות בבקרות של מערכות מידע ובסוגיות של אבטחת מידע, וכן להיות בקיאים במערכות מידע ברמה סבירה. מלבד ביקורות של מערכות מידע, ההנהלה מצפה ממבקרים פנימיים לספק ייעוץ בנושא הטמעת מערכות, בקרות שינויים ותכניות להמשכיות עסקית. כמו כן, ההנהלה מצפה ממבקרים פנימיים להשתמש בכלים של מערכות מידע על מנת לייעל ולהגביר את האפקטיביות של הביקורות. בעידן של נתוני עתק (“big data”) וניתוח נתונים, ייתכן שדיווח על חריגים על בסיס בדיקה מדגמית עומד להיעלם מן העולם. אם אותר כשל בבקרה, ההנהלה מצפה להתעדכן במלוא ההיקף של ההשפעה או האובדן.

ארגונים ועסקים ממשיכים לגדול, לעתים באופן אורגני, אך לרוב באמצעות מיזמים חדשים או מיזוגים ורכישות. מבקרים פנימיים צריכים להישאר מעודכנים בכיוון האסטרטגי של ההנהלה ולצייד את עצמם בידע ממגוון תעשיות. כאשר לקוחות מבקשים להיוועץ בהם, המבקרים הפנימיים חייבים להיות מוכנים לבחון עסקים חדשים ולהבין את העסקים של הארגון ואת האסטרטגיה שלהם. הידע של המבקרים צריך להתפרש מעבר לעסק הנוכחי שבו מעורב הארגון, ועליהם להרחיב את מעגל הקשרים שלהם מחוץ לתחום העיסוק. אם המבקרים שואפים להיות חלק מהשדרה הניהולית, עליהם להרוויח את המעמד הזה.

הציפייה ממבקרים פנימיים היא להגדיל ולשמר את הערך של הארגון. על אף שיש למבקרים תובנות ביחס לפעילות של הארגונים המאפשרות להם להשיג מטרה זו, בעלי העניין הרחיבו את תחומי המיקוד שלהם מעבר לממשל תאגידי, סיכונים ובקרות, וכעת הם כוללים גם תחומי סביבה, בטיחות וקיימות. המבקרים צריכים ליישם את הידע שלהם בתחומים חדשים ולהרחיב אותו כך שיכלול פעילויות חדשניות, מובילות לשינוי ובנות קיימא.

על מנת להמשיך לשרת בעלי עניין באופן אפקטיבי, מבקרים פנימיים צריכים להכין את עצמם לעתיד באמצעות יצירתיות, חדשניות וצימאון לידע. בנוסף, עליהם לייצר בסיס איתן באמצעות סמכות ופיתוח מקצועי. מאחר שהצורך בלמידה אינו פוסק והציפיות של בעלי העניין ממשיכות לגדול, מבקרים פנימיים חייבים להתייצב בפני האתגר – אין להם ברירה אחרת.

סיכון הטכנולוגיה הופך למורכב יותר

צ'רלי ורייט, CIA, CPA, CISA, סגן נשיא, ביקורת פנימית, Devon Energy Corp.

מבקרים פנימיים ניצבים בפני סביבה טכנולוגית שהולכת ונהיית מורכבת יותר. דירקטוריונים וועדות ביקורת מכירים בכך שהעתיד כבר כאן, ומעסיקים את עצמם רבות בסיכון הטכנולוגיה. נושאים הנעים בין טכנולוגיית מובייל ואבטחת מידע למחשוב ענן ומדפסות תלת-ממד הופכים לנושאים אסטרטגיים לדיון ברמת הדירקטוריון. זה מבליט את העובדה שפונקציית הביקורת הפנימית צריכה להתפתח ולהגביר את יכולותיה בהיבט הביקורת הטכנולוגית.

מבקרים מנוסים בעלי הכשרה ראויה יכולים להבטיח שהטמעת פרויקטים של מערכות מידע תבוסס על מתודולוגיות איתנות של ניהול פרויקטים ותהליכי שינוי ארגוני. יש להם תפקיד קריטי בהערכה ובבדיקה של בקרות פנימיות חדשות, לרבות גישה פיזית ולוגית ליישומים (אפליקציות) חדשים. מבקרים יכולים גם לזהות סוגיות ופערים המונעים ניצול מלא של טכנולוגיות חדשות. ניצול חלקי של טכנולוגיות חדשות הוא בעיה נפוצה שמובילה לתפעול לא יעיל ולחריגות תקציביות.

בעוד העסקים אחראים לאסטרטגיה הכוללת וליישום של שילוב כלים מורכבים בעלי סיכון גבוה, מבקרים פנימיים יכולים להציג נקודת מבט חדשה ועצמאית ביחס להיבטים הטקטיים של שילוב אמצעים אלו. למשל, במסגרת הטמעת מערכת פיננסית חדשה, מבקרים פנימיים יכולים לסייע לבחון את תקינותן של בקרות מרכזיות ולוודא כי בקרות אלו מספיקות לצורך שמירה על המהימנות של המערכת החדשה. קיימות דרכים רבות שבהן מבקרים פנימיים יכולים להגיב לאתגר הטכנולוגי, ובראשן הכשרה. החל מקריאת מאמרים טכנולוגיים עדכניים, דרך השגת הסמכות מקצועיות, וכלה בהשתתפות בכנסים וסמינרים. כך יכולים מבקרים פנימיים לשפר את הכישורים הטכנולוגיים שלהם ולהיות ערוכים בצורה טובה יותר לשרת את לקוחותיהם.

מלבד הכשרת עובדים קיימים, על הנהלת הביקורת הפנימית לגייס עובדים בעלי ניסיון עבודה והשכלה בתחום מערכות המידע, שניתן להכשירם לעריכת ביקורות שיעניקו ערך מוסף לארגון. באמצעות מינוף מומחיותם של עובדים בעלי עבר בתחום מערכות המידע, הביקורת הפנימית יכולה לגבש תובנות מעמיקות יותר ביחס לבקרות, לסיכונים ולתהליכים הרלוונטיים. לחלופין, הנהלת הביקורת הפנימית יכולה ליצור תכניות פיתוח שבמסגרתן ישתתפו עובדי הביקורת, כל אחד בתורו, בפרויקטים בעלי זיקה טכנולוגית. כאשר יהיו בעלי תפקידים בביקורת הפנימית, יוכלו המבקרים החדשים ליישם את הכישורים שלמדו ברוטציה זו. בביקורות המצריכות סוג מסוים של מומחיות טכנולוגית, ההנהלה יכולה גם להסתייע במבקרים אורחים.

עבור ביקורת ספציפית, אם לא קיימים העובדים המתאימים במסגרת הארגונים שלהן, על פונקציות של ביקורת פנימית לצרף משאבים חיצוניים בעלי היכולות הטכנולוגיות הנדרשות. אמנם צירופו של צד שלישי עלול להיות יקר, אך פונקציות של ביקורת מחויבות להבטיח שמשאבים בעלי הכשרה ראויה יהיו זמינים להן לצורך ביצוע העבודה הטכנית המורכבת ביותר.

ככל שקצב השינוי גובר, כך מבקרים יכולים לצפות למספר עולה של סיכונים טכנולוגיים בארגונים שלהם. דירקטוריונים וועדות ביקורת מבקשים להבטיח שהערכה, ניהול ומעקב ראוי אחר סיכונים אלה מתבצעים באופן נאות. תפקידה של הביקורת הפנימית הוא לספק להם את הביטחון הזה.

הכשרת מבקרי 2020

קארל ארהארט, CPA, סגן נשיא ומבקר ראשי, MetLife

אצלנו ב-MetLife, אנו מכשירים את המבקרים שלנו להפוך ל"מבקרי 2020". אנו מכירים בכך שעל מנת להישאר בקצב של הציפיות המתפתחות של בעלי העניין, עלינו לפתח ולקדם באופן מתמשך את הכישורים ואת ההתנסויות שלנו.

המתכון להצלחה הוא הסטה, ו"הרוטב הסודי" החדש הוא האופן שבו מבקרים פנימיים ממנפים נתונים ומפתחים את השימוש שלהם בניתוח נתונים. יתר הרכיבים חשובים גם הם, לרבות שילוב של חוש עסקי, מומחיות ספציפית, וידע כללי עם הכישורים הרכים של המבקר הפנימי. היעד של MetLife הוא להכשיר את המבקרים היום על מנת להקנות להם את הכישורים וההתנסויות שהם יצטרכו לספק באופן אפקטיבי בביקורות פנימיות בשנת 2020.

מדוע נתונים וניתוח נתונים הם כה חשובים? ידוע כי קצב ייצור הנתונים גדל בשיעור עצום. בשנת 2020 תופק כמות גדולה יותר של נתונים מאשר בכל המאה הקודמת לה. בידיעה זו, מבקרים פנימיים יכולים לדמיין את הציפיות והאתגרים העצומים שעמם יצטרכו להתמודד.

מאחר שמקצוע הביקורת הפנימית מבקש למקסם את השימוש שלו בנתונים, על פונקציות של ביקורת לשים דגש על הכשרת מבקרים לשימוש בנתונים וניתוח נתונים. מבקרים צריכים לחזק את הכישורים הבסיסיים שלהם, לדעת כיצד להגביר את השימוש היומיומי שלהם בנתונים, וכן לדעת מתי יש להסתייע במומחים חיצוניים. התועלת האולטימטיבית של ניתוח נתונים מתקדם היא לסייע למבקרים להתעלות על ציפיות המחר של בעלי העניין. בשנת 2020 זו תהיה הדרך הטובה ביותר להשיג את היעד של הביקורת הפנימית: להגביר ולשמר את הערך של הארגון באמצעות מתן ביטחון, תובנות וייעוץ אובייקטיביים ומבוססי סיכון.

העיקרון של "מבקרי 2020" אינו מתמקד רק בנתונים וניתוחם. הוא נוגע גם לפיתוח הכישורים וההתנסויות של מבקרים פנימיים. זו הסיבה שמחלקת הביקורת של MetLife רִעננה את יכולותיה בתקופה האחרונה תוך מחשבה על ההווה ועל העתיד. היכולות החדשות שלנו כוללות ידע עסקי משולב, דפוס חשיבה של ממשל תאגידי, סיכונים ובקרות, חשיבה אנליטית וביקורתית, תקשורת פשוטה, אפקטיבית ושקופה, עבודת צוות וזריזות עבודה. התאמת מסלולי למידה פרטניים ששמים דגש על נתונים, ניתוח נתונים וחשיבה ביקורתית היא חלק משמעותי מההכשרה לעתיד.

ישנו ביקוש גבוה לכישרונות במקצוע הביקורת. הארגונים המכשירים את עובדיהם תוך חשיבה על עקרון "מבקרי 2020" יהיו בעמדה הטובה ביותר לשמר את הכישרונות של היום, וחשוב מכך – למשוך את הכישרונות של מחר.

* מאמר זה הוא תרגום של המאמרFive trends  שהתפרסם בגיליון פברואר 2016 של כתב העת – Internal Auditor IA