קורונה. לבקר או לא לבקר, זו השאלה…

שיתוף ב facebook
שיתוף ב linkedin
שיתוף ב whatsapp
שיתוף ב email

קווים מנחים להתנהלות הביקורת הפנימית בעת משבר (הקורונה)

מאת: הועדה המקצועית

דורון רונן, רו"ח, MA, LLM, CIA, CRMA, QAR, CRISC, CSX-F, CFE, יו"ר הוועדה המקצועית, סגן וממלא מקום נשיא לשכת המבקרים הפנימיים-IIA ישראל

וצוות מיוחד של הוועדה המקצועית:

רחלי פלג לאור, רו"ח, CIA, CISA, CRMA, קרסטון ישראל

ליאור סגל, רו"ח, עו"ד, MBA, גזבר ומזכיר ודירקטור לשכת המבקרים הפנימיים IIA ישראל, המבקר הפנימי הראשי – בזק החברה הישראלית לתקשורת

מאיה ויסמן, הביקורת הפנימית – קופת חולים מאוחדת

יעל רונן, רו"ח, דירקטורית לשכת המבקרים הפנימיים IIA ישראל, מבקרת פנימית ראשית – הבנק הבינלאומי

 

אנחנו, המבקרים הפנימיים, מדברים רבות עם לקוחותינו – הארגון, יחידותיו העסקיות, מנהלי הסיכונים, ההנהלה, לקוחות חיצוניים – על ניהול סיכונים, על מקרי כשל, על משברים.

אנחנו משוחחים רבות אודות תרחישי קיצון שיכולים לשבש את פעילות הארגון, ובמקרים לא מועטים במהלך שיחות אלה, המבוקרים מרימים גבה. אנחנו שומעים תכופות כי "נכון שצריך תוכנית מגירה, ואכן נדרשת תוכנית המשכיות עסקית", אולם לרוב, דברים אלה מתמקדים, מתחילים ומסתיימים בגיבויים של מערכות המידע ו/או פעולות נקודתיות כאלה ואחרות. בתרבות הישראלית, תרחיש תיאורטי של משבר אמיתי מוערך לפי גורמים רבים כבעל הסתברות נמוכה.

ואז אנחנו שולפים דוגמאות – "קודאק" שלא התקדמה עם השינויים העולמיים ונמחקה, 9-11 בארה"ב, מדברים על מחלות מסוגים שונים, כמו האנטרקס, קדחת הנילוס, הסארס, שפעת העופות, שפעת החזירים, האבולה, ומזכירים מעת לעת שיש גם "ברבורים שחורים".

מספר רגולטורים בישראל קבעו, כי על הארגון, המפוקח על ידם, להכין תוכניות להמשכיות עסקית והתאוששות מאסון, הקובעות, בין היתר, חובת תרגולים ודיווח על ביצועם.

אבל אז באה הקורונה, "ברבור שחור" של ממש. לא רבים מאתנו העלו על דעתם משהו בקנה מידה שכזה. נראה שהנושא תפס את כל העולם בהפתעה די גמורה, והוגדר מגרש משחקים חדש, שבו כל אחד נדרש לנהל את עצמו ואת ארגונו תוך כדי תנועה, כאשר כללי המשחק משתנים כל העת. סיכון זה שייך לקבוצת "הסיכונים הפורצים" (emerging risks).

אירוע זה מהווה אתגר משמעותי לכלל הארגונים, ורק ימים יגידו אלו מהארגונים צלחו אותו בהצלחה, אלו ניזוקו בצורה משמעותית, ואלו לא צלחו את המשבר.

בכל הכאוס ואי הבהירות, כאשר הנהלות הארגונים ממוקדות בניהול המשבר המתגלגל, עלינו לחדד ולהגדיר מחדש את תפקידנו, תוך מתן משקל גם לנושא ה"חיוניות" של המבקר הפנימי בעת הזו.

ברור לכולנו שאין בכוונתנו להפריע, בעת מצוקה זו, להתנהלות העסקית השוטפת. היחידות העסקיות עובדות ב-היקף מוגבל, בצוותים מצומצמים ותחת משתנים רבים של אי וודאות.

במקרה מסוג זה – יש לנו הזדמנות נדירה לחזות באיכות תפקוד הארגון בזמן אמת. ככל הנראה, כל התרגולים בעולם לא יצליחו לקחת בחשבון מכלול כה רחב של אילוצים, שינויים, התאמות, מגבלות, שיש להגיב להם בזמן אמת. באזעקת אמת זו, אין לארגון אפשרויות רבות, אם בכלל, לחזור אל ה-drawing board, אלא לתקן תוך כדי תנועה. נדרש מערך אמיץ של קבלת החלטות.

בקרב המבקרים הפנימיים, מתעוררות שאלות רבות לגבי תפקידנו בשעה מאתגרת זו. אנו ננסה להשיב על חלק מהשאלות במסמך זה, ולספק קווים מנחים להתנהלות הביקורת הפנימית בעת הזו.

תחת מטריית "ניהול הסיכונים", התקנים המקצועיים הבינלאומיים של ה- IIA מתייחסים במספר מקומות להיבטים אלה:  ב"משימת הביקורת הפנימית", ב"עקרונות הליבה", ב"הגדרת מקצוע הביקורת הפנימית", ובתקן 2120 שקובע כי עלינו "להעריך את האפקטיביות, ולתרום לשיפור תהליכי ניהול הסיכונים". קיים גם מדריך משלים בנושא Business Continuity Management, המתייחס לכללים מנחים לבדיקת עולם סיכונים זה, אשר הינו העולם בתוכו מוכלת מגיפת הקורונה. חוק הביקורת הפנימית קובע, כי על המבקר הפנימי לבדוק, בין היתר, את תקינותן של פעולות הארגון "מבחינת השמירה על החוק" ו"על הניהול התקין", וקיימות הוראות נוספות. לכאורה, אין מניעה שנפשיל את שרוולינו ונחֵל בבדיקת הנושא.

 

האמנם?

סוגיית העיתוי ומידת המעורבות של המבקר הפנימי לא הוגדרה בתקנים ובדיונים שהוזכרו, אם כי צוין שעליו לבצע בדיקות אלה.

ככל הנראה, רק בדיעבד (לאחר סיום המשבר), ניתן יהיה לאמוד (במדויק) היבטים מסוימים ובכללם- את המוכנות, את הנזק, ואת היכולת האמִתית להשתקם. תפקידנו יהיה לבחון את תהליכי הפקת הלקחים ואת הגדרות תוכניות הטיפול והמוכנות הארגונית למשבר הבא. בהמשך, נוכל לאתגר, להעיר ולהפנות זרקורים למכלול ההשלכות.

אז מה עלינו לעשות עכשיו?

להלן מספר קווים מנחים עבור הביקורת הפנימית, לאור נקודות ודילמות שהועלו בימים האחרונים. קווים מנחים אלה אינם מחייבים, ומוצע כי כל מבקר ישקול, לפי שיקול דעתו, ובהתייחס לנסיבותיו של הארגון בו הוא מכהן, את התנהלות יחידתו במצב המורכב שבו ניצבים כולנו:

  • תצפיות על ניהול המשבר ועל ההתנהלות הארגונית – השתתפות בוועדות ניהול המשבר כמשקיפים, סקירת מסמכים, סיוע במבט כולל על היבטי ניהול הסיכונים הכרוכים בכך, בחינה שדברים אינם נופלים בין הכיסאות בהיבט של נטילת אחריות ו-ownership על התהליך. מתפקידנו להבין ולהעריך את המגוון הרחב של הסיכונים המיידיים, ובתוך כך להסיק- האם הנהלת הארגון זיהתה את הסיכונים הישירים והעקיפים והחליטה באשר לטיפול הנדרש בסיכונים אלה.
  • בד בבד, צמצום עבודת השטח – בתקופה זו, בה הקֶשֶב הארגוני לביקורת נמוך עד אפסי, ראוי לבחון את היקף עבודת השטח שניתן לבצע, ולשקול להתמקד בהיבטים הבאים, "עד יעבור זעם":
    • התמקדות בעבודת כתיבת טיוטת הדוחות, גיבוש תוכניות ביקורת, שליפות וניתוחי נתונים ונושאים שאינם מצריכים תשומות מבוקרים.
    • קיום הכשרות, הסמכות והדרכות מקצועיות (מקוונות) ליחידת הביקורת בנושאי ביקורת ובנושאים נוספים שיכולים לתרום לשיפור רמת המקצועיות שלהם (כגון: סייבר, מערכות מידע, מעילות והונאות, המשכיות עסקית, ועוד).
    • קידום נושאי האיכות בעבודת הביקורת הפנימית, כולל תזמון Self-assessment.
  • ככלל ובשגרה, יש להימנע מכניסה לנעלי בעלי תפקידים המבצעים בקרה, בשם כוונה טובה לסיוע לארגון. זאת לאור היעדר אפשרות לכך בחקיקה ובתקנים, ומכיוון שהמבקר עלול להימצא במצב של ניגוד עניינים עתידי, העלול לפגום באי תלותו. עם זאת, במצב חירום כגון זה, יהיו מבקרים שייאותו לבצע זאת, ולכן עליהם לקבל אישור מראש של ועדת ביקורת/ הדירקטוריון, לפי העניין.
  • בנוגע להתאמה של תכנית העבודה – מומלץ שהמבקר הפנימי יבחן את התכנית שאושרה וישקול לערוך שינויים והתאמות לנוכח הסיטואציה שנוצרה. להלן מספר דוגמאות:
    • הגברת החשיפה לסיכוני מעילות – עלולים להיווצר או להעמיק קשיים כלכליים של עובדים (למשל עקב הפסקת עבודה של בן/בת הזוג, שחיקה מהותית של תיקי השקעות וכיו"ב) ולהגביר את החשיפה למעילות. המבקר הפנימי יכול לבצע בדיקות ממוקדות לסיכונים אלה, למשל בנקודות כניסת הכספים ויציאתם מהארגון (בנושאי תשלומים, שכר, חישובי הכנסות, ועוד).
    • התאמת הבקרות לשינויים בתהליכי העבודה – ההתמודדות עם המשבר כרוכה במקרים רבים בביצוע שינויים בתהליכי העבודה. שינויים אלה עשויים לחייב התאמה של הבקרות ואמצעי הבקרה. יש מקום שהמבקר הפנימי יסיט משאבים לטובת ליווי השינויים ומתן יעוץ בנושאי בקרה, ו/או ביצוע ביקורות מלוות תוך מתן משוב מהיר לארגון בנוגע לחשיפות והמלצות לגידורן.
    • התרשלות בביצוע בקרות מהותיות – למשל כתוצאה מהיעדרות כוח אדם (בידוד, הוצאה לחופשה וכיו"ב) או הסטת תשומת הלב לפעילויות אחרות. יש מקום שהמבקר יבחן שבקרות המפתח המהותיות ממשיכות לפעול כסדרן, ויתריע במקרים בהם איתר חשיפות משמעותיות.
    • סיכוני אבטחת מידע וסייבר – כחלק מהתמודדות עם מניעת התקהלות וצמצום החשיפה לקורונה, ארגונים רבים עוברים לעבודה מהבית. בחלק מהמקרים מדובר בשגרות קיימות ובאמצעים טכנולוגיים קיימים בהם מוגבר השימוש, ובחלק מהמקרים מדובר ביצירת שגרות חדשות ויישום לראשונה של אמצעים טכנולוגיים לעבודה מרחוק. אלה ואלה עשויים להגביר את החשיפה לסיכוני אבטחת מידע וסייבר. המבקר הפנימי עשוי להשתלב בתהליכים אלה כיועץ לבקרה, או לבצע (זמן קצר לאחר יישומם) ביקורות לבחינת טיפול בחשיפות ואפקטיביות אמצעי ההגנה.
  • להניח לארגון, אולם לא לאבד קשר ותקשורת עם מחזיקי העניין המרכזיים, כולל יו"ר הדירקטוריון, יו"ר ועדת הביקורת והמנכ"ל, בדגש על הנושאים הבאים:
    • קבלת עמדתם בנוגע למטלות שהם מעוניינים שהביקורת תשים עליהן דגש.
    • אישור, במידת הצורך, של ביצוע התאמות בתוכנית העבודה.
    • התאמה/ שינוי, במידת הצורך, של כתב ההאמנה (צ'רטר הביקורת הפנימית), לצורך ביצוע פעילויות ייעוץ והגדלת טווח הפעולה ורמת שיתוף הפעולה עם הביקורת בהווה ובעתיד.
    • עדכון בנוגע לחשיפה לאי-עמידה בתוכניות העבודה. ככלל, נראה שבנקודת זמן זו, מוקדם מדי לקבוע מה תהיינה ההשלכות של אי-עמידה בתוכנית העבודה השנתית, ויתכן שניתן יהיה להתגבר על פיגורים בהמשך השנה (במאמץ מוגבר). בכל מקרה, ראוי לשקול ולהתריע באופן מסויג, ולעשות הערכת מצב טובה יותר לקראת אמצע השנה.
  • לא להלאות, אולם כן להפנות את תשומת הלב לסיכונים שעשויים להתפתח כתוצאה ישירה או עקיפה של מגפת הקורונה– לדוגמה:
    • מקרי הדיוג (phishing) ופעילות סייבר שמתגברים – לוודא שמנהל אבטחת המידע מודע, מטפל ומתקשר. הנושא מקבל משנה חשיבות בד בבד עם העברת עובדים לעבודה מהבית (או פיזורם בין מספר אתרים של הארגון), יצירת התקשרות מרחוק, וכאשר אין לארגון מספיק מחשבים ניידים לספק לעובדים- ולכן עובדים נדרשים לעבודה ממחשבם האישי (שאינו מאובטח בהכרח לפי מדיניות האבטחה של הארגון). בנוסף, יש לשים לב גם לפיקוח, בקרה ורישום באשר לרכש חדש של מחשבים ניידים והשאלת מחשבים לעובדים לצורך עבודה מרחוק.
    • פגיעה אפשרית באיכות התקשורת הדו-כיוונית והדיווח בין העובדים להנהלה.
    • הפרעות לאחסון חיצוני של מידע.
    • מפרי בידוד – הארגון לא בהכרח מודע וערוך לאכוף מקרי עבודת שטח של עובדים המפרים בידוד.
    • הפניית תשומת הלב לַצורך בעמידה ברגולציות החלות על הארגון והחשיפות המשפטיות – גם בעת הזו.
    • סיכון תדמיתי לארגון, כתוצאה מתפקוד ומתגובה לקויים בעת משבר, עלול להחריף את הנזק הפוטנציאלי לאחר סיום המשבר: לקוחות שמדירים רגליים, גופים פיננסיים שמסרבים לתת מימון וכד'.
    • האם הנהלת הארגון מתייחסת להשפעות אפשריות לטווח ארוך- השפעת משבר הקורונה על הכלכלה יכולה להימשך חודשים ואף שנים. ראוי לחשוב על תחזיות צמיחה עסקית, תזרים מזומנים ועוד.
    • היערכות הארגון ל"יום שאחרי": חזרה מהירה לייצור או מתן שירותים, מענה לביקוש. הארגון שחוזר ראשון "לרכב על הסוס" הינו ארגון שעשוי לשרוד באופן מיטבי לטווח ארוך.
  • בנוגע לביצוע עבודת הביקורת עצמה – לאור דלוּת הקֶשֶב הארגוני וכדי להמשיך להיות רלבנטיים, ראוי במיוחד בעת הזו – לשקול המלצות באשר לצעדי תיקון נחוצים לאזורים המהותיים ביותר, אף מעבר לתקופה "רגילה".
  • מעקב תיקון ליקויים – מוצע שהביקורת הפנימית תשקול לעקוב אחר יישום ההמלצות המרכזיות, כך שהארגון לא ישקיע את משאביו בתיקון ליקויים באזורים שלא נדרש לטפל בהם כעת. כמובן שניתן לדחות לעתיד את מעקב היישום לגבי ההמלצות שהינן פחות מהותיות.
  • מה עושים ב"יום שאחרי"?
    • ברמת הארגון- מומלץ לבחון שהארגון מבצע בחינה והפקת לקחים מהתנהלותו בעת המשבר, בין אם הכין מראש תוכנית המשכיות עסקית והיערכות לתרחישי קיצון, ובין אם לא הכין תוכנית כזו.
    • ברמת הביקורת הפנימית-
      • מומלץ שהביקורת עצמה תבצע הפקת לקחים, כפי שאנו דורשים מלקוחותינו (המבוקרים), ותבחן האם היו ברשותה תוכניות מגירה מתאימות להתנהלות בעִתות משבר, ובמידת הצורך- תכין/ תשפר/ תעדכן תוכניות אלה.
      • בחינת תוכנית העבודה של הביקורת והתאמתה ל"יום שאחרי"- נוהלי חזרה לשגרת עבודה והכנת תוכנית לתיעדוף משימות הביקורת. חלקן של היחידות העסקיות יתמקד, ללא ספק, ב"ליקוק הפצעים" ובשיקום, ולא יהיה זמין.

 

*חלק מהקווים המנחים נשען על הבלוג של Richard Chambers, נשיא ומנכ"ל ה- IIA העולמי.

 

שיתוף ב facebook
שיתוף ב linkedin
שיתוף ב whatsapp
שיתוף ב email