מגמות עתידיות בביקורת הפנימית – בדגש לביקורת ממוקדת סיכונים
אנו חיים בסביבה עסקית המשתנה חדשים לבקרים. במהלך העשור האחרון התחוללו שינויים משמעותיים במקצוע הביקורת הפנימית. אזכיר רק כמה מההתפתחויות החשובות שהשפיעו על המקצוע:
- חוק סרביינס אוקסלי בארה"ב יצר מצב שבו במקביל לעבודת המבקר הפנימי נבדק מערך הבקרה של חלק מהותי מפעילות הארגון באופן שנתי. לצורך יישום חוק זה, החברות נדרשו לאמץ מתודולוגיית בקרה, כאשר רובן המוחלט בחרו במודל COSO. בחיבור מסמך COSO השתתף גם ה-IIA שמאוחר יותר גם אימץ את המודל.
- התגברות הרגולציה גרמה למבקר להפנות משאבי ביקורת ניכרים לבדיקת ציות הארגון לחוקים ותקנות.
- המבקר, שהיה בעבר הגורם הפנימי היחיד כמעט שבדק את מערך הבקרה בארגון, משתף עתה אחריות זו עם נושאי משרה נוספים, כגון מנהל הסיכונים הראשי, האחראי על האכיפה והאחראי על ה-SOX. תכנית עבודת המבקר הפנימי מושפעת מתכנית עבודתם של נושאי משרה אלו ותוצאות בדיקותיהם.
- מערכות המידע תופסות משקל רב יותר ויותר בפעילותם של ארגונים. כתוצאה מכך עולה משקלם של סיכונים טכנולוגיים כגון סייבר, אבטחת מידע במכשירים סלולריים, פרטיות המידע ועוד. המבקרים נדרשו כתוצאה מכך לשנות את הרכב צוות הביקורת לטובת מבקרי מערכות מידע, ולהקצות משאבים לבדיקת הסיכונים שמשקלם עלה.
- כתוצאה מתביעות משפטיות נגד דירקטורים, גברה המודעות לחשיבות ניהול הסיכונים בארגון, אפקטיביות מערכות בקרה, והתובנה כי המבקר הפנימי הוא כלי חשוב בידי הדירקטוריון. שינוי חיובי זה העצים את המבקר הפנימי ואת מקומו בארגון. עם זאת, הוא גם העמיד מבקרים פנימיים תחת זכוכית מגדלת של הנהלות ודירקטוריונים.
כתוצאה משינויים אלו ואחרים, מקצוע הביקורת הפנימית השתנה משמעותית בעשור האחרון. לכן מעניין לבדוק לאן פניו מועדות. לצורך כך, נעזרנו בכמה סקרים רחבי היקף שנערכו בשנתיים האחרונות, ובהם נשאלו מבקרים פנימיים ראשיים מגוון שאלות הנוגעות למגמות במקצוע.
במאמר זה נעשה שימוש בכמה סקרים בינלאומיים ובסקר ישראלי, כמפורט בפרק המקורות בסוף הדוח.
- סיכונים שבהם תתמקד תכנית עבודת הביקורת
בסקר שבוצע על ידי ה- , (1)IIAנשאלו מבקרי הפנים באילו נושאים הם עתידים לשים דגש בשנים הקרובות. התשובות התחלקו כדלקמן:
- תפעוליים – 28%
- פיננסיים – 21%
- ציות – 14%
- SOX – 12%
- מערכות מידע – 9%
- ניהול סיכונים – 7%
- הונאות ומעילות – 5%
- אסטרטגיה – 5%
- אחר – 11%
מהרשימה לעיל עולה המשקל המשמעותי שנותנים מבקרים לתחומי פעילות שהושפעו מהרגולציה בנושא ממשל תאגידי: SOX, ציות, ואולי גם פיננסי.
בסקר דומה שבוצע על ידי הרשת הבינלאומית Grant Thornton (2), נשאלו מבקרי פנים מהם "תחומי הסיכון" בארגונך שעלולים לפגוע בצמיחתו. להלן טבלה המציגה את תוצאות הסקר:
| תחומי הסיכון | אחוזים |
| פרטיות ואבטחת מידע | 42% |
| רגולציה | 38% |
| הוצאה לפועל של אסטרטגיה | 38% |
| צדדים שלישיים / ספקים | 22% |
| טכנולוגיה סלולרית | 19% |
| הונאה / מניעת שחיתות | 14% |
| שרשרת אספקה | 14% |
| המשכיות עסקית | 13% |
| התרחבות גלובלית | 13% |
| מחשוב ענן | 12% |
| מדיה חברתית | 8% |
| אחרים | 2% |
מהאמור לעיל עולה כי נושאי מחשוב הם מקור לדאגה ל-CAE (מבקרים פנימיים ראשיים) ומהווים גורמי סיכון מרכזיים. פרטיות מידע ואבטחת מידע הוגדרו כגורם סיכון מס' 1 לצמיחת הארגון, ובסך הכול 5 מתוך 11 הסיכונים שהועלו הם סיכוני IT.
כמו כן נשאלה השאלה, אילו תחומי סיכון כלולים בתכנית הביקורת הפנימית שלך? להלן תשובות מבקרי הפנים כפי שפורסמו בסקר:
| תחומי הסיכון | כלולים היום בהיקף | ייכללו בשנה הקרובה | לא מתוכנים להיכלל בעתיד הקרוב |
| מחשוב ענן | 24% | 36% | 45% |
| טכנולוגיה סלולרית | 25% | 45% | 35% |
| מדיה חברתית | 19% | 30% | 56% |
| פרטיות ואבטחת מידע | 70% | 41% | 7% |
| צדדים שלישיים / ספקים | 66% | 36% | 14% |
| הונאה / מניעת שחיתות | 69% | 34% | 15% |
| שרשרת אספקה | 46% | 31% | 32% |
| המשכיות עסקית | 52% | 37% | 22% |
| רגולציה | 73% | 36% | 10% |
| הוצאה לפועל של אסטרטגיה | 36% | 36% | 38% |
| התרחבות גלובלית | 21% | 24% | 61% |
| אחרים | 12% | 18% | 75% |
סיכוני IT בולטים ברשימת הסיכונים שבהם מתמקדים המבקרים. נושא מחשוב ענן, גיבויים ושחזורים, מדיה חברתית ואבטחת המידע, עתידים לתפוס נפח משמעותי מהביקורות בשנים הקרובות. הדבר מראה על מיקוד הביקורות בסיכונים טכנולוגיים שמטרידים את ההנהלה.
עם זאת, הנושאים ה"חמים" ביותר הם עדיין רגולציה ומניעת מעילות (שני נושאים אלו קשורים זה בזה, מכיוון שהרגולציה של SOX ומודל COSO 2013 דורשים מנגנון אפקטיבי למניעת מעילות בחברות). נושאים "חמים" נוספים הם ביקורת צד ג' (ראה דיון מורחב בהמשך) ואבטחה ופרטיות מידע.
- אילו כישורים יידרשו ממבקרי המחר?
כדי לממש את מיקודי הביקורת העתידיים, יש לבצע גם שינוי בכישורי צוותי מבקרי הפנים. האם ההשכלה והניסיון הנדרשים כיום ממבקרי הפנים לא יהיו רלוונטיים בעוד שנים ספורות? שני סקרים, אחד של ה-IIA (1) והשני של המבקר הפנימי של אל-על (3), מנסים לענות על שאלה זאת.
בסקר ה-IIA דירגו מבקרי הפנים את הכישורים הנדרשים על פי סדר חשיבות. להלן תוצאות הסקר, המוצגות לפי בסיס של 100%:
בסקר המבקר הפנימי של אל-על (3), נמצא כי כישורי ומיומנות צוות הביקורת הנדרשת היא כדלקמן:
- רואי חשבון, עורכי דין ובעלי תואר במנהל עסקים ממשיכים להוות את הבסיס ליחידות הביקורת. עם זאת, ניכר כי השכלות ומקצועות נוספים מתווספים ליחידות הביקורת.
- בכ-60% מצוותי הביקורת קיים מבקר מערכות מידע שהוא חלק מהצוות.
- 80% מצוותי הביקורת נעזרים בכלי ביקורת ממוחשבים. שלושת הכלים השכיחים ביותר הם – ACL, IDEA ו-BO.
מהאמור לעיל עולה כי קבוצת הכישורים שהיו חיוניים תמיד למבקרים פנימיים, כגון כושר ניתוח, תקשורת בינאישית, הבנה עסקית והבנת הענף, ממשיכים להוות את הכישורים המרכזיים הנדרשים ממבקרי העתיד. עם זאת, כיום נדרשים המבקרים גם לכישורים חדשים ופחות מוכרים: כריית מידע (שחשובה לצורך שימוש בכלי ביקורת ממוחשבים עבור שליפת מידע החשוב לביקורת ממערכות מידע מרובות נתונים) ידע חשבונאי (שחשיבותו עלתה כתוצאה מהצורך לסייע בבדיקת ה-SOX), וביקורת חקירתית (שכאמור נדרשת הן כתוצאה מה-SOX והן מכיוון שהנהלות כיום מעוניינות למנוע מעילות, ומשקיעות משאבים בתחום חדש זה).
- המבקר הפנימי וניהול סיכונים כולל
3.1 בשלות ניהול הסיכונים בארגון
בסקר 2015 של ה-IIA (4), נבדקה מערכת היחסים בין המבקר הפנימי לבין מערך ניהול הסיכונים הכולל בארגון. כאשר נדרשו מבקרי הפנים לתאר את "בגרות" תהליך ניהול הסיכונים של הארגונים שבהם הם עובדים, ענו 37% מהם כי ניהול הסיכונים בארגונם אינו רשמי, או לחילופין, מתפתח. 29% ענו כי הארגון מחזיק בתהליך ניהול סיכונים "פורמלי" ובנהלים רלוונטיים, ואילו 24% ענו כי ארגונם מחזיק במערך ניהול סיכונים מקיף הכולל מנהל סיכונים ייעודי. 10% הנותרים הצהירו כי ארגונם אינו מחזיק בתהליך פורמלי או לא פורמלי של ניהול סיכונים.
בהכללה ניתן לומר כי למחצית מהחברות אין תכנית ניהול סיכונים או שהתכנית אינה פורמלית, ולמחצית החברות קיימת תכנית פורמלית.
כאשר נבקש לבחון את ציפיות הדירקטוריון וההנהלה ביחס למבקר הפנים בהקשר של הבאת ערך מוסף, התחום המוביל הוא תחזוקת הסיכונים של הארגון. כך נקבע בסקר שנערך על ידיGrant Thornton (2). נושאים נוספים שעלו בסקר הם: זיהוי של הזדמנויות לשיפור תהליכים, חיזוק של הממשל התאגידי, הגברת היעילות של הארגון ועוד.
מבקרי הפנים נשאלו באיזה נושא הדירקטוריון וההנהלה מבקשים מהם לספק ערך מוסף, התשובה הברורה הייתה "הפחתת סיכונים". להלן הרשימה המלאה של התחומים הנפוצים ביותר שבהם מתבקש מבקר הפנים על ידי הדירקטוריון וההנהלה לספק ערך מוסף, על פי סדר חשיבותם:
| תחום | דירוג |
| הפחתת סיכונים | 1 |
| זיהוי הזדמנויות לשיפור | 2 |
| ממשל תאגידי חזק | 3 |
| התייעלות | 4 |
| תובנות עסקיות | 5 |
| כיוון אסטרטגי | 6 |
| בנצ'מרקינג | 7 |
| אחר | 8 |
| תכנון עסקי | 9 |
3.2 חוות דעת על סיכונים
47% ממבקרי הפנים והמנהלים שענו על הסקר מספקים חוות דעת על סיכונים ספציפיים, 46% מספקים חוות דעת על תהליך ניהול סיכונים בכללו, ו-56% מהם מספקים ייעוץ בנושאים הרלוונטיים לניהול סיכונים.
3.3 ביקורת פנימית וניהול סיכונים כולל (ERM)
המשיבים על הסקר דיווחו גם על קשר בין הביקורת פנימית ותהליך ניהול הסיכונים בארגונם. 12% ממבקרי הפנים דיווחו כי ביקורת פנימית ותהליך ניהול הסיכונים בארגונם הם פונקציות נפרדות ללא כל אינטראקציה. 66% נוספים דיווחו כי למרות היותם פונקציות נפרדות, הביקורת הפנימית ותהליך ניהול הסיכונים הם בעלי מכנה משותף ונעזרים זה בזה בהקשר של תיאום ושיתוף ידע. 15% ממבקרי הפנים ציינו כי המבקר הפנימי אחראי גם על ניהול הסיכונים בארגון, ו-7% אמרו כי המבקר הפנימי אחראי גם על ניהול הסיכונים, אך קיימת כוונה להעביר את האחריות על ניהול הסיכונים לגורם אחר.
עצמאות ואובייקטיביות של אותם 22% מהמבקרים שדיווחו כי הם כיום אחראים על ניהול הסיכונים בארגונם, ימנעו מהם לבצע ביקורת בנושא, שכן ביקורת פנימית לא יכולה לבקר תהליכים שעליהם היא אחראית.
מהאמור לעיל עולה כי למבקר הפנימי רמת מעורבות גבוהה בתחום ניהול הסיכונים בחברות, תחום שמתפתח ומתעצב כל העת. כמחצית מהמבקרים בודקים את ניהול הסיכונים בארגון, וכמחצית גם מייעצים להנהלה בתחום זה. רק במקרים מעטים מחלקת הביקורת הפנימית ומחלקת ניהול הסיכונים אינן מְתקשרות ביניהן. ברוב המקרים האינטראקציה רבה, עד כדי מצב לא רצוי שבו המבקר הפנימי עצמו הוא מנהל הסיכונים הראשי. עם זאת, נראה כי זהו מצב ביניים, וככל שתחום ניהול הסיכונים מקבל הכרה בארגונים, כך גם האחריות עליו עוברת מהמבקר הפנימי לגורם ייעודי. נראה כי בשנים הבאות נראה יותר ויותר יחסי גומלין מורכבים בין שתי מחלקות חזקות ועצמאיות: ביקורת פנימית וניהול סיכונים. שתי המחלקות מטפלות בסיכונים, משתמשות בבסיס נתונים משותף, מחליפות ידע ביניהן, מתאמות תכניות עבודה ומחליפות תוצרים.
- עדכניות תכניות העבודה וסקרי סיכונים
בסקר שערך ה-IIA (4) נבדקה עדכניות כלי העבודה שבהם מסתייע המבקר הפנימי, ולהלן התוצאות:
- בהקשר של עדכון סקר הסיכונים בצורה שוטפת, כלומר סקר סיכונים מתמשך, רק 23% ממבקרי הפנים ענו כי הם מיישמים שיטה זו של סקר סיכונים. 36% נוספים מסרו כי נערך סקר סיכונים שנתי עם עדכונים תקופתיים. 32% מסרו כי נערך סקר סיכונים שנתי ללא עדכונים פורמליים. 9% מסרו כי סקר הסיכונים אינו מתעדכן.
- בנוגע לתכנית הביקורת של המבקר הפנימי, המצב טוב יותר. הרוב המוחלט של מבקרי הפנים ענו כי תכנית הביקורת מתעדכנת לפחות פעם או פעמיים בשנה. כלומר, תכניות הביקורת גמישות ומתאימות את עצמן לשינויים. למרות האמור לעיל, רק 16% ממבקרי הפנים הצהירו כי יש להם את היכולת להגיב, בתכנית הביקורת, לסיכונים המתגלים "מעכשיו לעכשיו".
אם בעבר סקר הסיכונים היה מתעדכן אחת למספר שנים, ותכנית העבודה הייתה נקבעת אחת לשנה ולעתים רחוקות מתעדכנת במהלכה, מהסקר עולה כי קצב השינויים כיום דורש עדכון מהיר יותר וגמישות רבה בתקציבים ובתכניות העבודה.
- דיווחים והעברת מידע לאורגנים בחברה
בסקר שערך ה-IIA (4) נבדקה מעורבות המבקר הפנימי במתודולוגיות דיווח חדשניות.
5.1Combined Assurance
גורמים שונים בארגון מספקים חוות דעת להנהלה. אמנם חוות הדעת שמספק המבקר הפנימי היא מהיותר אובייקטיביות שבהן, אולם חוות הדעת שמספקים גורמים אחרים כגון רואה החשבון המבקר, בקרי איכות, מנהל הסיכונים, יועצים סביבתיים, בקרי בטיחות, ממונה האכיפה הפנימית, מבקר המדינה וגורמי ביקורת ממשלתיים אחרים, אינן פחות חשובות להנהלה.
נוצר מצב שבו ההנהלה מקבלת דוחות חוות דעת מגורמים שונים שיש ביניהם חפיפה, ולעתים הם אף סותרים אחד את השני. מתודולוגיית King III פותחה כדי לתת מענה לבעיה זו.
להלן תרשים המתאר את המתודולוגיה:
מבקרי פנים ומנהלים נשאלו האם בארגוניהם מיושם מודל רשמי של Combined Assurance. 49% דיווחו כי המודל יושם או מתוכנן להיות מיושם בעתיד. 26% דיווחו כי הם לא מתכננים לאמץ מודל זה, ו-25% הנותרים ציינו כי הם כלל לא מכירים את המודל.
ראוי לציין כי 57% ממבקרי הפנים ומהמנהלים דיווחו גם כי אחד מתפקידי הביקורת הפנימית הוא לפרסם חוות דעת משולבת מסוג זה.
למרות האמור לעיל, כאשר משלבים חוות דעת של גורמים שונים, יש לזכור שחוות דעת שניתנה על ידי ההנהלה של הארגון אינה דומה לחוות דעת שניתנה על ידי גורם מבקר אחר, פנימי או חיצוני, אשר להם דרגת עצמאות ואובייקטיביות שונה.
5.2 דיווח משולב (integrated reporting)
כאמור, מגמות הניהול העכשוויות נוטות להיעזר בדיווח המשלב תוצאות מכמה דוחות כדי לשקף את ערך הארגון בצורה הטובה ביותר. שיטה נוספת הנותנת מענה לצורך זה נקראת "דיווח משולב". מדובר במסמך תמציתי המתאר כיצד ארגון מתכנן ליצור ערך בטווח הבינוני, בטווח הקצר ובטווח הארוך.
פעמים רבות מתבקשים המבקרים הפנימיים לסייע בהכנת הדיווח המשולב. להלן תרשים המתאר את יחסי הגומלין בין סוגי הדיווחים במסגרת דיווח משולב:
מסקר ה-IIA (4) עולה כי 30% ממבקרי הפנים והמנהלים הצהירו כי חברתם מתכננת לפרסם דוח משולב עוד השנה או בעתיד הקרוב. הגשת דוח זה עומדת להיות מטלה נוספת שבטיפול המבקר הפנימי.
5.3 דוח קיימות ((sustainability report
דוח קיימות כולל מידע על ההשפעות הכלכליות, הסביבתיות והחברתיות שנגרמו על ידי פעילותו היומיומית של הארגון. בנוסף, דוח קיימות מציג את מודל הערכים והממשל של הארגון, ומראה את הקשר בין האסטרטגיה ובין מחויבות הארגון לכלכלה עולמית בת-קיימא.
בסקר שערך ה-IIA בקרב מבקרי פנים ראשיים (4), כמעט מחציתם מסרו כי ארגונם עתיד לפרסם דוח קיימות השנה או בזמן הקרוב.
לסיכום, ניתן לומר כי עם עצמאות ארגונית מתאימה ועם הבנה עמוקה של הארגון שבה הוא פועל, המבקר הפנימי יכול להגדיל את אמינותו של הדיווח המשולב. הדבר נכון באותה מידה גם לגבי דוחות קיימות.
- בדיקה אחת למספר מטרות (One-to-many approach)
הרעיון ב- One-to-many approach הוא שניתן להשתמש בטסטים שעורך המ"פ לצורך מטרות נוספות מלבד ביקורת פנימית. מדובר בבדיקות שאינן מפרות את אי-תלות המבקר ותפקידן לחוות דעה, כגון ביצוע בדיקת אפקטיביות הבקרות במסגרת פרויקט ה- SOX, בדיקות ציות לחוקים במסגרת עמידה בתכנית אכיפה וכו'. מדובר במשימות שמבקרים פנימיים לוקחים על עצמם, מעבר לתוכנית עבודתם בחברות רבות ברחבי העולם. בחברות בהן המבקר הפנימי אינו מבצע פעולות אלו, וברצונו להגדיל את הערך שהוא מביא להנהלת החברה, ביכולתו להציע שאותן בדיקות ירוכזו בידיו, תוך כדי חיסכון במשאבים.
בסקר הנ"ל (2) 92% ,מהמשיבים מאמינים כי הם יכולים ליישם את עקרון One-to-many לעד כ- 50% מבדיקות שנמצאות בשליטתם.
- שימוש בכלי Data analytics כדי לחסוך במשאבים ולבצע ביקורת יעילה יותר
Data analytics הוא שם כולל לניתוח והסקת מסקנות מנתוני בסיסי מידע גדולים. ככל שגדלים בסיסי המידע בחברות, נדרשים כלים חזקים יותר כדי לשלוף את המידע, לנתח אותו ולהסיק מסקנות שבהן ניתן להשתמש בעבודת הביקורת.
בסקר הנ"ל (2) דיווחו 60% ממבקרי הפנים כי הם נעזרים בכלים ממוחשבים לצורך ניתוח נתונים, וכפועל יוצא מכך לשיפור תפוקות הביקורת.
לשאלה: האם אתה נעזר בכלים ממוחשבים לניתוח נתונים לצרכים נוספים? ענו מבקרי הפנים כדלקמן:
| תפקוד | אחוז מהמבקרים |
| מדדי ביצוע | 38% |
| ניתוח משפטי | 36% |
| לא משתמש | 36% |
| ניבוי אנליטי | 25% |
| אחר | 2% |
מתשובות CAE לסקר, עולה כי הערכת ביצועי יחידות ארגוניות וביקורת חקירתית הן שני היישומים המובילים, מלבד ביקורת פנימית, ביישומי דטה אנליטיקס.
לשאלה, מהן שלוש התועלות המשמעותיות ביותר בשימוש בכלים ממוחשבים לניתוח נתונים? ענו מבקרי הפנים כדלקמן:
- ביקורת פנים יעילה יותר.
- זיהוי מהיר של דפוסים, מגמות ויחסים.
- כיסוי גדול יותר של הארגון על ידי הביקורת הפנימית.
מבקר הפנים של אל על ערך סקר (3) שבדק שימוש בכלי ביקורת ממוחשבים לצורך שליפת נתונים. נמצא כי כ-80% מצוותי הביקורת נעזרים בכלים כאלו בביצוע הביקורת.
ככל שיגדלו בסיסי הנתונים בחברות, לא יוכלו המבקרים להסתמך על ביצוע מדגמים ידניים. גם שימוש בכלי תוכנה הפופולריים כיום בקרב מבקרים, כגון IDEA ו-ACL, עלולים להתגלות כלא חזקים מספיק. כלי data analytics מצויים כיום בשימוש מחלקות אחרות בארגונים רבים (כגון תוכנת ClickView), ועל המבקר ללמוד להסתייע בהם, הן כדי לבצע ביקורת מתמשכת (continuous auditing) והן כדי לבצע ביקורות סטנדרטיות.
- ביקורת צד ג' ((Third-party testing
המדובר בסיכונים הנובעים מנותני שירותים לארגון, בעיקר בנושאי אבטחת מידע, כתוצאה מהתחברות גורמים אלו למערכות המידע של הפירמה, לצורך מתן השירותים. לדוגמה, ארגון המשתמש בחברה חיצונית למיקור חוץ, שירותי help desk או שירות לקוחות, נחשף לסיכונים שבגישה מרחוק של מערכות הספק למערכות הארגון.
כשנשאלו מבקרי הפנים האם יש לצדדים שלישיים את הפוטנציאל להשפיע על הצמיחה של הארגון שלהם, 22% מהנשאלים בסקר אמרו שצדדים שלישיים הם הסיכון הגדול ביותר לארגון שבו הם עובדים, עלייה גדולה מ-14% שהשיבו כך בשנה שעברה.
כאשר נשאלו מה הארגון עושה כדי לצמצם סיכונים אלה, ענו 70% ממשתתפי הסקר כי נעשית בדיקת נאותות לפני כניסה למערכת יחסים עסקיות עם צד שלישי. 64% מסרו כי הארגון מבקש בדיקת נאותות של צד ג' על מערך הבקרה של הספק (כגון SOC 1). 63% מסרו כי הארגון עומד על הכללת סעיף בהסכם המאפשר לו ביצוע ביקורת בעתיד במערכות הספק. 55% מסרו כי הם מבצעים ביקורת בו מושווים הביצועים בפועל מול התחייבויות הספק בהסכם.
תחום מיקור החוץ מתגבר והולך, כתוצאה ממגמה של חברות להתמקד בפעילויות הליבה שלהן (כגון שיווק וקשרי לקוחות), ולהעביר למיקור חוץ תהליכים שאין לחברה יתרון יחסי בהם (כגון שירות לקוחות, מחלקת מסים, הנהלת חשבונות, מחלקת IT ועוד). המבקר הפנימי אמור לבדוק סיכונים מסחריים בפעילותם של נותני שירותים אלו לארגון (למשל: האם השירותים שניתנו הם בהתאם להסכם שנחתם עמם?) סיכונים תפעוליים (האם לספק יש את הבקרות הנאותות כדי למנוע טעויות ומעילות?) וסיכונים למערכות הארגון כתוצאה מההתקשרות עם הספק (לדוגמה: האם יש בקרות למניעת חדירת האקרים למערכות המידע של הארגון דרך חיבורי הגישה מרחוק של מערכות הספק?). נראה כי על מבקרים פנימיים יהיה לפתח מיומנות בתחום ביקורת זה, ככל ששיעור מיקור החוץ יגדל.
סיכום
מטרת הביקורת הפנימית היא לבדוק התממשותם של סיכונים המסכנים את השגת מטרות הארגון. כתוצאה משינויים תכופים בסביבה העסקית, משתנה מערך הסיכונים של החברות באופן תדיר. בנסיבות כאלו, אין המבקר יכול עוד להסתמך על סקר סיכונים שנערך לפני כמה שנים וטרם עודכן מאז ועל תכנית עבודה קשיחה. עליו להתאים את עצמו לסביבה העסקית המשתנה ולחזק את כישוריו בתחומים כגון data analytics, ביקורות צד ג' , ציות, חשבונאות וניהול סיכונים כולל. המבקר הסטנדרטי רגיל היה להיות אחד מגורמי הביקורת היחידים בארגון. לא עוד, המבקר נדרש לתאם ולתזמן את עבודתו עם גורמי בקרה וביקורת שונים בארגון, כגון רואה החשבון החיצוני האחראי על האכיפה הפנימית, מנהל הסיכונים הראשי האחראי על ה-SOX ועוד. יותר מזה, עליו לתת מענה לדרישות גוברות והולכות מצד ההנהלה לקבלת דוח ביקורת אחד המתואם בין גורמי הביקורת והבקרה השונים, באמצעות מתודולוגיות דווח חדשניות, כגון integrated auditing ו- combined assurance.
אולי קצת אירוני שהמבקר הפנימי שהוא המטיף הראשי לשינוי בארגונים, הוא זה שנדרש עתה לבצע שינויים בהיערכותו, במהירות שלא תפחת ממהירות השינויים העוברים על מבוקריו. זהו מבחן מעניין שתוצאותיו ייתנו מענה לשאלה האם המבקר יישאר כלי ניהולי מוביל ועוצמתי עבור ההנהלה או לא.
מקורות
- "The Pulse of the Profession, a look ahead at 2013 " by The IIA’s Audit Executive Center, (2013)
- "Adding internal audit value: Strategically leveraging compliance activities", Grant Thornton (2014)
- "הביקורת הפנימית בארגונים גדולים בישראל" אוקטובר 13, באדיבות יח' הביקורת של אל על נתיבי אוויר לישראל.
- PULSE OF INTERNAL AUDIT", IIA (2015)"
- The Grant Thornton Corporate General Counsel Survey is available at www.grantthornton.com/CGCSurvey.
אודות הכותב/ת
יוסי גינוסררו"ח, CIA ,CFE ,CRMA
פאהן קנה ושות' רו"ח
