אוטומציה של תהליכי רובוטיקה בביקורת הפנימית
מי הזיז את הדוח שלי?
אוטומציה של תהליכי רובוטיקה בביקורת הפנימית
שלומי קוט | רו"ח, CIA, CRISC, CISA, MBA מנכל ובעלים של חברת ROI-EZ
אורי חננאל אהרון | רוח, MBA מנהל כספים של חברת ROI-E
יום א', 14.11.2028, בנק המזרח התיכון וישראל, השדרה החמישית רוטשילד, תל אביב, המזרח התיכון המאוחד
דוחות הביקורת נחתו על שולחנו של איזי, המבקר הפנימי, בקצב מהיר של דוח בכל מספר שעות. דרישות ההנהלה והמבוקרים לדוחות איכותיים, תמציתיים ופרקטיים רבים ככל האפשר, הפתיעו אותו בכל פעם מחדש. הביקורת הייתה זכאית לבקר הכול, אך זאת השנה השלישית בלבד שבה היא מצליחה לבקר את כל הפעילות במאות הישויות (פעם קראו להם סניפים) של הבנק בכלל המדינות שבהן הוא פועל ועל כלל הטרנזקציות.
אף שלא בוצעה תרמית בבנק מזה מספר שנים, מחלקות הביקורת בכלל, ובבנק בפרט, זכו לעדנה בשנים האחרונות. היכולת המוכחת של הביקורת לזהות באמצעות טכנולוגיה כל חריגה תוך שעות או ימים ספורים מביצועה ולתקנה באופן מיידי, גרמו לכלל המנהלים להילחם על משאבי הביקורת שיושקעו במחלקותיהם.
כדי להבין איך הגענו למצב הזה, כדאי לחזור כמה שנים אחורה.
שנת 2020 היתה שנה ייחודית בעולם. וירוס הקורונה שפשט בעולם הפיל כ-4 מיליון חללים ויותר מ-200 מיליון נדבקים, והשבית את כלכלת ישראל עם מספר סבבי סגר ועם יותר ממיליון מובטלים. במקביל, בשנה זו חתמה ישראל על כמה הסכמי שלום, כאשר המשפיעים בהם מבחינה כלכלית היו הסכמי השלום עם איחוד האמירויות, בחריין ובהמשך ערב הסעודית. הדבר יצר קשרי סחר ענפים, והשילוב של הכסף הקטארי-אמירתי-סעודי עם הטכנולוגיה הישראלית יצר את הבנק הגדול ביותר במזרח התיכון, הנפרש על כ-15 מדינות ומשרת מעל מאה מיליון לקוחות.
עם הקמתו של הבנק הציג המבקר הפנימי איזי את תפיסתו: "בעולם הקדום ימאים השתמשו בו כדי למצוא את דרכם באוקיינוסים ולנווט בדרכם לגילוי יבשות, נתיבי סחר נפתחו בזכותו – כוכב הצפון (פולאריס) היה נקודת העזר החשובה ביותר להתמצאות וניווט לילי בים. אך אם אנחנו נחפש את פולאריס בשמיים, נדגום כוכב כוכב ונחפש, נגלה שמדובר בסך הכול בעוד כוכב כמו אלפי כוכבים אחרים בשמיים. העולם הקדום הבין שיש לראות את התמונה הכוללת, לראות את הסיפור בכללותו, יש לדגום מערכת של כוכבים ולא כוכב בודד. רק כך נוכל למצוא את הסיפור האמיתי במערכת.
הבנק שלנו נועד לשמש לקוחות מהרבה מדינות, במגוון שפות ותחת ריבוי רגולציות, והוא לא יוכל להמשיך ולפעול תחת השיטות שבוצעו בעבר. אם לא נתקדם, לא תהיה לנו זכות קיום".
קצת היסטוריה
בעולם הביקורת הפנימית של תחילת המאה ה-21, ניתן בקלות ללכת לאיבוד בין כמות המידע האדיר שנוצר על ידי מערכות המידע. היכולת של המבקר הפנימי לדגום בצורה יעילה תוך התמודדות נאותה עם הסיכון, לנתח את הנתונים, להבין את הסיכונים, לתחקר את המבוקר ולהגיש זאת בדוח בלוחות זמנים רלוונטיים ובמסגרת מגבלות המשאבים, היא סיפור גבורה היאה לסיפורי המיתולוגיה. במסגרת הניסיון להתמודד עם קשיים אלו, נאלצו המבקרים לתכנן תוכניות ביקורת שהגדירו סדרי עדיפויות ולבצע את הביקורות לאור מגבלות תקציב. לכן נושאים מסוימים נדחקו לביקורת עיתית, אם בכלל, ונושאים חשובים לביקורת נבדקו אחת למספר שנים במקרה הטוב. לעיתים תהליכי הביקורת הארוכים גרמו לכך שדוחות טופלו רק חודשים רבים לאחר עבודת השטח, בשלב שהם כבר לא היו רלוונטיים. במיוחד היה מורכב מצבם של המבקרים בגופים הריאליים, שסבלו ממחסור תמידי של משאבים בהשוואה למבקרים בגופים הפיננסיים.
וחזרה להיום (שנת 2028)
דמיינו שבמקום לדגום כוכב אחר כוכב בשמיים ולבדוק אם זה פולאריס, או להתקדם ולחפש קבוצות של חמישה כוכבים ולנסות להבין אם זו הקסיופיאה המרמזת על מיקומו, יהיה רובוט שיעשה סדר ויבצע ביקורת מלאה של כלל הכוכבים הנראים ויחזור עם מענה ברור – מציאת כוכב הצפון.
בעולם החדש של המבקר הפנימי לא נסתפק בבדיקת נתונים, תהליכים, מערכת או בדיקות אפליקטיביות, אלא עלינו להשתמש ברובוט שיבדוק את כלל הטרנזקציות. זה לכשלעצמו עדיין לא יהיה השינוי המשמעותי. אותו רובוט יֵדע גם להכין את הדוחות ולנהל את תהליך הביקורת (כולל תגובת המבוקר והמלצה על ההמלצות). זה "GAME CHANGER" אמיתי – אך האם הוא אפשרי?
יכולת זו שפרצה לחיינו בעשור הקודם נקראת אוטומציה רובוטית של תהליכים "RPA – Robotic Process Automation". שימוש נכון בה צופן בחובו לא רק אתגר, אלא גם הזדמנות למצוא את הצפון.
הזדמנויות RPA למבקר הפנימי
כאשר אנו בוחנים את מעגל הביקורת, אנו יכולים לראות שישנן משימות שחוזרות על עצמן פעמים רבות. את המשימות הללו הרובוט יכול לבצע ובכך לשחרר כוח אדם מקצועי.
ניצול נכון של הרובוט יאפשר למבקר הפנימי להתמקד בשירותים ובעבודת ניתוח שבהם הוא ממקסם את הערך המוסף.
אוטומציה של תהליכי רובוטיקה כוללת שימוש בתוכנה (בוט או יישום תוכנה) שניתן לתכנת לבצע משימות אנושיות בסיסיות (בדרך כלל משימות חוזרות ומרובות פעולות). היתרון העיקרי של הטמעת בוטים בכל סביבת עבודה הוא בכך שבוט יכול לבצע משימות ידניות חוזרות גם בתהליכים מורכבים וגם כאלו הכוללות טיפול בעצי החלטות מורכבים, ולפנות לעובדים זמן לביצוע פעילויות נוספות (אישור הדוחות, קבלת ההמלצות ואינטראקציה אנושית) עם ערך מוסף.
בבחינה של ההזדמנויות יש להתייחס לשלבים השונים של תהליך הביקורת הפנימית, כגון סקר הסיכונים, תכנון הביקורת, דגימה, דיווח ועוד. שימוש נכון ביישום RPA מאפשר למבקר הפנימי את היכולת לעשות יותר מאותו דבר, תוך שיפור איכות ועקביות תהליכי הבקרה. אם נגדיר כי 10%-20% מזמן הביקורת הוא האינטראקציה האיכותית, הרי שבאותם משאבים ניתן להכפיל לפחות פי חמישה את הביקורת – הן בהיבט התפוקות והן בהיבט האיכות.
אז איך זה קורה אצלנו בבנק?
הרובוט שלנו שולף שאלונים מספרייה מוגדרת ובתאריך הרלוונטי, שולח למבוקרים ולגורמים מוגדרים לשם ביצוע ריאיון, קולט חזרה את התשובות, ובהמשך מנתח את הנתונים. יישום ה-RPA יבצע השוואות תקופתיות, כולל "גזירת נתונים" ממערכות שונות וביצוע בדיקות חריגים.
ניתוח נתונים מריבוי מערכות, מבני נתונים ובסיסי נתונים שונים, משיכתם עם הרשאות שונות, השוואתם, מציאת חריגים אל מול הנורמה או מה שנחזה כנורמה והצפתם, הוא הליך ביקורת שגרתי, טכני ומורכב. רובוט הוא המכונה המושלמת לבצעו.
אם בעבר, בשל כמות גדולה של שאלונים, היה קושי בניהול המשאבים להשלמת השלבים השונים הכוללים שליחה, מעקב, קבלה, ניתוח, מענה ותיעוד, כיום שימוש נכון ברובוט יסייע למבקר בכל השלבים ויאפשר לו לקבל את הנתונים הנדרשים בזמן ולהתמקד בניתוח הסיכון ומתן מענה ראוי. חשוב לציין שכל פעולה של הרובוט מתועדת, וביצוע הפעולות לא בא על חשבון התיעוד או להיפך.
כמובן שבדיקת המענה מול הנתונים מבוצעת באופן אוטומטי ומיידי על ידי הרובוט אל מול "בנק הסיכונים" הארגוני המוכר (והמתעדכן), ו"מחליקה" את העומסים הנוצרים עקב תזמון מענה המבוקר מחד והעומסים של המבקר מאידך.
יישום ה-RPA ישפר את יעילות התכנון, הבדיקות ופעילויות הדיווח, ובכך יאפשר למבקר לקיים פעילויות קריטיות הדורשות חשיבה בזמן נאות.
הגדלת כיסוי ותדירות הביקורת
בגלל מחסור במשאבים ועם המעבר לגישת ביקורת מבוססת סיכונים Risk-Based-Approach, צומצמו בצורה משמעותית תדירויות הביקורת בתחומים מסוימים. ביקורות מסוימות מבוצעות אחת למספר שנים, דבר המאפשר לסיכון להימשך זמן רב.
שימוש ב"עובדים וירטואליים" ביישום ה-RPA לביצוע משימות ביקורת בקצב מואץ ומסביב לשעון, מאפשר לביקורת כיסוי גדול יותר (יותר נתונים, יותר טרנזקציות, יותר סיכונים ויותר ישויות עסקיות), לחזור על ביצוע ביקורת בפרקי זמן קצרים יותר, להגדיל את היקף הביקורת ולהביא לצמצום הסיכונים תוך שיפור ביעילות וחיסכון. כיסוי מלא של האוכלוסייה מצמצם כמובן את הסיכון של "מזל" – הסיכוי שהסיכון לא יתגלה בגין בחירת המדגם. למעשה, הגדלת הכיסוי והתדירות משרתת את תפיסת הביקורת המתמשכת והופכת אותה לקלה ליישום, כמעט קלה יותר מביקורת קלאסית של המאה הקודמת.
סוף דבר
בכנס הביקורת הפנימית השנתי לשנת 2028, שאותו העביר איזי רק לפני ימים אחדים, הוא סיכם כך: למזלנו, החלטנו להיכנס לשימושים טכנולוגיים מוקדם ככל האפשר. המלחמה על משאבי הרובוטיקה הארגוניים הוכיחה את עצמה, וכיום, אנו יודעים באמצעות הטכנולוגיה לספק ביקורת זמינה, אפקטיבית ויעילה בעבודה משותפת עם המבוקר, כזאת שהמבוקר מבין את הערך שלה ומבקש את התממשותה.
היתרונות של השימוש ברובוטים בביקורת הפנימית אצלנו היו:
- הספקים: בוטים עובדים 24/7 ויכולים לעבוד גם כשהעובדים הולכים הביתה.
- איכות: הרובוטים לא עושים טעויות – מה שמביא לשיפור יעילות התהליך הכללית ואיכותם לעומת בני האדם.
- עלות: בוטים יכולים לבצע את אותן המשימות שבני אדם מבצעים או 60%-90% מהן. העלות הממוצעת של בוט היא 5% בתהליך תפעולי שחוזר על עצמו, ועד 35% בתהליכים היברידיים פחות חזרתיים ועם התערבות אנושית.
הבסיס להחלטה היה סקר של Protiviti משנת 2019, שציין כי 70% מהמבקרים הפנימיים בחנו או משתמשים בטכנולוגיות RPA לטובת ייעול פעילות הביקורת. עם זאת, באותה שנה רק לשליש מהמבקרים הייתה הבנה בטכנולוגיה וכי הטכנולוגיה נדרשת. מזלנו שאנו, בבנק המזרח התיכון וישראל, הגדרנו את ההבנה בטכנולוגיה כדרישת הסף לקבלה אצלנו בעבודה.