השגת אמון בזכות הטכנולוגיה- מתורגם
מאת: מאת פול סליי וכריס וולטר
הטכנולוגיה היא מפתח המאפשר ערך עסקי. מבקרים פנימיים צריכים להיות מסוגלים לאמת שתהליך מסוים מספק החזר על השקעה מצופה וכי הופק המיטב מהחלטות על סיכוני טכנולוגיה ומשאבים. ללא הכישורים הנדרשים, מבקרים פנימיים עלולים שלא לספק את הערך שהארגון מצפה מהם.
מרבית מבקרי מערכות המידע בנורדסטרום הם בעלי השכלה המשלבת מומחיות טכנולוגית ותארים במינהל עסקים לצד שנים של ניסיון עסקי. הם עובדים יחד עבור שלושה יעדים בלתי רשמיים של הביקורת: תפעול, מודיעין עסקי וציות.
נורדסטרום משתמשת בשני מדדים על מנת לקבוע האם מבקרי מערכות המידע הם יועצים מהימנים. הראשון: האם לקוחות חוזרים ומבקשים שירותי ביקורת פנימית?
השני: האם המלצות הביקורת מביאות לערך עסקי?
כדי לספק ייעוץ בעל ערך, מבקרי מערכות מידע צריכים להבין את הטכנולוגיות החדשות שעימן עובדים השותפים העסקיים, לרבות חידושים כגון DevOps, IOT וארכיטקטורה של מערכות ללא שרת.
מומחי ביקורת מערכות מידע בנורסטרום מצביעים על חמישה תחומים לחיזוק ערכם כיועצים:
- אבטחת סייבר ופרטיות
רוב התעשיות מתייחסות לסיכוני סייבר ופרטיות כסיכונים מובנים וגבוהים. כחברה הנשענת על טכנולוגיה, נורדסטרום שכרה מומחים בעלי הסמכה בתחום אבטחת סייבר כדי לייעץ ולבקר כיצד לייצב באופן אופטימלי את הסיכון. כתוצאה מכך מבקרי מערכות מידע בנורדסטרום פירשו ויישמו בקרות אבטחה בשיטות עבודה על הסביבה החדשה, המבוססת על סביבת ענן.
שתי מסגרות המשמשות ארגונים בינלאומיים הן הארגון הבינלאומי לתקני 27002 ISO– טכנולוגיות מידע – טכניקות אבטחה הקוד ליישום בקרות על אבטחת מידע, והמסגרת של המוסד הבינלאומי לסטנדרטים בטכנולוגיית אבטחת סייבר.
מבקרים פנימיים מתרגמים את דרישות האבטחה של המסגרות הללו לשפה של לקוחות הביקורת. כך למשל, צוות של יישום אימץ לעצמו תהליכי עבודה שבהם כל חבר בצוות יכול לבצע שינויים בקוד היישום בסביבת הייצור. מבקרים פנימיים הסבירו לצוות את הפוטנציאל לשינוי לא מורשה של הקוד ואת הדרישות הנדרשות לפי תקני האבטחה. בכך הם סייעו לחברי הצוות להבין שעליהם ליישם בקרה מפצה באמצעות ניטור כניסות ליישום ורישום שינויים על מנת להבטיח ששינויים שאינם מורשים יאותרו באופן מיידי. ככל שצוותים לומדים יותר על סיכוני אבטחה ועל בקרות, כך הם מקבלים את ההחלטות הטובות ביותר בנוגע לסיכון.
- טכנולוגיות ממשל תאגידי
מבקרי מערכות מידע בנורדסטרום מסתמכים על תקני ISACAS COBIT 5 כדי להעריך בשלות של טכנולוגיות משילות על בסיס חוזר ונשנה. מבקרים ממזגים בין תקני COBIT ותקניISO ליצירת תקן ספציפי לנורדסטרום כבסיס לביקורת. תקן זה מאפשר למבקרים פנימיים וללקוחות הביקורת לראות היכן פעילותם משתלבת בתמונה הגדולה.
תקן זה גם מאפשר למחלקות לשתף פעולה עם המבקרים הפנימיים כדי לערוך ביקורת המשלבת היבטים שאינם טכנולוגיים של ממשל תאגידי. באחד הדוחות המבקרים סיפקו הבטחה כי הפרויקטים הטכנולוגיים מספקים את הערך המובטח בהיבט העסקי. מבקרים פנימיים בביקורת משולבת מרחיבים את הידע שלהם בכיסוי אסטרטגיית הטכנולוגיה, ארכיטקטורה משולבת, ומדידת ביצועי הארגון.
- תחקור נתונים
מבקרים פנימיים של נורדסטרום ערכו יותר דוחות ביקורת משכנעים שבמסגרתן נבדקו 100% מהאוכלוסייה באמצעות טכנולוגיית תחקור נתונים. כדי לכתוב דוחות שכאלה, מצופה שלכל המבקרים הפנימיים יהיה ידע בסיסי באקסל, סטטיסטיקה ותיקוף נתונים. בצורה כזאת המבקרים הפנימיים ממנפים כלים לתחקור נתונים כדי להשיג מידע שישמש אותם בהכנת דוחות בנושאים משמעותיים.
כלים לתחקור נתונים הם שימושיים ביותר כאשר משלבים שתי מערכות נתונים או יותר. בפרויקט מסוים, מבקרים פנימיים חילצו אירוע במערכת המעקב והטיפול באירועים ותקלות, וקישרו אותו למידע על הבעיה בתיק באמצעות ניתוח סיבות שורש וזיהוי יישומים מתיעוד הנשמר במערכות משולבות.
כדי לחלץ מידע ממערכות מידע ייחודיות, מבקרים פנימיים משתמשים בכלי הדמיה של נתונים כדי לתת את המידע על מידת השליטה של החברה בבקרות ניהול השינוי והאם התהליך לווה בלמידה הנדרשת הלקוח מנצל את הניתוח הנ"ל כדי לעקוב אחר ההתקדמות מאז הדוח.
- תהליכי רובוטיקה ואוטומציה
ההתקדמות האחרונה של מבקרים פנימיים בנורדסטרום עוסקת בשימוש של תהליכי אוטומציה רובוטית. ייעוץ פרויקטים תואם למטרות הביקורת הפנימית בזיהוי דרכים לצמצום הוצאות או מאמץ בתהליכי העבודה. בשותפות עם חטיבות החברה ומחלקות המס, המבקרים יצרו רובוטים כדי להפוך את ההליך הידני של רישוי מזון ומשקאות והקלדת חשבוניות להליך אוטומטי. באמצעות האוטומציה של התהליך המבקרים הפחיתו את הוצאות השכר של הלקוח.
דוגמה נוספת היא בבחינה של הרשאות המשתמשים של החברה ותהליכי האימות. המבקרים שילבו את תיעוד הבקרה של האחראי עליה במערך הבדיקות שביצעו, תוך שימוש בכלי אוטומציה לביצוע בדיקה זו. אחת הבדיקות שבוצעו אימתה שגישה שניתנה בוטלה במועד. אם כן, שימוש ברובוטיקה ואוטומציה מאפשר למבקרים לבצע יותר מבחנים באותה מסגרת זמן.
- תקשורת
מבקרי מערכות מידע בנורדסטרום התמקדו בשיפור המיומנויות בתחום התקשורת המילולית הכתובה. כדי לתקשר ביעילות עם גופי הטכנולוגיה בארגון, מנהל מחלקת ביקורת מערכות מידע מבלה שישה חודשים בעבודה ישירה מול מנהלים ביחידות הטכנולוגיה טרם כניסתו לתפקיד בביקורת הפנימית. במהלך תקופה זאת הוא לומד את המנהלים וסגנון התקשורת שלהם, וישלב זאת בדוחות הביקורת כדי להגביר את השפעתם.
מבקרים פנימיים הפכו לבעלי תקשורת משכנעת, מנהלי משא ומתן יעילים ומאזינים גדולים. הם הביאו לגידול באמון בעלי העניין על ידי שימוש בנתונים לתמיכה בממצאי הביקורת ותוכניות פעולה של הארגון. כיום יש ציפייה שממצאי הביקורת ייתמכו על ידי נתונים אפילו בנושאים קשים לכימות ומדידה, אך צריך לזכור שהצגת נתונים חזותית אינה נדרשת בכל דוחות הביקורת. לעיתים הצגה חזותית עלולה לגרום ללקוח לקפוץ למסקנות בלי לקרוא את כל הפרטים, ולכן חלק מהלקוחות מעדיפים לקרוא את הטקסט. בעוד שדוחות הביקורת צריכים להתמקד תמיד בסיכונים החשובים ביותר, מבקרים מתאימים את סגנון דוחות הביקורת לפורמט המועדף על בעלי העניין.
לסיכום, יצירת אמון באמצעות הטכנולוגיה
הביקורת הפנימית צריכה באופן תמידי לפתח את אנשי הצוות, להפוך אותם ליועצים אמינים ולשמר אותם.
מאמציה של נורדסטרום בעניין כוללים: הגברת היקף שיחות ממוקדות סיכונים שעורכת ההנהלה כדי להביא להגדלת אפקטיביות הבקרות. והובלת שינוי תרבותי והקדשת זמן לבניית אסטרטגיות להפחתת סיכוני טכנולוגיה.
בתהליכים אלה מבקרי מערכות מידע הגדילו את שיעור שביעות הרצון של הלקוחות וקיבלו יותר דרישות לביצוע עבודות מצד ההנהלה. יותר מזה, ההנהלה יותר פרואקטיבית בקידום שינויים בנושאים שזוהו בביקורת פנימית, זאת עוד לפני קבלת דוח הביקורת.
כשהלקוחות מבינים שדוח הביקורת יכול להניע אותם מהר יותר להשגת יעדיהם, הם נוטים להפוך ללקוחות חוזרים ולשתף את עמיתיהם בארגון.
מאמר זה תורגם מגיליוןINTERNAL AUDITOR , פברואר 2019.
תרגום: שלומית איתן
