תוצאות סקר הערכת הסיכונים היום ובעתיד – ישראל VS אירופה

מאת: בועז ענר , שרון ויטקובסקי טביב | גליון 13- המבקר העתידי | אפר 2021 | אין תגובות
שרון ויטקובסקי טביב | רו"ח, MA, CIA, CRMA – שותפה, ראש מגזר ניהול סיכונים )RAS ,(BDO
סגנית נשיא, דירקטורית ועורכת כתב העת של לשכת המבקרים הפנימיים – IIA Israel
בעז ענר | רו"ח, MA ,CIA ,מרצה, יועץ, מנהל סדנאות ביקורת, לשעבר משנה למנכ"ל – משרד מבקר המדינה

 

רקע כללי

במחצית הראשונה של שנת 2020 (בתקופת התפרצות מגפת הקורונה) בוצע על ידי ה-ECIIA (הקונפדרציה האירופאית למבקרים פנימיים) סקר ב-11 מדינות ברחבי אירופה – אוסטריה, בלגיה, צרפת, גרמניה, איטליה, לוקסמבורג, הולנד, ספרד, שוודיה, אנגליה ואירלנד (להלן: "הסקר האירופאי"). לסקר השיבו 579 נשאלים, לצד ראיונות שבוצעו עם 42 מבקרים פנימיים ראשיים ויושבי ראש ועדות ביקורת ו-51 מומחים.

הסקר פורסם בספטמבר 2020 במסגרת 'Risk in Focus' הנערך מדי שנה במהלך 5 השנים האחרונות, ומטרתו לסייע למקצוע הביקורת הפנימית לבצע את עבודת הערכת הסיכונים, את התכנון השנתי ואף את סקירת הביקורת על ידי שיתוף התובנות והלמידות מהמחקר.

במהלך חודש ינואר 2021 ערכנו אנחנו בישראל סקר בקרב מבקרים פנימיים ראשיים. בסקר השתתפו 57 משיבים.

מטרת הסקר הייתה לבחון את השינויים שחלו בעבודת הביקורת הפנימית ובסיכונים שאליהם חשופים הארגונים בשנים האחרונות, והשינויים שצפויים לחול בשנים הבאות. השאלון בנוי בסגנון 'TOP 5', כלומר בכל שאלה נדרשו העונים לסמן 5 תשובות  בלבד, המתאימות ביותר לדעתם.

הסקר בישראל כלל 8 שאלות הנוגעות בעיקרן להערכת הסיכונים בארגון ולמיקוד הביקורת הפנימית בתחום הסיכונים, לפי תקופות כדלקמן:

  1. הערכת סיכונים בארגונים בשנת 2020.
  2. מיקוד/ השקעת הביקורת הפנימית בשנת 2020.
  3. הערכת סיכונים בארגונים בשנת 2021.
  4. הערכת סיכונים בארגונים בשנת 2024.
  5. המשאבים להתמודד עם השינויים.

בכל אחת מהתקופות לעיל יוצגו להלן התוצאות על פי החתכים הבאים:

  • הצגת שיעורי המשיבים בכל אחד מהסיכונים.
  • השוואה בין תוצאות המשיבים בארץ בתקופה המוצגת לבין תוצאות המשיבים בארץ בתקופות אחרות רלוונטיות.
  • השוואה בין תוצאות המשיבים בארץ לתוצאות המשיבים בסקר האירופאי בגין אותה תקופה.

להלן עיקרי הנתונים והניתוחים (כאמור, במרבית השאלות הנשאלים התבקשו לסמן את 5 התשובות המתאימות ביתר, כך שהנתונים לא מצטברים ל-100%).

  1. הערכת סיכונים בארגונים בשנת 2020

להלן תרשים לתיאור התפלגות הערכת 5 הסיכונים העיקריים של הארגונים בישראל בשנת 2020:

חמשת הסיכונים העיקריים של הארגונים השונים בישראל בשנת 2020 – לפי שיטת TOP 5 היו: סייבר ואבטחת מידע (79%), רגולציה וציות (67%), הון אנושי וניהול (58%), ניהול משברים (46%) ואיכות השירות ללקוח (39%).

ניתן לקשר סיכונים אלה באופן ישיר למשבר הקורונה שהיה משמעותי מאוד בשנת 2020, בין אם בהקשר של ניהול משברים (ברור כי בתקופה זו ארגונים נקלעו למשברים מסוגים שונים), ובין אם בהקשרים של סייבר ואבטחת מידע והון אנושי וניהול (לאור היבטי העבודה שהשתנו, לרבות עבודה מרחוק, שימוש באמצעי טכנולוגיה חדשים, העברת מידע באופן ממוחשב ועוד).

בהתאם, ערכנו השוואה בין תוצאות הסקר האירופאי לתוצאות הסקר בישראל, בדבר הסיכונים שהעריכו הארגונים אודות התפלגות הסיכונים העיקריים בשנת 2020. להלן תוצאות ההשוואה:

הפערים המשמעותיים בהערכת הסיכונים של הארגונים בארץ לעומת הארגונים באירופה היו בסיכוני טכנולוגיה מצד אחד (26% מהמשיבים בארץ לעומת 58% מהמשיבים באירופה), ומנגד בסיכוני הון אנושי וניהול (58% מהמשיבים בארץ לעומת 27% מהמשיבים באירופה). כמו כן, הסיכונים שלא קיבלו ביטוי בסקר האירופאי בגין שנת 2020 וסומנו על ידי המשיבים בסקר בארץ כסיכונים עיקריים ומשמעותיים: סיכוני ניהול משברים (46%) וסיכוני איכות השירות ללקוח (39%).

  1. מיקוד/ השקעת משאבי הביקורת בשנת 2020

לצד הערכת הסיכונים בארגונים, בדקנו את התחומים שבהם המבקרים הפנימיים השקיעו את רוב משאבי הביקורת הפנימית, הזמן והמאמץ. להלן תרשים לתיאור התפלגות 5 התחומים העיקריים שבהם הושקעו בישראל בשנת 2020 רוב משאבי הביקורת בארגונים שבהם ממונים המשיבים כמבקרים פנימיים:

חמשת התחומים העיקריים בשנת 2020 שבהם הביקורת השקיעה את עיקר משאביה – לפי שיטת TOP 5 היו: סייבר ואבטחת מידע (79%), רגולציה וציות (67%), הון אנושי וניהול (58%), ניהול משברים (46%) ואיכות השירות ללקוח (39%).

כמו כן, ערכנו השוואה בגין שנת 2020 בישראל בין הערכת 5 הסיכונים העיקריים של הארגונים לבין 5 התחומים העיקריים שבהם המבקרים הפנימיים השקיעו את רוב משאבי הביקורת. להלן התוצאות:

נראה כי במרבית המקרים, המבקרים הפנימיים בארץ התמקדו במסגרת הביקורת הפנימית בתחומים דומים לסיכונים המהותיים בארגונים, כדוגמת סייבר ואבטחת מידע, רגולציה וציות, שרשרת אספקה ובריאות, בטיחות וביטחון. כלומר הם השקיעו את משאביהם בהלימה לסיכונים של הארגונים. עם זאת, ישנם תחומים שהביקורת התמקדה בהם, בעוד שהערכת הסיכונים הארגוניים בתחומים אלה הייתה נמוכה יותר, כדוגמת מעילות והונאות, תרבות ארגונית, ממשל תאגידי ודיווח, ואיכות השירות ללקוח.

בתחומי ניהול משאבים והון אנושי וניהול, הערכת הסיכונים של הארגונים הייתה גבוהה ביחס למיקוד הביקורת, אולם מדובר בהפרשים שאינם עולים על 10%.

כמו כן, ערכנו השוואה בין תוצאות הסקר האירופאי לתוצאות הסקר בישראל באשר להתפלגות התחומים שבהם הושקעו רוב משאבי הביקורת בשנת 2020. להלן תוצאות ההשוואה:

הן המשיבים בארץ והן המשיבים באירופה התמקדו בשיעורים גבוהים ודומים של כ-70% בתחומי הסייבר ואבטחת מידע והרגולציה וציות. הפערים המשמעותיים בשנת 2020 בהערכת הסיכונים של המבקרים הפנימיים  בארץ לעומת אירופה היו בסיכוני ממשל תאגידי ודיווח, מעילות והונאות וסיכונים פיננסיים. בתחומים אלה המבקרים הפנימיים בארץ התמקדו בהיקף משמעותי (למעלה מ-50% מהמשיבים), לעומת המשיבים באירופה שהתמקדו בהם בשיעורים נמוכים בהרבה (סיכוני ממשל תאגידי ודיווח וסיכומי מעילות והונאות – 26% וסיכונים פיננסיים 39%).

  1. הערכת סיכונים בשנת 2021

להלן תרשים לתיאור התפלגות הערכת 5 הסיכונים העיקריים של הארגונים בישראל בשנת 2021:

חמשת הסיכונים העיקריים בארגונים השונים בארץ בשנת 2021 – לפי שיטת TOP 5 יהיו: סייבר ואבטחת מידע (82%), רגולציה וציות (63%), הון אנושי וניהול (54%), איכות השירות ללקוח (47%) וסיכונים פיננסיים (39%). בהשוואה לחמשת הסיכונים העיקריים בשנת 2020 ניתן לראות שסיכוני ניהול משברים ירדו בשיעורם לעומת הסיכונים הפיננסיים שעלו בשיעורם.

ערכנו השוואה בין הערכת 5 הסיכונים העיקריים של הארגונים בישראל בשנת 2020 לעומת הערכת 5 הסיכונים העיקריים של הארגונים בישראל בשנת 2021. להלן תוצאות ההשוואה:

על פי ההשוואה, הפערים בין השנים 2021 ו-2020 לא עלו על 10% ברוב המוחלט של הסיכונים. הפער המשמעותי ביותר בהשוואה בין הערכת הסיכונים בשנת 2021 לעומת שנת 2020 היה בסיכוני ניהול משברים (הערכתו בשנת 2021 קטנה בכ-15%). ניתן להסביר את הירידה בהערכת הסיכון לאור העובדה שמשבר הקורונה נמשך, והארגונים למדו לחיות בשגרת קורונה מסוימת, כך שהערכת הסיכון קטנה לעומת שנת 2020.

בהתאם, ערכנו גם השוואה בין תוצאות הסקר האירופאי לתוצאות הסקר בישראל, בדבר הסיכונים שהעריכו הארגונים להתפלגות הסיכונים העיקריים בשנת 2021. להלן תוצאות ההשוואה:

הפערים המשמעותיים בהערכת הסיכונים של הארגונים בארץ לעומת הארגונים באירופה בשנת 2021 היו בסיכוני הון אנושי וניהול, כאשר 54% מהמשיבים בארץ סימנו אותם כסיכונים עיקריים לעומת 35% מהמשיבים באירופה. פערים משמעותיים נוספים ניתן לראות בסיכוני שינויי אקלים וקיימות סביבתית וסיכוני טכנולוגיה, שאותם המשיבים באירופה סימנו כסיכונים עיקריים בשיעורים גבוהים משמעותית מהמשיבים בארץ (פערים של כ-20%).

  1. הערכת סיכונים בשנת 2024

להלן תרשים לתיאור התפלגות הערכת 5 הסיכונים העיקריים של הארגונים בישראל בשנת 2024:

על פי ההערכות, חמשת הסיכונים העיקריים בארגונים השונים בארץ בשנת 2024 – לפי שיטת TOP 5 יהיו: סייבר ואבטחת מידע (89%), רגולציה וציות (56%), הון אנושי וניהול (53%), טכנולוגיה ודיגיטציה (47%) וסיכונים פיננסיים (39%).

בהשוואה לחמשת הסיכונים העיקריים בשנת 2021, ניתן לראות שסיכוני איכות השירות ללקוח עתידים לרדת בשיעורם לעומת סיכוני טכנולוגיה ודיגיטציה שעתידים לעלות בשיעורם. כלומר, בארגונים בישראל בשנת 2024 צפויה להיות מודעות גבוהה יותר לסיכונים הטכנולוגיים.

ערכנו השוואה נוספת של הערכת 5 הסיכונים העיקריים של הארגונים בישראל בשנת 2024 לעומת הערכת 5 הסיכונים העיקריים של הארגונים  בשנת 2021. להלן תוצאות ההשוואה:

ניתן לראות כי הערכת הסיכונים לשנת 2024 בישראל דומה במהותה להערכת הסיכונים בשנת 2021. בכל הסיכונים הפערים בין השנים 2024 ו-2021 לא עלו על 10%, למעט תחום הטכנולוגיה והדיגיטציה שבו יחול שינוי גדול יותר – גידול של 12%. המסקנה היא שהערכת הסיכונים העתידית של הארגונים מבוססת על הסיכונים כפי שמוכרים להם כיום.

כמו כן, ערכנו השוואה בין תוצאות הסקר האירופאי לתוצאות הסקר בישראל, בדבר הסיכונים שהעריכו הארגונים להתפלגות הסיכונים העיקריים הצפויים בשנת 2024. להלן תוצאות ההשוואה:

הפערים המשמעותיים בהערכת הסיכונים שיהיו בשנת 2024 של הארגונים בארץ לעומת הארגונים באירופה המשיכו להיות דומים לפערים שהיו בשנת 2021. עיקר הפערים היו בסיכוני הון אנושי וניהול, כאשר 53% מהמשיבים בארץ סימנו אותם כסיכונים עיקריים לעומת 37% מהמשיבים באירופה. פערים משמעותיים נוספים ניתן לראות בסיכוני שינויי אקלים וקיימות סביבתית וסיכוני טכנולוגיה, שאותם המשיבים באירופה סימנו כסיכונים עיקריים בשיעורים גבוהים משמעותית מהמשיבים בארץ (בשינויי אקלים הפער מגיע לכ-30%). לעניין ההשוואה והחיזוי לשנת 2024 בארץ ובאירופה, יש להביא בחשבון שיש קושי בחיזוי סיכונים לעוד שלוש שנים וכולם נאחזים במיטב המידע שבידיהם כיום ומשליכים ממנו לשנת 2024.

  1. המשאבים להתמודד עם השינויים

שאלנו את המבקרים הפנימיים בארץ אם הם סבורים שיהיו להם המשאבים הנדרשים כדי להתמודד עם הסיכונים והשינויים הצפויים בשנים הבאות. להלן תרשים המתאר את התפלגות התשובות:

ניתן לראות כי מרבית העונים (76%) סבורים כי יהיו בידם המשאבים להתמודד עם השינויים הצפויים, לפחות באופן חלקי. עם זאת, ניתן לראות שחלק לא מבוטל מהמשיבים (33%) סבורים כי לא יהיו בידם המשאבים או שיהיו להם רק משאבים חלקיים להתמודד עם השינויים, ועוד 12% אינם יודעים אם יהיו בידיהם המשאבים המתאימים. כלומר, 45% מהמשיבים מבטאים ספקות, רבים או חלקיים, לגבי יכולתם להתמודד בעתיד עם הסיכונים והשינויים הצפויים.

סיכום

ככלל, נראה כי רשימת ה-TOP 5 של הסיכונים העיקריים בשנת 2020 נשארה במהותה דומה גם בצפי לשנים הבאות.

גם בהשוואת כלל הסיכונים בין השנים נראה כי בארץ סבורים שהערכת הסיכונים בארגונים לא תשתנה באופן מהותי לאורך השנים, אם כי באשר לשנת 2024 יהיה גידול של 12% בסיכון הטכנולוגי.

הסיכון העיקרי של הארגונים, שכ-80% ומעלה מהמשיבים סימנו לאורך השנים כחלק מרשימת ה-TOP 5, הוא סיכון הסייבר ואבטחת מידע, שגם בסקר האירופאי סומן על ידי מרבית המשיבים כסיכון עיקרי.

בהשוואה בין תוצאות הסקר בארץ לתוצאות הסקר האירופאי, עולה כי ישנם סיכונים שבאירופה קיבלו ביטוי משמעותי אולם בארץ נראה כי סיכונים אלה עדיין לא מהווים סיכונים עיקריים, כדוגמת סיכוני שינויי אקלים וקיימות סביבתית ושינויי טכנולוגיה. לעומת זאת, ישנם סיכונים שקיבלו ביטוי משמעותי בסקר בארץ, אולם נראה כי באירופה אינם מהווים סיכונים עיקריים, כדוגמת הון אנושי וניהול וסיכון איכות השירות ללקוח (שלא קיבל כלל ביטוי בסקר האירופאי).

את הפער באשר לסיכוני אקלים וקיימות סביבתית ניתן להסביר במונחי תרבות חברתית ופוליטית: באירופה המודעות והרגישות לסיכוני אקלים, הן של הממשלות והן של הציבור וכנגזרת מכך של הארגונים, היא גבוהה בהרבה מאשר בישראל. באשר לשינויים טכנולוגיים יש לזקוף זאת לזכות הארגונים האירופאים שמודעים יותר מאשר בישראל לגודל ועומק השינוי הטכנולוגי, וגם להשפעותיו על התעסוקה העתידית – שינוי שכבר מתרחש ומחייב התייחסות מעמיקה. בטווח הקרוב, סביר שהנושא הזה יעלה על פני השטח גם בישראל.

באשר לחיזוי סיכונים לשנת 2024, בארץ ובאירופה יש קושי בחיזוי סיכונים לעוד שלוש שנים, וכולם נאחזים במיטב המידע שבידיהם כיום ומשליכים ממנו לגבי הסיכונים בשנת 2024.

אודות הכותב/ת

בועז ענר

רו"ח, MA, CIA

[email protected]

אודות הכותב/ת

שרון ויטקובסקי טביב

רו"ח, CIA ,CRMA

עורכת כתב העת סגנית נשיא ויור ועדת מידע ופרסומים
שותפה BDO זיו האפט

[email protected]