"המבקר המשבש" – The Disruptive Auditor

ניל הודג', מאמר מתורגם מגיליון יוני 2022, כתב העת Internal Auditor

כדי שהביקורת הפנימית תוכל לתת ערך רב יותר, עליה לאמץ טכנולוגיות משבשות כחלק מעבודתה.

טכנולוגיות משבשות כבר משנות את הדרך שבה צרכנים, תעשיות ועסקים פועלים. הן מחליפות שיטות מסורתיות ומאיצות תהליכים, ולכן ההתפשטות של טכנולוגיות פורצות דרך, כמו בינה מלאכותית, למידת מכונה ואנליטיקת נתונים, היא מהירה מאוד. גם אם הארגון עדיין לא משתמש בטכנולוגיות אלו, סביר להניח שמשתמשים בהן הלקוחות, הספקים והמתחרים שלו.

עם המעבר לחדשנות, אסטרטגיות עסקיות חדשות מסתמכות יותר מתמיד על יכולות IT חדשות, דבר שמגביר את סיכוני ה-IT ואת סיכוני הסייבר. אולם ממחקרים וסקרים בקרב מבקרים ראשיים עולה שמבקרים פנימיים רבים אולי לא מבינים איך הטכנולוגיות הללו עובדות ולכן אינם מסוגלים לבצע ביקורת נאותה בנושאים אלה. בנוסף, ייתכן שהם לא נהנים מפתרונות טכנולוגיים חדשניים בעבודת הביקורת עקב היעדר תקציבים והיעדר מיומנויות בתוך יחידת הביקורת.

פערי כישורים בביקורת

על פי סקר שנערך על ידי חברת המחקר והייעוץ הטכנולוגית גרטנר, Top Priorities for Audit" Leaders in 2022", גיוס ושימור מבקרים פנימיים בעלי מיומנויות גבוהות בתחום ה-IT הוא האתגר הגדול ביותר למבקרים פנימיים ראשיים השנה. אבל נראה שזו רק בעיה אחת מני רבות במאמציה של הביקורת הפנימית לעמוד בקצב הלמידה שלה בנושאי טכנולוגיות משבשות חדשות והסיכונים וההזדמנויות שבהן.

יותר ממחצית (56%) ממנהלי הביקורת הפנימית שהשתתפו בסקר של גרטנר אומרים שהמעבר ליישומי אנליטיקה מתקדמים יותר, כמו ניטור רציף, אוטומציה ובינה מלאכותית, הוא אתגר מרכזי לשנת 2022. באופן דומה, 53% מודאגים מכך ששיטות הביקורת בתחום ה-IT אינן עומדות בקצב הגידול בדרישות לעבודות ביקורת בתחום הטכנולוגיות החדשות ובתחום סיכוני ה-IT.

למעשה, יותר משליש ממנהלי הביקורת הפנימית אומרים שיש להם אמון נמוך בשיטות הביקורת שלהם בתחום ה-IT וביכולתם לספק ביקורת נאותה בתחום אבטחת הסייבר.

"מבקרים ראשיים ממשיכים לחוות פערים במיומנויות במחלקות שלהם ומבקשים באופן יזום לסגור את הפערים האלה על ידי גיוס עובדים בעלי מיומנויות בתחומי מדע הנתונים, ה-IT והסייבר", אומרת לסלי מקנייט, מנהלת מחקר בכירה בחברת גרטנר בתחום הביקורת והסיכונים. "יותר משליש מהמבקרים הראשיים מדווחים כי עובדים בעלי ביצועים גבוהים עוזבים את הארגון שלהם".

הסקר גם מצא שכמעט מחצית (45%) מהמבקרים הראשיים אומרים שמחלקות הביקורת הפנימית שלהם אינן מוכנות לאמץ יישומי אנליטיקה מתקדמים יותר, וגם בארגונים שבהם הביקורת הפנימית כן משתמשת בכלים אלה, הרבה מבקרים אומרים שהטכנולוגיה אינה מוסיפה ערך. כמעט רבע (23%) אומרים שהם אינם מקבלים מספיק תמורה להשקעה (ROI) בנושא, למשל בתחום האוטומציה הרובוטית של תהליכים, ו-44% אומרים שהשקעותיהם באנליטיקת נתונים "אינן אפקטיביות".

"החשש הזה לגבי עבודות ביקורת בנושא טכנולוגיה, עולה בתקופה שבה 60% ממחלקות הביקורת הפנימית מתכננות להגדיל את ההוצאה על טכנולוגיית ביקורת השנה", אומרת מקנייט. "הקושי בגיוס עובדים בעלי המיומנויות הנכונות למחלקות הביקורת הפנימית, יחד עם הצורך לחזק את היקף הכיסוי של הביקורת בתחום הסיכונים הטכנולוגיים ולקדם את מאמצי הטרנספורמציה הדיגיטלית של הביקורת, יוצרים סערה מושלמת סביב היכולות הנדרשות הללו".

ישנם מבקרים ראשיים האומרים שיש צוותי ביקורת שחוששים להראות עד כמה הם חסרי ידע בתחום ה-IT, ולכן הם אינם מבקשים מהארגון לממן כלים שהם לא יודעים איך להשתמש בהם ושלא התבקשו ללמוד.

אסור לביקורת להישאר מאחור

ליז סנדווית', יועצת ראשית בלשכת המבקרים הפנימיים בלונדון, אומרת שמבקרים פנימיים צריכים להשתמש בטכנולוגיות החדשות האלה, אך אומרת כי "באופן כללי, לעיתים קרובות נדרשת עבודה כדי לשפר את המיומנויות של צוותי הביקורת הפנימית כדי שידעו איך להשתמש בהן". היא מוסיפה כי ישנם שני חסמים משמעותיים לשימוש בטכנולוגיות חדשות על ידי צוותי הביקורת: הראשון הוא מחלקת הכספים, שאינה מעוניינת בהוצאות כספים שאינן הכרחיות, והחסם השני נובע "מחוסר רצונה של מחלקת הביקורת הפנימית עצמה לאמץ טכנולוגיה חדשה".

עם זאת, החשש שמחלקות ביקורת פנימית עלולות להישאר מאחור מציב סיכונים משמעותיים. סנדווית' אומרת שיש סכנה ממשית שארגונים משתמשים במידע ובנתונים ניהוליים שמבקרים פנימיים אינם מסוגלים להשתמש בהם או לאמת אותם. "טכנולוגיות חדשות מייצרות המון נתונים בקצב מהיר מאוד. אבל קשה לתחקר את הנתונים האלה אם הם לא בפורמט שאתה מבין ואם אתה לא יודע את מקורם ואיך נאספו", היא אומרת. "כתוצאה מכך, יכול להיות שההנהלה מבקשת מהביקורת הפנימית לספק הבטחה על נתונים שהיא אינה מסוגלת לאמת, וכן להשתמש בטכנולוגיות שבהן אין לה את המיומנויות הנדרשות. לגבי חסם העלויות, הביקורת צריכה לברר אם יש יחידות אחרות בארגון שמשתמשות באותה טכנולוגיה, ולבקש מהן לשתף את מחלקת הביקורת הפנימית ברישיון ובמספר המשתמשים. יש גם תוספים פשוטים שנותנים ערך בעלות נמוכה.

תרזה גרפנשטיין, מבקרת פנימית ראשית בתחום הטכנולוגיה והנתונים בחברת סיטי בניו יורק, אומרת שהטכנולוגיה חייבת להיות בראש מעייניו של כל צוות ביקורת פנימית. "סיכוני טכנולוגיה הם ללא ספק הסיכונים הגדולים ביותר עבור כל ארגון, ולכן קיימת בעיה רצינית אם הביקורת הפנימית אינה מאמצת את הטכנולוגיות העדכניות ביותר או אינה מבינה אותן".

חשוב שהביקורת הפנימית תשתמש בטכנולוגיות כמו RPA (אוטומציה רובוטית של תהליכים), למידת מכונה, עיבוד שפה ואנליטיקת נתונים, מכיוון שהרבה מעבודתה של הביקורת היא בחינת עסקאות וזרימת נתונים, והכלים האלה מאיצים את התהליך באופן ניכר בכך שהם מאפשרים לנו לעבוד על פני הרבה פלטפורמות, לבצע תחקורי נתונים טובים יותר בהרבה כדי לזהות מגמות ואנומליות. אין ספק שצוותי הביקורת הפנימית צריכים לאמץ את הטכנולוגיות הללו ולקדם את השימוש בהן".

סיכונים והזדמנויות בהטמעת טכנולוגיות חדשות בביקורת – צעד ראשון

"הבעיה היא לדעת מאיפה להתחיל", אומרת גרפנשטיין. "הבנת הסיכונים וההזדמנויות שהטכנולוגיות החדשות יכולות ליצור, הן עבור העסק והן עבור הביקורת הפנימית, יכולה להיות משימה כמעט בלתי אפשרית". לדעתה כדאי תחילה לשאול שאלות בסיסיות: מה עושה הטכנולוגיה? איך היא פועלת? אילו נתונים נדרשת לה? אילו נתונים היא מייצרת? כיצד ניתן לאמת את הנתונים? לאחר שיש תשובות לשאלות הבסיסיות האלה, ניתן להבין טוב יותר אילו יתרונות ניתן להשיג מהשימוש בהן, וכיצד צוות הביקורת הפנימית יכול להשתמש בכלים אלה באופן אפקטיבי.

גרפנשטיין גם ממליצה למבקרים פנימיים ראשיים להיות יצירתיים וגמישים יותר בגישתם. הביקורת הפנימית יכולה לשתף פעולה עם אחרים בארגון שיכולים לעזור, במיוחד צוות הטכנולוגיה. "יכול להיות שלמחלקת ה-IT יש פתרון בנוי מראש שהביקורת הפנימית יכולה לאמץ," היא מציינת. "ניתן לבקש הכשרה או לקבל עזרה ממומחה טכנולוגי פנימי באופן זמני כדי להעניק לצוות הביקורת ניסיון מעשי. אם מחלקת ה-IT לא משתמשת בטכנולוגיה, אפשר לבדוק אם הם מוכנים לנסות אותה עבור הביקורת, כדי לברר אם היא עובדת, אם היא הטובה ביותר בשוק, ואם היא שווה את הכסף".

פיט הנלון, ה-CTO בחברת Moneypenny, חברה שעונה לשיחות במיקור חוץ באמצעות צ'אטים מקוונים ותקשורת דיגיטלית, אומר שהצעד הראשון להוכחת הצורך של הביקורת בטכנולוגיה חדשנית כלשהי הוא ליצור "פיץ' מעלית" קצר שמסביר את הבעיה וגם איך פתרון טכנולוגי חדש יפתור אותה (וכן לציין את ההחזר הפוטנציאלי על ההשקעה). הפיץ', שאמור להשיג הסכמה לרכישת הטכנולוגיה לפני יצירת תוכנית מפורטת, "צריך להיות בשפה פשוטה וברורה לכל אחד ולא רק למומחה בתחום", הוא מוסיף.

קביעת הטכנולוגיות שנרצה להשתמש בהן

לאחר שקיבלנו את הסכמת הארגון לטכנולוגיה שרצינו, יש לבנות תוכנית עסקית המתמקדת בתוצאות העסקיות מהיישום. אם יש הצדקה עסקית, יהיה קל יותר לשכנע את הארגון להשקיע בה. אולם אם היתרון היחיד הוא שהמחלקה תשתמש בטכנולוגיה חדשה רק כי היא חדשה ונוצצת, יש לעצור מיד את הפרויקט.

כריס טוצ'י, פרופסור לאסטרטגיה דיגיטלית וחדשנות בבית הספר לעסקים, אימפריאל קולג' בלונדון, מסכים שאם הביקורת הפנימית רוצה גישה לטכנולוגיות אלה כחלק מעבודתה, היא צריכה לזהות את התחומים שבהם תוכל להשתמש בהן ולהציג את היתרונות לעבודת הביקורת.

הוא מציע לצוותי הביקורת הפנימית להציג טיעון עסקי פשוט והגיוני, העונה על השאלות הבאות:

Ÿ    אילו שיפורים יושגו ביעילות הביקורת בזכות השימוש בכלים?

Ÿ    באילו תחומים הכלים יסייעו לביקורת להגביר יעילות?

Ÿ    אילו משימות חדשות תוכל הביקורת הפנימית לבצע עם הטכנולוגיות הללו שהיא אינה מבצעת כיום?

Ÿ    אילו סוגים של משימות תוכל הביקורת הפנימית לספק בהיקף גדול יותר בזכות הטכנולוגיות הללו?

טוצ'י מוסיף כי על הביקורת הפנימית להראות אילו יתרונות פיננסיים ולא פיננסיים היא יכולה למנף באמצעות הטכנולוגיות האלה. "השגת חיסכון בעלויות היא כמובן טיעון טוב, אך חשוב גם להדגיש יתרונות פוטנציאליים אחרים, לדוגמה: ההשקעה בהכשרת הצוות תשפר מיומנויות, תעלה את מורל העובדים ואת שביעות רצונם, דבר שמסייע בשימור וגיוס עובדים כישרוניים. כל אלה הם שיקולים חשובים בתקופה שבה בעיה מרכזית עבור ארגונים היא שימור עובדים".

אם עדיין קשה לשכנע את הארגון להשקיע בטכנולוגיות חדשניות עבור הביקורת, ניתן לשקול אפשרויות נוספות: לנסות לשתף יחידות נוספות בארגון בתוכנית הפעולה וגם בעלויות, כגון יחידת הציות, המחלקה המשפטית או מחלקת ניהול הסיכונים. לחילופין, הביקורת הפנימית יכולה לחבור למחלקות אחרות בארגון שכבר יש להן גישה לטכנולוגיה, כגון מחלקת ה-IT ומחלקת אבטחת הסייבר, ולבקש מהן להעניק הכשרה או להשאיל עובדים באופן זמני לביקורת הפנימית עבור משימות או פרויקטים ספציפיים, או לבקש מהן להמליץ לתת לביקורת הפנימית גישה ישירה לכלים אלה.

גם כאן, חשוב להיות ספציפי לגבי צורכי ההכשרה, המיומנויות והמומחיות הנדרשים לביקורת הפנימית, אומר טוצ'י, שכן מאמצים להשיג עזרה ממקומות אחרים בעסק כדי לסגור פערים במיומנויות לא תמיד משתלמים. חברת גרטנר מצאה כי רק 15% ממנהלי הביקורת מצליחים לקבל מהעסק את המומחיות הנדרשת בנושאים השונים כדי לתמוך בעבודתם בעת הצורך.

הקפיצה הטכנולוגית

על הביקורת הפנימית להישאר מעודכנת בטכנולוגיות החדשניות ביותר, במיוחד כי היא תידרש לבצע משימות ביקורת בנושאי השימוש בטכנולוגיה ברחבי הארגון, ותצטרך להתייחס לבקרות הנדרשות כדי להפחית את סיכוני הטכנולוגיה. אולם כדי שהיקף הביקורת יגדל, צוותי הביקורת הפנימית צריכים להשתמש בטכנולוגיות אלה גם כחלק מעבודת הביקורת, כדי לעשות יותר, וכדי לתת לארגון ערך רב יותר.

"אי אפשר להשאיר את הביקורת הפנימית מאחור", אומרת סנדווית', "הטכנולוגיות החדשות משנות את הדרך שבה ארגונים פועלים, וכמקצוע אנחנו חייבים לאמץ אותן".

ניל הודג' הוא עיתונאי עצמאי המתגורר בנוטינגהאם באנגליה.

 

מבקרים משתפים ב-5 "החידושים המשבשים" עבור הביקורת הפנימית

אנליטיקת נתונים

תוכנות אנליטיקה משפרות את הערכות סיכונים, את עבודת הביקורת בשטח ואת תהליכי הדיווח. כיום כלים אלה מהווים חלק מרכזי בתהליכי התפעול של ארגונים.

אוטומציה רובוטית של תהליכים – RPA

מערכות מבוססות כללים, המחקות התנהגות אנושית כדי להפוך חלקים של תהליכים שחוזרים על עצמם לאוטומטיים. הן שימושיות מאוד לעבודת הביקורת מפני שהן מאפשרות בחינה מהירה של כמויות גדולות של נתונים על פני פלטפורמות מרובות, וגם הרחבת היקף הכיסוי של הביקורת.

יישומים של אינטליגנציה קוגניטיבית

בינה מלאכותית, למידת מכונה ויצירה/עיבוד של שפה טבעית, מספקים מבנה לנתונים ומשפרים את יכולת הניבוי. הם יכולים גם לזהות מגמות שכלי IT שגרתיים לא מסוגלים לזהות בדרך כלל.

מחשוב ענן

ככל שארגונים מייצרים יותר ויותר נתונים, כך הם עתידים להסתמך יותר ויותר על הענן כדי לאחסן נתונים. הענן מופעל בדרך כלל על ידי צד שלישי, ועל הביקורת הפנימית לוודא שנתונים אלה מוגנים ואינם בסכנה.

בלוקצ'יין

בלוקצ'יין הוא מסד נתונים משותף היוצר תיעוד קבוע של עסקאות המשותפות ברשת של מכשירים מחוברים מרובים, המכונים nodes (צמתים). היכולת לאחסן – ולא לשנות – נתונים טרנזקציונליים או היסטוריים, פירושה שהטכנולוגיה מציעה יישומים רבים במגוון תעשיות.