מענה לשאלתך המקצועית – אחריות המבקר הפנימי למעקב ויישום המלצותיו

מאת: אורן שחר | | מרץ 2024 | אין תגובות

בהתייחסות לשאלתך שלהלן:

מבקש התייחסות הוועדה לנושא אחריות והאפשרויות שבידי מבקר פנימי בנושא מעקב אחר יישום המלצות הביקורת במקרים בהם לא מיושמות ההמלצות.

התייחסות הוועדה למענה לשאלות מקצועית של חברים

הנהלת הארגון היא האחראית ליישום המלצות המבקר הפנימי שנתקבלו על-ידה ואושרו ע"י ועדת הביקורת[1]. אחריות המבקר הפנימי היא לנטר את סטטוס יישום ההמלצות ולדווחו לוועדת הביקורת.

תימוכין לעמדה זו:

  1. התקנים המקצועיים התקפים כיום (שפורסמו בשנת 2017)

תקן 2500 – ניטור ההתקדמות

המבקר הפנימי הראשי חייב להקים ולתחזק מערכת למעקב אחר התקדמות היישום של התוצאות שדווחו להנהלה.

2500.A1 המבקר הפנימי הראשי חייב למסד תהליך מעקב לשם ניטור והבטחה, שפעולות ההנהלה מיושמות באופן אפקטיבי, או שההנהלה הבכירה נטלה סיכון של אי-נקיטת פעולות.

2500.C1 – הביקורת הפנימית חייבת לבצע מעקב אחר התקדמות היישום של תוצאות מטלות ייעוץ במידה המוסכמת עם הלקוח.

  1. התקנים המקצועיים החדשים (ייכנסו לתוקף ביום 9/1/2025)

תקן 14.4 המלצות ותוכניות פעולה ליישום מפרט בהרחבה את נושא המלצות הביקורת ותוכנית פעולה. בין היתר, התקן קובע את החובה בשיח עם ההנהלה בנושא. אם אין הסכמה, על המבקר הפנימי לשקף בדוח את דעת הביקורת ואת דעת ההנהלה.

בשיקולים ליישום מדובר בין היתר על כך שההמלצה תיבחן במונחי עלות-תועלת, ועל האפשרות לשיח עם ההנהלה בו תציע הביקורת מספר דרכי פעולה לטיפול בממצא וכו'.

בסוף מקטע זה (שיקולים) כתוב בצורה בלתי משתמעת ל 2 פנים – באחריות מי לבצע את ההמלצה (ההנהלה): "למרות שמבקרים פנימיים חייבים לשתף פעולה עם ההנהלה לגבי אופן הטיפול בממצאי מטלת הביקורת, זוהי אחריות ההנהלה ליישם פעולות לטיפול בממצאים (ראה גם תקן 15.1 דוח סופי של מטלת הביקורת)."

  • תקן 14.4 מזכיר גם את תקן 9.3 בדבר "מתודולוגיות"

בשיקולים ליישום של תקן 9.3 מצוין בין היתר: "מתודולוגיות מתועדות אשר ככל הנראה יידרשו ליישום האסטרטגיה, להשגת תוכנית עבודת הביקורת הפנימית, ולעמידה בתקנים, כוללות את גישת פונקציית הביקורת הפנימית לעניינים הבאים:". בין 12 "העניינים" המפורטים, מופיע גם: "מעקב ואישור יישום המלצות המבקרים הפנימיים או תוכניות הפעולה של ההנהלה."

  1. תקן 15.2 וידוא יישום המלצות או תוכניות פעולה: 

מבקרים פנימיים חייבים לוודא, כי ההנהלה יישמה את המלצותיהם או את תוכניות הפעולה של ההנהלה, בהתאם למתודולוגיה ממוסדת, אשר כוללת:

  • בירור לגבי ההתקדמות בתוכניות הפעולה.
  • ביצוע הערכות מעקב, באמצעות גישה מבוססת סיכונים.
  • עדכון מצב תוכניות ההנהלה במערכת מעקב.

היקף הליכים אלה חייב לקחת בחשבון את משמעותיות הממצאים.

אם ההנהלה לא התקדמה ביישום הפעולות בהתאם למועדי ההשלמה שנקבעו, מבקרים פנימיים חייבים לקבל ולתעד את הסבר ההנהלה, ולדון בנושא עם המבקר הפנימי הראשי. המבקר הפנימי הראשי אחראי לקבוע האם בעיכוב או באי-פעולה, ההנהלה הבכירה נטלה סיכון אשר עולה על הסובלנות הארגונית לסיכון.

  1. להלן דגשים נוספים ופרקטיקות מקובלות אותם העלו חברי הוועדה:
  • דוח מעקב אחר יישום המלצות יישלח באופן עיתי לחברי ההנהלה ויוצג וידון בוועדת הביקורת.
  • בהתאם לרמות הסיכון של הממצאים, יש לבחון את המועדים בהם ראוי לבצע את המעקב. אם המלצות לא יושמו על ידי ההנהלה, על המבקר, כאמור, לדווח לוועדת הביקורת.
  • יחד עם זאת, מומלץ, כי המבקר ייבחן ביחד עם הנהלת החברה – מדוע ההמלצות לא יושמו, שכן יש משמעויות שונות להעדר יישום/יישום חלקי, למשל:
    • הנהלת החברה לא שילבה את ההמלצה בתוכניות העבודה ו/או לא הקצתה משאבים ועדיפויות מתאימות ליישום.
    • במהלך היישום התברר, כי לא ניתן ליישם את ההמלצה שנכתבה בדוח.
    • במהלך היישום התברר, כי ניתן לצמצם את הסיכונים באמצעים אחרים (או מתודולוגיות אחרות) מאלו הרשומים בהמלצות.
    • במהלך היישום התברר, כי לא העריכו נכונה את הזמן הנדרש ליישום.

[1] יצוין כי ועדת הביקורת יכולה לקבל המלצה אותה לא קִבלה ההנהלה' וכשעשתה זאת' הרי שההנהלה אחראית ליישום ההמלצה

אודות הכותב/ת

אורן שחר

רו"ח, CIA ,CISA ,MBA
יו"ר הוועדה למענה על שאלות מקצועיות של חברים

[email protected]