ביקורת מתמשכת מבוססת נתונים

בגיליון דצמבר 2016 של כתב העת "עיונים בביקורת פנימית", במסגרת המאמר "מהפכת המידע האנליטי בביקורת הפנימית בארגון", הוצגו המושגים ביקורת מתמשכת וניטור מתמשך, וצוין כי השילוב ביניהם מביא לארגון ערך מוסף בניתוח נתונים וניטור שוטף של בקרות, על ידי היחידות העסקיות ובמועדים שאינם תלויים במועדי הביקורת.

במאמר נידון בנוסף המושג Data Analytics, שמשמעותו ניתוח נתוני כלל האוכלוסייה להערכת אפקטיביות הבקרות הפנימיות, ולא הערכה של האפקטיביות על סמך דגימה, כמו שהיה נהוג בעבר. ניתוח נתוני כלל האוכלוסייה מחייב שימוש בכלים ממוחשבים. כלי ייעודי נפוץ לביצוע ביקורת באמצעות מחשב נקרא CAATT – Computer Aided Audit Technique & Tools. תוכנות כגון IDEA ו-ACL הן תוכנות CAATT.

ננסה להסביר מדוע יש צורך בשינוי הפרדיגמה ולמעבר מביקורת מסורתית (שבה נעשה כבר שימוש בכלי CAATT) לביקורת מתמשכת, מה נדרש ברמות השונות בארגון כתנאי להצלחת המעבר, מהם רכיבי השיטה ומהן התרומות המרכזיות הנובעות מהתהליך ותוצריו.

הצורך בשינוי

במרבית יחידות הביקורת הפנימית בארץ ובעולם, הביקורת מגבשת תכנית עבודה שנתית, הנגזרת מניתוח סיכונים שגובש בביקורת הפנימית או ניהול הסיכונים של הארגון, והנחיות ההנהלה וועדת הביקורת. הפועל היוצא הוא תכנית הבודקת נושא אחת למספר שנים בהתאם לסיכונים המוכלים בו – Ad-Hoc Analysis.

נמצא כי אפקטיביות הבקרות לאורך זמן בשיטת עבודה זו, נמוכה מהאפקטיביות לה אנו מצפים. האפקטיביות עולה מיד לאחר הביקורת אך שוקעת לערך המקורי עד לעריכת הביקורת הבאה:

מהי ביקורת מתמשכת Continuous Auditing?

מסמך IIA (GTAG – Global Technology Audit guide, משנת 2015), שכותרתוCoordinating Continuous Auditing and Monitoring to Provide Continuous Assurance, מתאר כי סביבת רגולציה משתנה, גלובליזציה גוברת, לחצי השוק לתוצאות עסקיות משופרות, וסביבה עסקית שבה התהליכים משתנים בקצב גבוה, יוצרים את הצורך בארגונים לפיתוח תכנית לביקורת מתמשכת המכוונת לנתונים פיננסיים ותפעוליים. תכנית כזו תומכת ביכולת הביקורת הפנימית לספק ביטחון מתמשך בניהול סיכונים יעיל ובבקרה לממונים על הממשל התאגידי.

נייר עמדה של חברת CaseWare Analytics העוסק בביקורת מתמשכת,
Continuous Auditing: A Strategic Approach to Implementation, מסביר כי מלבד הבעיות הנסקרות במסמך GTAG, ארגונים מתמודדים גם עם קצב הולך וגובר של יצירת נתונים, תוך יצירת סביבה שבה המשתמשים במידע הפיננסי דורשים ודאות לדיוק, שלמות ורלוונטיות הנתונים בדוחות.

מאחר שקצב גידול הנתונים מתגבר, פונקציות הניהול הופכות ליותר ויותר תלויות במערכות המידע התפעוליות ובכלי קבלת החלטות מבוססי המחשה חזותית.

ביקורת מסורתית המבוצעת במחזוריות שנתית/חמש שנתית, אינה מסוגלת להבטיח להנהלה את רמת הוודאות הנדרשת בתחומים אלה.

ביקורת מתמשכת אינה אפליקציית תוכנה או כלי המסייע למבקרים פנימיים לעמוד באתגר שלעיל תוך הישרדות במחסור המתמשך בכוח אדם מקצועי, אלא תהליך המשלב שיטות עבודה בסיסיות שמבצע המבקר הפנימי, לרבות תכנון והערכה מתמשכת של הסיכונים והבקרות, יחד עם פרדיגמת ביקורת חדשה של מעבר מביקורת תקופתית מבוססת מדגמים אל ביקורת המתאפיינת בהערכה מתמדת המתבססת על ניתוח כלל התנועות.

מאפייני הביקורת המתמשכת כוללים:

  • גישה רב-פעמית לנתונים, כלומר הורדת נתונים בשיטתיות ממערכות ERP והמרה שוטפת של הנתונים למידע.
  • אוטומציה, באמצעות פרוצדורות אוטומטיות, לייבוא נתונים, לניתוח תנועות, לרבות תנועות שהתווספו (Incremental Analysis), ולייצוא חריגים.
  • הגדרת תזמון ותדירות של שליפה וניתוח הנתונים, בהתאם לניתוח הסיכונים.
  • בדיקת הבקרות הממוחשבות להצפת חריגים וניהולם (Management by Exceptions) לרבות הרמת דגלים אדומים:
  • זיהוי בזמן ודיווח של חריגים, שלמות ותקפות הנתונים.
  • ניתוח תנועות מפורט.
  • בחינת הבקרות.
  • ניתוח תבניות ומגמות.
  • ניתוח השוואתי בין יחידות, במטרה ליצור אחידות בשיטות עבודה.
  • חיזוי ביצועים סטטיסטי למספר תקופות קדימה.

ממסמך GTAG עולה כי המעבר לביקורת מתמשכת מאפשר גידול משמעותי באפקטיביות הבקרות לאורך זמן, כמוצג בתרשים להלן:

עקרונות למעבר לביקורת מתמשכת

שינוי הפרדיגמה אינו שינוי טריוויאלי. קבלת החלטה שמתאריך נתון משלבים ביקורת מתמשכת יחד עם עריכת ביקורת מסורתית לא תביא לשינוי הדרוש.

שינוי תפיסת עריכת הביקורת מביקורת מסורתית למערך המשלב ביקורות תקופתיות כמקובל, יחד עם ביקורת מתמשכת, מחייבת תשתית הכוללת היערכות מוקדמת ומחויבות לתהליך מצד מספר גורמים בארגון. זהו שינוי שימצב את הביקורת הפנימית כגורם התורם ערך מוסף גבוה יותר לארגון.

השינוי כולל בניית תשתית ארגונית להצלחת המעבר, מחויבות המבקר הפנימי, מחויבות יחידת הביקורת ומחויבות מבקר ה-IT.

  • תשתית להצלחה

מהספרות (IIA, 6 Simple steps to a more effective internal audit , GTAG) עולה כי לגורמים הבאים אחריות למימוש ולהבטחת ביקורת מתמשכת: ועדת הביקורת, ההנהלה הבכירה בארגון, המבקר הפנימי והביקורת הפנימית, כמפורט בטבלה להלן.

תפקיד אחריות
ועדת הביקורת •       הכרה בצורך לשינוי.

•      אישור להצטיידות בכלי תחקור אנליטי (CAATT), להכשרת יחידת הביקורת הפנימית לעבודה בו, עד להטמעה אפקטיבית (קבלת ההחלטה בוועדת הביקורת/בהנהלת הארגון).

•       הבנה כי ייתכן שתפוקות הביקורת עד להטמעה אפקטיבית יקטנו.

הנהלת הארגון •      תכנון וביצוע ניטור מתמשך על מנת להעריך את ההתאמה והאפקטיביות של הבקרה וניהול הסיכונים.

•      פיתוח ויישום פתרונות ניהוליים לבעיות יסוד.

•       קיצור משך הזמן לתגובה.

המבקר הפנימי •      פעולות המדגימות היצמדות לסטנדרטים המקצועיים.

•      בניית צוות ביקורת רב-תחומי, בעל יכולות מקצועיות מוכחות.

•      מיסוד אמינות לפעילות ביקורת מתמשכת על ידי הוכחת יכולות צוות הביקורת, באמצעות הכלים הטכנולוגיים, הסדרי אבטחת נתונים ותקציב היחידה.

•      הצגה ברורה ליחידת הביקורת, להנהלה הבכירה ולמועצת המנהלים, של התפקידים והאחריות של הביקורת הפנימית לעומת תחומי האחריות של ההנהלה.

•      התחייבות לאסטרטגיה רב-שנתית להגדלת התמיכה של בעלי עניין.

•      שיתוף ההנהלה ומועצת המנהלים בתוצאות הערכות הביקורת הפנימית לאפקטיביות הניטור המתמשך המבוצע על ידי ההנהלה.

יחידת הביקורת •      תכנון ביקורת מתמשכת יחד עם היחידות העסקיות בהנהלה.

•      ביצוע ביקורת מתמשכת:

ü    קשירת הניתוח האנליטי להנחות ולמטרות העסקיות.

ü    הוספת ערך כיועץ על ידי הערכת סיכונים תאגידיים מתהווים.

ü    יצירת זיקה בין גורמי הסיכון לבין פעילויות הבקרה.

•      ביצוע ביקורת על אופן ביצוע הניטור המתמשך.

•      אספקת הבטחה מתמדת בהקשר של מטרות הביקורת, כגון שלמות, דיוק ואבטחה.

•       שמירה על הסדרי אבטחת מידע אפקטיביים.

 

נמצא, כי באופן מעשי נדרש כתב אמנה חדש ליחידת הביקורת, הכולל מעבר להיבטים בטבלה שלעיל, גם מחויבות של המבקר הפנימי הראשי ומחויבות של כל אחד מהמבקרים ביחידת הביקורת:

  • מחויבות המבקר הפנימי
  • השקעת שעות הדרכה לצוות הביקורת הפנימית בהכשרה פרונטלית בכלי ה-CAATT שנבחר, והתמחות סגל העובדים לרמה המאפשרת עבודת ניתוח ותחקור עצמאית.
  • מיסוד פעילות OJT (On the Job Training) מתמשכת, לשם הטמעת הידע התיאורטי של ה"איך" הנלמד בהשתלמות לנושאים המבוקרים.
  • עדכון נוהלי עריכת ביקורת.
  • יישום סביבת שליפה לנתונים מהמערכות התפעוליות ב-ODBC (Open Data Base Connectivity) ממערכת ERP בסביבת Windows ובאמצעות כלי ייעודי לשליפת נתוני SAP.
  • תקנון שיטת עבודה להשגת חיסכון במשך ביצוע ביקורת, התייעלות וחיסכון כספי על ידי:
    • התקנת כלי ה-CAATT הנבחר במחשבי עובדי הביקורת.
    • בחירת משרדי מיקור חוץ העובדים בכלי ה-CAATT שנבחר.
    • חיוב כל המבקרים לנתח ולתחקר נתונים באמצעות כלי ה-CAATT הנבחר בלבד ולא בכלים מסורתיים (גיליון אלקטרוני, Access ואחרים).
  • בחירת נושאי ביקורת כמותיים שבהם קיים ערך מוסף לביקורת מתמשכת, על פי תוצאות ניהול סקר הסיכונים וצורכי ההנהלה.
  • בחירת נושאים המשלבים ניתוח מסמכים יחד עם תחקור נתונים כמותי.
  • מחויבות יחידת הביקורת
  • התגברות על ההתנגדות הטבעית לשינוי.
  • הבנה שנדרש להשקיע זמן לימוד פרונטלי וזמן לימוד באמצעות הכשרה בפרויקט מעשי ביחידת הביקורת On the Job Training – OJT.
  • ניתוח ותחקור נתונים רק באמצעות כלי ה-CAATT שנבחר.
  • מחויבות מבקר ה-IT ביחידת הביקורת
  • בארגונים רבים, מבקר ה-IT עוסק בעיקר בסיוע למבקרים האחרים בהגדרת הנתונים הנדרשים, בהורדתם לסביבת ה-PC ובתחקורם. גם בעידן הביקורת המסורתית, למבקר IT יש מטלות ביקורת IT כגון היערכות לחירום (DRP), אבטחת מידע ובדיקות חדירה, סייבר, וניהול ובקרה של חוות השרתים.
  • כפועל יוצא משינוי עיסוקו המסורתי של מבקר ה-IT, והמעבר מסיוע לאחרים לפעילות ביקורת IT ממוקדת, יש לו אחריות מרכזית להקמת התשתית לדוחות בקרה, כחלק מהביקורת המתמשכת שנועדה לזהות חריגים ביחס לנורמה ולאפשר הרמת דגלים אדומים.
  • בניית דוחות בקרה של התהליכים העסקיים על בסיס תכנית הביקורת השנתית

בסיום הקמת התשתית הנדרשת לשינוי הפרדיגמה והתמקדות בנושאי ביקורת המשלבים ניתוח כמותי, ניתן להתחיל בבניית דוחות בקרה הכוללים את השלבים הבאים:

  1. ביצוע ניתוח להערכת חוזק הבקרות הפנימיות:
  • שימוש ביכולות המובנות בכלי ה-CAATT לייבוא, ניתוח ושליפת ליקויים בתהליך שוטף ועקבי לבדיקת אמינות הנתונים, חישובים פנימיים, הפרדת תפקידים ועוד.
  • זיהוי הבקרות שאינן מתפקדות או מתפקדות באופן בלתי מספק בתהליך המבוקר.
  • תיעוד תהליכי העבודה והממצאים.
  1. יצירת פרוצדורה חזותית אוטומטית של כל התהליך שנבדק, ללא קוד, ובדיקתו על הנתונים המקוריים.
  2. קיבוע פרוצדורה לאחר בדיקות והעברתה לבקרה העסקית, להרצה בשוטף לשליפת חריגים מהנורמה ולהרמת דגלים אדומים, סמוּך ככל האפשר למועד התרחשות האירוע.
  3. גיבוש תפריטי עבודה מובנים ותהליכים אוטומטיים המאפשרים חזרה בנקודות זמן על פעילות בדיקת הבקרות, במטרה לוודא תיקון ליקויים וזיהוי בעיות חדשות.

תרומות הנובעות משינוי הפרדיגמה והערך המוסף הסמוי

תרומות שינוי הפרדיגמה בנושא אפקטיביות הבקרות בתהליכים העסקיים מתוארות במסמך GTAG.
אם כן, מהו הערך המוסף הנובע משינוי שיטת העבודה שאינו מוצג ב-GTAG?

  • הפקה של דוחות בקרה אוטומטיים ללא עלות (הדוחות נוצרים ללא כתיבת קוד בעת ביצוע הביקורת ומכאן שאין להם עלות), לשם איתור כשלים הפוגמים באיכות הנתונים וזמינותם, בכל נקודת זמן שבה תחליט יחידת הבקרה להריץ את הדוח. חשוב להדגיש כי לאחר בדיקת הביקורת להרצה ראשונה תקינה של הדוח, נדרשת העברת האחריות להפקת דוחות הבקרה בשוטף ליחידת הבקרה העסקית ולא ליחידת הביקורת הפנימית.
  • מניעת זליגה כספית – פתרון ותיקון הליקויים במערכות המידע הארגוניות, תהליך הדורש בדרך כלל מסגרת זמן והשקעת משאבים משמעותיים. שינוי שיטת העבודה להרצת דוחות בקרה לפני ביצוע תהליכי הוצאת כספים מהחברה, ימנע זליגת כספים ויאפשר סגירת פרצות מידית, עד לתיקון התהליכים וחיזוק הבקרות.
  • ביצוע מעקב תיקון ליקויים שוטף באמצעות הרצת הדוחות, ימנע את הצורך בביקורת חוזרת ויאפשר השגת חיסכון כספי ניכר.
  • הקטנת תלות הביקורת הפנימית בעובדים ייחודיים על ידי הכשרת כל המבקרים לניתוח אנליטי.

סיכום

שינוי תפיסת שיטת העבודה הוא תהליך לטווח ארוך. ראשיתו בהבנה בצורך בשינוי, והמשכו בשכנוע הנהלת הארגון ומועצת המנהלים בתרומת השינוי לארגון, ובהכרה כי משך הזמן מהתנעתו ועד למימוש אפקטיבי הוא ארוך.

לגורמים רבים בארגון יש השפעה על התהליך, ובראשם למבקר הפנימי וליחידת הביקורת המחויבים לשינוי שיטת העבודה.

פועל יוצא של תהליך העבודה המוצע, הן ביחידת הביקורת הפנימית והן ביחידות הבקרה הכספית בארגון, הם התוצרים הארגוניים הבאים:

  • מאגר דוחות בקרה אוטומטיים זמין לזיהוי חריגים וכשלים בתהליכים השונים.
  • יכולת להשוות ביצועים ועלויות ביחידות השונות בחברה באופן שוטף ומתמיד.