בשנים האחרונות, לאור ההתקדמות הטכנולוגית המהירה, מדברים רבות על Data Science, Machine Learning & Artificial Intelligence לשימוש בניתוח תנועות (טרנזאקציות) ואיתור חריגים. הכלים משמשים במגוון תחומים, שהעיקריים והמוכרים שבהם הם מעילות והונאות, שוחד והלבנת הון. כאן יש להזכיר את חטיבת Actimize של חברת ,NICE המחזיקה במגוון כלים מובילים בתחום, המשמשים בין היתר גופים פיננסיים וחברות ביטוח מובילות בארץ ובעולם לאיתור והתראה בזמן אמת של תנועות חשודות המבוססות על חוקים ולוגיקות ולמידה מתמשכת של התנהגות. דוגמה טובה לכך היא ההתראה שמקבל בעל כרטיס אשראי במקרה שבו מבוצעות רכישות בכרטיס האשראי בשני מקומות מרוחקים פיזית בתוך פרק זמן קצר.

עקרונות מנחים ליישום כלים לניטור, ניתוח ואיתור חריגים בטרנזאקציות עסקיות

• חיבור ישיר ומהיר לבסיס המידע בייצור לשליפת הנתונים שעליהם מבוצעים הניתוחים, בין אם מדובר במערכת ERP פיננסית כדוגמת SAP, מערכת מכירות כדוגמת Sales Force, מערכת משאבי אנוש כדוגמת Success Factor וכדומה. מצד אחד נדרש זמן תגובה ושליפה מהיר, ומצד שני יש לוודא שהכלי אינו מכביד ומעמיס על מערכת הייצור, אינו מאט את זמן התגובה ולא פוגע במשתמשים הקיימים.
• הגדרת rule base – רשימת החוקים לאיתור החריגים. בשפת הביקורת מדובר ב-check list שמהווה best practice של חריגים בהתאם לתהליך העסקי שבודקים. דוגמאות בתהליך הרכש: ספק שנפתח יותר מפעם אחת ב-master data של הספקים, תשלומים כפולים לספקים, ספקים שסניף חשבון הבנק שלהם נמצא במדינה אחרת מזו של הספק והדבר מהווה חשד להלבנת הון, וכדומה.
• הקטנה למינימום האפשרי של מקרי ה-False Positive באמצעות תהליך למידה עצמית Machine Learning. כיום גם משתמשים בכלי Artificial Intelligent לזיהוי ה-False Positive ונטרולם מהשליפה. הדבר שפוגע יותר מכל באמינות ובאפקטיביות השימוש בכלים הוא ה-False Positive, כלומר קבלת מסה גדולה של חריגים שאחוז גבוה מהם אינו באמת חריג. מובן שיש לשים לב ולבחון גם את ה-True Negative, כלומר תנועות שהיו צריכות לעלות בשליפה כחשודות ולא עלו. אלו מקרים שהאתגר לאיתורם גדול הרבה יותר.
• מתן הכלים והנתונים הנדרשים לתחקור יעיל, אפקטיבי ומהיר של החריגים. זהו גורם משמעותי נוסף שתורם לקיצור זמן התחקור שנדרש ומגביר את רמת האמון והשימוש בכלי. דוגמה לכך אפשר לתת בתחקור חשבונית חשודה עם כלי שמאפשר לבצע drill down עד לרמת שורת החיוב בחשבונית, הצגה בלחיצת כפתור של כל החשבוניות מהספק עם אותם פרטי חיוב, וכן הלאה, הכול בהתאם לצורכי המתחקר.
• ממשק ניהול משתמש ידידותי ואינטואיטיבי שמאפשר ניהול שוטף של החריגים שעלו. כמו בכל מערכת מידע, גם בכלים אלה יש חשיבות גבוהה מאוד לממשק משתמש שיענה לצורכי המשתמש ויעניק חוויית משתמש מהנה הן מבחינה פונקציונלית והן מבחינה ויזואלית, כדי לגרום לו לרצות לחזור ולהשתמש בכלי.

שימוש ב-Process Mining במסגרת הביקורת

כאשר ניגשים לביצוע ביקורת פנימית על תהליך עסקי, חלק מעבודת הביקורת הוא הבנת התהליך, אילו פעולות/שלבים מעורבים בו, איסוף נתונים רלוונטיים (לרבות נתונים סטטיסטיים) ועוד. בביקורת המסורתית, המבקר מתשאל את המבוקר לגבי התהליך העסקי ומבקש ממנו לראות דוגמאות במערכת, דוחות ומסמכים. לעומת זאת, בכלים המתקדמים של Process Mining, היישום בונה תרשים זרימה של התהליך העסקי מתוך התנועות העסקיות שהוזנו ונוצרו במערכת. היישום גם מספק את המסלולים השונים של התהליך העסקי שנבדלים בפעולות/השלבים השונים שבוצעו במסלול, וכן סטטיסטיקות כדוגמת כמות התנועות בכל פעולה/שלב, האחוז שלהן מתוך כלל התנועות, וכדומה. היתרון המשמעותי בכך הוא שהמבקר מגיע לתשאול עם המבוקר כאשר ברשותו הבנה בסיסית של התהליך העסקי ושל הפעולות/שלבים המרכיבים אותו, והוא יכול להתמקד בשאלות איכותיות לגבי הנתונים והפעולות/השלבים בתהליך, הבנת הסיבות להבדלים בין המסלולים השונים (ובפרט המסלולים הפחות שכיחים) וכדומה.

הינה דוגמה לתהליך עסקי Procure To Pay (P2P) שנבנה מתוך התנועות במערכת SAP:

ניתן לראות בדוגמה שני מסלולים: מסלול עם חסימה של התשלום לספק, ולאחר מכן שחרור החסימה לצורך ביצוע התשלום, ומסלול שבו לא מבוצעת פעולת חסימה ושחרור תשלום, כלומר התשלום מבוצע אוטומטית. בבדיקתו יתמקד המבקר בהבנת הסיבה למקרים שבהם מבוצעת פעולה ידנית של חסימת התשלום ולאחר מכן שחרור ידני לצורך ביצוע התשלום, אל מול המקרים של שחרור אוטומטי.

יתרונות מרכזיים בשימוש בכלים המתקדמים

• הקטנה של התלות במבוקר ובגורמים עסקיים אחרים בארגון כדוגמת IT. הכלים מאפשרים למבקר נגישות וניתוח עצמאי של הנתונים כאשר כל המידע פרוס בפניו. עם השימוש בכלים המתקדמים, נחסך כל התהליך והזמן שהושקעו בבקשת הנתונים מהמבוקר (שבמקרים רבים היה צריך לקבל סיוע של אנשי ה-IT), בבדיקת הנתונים שהתקבלו מהמבוקר, ובמקרה שהשליפה לא הייתה תקינה בבקשה לתיקון ובשליפה מחדש של הנתונים וחוזר חלילה.
• יעילות וקיצור זמני הביקורת. עד למועד השימוש בכלים המתקדמים צוותי הביקורת הגיעו למשימת הביקורת ללא כל ידע מוקדם. כיום המבקרים מגיעים עם ידע מוקדם על הפעולות/השלבים המרכיבים את התהליך העסקי, על המסלולים השונים הקיימים בתהליך העסקי (כולל אלו הפחות שכיחים), ועל הנתונים והסטטיסטיקות של התהליך העסקי (לדוגמה, מספר הספקים הכולל שאיתם עובדים, מספר הספקים שנפתחו השנה, סכום הוצאה שנתית לספק וכדומה).
• בחברות בין-לאומיות עם מספר חברות, אפשר לבצע בכלי אחד מרכזי ניתוח והשוואה של התהליכים והנתונים העסקיים בין החברות השונות. יתרון נוסף הוא חיבור וניתוח של נתונים ממספר מערכות שונות.
• כאמור, הקטנה למינימום האפשרי של מקרי ה-False Positive באמצעות תהליך למידה עצמית Machine Learning, נדבך שהתעצם בשנים אחרונות ומבדל כלים חדישים אלה מיישומים ותהליכי ניתוח נתונים שמבוצעים מזה עשרות שנים.

שימוש בכלים מתקדמים לניטור, ניתוח ואיתור חריגים בטרנזאקציות עסקיות – בהובלה ובעלות הקו השני או הקו השלישי?

לאור ההתפתחות והשימוש הגובר בכלים המתקדמים של DATA Science & Process mining & Machine Learning, עולה השאלה מי בחברה צריך להשתמש בכלים המתקדמים: האם המבקרים הפנימיים המהווים את הקו השלישי, הגופים בארגון השייכים לקו השני (כגון גופי הציות, ניהול הסיכונים וכדומה), היחידות הארגוניות בקו הראשון (כגון מנהלי היחידות העסקיות), או אולי שילוב שלהם? אין לכך תשובה חד-משמעית, והמענה תלוי בין היתר ברמת הבשלות של החברה בשימוש בכלים המתקדמים, בגורם שמוביל ודוחף להטמעתם בחברה, ביחסי הכוחות בחברה ובסביבת הבקרה שלה. בהחלט ניתן לעבוד במודל שבו הקו השני הוא זה שמשתמש בכלים, והביקורת הפנימית מוודאת שמשתמשים בכלים באופן נכון. בדיקה זו יכולה לכלול את נאותות ה-rule base שהוגדרו, את אופן הטיפול והמעקב בחריגים, בחינה אם יש תהליך סדור של הפקת לקחים ושיפור מתמיד, וכדומה.

סיכום

העולם משתנה לנגד עינינו. הטכנולוגיה מתקדמת בצעדי ענק.

הביקורת הפנימית חייבת להשכיל ולבצע את קפיצת המדרגה בשימוש בכלים הטכנולוגיים המתקדמים ולרתום אותם לשירותה על מנת לשפר, לשכלל ולייעל את עבודת הביקורת ואת איכות הביקורת ולא להישאר מאחור.

הדבר דורש חזון, מוטיבציה, הירתמות של כל הגורמים הרלוונטיים לנושא, ובראש ובראשונה המבקרים, וכן השקעה רבה בבחירת הכלי המתאים ואפיון נכון של תהליך העבודה והשימוש בכלי.

The post למידת מכונה appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

כולם כבר מבינים שהדאטה הוא אחד ממנועי הצמיחה המשמעותיים של ארגונים. ככל שהתהליכים הארגוניים שלנו הופכים להיות יותר ויותר דיגיטליים, כך גם כמות המידע שנצבר הולך וגדל, והדבר מאפשר לנו להגיע לתובנות שעד כה יכולנו רק לחלום עליהן (כמובן בהנחה שהמידע הקיים אמין).

אבל איך נדע שהגענו לתובנות הרלוונטיות ביותר עבור הארגון שלנו? איך נדע שבאמת הבאנו ערך לארגון?

בחלק מגופי הביקורת קיימת תפיסה שלפיה המיקוד של הביקורת צריך להיות בהיבטים רגולטוריים המתייחסים לאופן הציות של הארגון לדרישות הרגולטור, או מיקוד באיתור חריגים מנוהל העבודה או מערכי הארגון. אולם האם אנחנו כיחידת ביקורת שמבקשת לייצר השפעה, מסוגלים לייצר גם תובנות ברמה העסקית שיסייעו לארגון לממש בהצלחה את האסטרטגיה העסקית שלו או לאתגר אותה? ואם כן, כיצד עושים זאת? וכיצד מוודאים שאנחנו לא "דורכים" על תחום האחריות של העסק או "מאיימים" על פעילותו וביצועיו?

ברור כי הערך המוסף יכול להיות משמעותי מאוד לארגון ויכול גם לגרום למיצוב הביקורת כגוף משמעותי להצלחת הארגון ומחובר ליעדיו, לא רק בהיבט של איתור חריגים אלא ברמה רחבה ואסטרטגית יותר. היבט זה יבוא לידי ביטוי בדוחות הביקורת הכוללים בבסיסם גם היבטים של אפקטיביות עסקית, עמידה ביעדים עסקיים, ויישום בפועל של האסטרטגיה הארגונית. לדוגמה: האם הארגון מנצל באופן מקסימלי את פוטנציאל הצמיחה? האם הארגון מיישם באופן אפקטיבי שירות חדש? חשוב להדגיש כי מדובר באתגר לא פשוט.

לשמחתנו, כבר לפני מספר שנים הקמנו יחידת אנליזה בחטיבת הביקורת הפנימית הכוללת מספר אנליסטים האחראים לביצוע אנליזות במסגרת הביקורות השוטפות. יחידה זו שימשה בעיקר כיחידה מבצעת, המוציאה לפועל את האנליזות הנדרשות במסגרת הביקורות השוטפות. בשנה האחרונה פעלנו לשילוב האנליסטים כחלק מצוות הביקורת במטרה לשפר את הסינרגיה ושיתוף הידע בין המבקרים לאנליסטים. התוצאה באה לידי ביטוי בתוצרי הביקורת שכללו גם ממצאים בעלי ראייה עסקית, ובפידבק שקיבלנו מהמבוקרים שמרגישים את התרומה והערך המוסף של האנליזה כ"ביקורת מבוססת דאטה" לתוצרי הביקורת ולעבודתם השוטפת.

איך נכון לגשת לנושא?

אין אמת אחת, אך גילינו כי ישנם מספר קווים מנחים ושלבים שיכולים לסייע באיתור אנליזות עסקיות ונושאים משמעותיים לארגון. את הקווים המנחים הללו הגדרנו בסיוע של יועצים מומחים בתחום אסטרטגית מידע וניהול שינויים ארגוניים – אמיר רסקין, ד"ר אביבה זלצר-זוביידה, ונורית כהן תל אביבי.

להלן פירוט הקווים המנחים:

1. 1. התמקדות בחיבור לאסטרטגיה וליעדים העסקים של הארגון – לא כל ביקורת מתאימה לביצוע אנליזה עסקית, ולכן לתהליך בחירת הנושא יש משקל משמעותי ברלוונטיות, ומכאן לשימושיות של התובנות שעולות באנליזה מסוג זה. אנו נבחר למקד אנליזה עסקית דווקא בנושאי ביקורת בעלי זיקה מובהקת לאסטרטגיית הארגון, שמוגדרים להם יעדים אסטרטגיים ומדדים כמותיים ברורים. לדוגמה: מכירות, פריסה, היקפי שימוש, קצב חדירה לשוק, שירות וכדומה.
2. מיפוי הזירה – כחלק מתהליך הסקר המקדים לביקורת, נבצע מיפוי של הזירה שאנו בוחנים: מיהם השחקנים (לדוגמה: גורמים אחראים, לקוחות, שותפים, קבלני משנה, ספקים), מהם תהליכי הליבה הרלוונטיים, מהן הסוגיות המרכזיות הרלוונטיות לנושא הנבדק, מהם כלי האנליזה שיש למבוקרים, ואילו אנליזות כבר קיימות. כחלק מתהליך מיפוי הזירה ולשם איתור סוגיות מהותיות, נשתמש ב"תבחין לזיהוי סוגיה מהותית" (ראו נספח א') שבנינו, ובמידת הצורך נבצע גם בדיקה מקדימה של הנתונים כדי לוודא שאכן זהו הכיוון הנכון. לדוגמה, בארגון שהציב לעצמו יעד אסטרטגי של הגדלת נתח שוק במגזר מסוים, נתמקד בשאלות שיכולות להיות רלוונטיות ומהותיות. לדוגמה: מהו פוטנציאל הלקוחות במגזר? האם המוצרים שמשווקים ללקוחות במגזר תואמים את הצרכים של הלקוחות?
3. 3. מיפוי השאלות העסקיות – נבדוק מהן השאלות העסקיות ששואלים את עצמם הגורמים שאחראים על הסוגיה/נושא ברמות הניהוליות השונות (ראשי צוותים/מחלקות/חטיבות/ מנכ"ל), ומהן השאלות העסקיות שהם לא שואלים את עצמם בנוגע לסוגיה/נושא? מהן השאלות העסקיות שאנחנו כביקורת חושבים שהן רלוונטיות ושימושיות לארגון?
4. מיפוי המידע הנדרש ליישום האנליזה ושאלת הביקורת – לשם חקירת השאלה העסקית וביצוע האנליזה אנחנו צריכים למפות את המידע שאנו זקוקים לו, בדגש על התועלת היכולה לנבוע ישירות מהמידע הקיים. בנוסף, אנחנו צריכים לבדוק האם המידע זמין, היכן הוא מנוהל (בארגון מחוץ לארגון), והאם יש מידע שנדרש אך אינו נגיש. לשם מיפוי המידעים הנדרשים בנינו טבלת מיקוד מידע (ראו נספח ב') המסייעת במיפוי צורכי המידע ובתהליך הגישה לנתונים.

יישום בשטח: איך יישמנו את השיטה לזיהוי אנליזות עסקיות משמעותיות לביקורת ולעסק

לאחר שהגדרנו את הקווים המנחים, היה לנו חשוב לתקף אותם מול המבקרים בשטח כחלק מתהליך ההטמעה ותחילת היישום. הבנו שמדובר בשינוי משמעותי עבור המבקרים והיה לנו חשוב שהם יהיו חלק מתהליך הבנייה של הקווים המנחים כך שיוכלו לתקף ולדייק אותם ולהבין את הערך המוסף של השיטה עבור הביקורות שלהם.

שיתוף המבקרים היה חווייתי ונעשה באמצעות מספר סדנאות הטרוגניות של מבקרים ושל אנליסטים סביב נושא ביקורת מוגדר. יחד דייקנו את הקווים המנחים ואת השיטה, ויישמנו אותה בביקורת פיילוט. המטרה הייתה להגדיר ולמקד את סוגיית האנליזה והשאלה העסקית. שילוב מבקרים ממגוון עולמות תוכן סייע להפריה ההדדית ולהגדרת מגוון סוגיות רלוונטיות, שמתוכן בהתאם ל"תבחין זיהוי סוגיה מהותית" ולדאטה שהיה קיים נבחרה האנליזה המנצחת לביצוע (ראו דוגמה בנספח ג').

בשלב הבא בוצעה פעילות כדי להגדיר ולתכנן את אופן יישום והצגת השאלה העסקית. לשם כך בנינו "MockUp" (הצגה ויזואלית של הדרישות העסקיות שמתארות את השאלה העסקית הנבדקת), המתאר את אופן הצגת הנתונים ומתן מענה לשאלה העסקית. תוצר הביניים סייע לתיאום הציפיות בין המבקרים היישומיים לבין האנליסטים המפתחים את הדשבורדים הנדרשים, וכן אישור ואתגור נוסף של השאלה העסקית על ידי גורמים ניהוליים ביחידה.

על בסיס ה-"MockUp" יצאנו לדרך. את הביקורת המשולבת אנליזה ניהלנו בשיטה האג'ילית שכללה הגדרת משימות פרטניות וישיבות סנכרון להצגת תוצרים מדי שבועיים ("דמו" בסיום הספרינט) של צוות הביקורת והאנליזה.

מה למדנו עד כה?

תהליך ההטמעה והיישום מורכב ויימשך עוד זמן מה, אולם כבר למדנו מספר תובנות משמעותיות להמשך:

• למדנו שלא בכל נושא נכון לעשות אנליזה עסקית, וחשוב לבצע חשיבה לגבי הנושאים המתאימים ביותר ליישום בהתאם לדגשים שהגדרנו כקווים מנחים.
• למדנו שחשוב לבחור נושא שיש עבורו מספיק דאטה ארגוני או חיצוני אמין שיאפשר את בחינת השאלות העסקיות.
• למדנו איך נכון או לא נכון לנהל תהליך אנליזה עם אנליסטים. למדנו כמה חשוב שהאנליסט יהיה שותף לתהליך ההגדרה של השאלה העסקית, וככל שהאנליסט מכיר יותר את עולם התוכן – כך הערך המוסף שלו גבוה יותר והאנליזה ממוקדת ובעלת תובנות משמעותית יותר.
• למדנו שתהליך השיתוף של האנליסט בצוות הביקורת והמעבר מ"ספק נותן שירות" לשותף, הובילו לתחושת העצמה ולהגברת שביעות הרצון של האנליסט מהפעילות שלו ביחידת הביקורת.
• למדנו רובד נוסף שמעניין את המבוקרים, ושיפרנו את ממשק העבודה מולם ואת הערך שהמבוקרים קיבלו מתהליך הביקורת.

לסיכום

על מנת לשמור על רלוונטיות ולחזק את הערך שהארגון מקבל מתהליך הביקורת, אנחנו צריכים להרחיב את סוג השאלות שאנחנו שואלים במסגרת הביקורת ולכלול גם שאלות בעלות אוריינטציה וחשיבות אסטרטגית ועסקית. על מנת להגדיר שאלות אלו, ישנם מספר קווים מנחים שיסייעו לנו לדייק את השאלה העסקית כך שתוצאות החקירה שלה תשיא את הערך המקסימלי לארגון. קבלת מענה על השאלות תחייב שימוש נרחב בדאטה הארגוני ויישום ממשק שוטף בין המבקר היישומי לאנליסט.

The post "להיות או לא להיות – האם זאת באמת השאלה?" appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מבוא

כלים אנליטיים משמשים את מבקרי הפנים בניתוח נתונים של תהליכים עסקיים, ואף משמשים את המבקר בבואו לאתר אנומליות ופוטנציאל להונאות. בדרך כלל השימוש הוא בכלים ייעודיים בתשלום, אך מלבד כלים אלו, שילוב של כלים אנליטיים בקוד פתוח יכול להעשיר את היכולות של מחלקות הביקורת משלבי איסוף הנתונים, הטיוב, ועד לשלב הניתוח והמסקנות. במאמר זה אסקור מספר כלים אנליטיים בקוד פתוח ואת היתרונות והתועלות שלהם.

הסבר על הכלים שיוזכרו בהמשך המאמר

1. R – R היא שפת תכנות וסביבת עבודה המבוססת על קוד פתוח, המאפשרת ניתוח נתונים, חישובים סטטיסטיים והצגה ויזואלית עשירה מאוד. סביבת העבודה כוללת הרבה מאוד "חבילות" שבאמצעותן הכלי מאפשר ביצועים וניתוחים ברמה גבוהה.
2. פייתון – שפה המשמשת למטרות כלליות ונפוצה מאוד בניתוחים אנליטיים, תצוגות נתונים גרפיות, "למידת מכונה" ועוד. בפייתון קיימות חבילות ספציפיות לניתוח נתונים מתקדם, תצוגות גרפיות ועוד, והכול במספר שורות בודדות של קוד.
3. אקסל – אחת התוכנות הוותיקות והמוכרות. התוכנה כוללת מגוון של פונקציות דינמיות ותוכניות סטטיסטיות והיא כלי בסיסי לניתוח נתונים, אך כלי זה מתאים בעיקר לכמות נתונים שאינה גדולה במיוחד.

יתרונות שימוש בכלים בקוד פתוח

תוכנות בקוד פתוח כוללות תוכנות שקוד המקור שלהן נגיש וחופשי לשימוש הציבור, לעריכת שינויים והפצתם. שיטה זו של קוד פתוח מאפשרת למשתמשים לתרום באופן מתמיד וכך לשפר את התוכנות לטובת ציבור המשתמשים.

היתרונות בשימוש בכלים אנליטיים מסוג זה הם רבים, ובהם:

1. עלות – התוכנות מוצעות בחינם וגם אם קיימות תוכנות ארגוניות ,(Enterprise versions) הן מתומחרות במחירים נוחים יחסית.
2. גמישות – התוכנות בקוד פתוח מאפשרות שימוש ללא צורך בהתאמה מיוחדת, ללא תלות בספק תוכנה מסוים. נוסף על כך, ניתן לשלב בין מספר פתרונות קוד פתוח, וכך ליהנות מהיתרונות של כל כלי.
3. חבילות (packages) – תוכנות אלו מכילות כמות רבה של קוד שכתב אחד המשתמשים בתוכנה. השימוש בחבילות אלו מקצר את משך העבודה ומייעל אותה.
4. פורומים וקהילות תומכות – לתוכנות אלו יש קהל רב שמשתמש בתוכנות. בפורומים אלו דנים באתגרים שונים בשימוש בתוכנה ובמציאת פתרון אופטימלי.
5. שילוב של תוכנות קוד פתוח עם תוכנות אחרות – ניתן לבצע חלקים מסוימים בתוכנה אחת ולהמשיך בתוכנה אחרת. לדוגמה, ניתן לטייב נתונים ב-R, לנתח את הנתונים, ואת הפלט להעביר לתוכנה אחרת כגון Power Bi אוTableau לצורך יצירת גרפים.

במאמר זה בחרתי דוגמאות טריוויאליות ופשוטות יחסית שסביר להניח שכל מי שעוסק בתחום מכיר, אולם המטרה שלי היא להראות שניתוחים המוצעים בתוכנות נפוצות בתשלום, ניתן לבצע במאמץ לא רב גם בתוכנות בקוד פתוח ואף לבצע ניתוחים מתקדמים יותר. כלומר ניתן לבצע ניתוחים מתקדמים ללא צורך בהתאמות שיידרשו לעיתים בכלים המובנים. להלן מובאות הדוגמאות הבאות באקסל, בפייתון וב-R:

1.    אקסל

אקסל אינה תוכנה מסוג קוד פתוח אלא תוכנה שפותחה ומופצת על ידי מיקרוסופט. התוכנה כוללת יכולות רבות ובהן: טיוב נתונים, ניתוח נתונים והצגה גרפית שלהם. בחרתי את ההצגה בתוכנה זו מאחר שהיא זמינה לכולם ולטעמי המשתמשים בה לא מנצלים חלק רב מהיכולות שלה.

הבדיקה שבחרתי היא שימוש בחוק בנפורד, שנקרא על שם הפיזיקאי פרנק אלפרד בנפורד, אודות ההסתברות של הופעת ספרות בנתונים מספריים. לפי החוק, הספרה 1 היא הכי נפוצה, אחריה 2, וכך עד 9. חוק זה מסייע למצוא אנומליות באוכלוסיות שונות, כגון בתחום הרכש והמכירות, ולמעשה באין-סוף של תחומים.

בבדיקה המוצגת סקרנו חשבוניות לספקים והתפלגות הספרה הראשונה שלהם בין 1 ל-9, כאשר התפלגות שונה של הספרות הראשונות מאוכלוסיית החשבונות, לעומת ההתפלגות של הספרות לפי חוק בנפורד, עלולה להצביע על פוטנציאל לחשבוניות פיקטיביות.

ניתן לראות בגרף המצורף שהספרות לפי בנפורד ולפי החברה הנבדקת דומים. בנוסף חישבנו באקסל את Chi-square (מבחן סטטיסטי שמטרתו לבחון האם קיימת תלות סטטיסטית בין שני משתנים) שבדוגמה הספציפית הזו, והוא ייצג את ההפרש בין הערך הנצפה עבור כל ספרה לבין הערך בנוסחת בנפורד. חישוב הערך המחושב היה 9.5, ואילו הערך הקריטי לדחיית השערת האפס ברמת ביטחון של 95% אחוז היה 15.5, כך שניתן לומר שבסבירות ביטחון של 95% שלא ניתן לדחות את השערת האפס (Null Hypothesis, השערת האפס במקרה זה היא הנחת התפלגות הספרות כפי שחושבו על פי חוק בנפורד). לכן נתוני החברה הנבדקת מתנהגים בהתאם לחוק בנפורד, והמשמעות היא שלא נמצאו אינדיקטורים שמצריכים בחינה נוספת.

ההפרשים קטנים מאוד, ולכן ניתן לומר שהתפלגות הספרות בחברה מתפלגת בדומה להתפלגות בנפורד.

2.    Python

הדוגמה שבחרתי להדגים בגרף הראשון, מראה בצורה מהירה את הפיזור של נתוני שכר בארגון גדול, כאשר השכר מחולק על פני מספר מקצועות, וכל מקצוע מוצג בBox Plot- (תרשים שבאמצעותו ניתן לבחון את החציון שמהווה את מרכז ההתפלגות, פיזור הנתונים וצורת ההתפלגות). תצוגה זו מאפשרת להשוות במבט אחד בין המקצועות השונים ולהבין את הנקודות החריגות שיש לבדוק, כך שניתן במספר שורות מצומצם של קוד לנתח אלפי עובדים ולהתמקד רק באותם עובדים חריגים. בגרף השני בחרתי להשוות את שכר העובדים בין חודש לחודש הקודם עבור כל העובדים. כל נקודה בגרף מייצגת עובד, כאשר בציר x שכר העובדים בחודש מסוים, ובציר ה-y השכר בחודש הקודם עבור אותו עובד, כך שנוצרת משוואה לינארית. הנקודות שחורגות מהמגמה הן הנקודות לבחינה מעמיקה. בשימוש בחבילה בפייתון מסוג,Plotly  ניתן להפוך את הנתונים לאינטראקטיביים כך שניתן לסמן נקודה חשודה ולקבל את פרטי העובד במסך.

בתרשים זה ניתן לראות את פיזור השכר לפי מקצועות, כאשר כל נקודה מייצגת עובד. הנקודות שנמצאות במרחק רב משאר הנקודות מהוותOutliers  (חריגים) ויש לבחון אותן.

כל נקודה בגרף מציינת שכר של עובד, חודש מול חודש קודם. בהנחה ששכר העובדים לא משתנה מחודש לחודש, מתקבל גרף לינארי שבו יש לבחון את הנקודות החריגות.

3.     R

הדוגמא שבחרתי לנתח היא במסגרת ביקורת הוצאות של עובדים, במטרה לזהות אנומליות והוצאות חריגות. השתמשתי ב-z-score, מדד המציין את מרחק ערך מסוים מן הממוצע בערכים של סטיות תקן, והנוסחה שלו (כפי שמופיעה מטה) היא הערך בניכוי הממוצע חלקי סטיית התקן. מדד זה מסייע לנרמל את הנתונים ומאפשר השוואה טובה ומציאת ערכים חריגים.

טבלת העובדים כוללת 129 שורות של עובדים, מתוכן ישנם מספר עובדים שהגישו דוח הוצאות נסיעה מספר פעמים, כל דוח מיוצג על ידי שורה. צירפתי בפלט מספר שורות מתוך כל אותן שורות, והוספתי לטבלה זו עבור כל שורה באמצעות R מספר פרמטרים, כגון ממוצע, סטיית תקן, מספר שורות שמייצגות מספר דוחות הוצאה עבור כל עובד, וכן חישוב ה-Z-score. המטרה בבדיקה זו, היא ליצור ערכים מנורמלים של כל עובד ביחס לכלל דוחות ההוצאה שהגיש. בצורה זו ניתן לאתר דוחות חריגים של עובדים יחסית להוצאות של עצמם. איתור ערכים חריגים במיוחד יוכל להצביע על פוטנציאל להוצאה "מנופחת". סיננתי את הערכים הגבוהים של הפרמטר, וסינון זה העלה שתי רשומות חשודות שדורשות עיון נוסף.

פלט מתוך אוכלוסיית הוצאות הנסיעה בחברה מסוימת

טבלה זו תורגמה ל-Z-SCORE ומאפשרת השוואה של הוצאות הנסיעה.

רשומות חשודות עם Z-score גבוה יחסית לשאר הרשומות

מתוך כל הרשומות שמייצגות דוחות של עובדים, נמצאו שני ערכים גבוהים של Z-SCORE, כלומר הוצאות גבוהות באופן מיוחד של העובד ביחס לשאר ההוצאות שלו, ולכן מהוות הוצאות חשודות המצריכות בדיקה נוספת.

לסיכום

במאמר זה בחרתי להדגים שימוש במספר תוכנות בקוד פתוח, ואיתן לזהות אנומליות ופוטנציאל להונאות. בנוסף בחרתי להשתמש בשלושה כלים לניתוח, ויכולתי בנקל להדגים כלים נוספים מסוג קוד פתוח, אך מטרתי הייתה להדגים את הרעיון והחשיבות הרבה של שימוש בכלים אלו. העבודה עם קוד פתוח מאפשרת בנייה של סקריפטים כיד הדמיון, לאור היתרונות שציינתי בתחילת המאמר. מומלץ לשלב שימוש בתוכנות קוד פתוח במחלקות הביקורת לצד התוכנות הנפוצות כיום, שילוב כזה יעשיר את יכולות מחלקות הביקורת, ככל שהשימוש בתוכנות אלו יגבר ואיתו הניסיון והידע, האפשרויות של מבקרי הפנים לביצוע ביקורת חכמה, אנליטית ואפקטיבית בתחום ניתוח הנתונים בכלל, ובזיהוי אנומליות ופוטנציאל להונאות בפרט, יתרבו ויביאו ערך רב לארגון.

The post כיד הדמיון appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מבוא

בסקר של איגוד בוחני המעילות וההונאות העולמי ACFE (Report to the Nations 2022), נמצא כי ארגון מאבד בממוצע 5% מההכנסות שלו כתוצאה ממעילה.

תלונה היא חשיפת מידע על חשד לביצוע מעשה פסול, והיא אחת הדרכים היעילות ביותר לחשוף שחיתות, הונאה, ניהול כושל ועוולות אחרות שמאיימות על בריאות ובטיחות הציבור, היושרה הפיננסית, זכויות האדם והסביבה.

עוד עלה מאותו סקר כי 41% מהמעילות מתגלות באמצעות טיפ (דיווח). הביקורת הפנימית נמצאת "הרחק מאחור", עם 16% מהמעילות שמתגלות כחלק מביקורת פנימית. (אינפוגרפיקה 1 בסוף המאמר). בנוסף, עצם קיומה של מערכת לדיווח תלונות מוריד את היקף הנזק ב-50% ואת הזמן לגילוי מעילה ב-33%. (אינפוגרפיקה 3 ו-4).

בדרך כלל ארגונים מסוגלים להתמודד עם עוולות המתרחשות במסגרתם בצורה הטובה ביותר, ובפועל רוב חושפי השחיתויות מדווחים קודם כל על חשדותיהם לארגון. לכן חיוני שארגונים, בין אם חברות פרטיות או מוסדות ציבוריים, יספקו מנגנונים בטוחים ויעילים לקבלה של דיווחים אלה וטיפולם, כמו גם הגנה על המדווחים ועל חושפי שחיתויות.

כתוצאה מכך יש מספר הולך וגדל של חוקים המחייבים ארגונים ליישם מערכות דיווח פנימיות לתלונות (בשונה מדיווח חיצוני – כמו למשל דיווח ישיר לרגולטור). לדוגמה, חוק ספציפי בנושא פורסם בשנת 2019 למדינות האיחוד האירופי – EU Whistleblower Protection Directive.

עם זאת, ארגונים לא צריכים לראות במערכות דיווח אלה רק חובה חוקית. מערכת יעילה לדיווח תלונות עוזרת להגן על ארגונים מפני השפעות של התנהגות בלתי הולמת – לרבות אחריות משפטית, פגיעה מתמשכת במוניטין והפסדים כספיים ניכרים. מערכות כאלה מטפחות תרבות ארגונית של אמון, שקיפות ואחריות, ולכן מספקות יתרונות רבים לתרבות הארגונית, למוניטין, וליצירת הערך והצמיחה של הארגון.

אדגיש כי כחלק מגישה רחבה, ארגונים מאמצים מגוון ערוצי דיווח פנימיים, כגון תיבת דואר אלקטרוני פנימית המיועדת לתלונות, פונקציה ייעודית בארגון שאליה ניתן לדווח, או דיווח למנהל הישיר. לצד היתרונות של הערוצים הללו, יש בהם גם חסרונות (למשל, פגיעה באנונימיות, נגישות מוגבלת של מתלוננים מחוץ לארגון). במאמר זה אדון במטרות ובעקרונות ליישום מערכות פנימיות לדיווח תלונות.

המטרות של מערכת פנימית לדיווח תלונות

• לעודד עובדים ובעלי עניין רלוונטיים אחרים לדווח על עוולות.
• לאפשר זיהוי בזמן וטיפול בעוולות שבוצעו, בתוך, על ידי או עבור הארגון.
• למנוע ולמזער נזקים לארגון, לרבות אחריות משפטית, הפסדים כספיים ופגיעה במוניטין הגורמת לירידה באמון הציבור, על ידי מתן אפשרות לגילוי מוקדם ותיקון של עוולה.
• למנוע ולמזער את הפגיעה באינטרס הציבורי, לרבות בריאות הציבור, זכויות האדם והסביבה.
• להגן על חושפי שחיתויות וצדדים שלישיים. סקר שנערך על ידי חברת Navex(חברה בין-לאומית המובילה כיום בפיתוח ויישום מערכות פנימיות לדיווח תלונות) באירופה, מצא כי 49% טענו כי הפחד מהתנכלות ימנע מהם מלהתלונן. 50% טענו כי מערכת בטוחה היא גורם מכריע לעודד דיווח.
• לאפשר לארגון ללמוד ולשפר תהליכים ובקרות.
• לטפח תרבות ארגונית של אמון, שקיפות ואחריות, המסייעת במניעת התנהגות בלתי הולמת.

הנחיית האיחוד האירופי להגנה על חושפי שחיתויות

בשנת 2019, האיחוד האירופי אימץ הנחיה להגנה על חושפי שחיתויות. ההנחיה מספקת הוראות מינימליות להגנה על חושפי שחיתויות באירופה. המדינות החברות צריכות להעביר הוראות אלה בהתאם לרוח ההנחיה, ולספק רמת הגנה גבוהה לחושפי שחיתויות.

הדרישות העיקריות בהנחיית האיחוד האירופי לחושפי שחיתויות:

• ההנחיה חלה על המגזר הציבורי והפרטי כאחד.
• ההנחיה מכסה מגוון רחב של חושפי שחיתויות פוטנציאלים, כולל אנשים מחוץ לארגון, כגון יועצים, קבלנים, מתנדבים, חברי דירקטוריון, עובדים לשעבר ומועמדים לעבודה.
• ההנחיה מגינה על יחידים המסייעים לחושפי שחיתויות, וכן על יחידים וישויות משפטיות הקשורות אליהם.
• בהענקת הגנה, ההוראה אינה לוקחת בשום אופן בחשבון את המניע של חושפי השחיתויות בדיווח.
• ההנחיה מגינה על זהותם של חושפי שחיתויות ברוב הנסיבות, עם חריגים ברורים ומוגבלים לחיסיון, והודעה מוקדמת למתלונן כאשר נדרש לחשוף את זהותו.
• ההנחיה מחייבת מגוון רחב של גופים ציבוריים ופרטיים להקים מערכת פנימית לדיווח תלונות.
• ההנחיה קובעת חובה לעקוב אחר הדיווחים שהתקבלו ולעדכן את המתלונן או המתלוננת תוך פרק זמן סביר.
• ההנחיה קובעת קנסות על אנשים המעכבים או מנסים להפריע לדיווח, לנקום בחושפי שחיתויות, או על כאלה המפרים את חובת שמירת החיסיון על זהות החושפים.

עקרונות עיקריים ליישום מערכות פנימיות לדיווח תלונות

1. המערכות צריכות לעודד דיווחים לגבי כל חשד לעוולה – ללא כל מגבלה.
2. המערכות צריכות לעודד דיווחים מכל אדם שיש לו קשר לפעילותו של הארגון.
3. ארגונים צריכים להגן על חושפי שחיתויות, מתוך אמונה שהמידע שדווח היה נכון בעת הדיווח.
4. הנהלת הארגון אחראית לאפקטיביות יישום מערכת הדיווח.
5. ההנהלה צריכה להפגין מחויבות לבדיקת הדיווחים ללא משוא פנים.
6. ארגונים צריכים להגדיר אדם או מחלקה חסרי פניות האחראים על הפעלת המנגנון. אלה צריכים להיות נקיים מניגוד עניינים, בעלי עצמאות מספקת, סמכויות ומשאבים, כמו גם הכישורים הרלוונטיים לבדיקת התלונה.
7. מערכות דיווח פנימיות צריכות לכלול מספר ערוצי דיווח (למשל טלפוני, אינטרנטי) בטוחים ונגישים, המאפשרים דיווח בכתב ובעל פה. בסקר של חברתNavex מ-2022 נמצאה עלייה משמעותית באחוזי המדווחים באופן אינטרנטי.
8. המידע בנוגע לערוצי הדיווח בארגון צריך להיות גלוי ונגיש לכל בעלי העניין הרלוונטיים. בסקר של איגוד מבקרי המעילות וההונאות נמצא כי 45% מהתלונות לא מגיעות מעובדי הארגון (אלא מספקים, לקוחות, מתחרים, ועוד). (אינפוגרפיקה 2)
9. יש לעדכן את חושפי השחיתויות לאורך כל התהליך ולאפשר להם לספק מידע נוסף.
10. יש להבטיח למתלוננים שהדיווחים שלהם ייבדקו באופן מיידי והוגן. זה יכול לעזור לבנות אמון ולעודד עובדים נוספים לדווח.
11. דיווחים שהתקבלו, פעולות שננקטו בבדיקה, הממצאים והתוצאות הבדיקה, כמו גם התקשורת עם המתלונן, צריכים להיות מתועדים כראוי ולהישמר בצורה הניתנת לשליפה וניתנת לביקורת בהתאם לדרישות סודיות והגנה על המידע.
12. אין לחשוף את זהות המתלונן ללא הסכמתו המפורשת. חיוני שהעובדים ירגישו בטוחים בכך שזהותם מוגנת.
13. חלק מהעובדים עשויים להסס לדווח על התנהגות בלתי הולמת אם הם חוששים שזהותם תיחשף. מתן אפשרות לעובדים לדווח בעילום שם יכול להגביר את הסבירות שהם יגיעו עם מידע חשוב. בסקר של חברת Navex נמצא כי 58% מהתלונות היו אנונימיות, מה שמדגיש את חשיבות האפשרות לדיווח אנונימי.
14. ארגונים צריכים לאסור כל איום, מעשה או מחדל, ישיר או עקיף, הגורם או עלול לגרום פגיעה הקשורה לדיווח, וכל הפרעה לדיווח.
15. יש להדריך את העובדים על מנגנוני הדיווח ואופן השימוש בהם. זה יכול לעזור לבנות תרבות של שקיפות ולעודד עובדים נוספים לדווח.

מדידת יעילות של מערכות דיווח פנימיות

ישנם מספר מדדים מקובלים כדי למדוד את היעילות של מערכות הדיווח:

• מספר דיווחים – מספר התלונות המתקבלות יכול לספק תובנה לגבי רמת האמון שיש לעובדים במערכת. מספר גבוה של דיווחים עשוי להצביע על כך שהמערכת מבוססת ומהימנה, בעוד שמספר נמוך של דיווחים עשוי להעיד על כך שהעובדים לא מרגישים בנוח להשתמש במערכת. על פי סקר של EY משנת 2017, 52% מהמשיבים היו מודעים להתנהגות בלתי הולמת, ו-56% מהם בחרו שלא לדווח. (אינפוגרפיקה 5)
• זמן חקירה – הזמן שלוקח לחקור תלונה יכול לספק תובנה לגבי יעילות המערכת. זמן חקירה קצר יחסית עשוי להצביע על כך שהמערכת יעילה.
• תוצאות חקירות – תוצאות החקירות יכולות לספק תובנה לגבי יעילות המערכת בטיפול בהתנהלות לא הולמת. אם אחוז גבוה מהחקירות מביא לפעולות מתקנות, הדבר עשוי להעיד על כך שהמערכת יעילה בזיהוי וטיפול בהתנהלות פסולה.
• שביעות רצון עובדים – סקר עובדים המעריך את שביעות רצונם ממערכת הדיווח יכול לספק תובנה האם העובדים מרגישים שהתהליך יעיל והוגן.
• השפעה על התרבות הארגונית – השפעת מערכת הדיווח על התרבות הארגונית יכולה לספק תובנה האם המערכת מקדמת תרבות של יושרה ושקיפות.

על ידי הערכה קבועה של גורמים אלו, ארגונים יכולים לקבוע אם מערכת הדיווח שלהם יעילה ולזהות תחומים לשיפור.

סיכום

מערכות דיווח פנימיות יעילות הן מרכיב מרכזי במאמצים של כל ארגון למנוע התנהלות בלתי הולמת ולטפל בה כראוי אם נמצאה. על ידי שמירה על עקרונות ושיטות עבודה מומלצות אלה, ארגונים יכולים להקים מערכת דיווח תלונות המקדמת שקיפות, יושרה ומחויבות להתנהגות אתית בארגון.

מערכות דיווח פנימיות יכולות גם לסייע בשיפור המורל בקרב העובדים. כאשר עובדים מרגישים שהם יכולים לדווח ללא חשש מנקמה, סביר יותר שהם ירגישו מוערכים על ידי הארגון. הדבר יכול להוביל למעורבות ולפרודוקטיביות מוגברת, וכן לרמות גבוהות יותר של שימור עובדים.

בנוסף, מערכות אלה מסייעות לארגונים לציית לחוקים ולתקנות. חוקים רבים, כמו חוק Sarbanes-Oxley בארצות הברית והדירקטיבה החדשה באירופה, מחייבים ארגונים לקיים מערכות לדיווח על התנהגות בלתי הולמת. על ידי הטמעת מנגנוני דיווח, ארגונים יכולים להוכיח את מחויבותם לציות ולהתנהגות אתית.

יש פה הזדמנות לביקורת הפנימית, שיכולה לשמש כסוכן שינוי בארגונים שבהם לא קיימת מערכת דיווח פנימית לתלונות, ולהביא את הנושא למודעות פונקציות הציות ומקבלי ההחלטות. כמו כן, בארגונים שבהם כבר מוטמעת מערכת כזו, הביקורת הפנימית יכולה לחוות את דעתה על התהליך והאפקטיביות שלו.

נתונים שמופיעים במאמר וניתן לשלב כאינפוגרפיקה:

(1)

2

3

4

5

The post מערכות לדיווח תלונות appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מבוא והצהרה 

מעולם לא בדקתי בינה מלאכותית של ארגון (AI – Artificial Intelligence), אך כתרגיל החלטתי לסקור מידע וספרות מקצועית דיגיטלית. כפועל יוצא עיצבתי, ואני מפרט להלן, מודל מתקדם-חדשני לביקורת פנימית על מחזור הטמעת בינה מלאכותית בארגון. מסקנה משנית של התרגיל ולא פחות חשובה: איתור מידע מקצועי מחוץ לארגון (Benchmarking) הוא כלי רב עוצמה להשבחת הביקורת הפנימית.

מהי בינה מלאכותית (AI)?

תהליך ולאחר מכן מוצר שבו מנסים לדַמות ו"להלביש" את יכולות החשיבה, הניתוח וקבלת ההחלטות האנושית על אמצעים טכנולוגיים. היתרונות: בינה מלאכותית פועלת במהירות, באחידות לוגית ועל מגוון עצום של נתונים. על בסיס הנתונים שחוזרים ומתעדכנים ועל בסיס הלוגיקה הפנימית שלה, הבינה המלאכותית מסיקה מסקנות, מקבלת אוטונומית החלטות לוגיות ומשנה כללים. המטרה: לייצר כלי חדשני לניתוח מורכב באמצעות עיבוד וניתוח "ים" של נתונים, ומהם לחלץ תובנות, דרכי פעולה, תהליך קבלת החלטות טוב יותר, חדשנות ארגונית, זריזות בניתוח מידע ותגובה, ולבסס ולהרחיב את כושר התחרות והשרידות הארגונית בעולם כאוטי.

מצד שני, בהליכים כאלה ישנם סיכונים: בינה מלאכותית היא תוצר של קוד שנכתב על ידי מפתחים ונשען במידה רבה על הניסיון והשיפוט שלהם. המפתחים עלולים לטעות, ואי הוודאות שלהם יכולה להוביל לאי דיוק מכיוון שקשה להקיף ולהכיל את כל מרכיבי המציאות. כפועל יוצא, בינה מלאכותית עלולה, באמצעות המערכת הלוגית שלה, להסיק מסקנות מוטעות ולאורך זמן ההטיה יכולה להתעצם ולהיות חמורה יותר כל עוד לא ערים לכך ומתקנים את הנדרש. כמו כן, בינה מלאכותית שצריכה לקבל החלטות לגבי בני אדם – לקוחות, עובדים, ספקים – עלולה להיות מפלה ולא אתית.

חיסרון נוסף: ככל שההיגיון הפנימי של המערכת מורכב ולא שקוף דיו, הרי שהארגון, על מנהליו ועל עובדיו, ייטה לקבל כל תוצאה כאמת מוחלטת – ללא ערעור ותוך דחיית הלקוח הנפגע כי "המחשב החליט". לדוגמה: מערכת AI למתן הלוואות ומשכנתאות שכוללת בין היתר נתונים מגדריים, נטיות מיניות, מגזר, מקום מגורים, גיל, מוצא ההורים, שנת עלייה וכדומה, עשויה באמצעות הלוגיקה הפנימית של האלגוריתם לייצר מבלי משים אפליה קבוצתית ואישית. הדבר נכון לכל ארגון העוסק בקבלת החלטות באשר לבני אדם, כגון אוניברסיטאות הממיינות סטודנטים ללימודים במקצועות יוקרתיים, תהליכי קבלת עובדים בתחומים מאוד מבוקשים, וכדומה.

מודל של תוכנית ביקורת לבחינת מערכת בינה מלאכותית

להלן מודל ארגוני ובו שלבים, שיטות ותהליכים להקמה, הטמעה, תפעול ובקרת מערכות בינה מלאכותיות. באשר לביקורת הפנימית, סביר שבדיקה לפי המודל, רצוי בזמן אמת, תהווה למעשה תוכנית ביקורת מתקדמת – על מוקדיה ורכיביה.

הצורך להקים ועדה מתמדת – דירקטוריון\הנהלה לנושא בינה מלאכותית

השלב הארגוני המקדמי הוא להקים ועדה (ועדת דירקטוריון/הנהלה). המטרה: ללמוד את הנושא, לקבוע כיוון אסטרטגי לארגון, ולעסוק בסיכונים וביתרונות, בסוגיות אתיות, בקביעת יעדים בדבר שילוב בינה מלאכותית ובמימון של התוכנית.

במעלה הדרך סביר שגוף כזה או גוף מִשנה יהיה אחראי גם על ההנעה והמעקב אחר יישום אסטרטגיית בינה מלאכותית ברחבי הארגון.

בהתחשב ברגישות ובהשפעה הרבה של מערכות בינה מלאכותית על הארגון, צריכה להיות מעורבוּת וחברות בוועדה מקרב ההנהלה הבכירה של החברה. המטרה: להבטיח העלאה רוחבית של ידע מקצועי נאות ויצירת סיעור מוחות. ראוי שהמשתתפים יהיו מדיסציפלינות שונות: מערכות מידע (IT), סיכונים, משאבי אנוש, משפטים, ציות וגורמי אתיקה, גורמי שיווק, יזמי חדשנות וכדומה.

ניתוח מידע מחוץ לארגון וקבלת ייעוץ

במסגרות הללו יש ללמוד, קרוב לזמן אמת, מהנעשה בעולם (Benchmarking) ,שכן ההתפתחויות הטכנולוגיות הן דינמיות. כמו כן יש לוודא קיומן של רגולציות או טיוטות של רגולציה כדי להביאן בחשבון מבעוד מועד.

בכך לא די: עקב החדשנות המתמדת, היעדר ניסיון מוקדם בארגון והסיכונים הכרוכים בכך (תדמית, תביעות ייצוגיות, אפליה, הגנת הפרטיות, רגולציה, יישום טכנולוגיה חדשנית ובקרת התוצאות), רצוי אף לרכוש שירותי ייעוץ בתחומים רלוונטיים.

צורך להגדיר את יעדי הבינה המלאכותית, את השימושים שייעשו במערכת ואת העקרונות האתיים

אסטרטגיית ה-AI צריכה להתחיל בקביעת סדר העדיפויות הארגוני. צוות המשימה של AI צריך להחליט:

אילו יתרונות הארגון שואף להשיג: אילו תהליכים או חלקים של הארגון רצוי להפוך למעין אוטומטיים, ומהו סדר העדיפויות הנכון.

להתחיל ולתכנן אסטרטגיית יישום של בקרות: תחילה היכן שהארגון כבר החל בהפעלת תהליכים וטכנולוגיות של בינה מלאכותית.

להגדיר עקרונות אתיים: הגדרה כבר בשלב מוקדם של התהליך, תאפשר ליישם גישה אתית בפרויקטים של בינה מלאכותית וגם תעצב אמות מידה להערכה של שימושים. עקרונות אתיים יסייעו גם במגעים עם לקוחות, ספקים, רגולטורים ובעלי עניין אחרים.

הערכת סיכוני בינה מלאכותית

ברגע שהארגון כבר גיבש את דעתו לגבי מה רצוי שה-AI יעשה ובאילו תחומים ויחידות, הגיע הזמן להעריך את הסיכונים הפוטנציאליים לארגון, ללקוחות ולבעלי עניין אחרים.

יש לשים לב לכך שבעולם המערבי, ובמיוחד באיחוד האירופי, כבר מתגבשת רגולציה – טיוטת חקיקה ותקנות. מטרות הרגולציה הן להאיץ שימוש בבינה מלאכותית כדי לייצר חדשנות, פריצות דרך וקבלת החלטות טובה יותר. כתוצאה מכך ניתן להשיג גם יתרונות כלכליים, טכנולוגיים, רפואיים, ביטחוניים, חברתיים ואפילו שלטוניים. בה בעת הרגולציה באה להקטין סיכונים חברתיים חוקיים: להגן על הפרטיות, למנוע אפליות, למנוע חריגות מחקיקות קיימות, ולמנוע סיכונים ביטחוניים וארגוניים כגון סיכוני סייבר. לכן עוד בטרם התבססה רגולציה, על הארגון להעריך ולייצר הגנות על מגוון רחב של משתנים אתיים הנכללים בעיבוד הנתונים.

שלב תחילי – הטמעת בינה מלאכותית באמצעות ניסוי (פיילוט)

גישת ההטמעה הנפוצה והזהירה היא להתחיל באמצעות פרויקט פיילוט, רצוי בחלק פחות רגיש בארגון, וכך להפיק לקחים. הגישה מועילה מכיוון שהיא יכולה להקטין מראש את ההשקעה העתידית ולהתמודד עם הסיכונים עוד לפני שפועלים ליישום רחב.

הגדרת מבנה ארגוני, תפקידים ואחריות

על הארגון לבנות מבנה ארגוני ולהגדיר סמכויות ואחריות בדגש על "בעלי אחריות" (כמו בעולם הסיכונים) שאחראים לתפעול הנתונים ולטיוב שלהם (ראו להלן).

תיעוד (Documentation)

מערכות ה-AI צריכות להיות מתועדות כדי לספק מידע כיצד הן פועלות ועל אילו נתונים הן מסתמכות, וכדי לשחזר נתונים עקב תקלות ו\או לייצר תחקיר על כשלים.

תקשורת, הדרכות, נהלים

יש לערוך הדרכות, להכיר לעובדים את הטכנולוגיה וההפעלה, ולשים לב גם לסיכונים הכרוכים באיכות הניתוחים של אותן מערכות.

בהדרכות, וגם בתפעול השוטף, יש לבנות ולחדד את הצורך ביצירת ספקנות מקצועית וחובת התייעצות והעלאת דילמות תקשורת. זאת דרישה שיש לבססה לא רק בנהלים אלא אף בתרבות הארגונית.

כמובן שאת ההליכים הללו יש ללוות בנהלים, לומדות, ימי עיון ורענון.

ניטור: הצורך המתמשך באימות (טסטים), בקרה על תחזוקה נתונים, התפעול והאסטרטגיה

1. הדגשים תפעוליים

הדגש באימות ובקרת תחזוקת נתונים הוא להבטיח שהפיתוח והיישום יהיה נכון, צודק, אתי, חוקי ולא מפלה. בהתאם, כל רכיבי היישום טכנולוגי (תשומות, עיבוד, פלטים ודוחות) צריכים להיות כפופים לאימות. העיקרון חל על יישום טכנולוגי שהארגון פיתח בעצמו ועל יישומים שנרכשו או פותחו על ידי ספקים או יועצים.

סביר שבמעלה הדרך הכניסו בתכנון המקורי תובנות חדשות ועוד שינויים לוגיים, כולל באשר לנתונים. לכן יש להמשיך ולבצע באופן שיטתי ומקיף בדיקות אימות (טסטים) וניטור גם לאחר שהבינה המלאכותית כבר מיושמת. זאת על מנת לוודא שכל ההרחבות הלוגיות, החשיפות החדשות, שינויים בפעילויות ובנתונים, פיתוח מחדש, שינויים בהקשר של לקוחות או בתנאי השוק, נבדקו ונוטרו קרוב לזמן אמת, או להתריע שהם עדיין מחייבים התאמה, פיתוח מחדש או החלפה.

אימות כרוך במידה של אי תלות, עצמאות ובידול מאלה שעסקו בפיתוח וביישום. בדרך כלל האימות נעשה על ידי צוות אחר שאינו אחראי לפיתוח. מצד שני ובגישה מעשית, חלק מעבודת האימות עשויה להיעשות בצורה היעילה ביותר דווקא על ידי מפתחי היישום ועל ידי משתמשים. אולם חיוני שעבודת אימות כזו תהיה כפופה לבקרה של גורם בלתי תלוי שיבצע פעילויות נוספות כדי להבטיח אימות נאות. תהליך האימות ואיכותו מחייבים סקירה ביקורתית על ידי גורמים אובייקטיביים ובעלי ידע בבקרה על הפעולות שננקטו, כדי לטפל בבעיות שזוהו על ידי אותם גורמים.

מקורות מידע נוספים המצביעים על צורך בניטור: תלונות של לקוחות ו\או עובדים, וכן מידע מהתקשורת, מרגולציה שמתהווה ומספרות מקצועית.

2. דגשים אסטרטגיים

ככל שהארגון לומד וצובר ניסיון בטכנולוגיית AI, סביר שגם אסטרטגיית הבינה המלאכותית של הארגון תתפתח, ולכן יש לחזור ולהפעיל בדיקות על האסטרטגיה ומימושה, כפי שכבר פורטו לעיל.

כמו כן, יש לבחון מבחינה מערכתית את המועילוּת של המערכת כדי לקבוע אם היא משיגה את היעדים העסקיים. יש להשוות תפוקות מצופות מהיישום לתוצאות בפועל, וכן להשוות את התפוקות והדיוק לקבוצת בקרה בתקופה שקדמה ליישום ה-AI לעומת תוצאות בפרק הזמן שבו כבר הופעל ה-AI.

The post בינה מלאכותית – AI4IA appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מאמר מתורגם מגיליון פברואר 2022 של ה-INTERNAL AUDITOR

הודות להתרחבות המתמדת של טכנולוגיות כמו בינה מלאכותית, מחשוב ענן וביג דאטה, היום ארגונים מסוגלים לעבד ולאחסן כמויות גדולות יותר של נתונים מאי פעם, מה שמקל עליהם לקדם אסטרטגיות עסקיות והחלטות המבוססות על תובנות המופקות מכלי ניתוח נתונים. על אף השימוש הגובר בטכנולוגיה לצורך קבלת החלטות עסקיות, ועל אף השפעת הטכנולוגיות על הפרדיגמה העסקית העולמית, מחלקות ביקורת פנימית רבות טרם ניצלו את מלוא היתרונות המוצעים משימוש בבינה מלאכותית וכלי ניתוח נתונים.

ביקורת פנימית מבוססת נתונים יכולה להפוך לכוח המניע שינוי עבור ארגונים, ולאמץ גישה מבוססת ביצועים ומבוססת סיכון. הארגון יכול להפיק תועלת מביקורת פנימית מבוססת נתונים במגוון דרכים:

דוחות על ביצועים בארגון

הביקורת הפנימית יכולה לדווח על ביצועי הארגון בעיתוי הנכון לוועדת הביקורת ולהנהלה על ידי מיפוי הביצועים מול מדדי סיכון מרכזיים ומול גורמי הצלחה קריטיים. דיווחים כאלה מאפשרים להנהלה להתחיל תהליך של הפחתת הסיכונים העלולים להשפיע באופן משמעותי על היכולת להשיג יעדים ארגוניים.

גילוי ומניעת הונאות

מבקרים פנימיים יכולים ליזום פעולות לגילוי מקרי הונאה על ידי הטמעת דגלים אדומים במערכות הבקרה הפנימיות. המערכת תרים דגלים אדומים אם היא תזהה מצבים חריגים ולא רק מקרי הונאה. לדוגמה, אם הוטמע פרמטר במערכת הבקרה לבחינת חשבונות עסקה, המערכת תציג התראה אם אותו ספק הגיש מספר חשבונות באותו חודש עבור אותו סוג של מוצר.

ניטור מתמשך

משימות ביקורת מבוססות נתונים יכולות להתמקד בהגדרת הסף שיפעיל התראת הונאה, כגון לפי מספר, כמות, קטגוריה ותדירות העסקאות. מבקרים יכולים לתחקר התראות כאלה כדי לזהות הפרות פוטנציאליות של מדיניות או נהלים ומקרי חריגה מסמכות. יכולת זו מאפשרת לעסקים לעקוב באופן ממוכן יותר אחר פעילות הבקרה.

שיפור הערכות סיכונים וכיסוי סיכונים

ניתן לשפר הערכות סיכונים באמצעות חיבור כלי ניתוח סיכונים למסד הנתונים המכילים את מדדי הסיכון המרכזיים, על ידי הפקת דיווחים על הפסדים הנובעים מסיכונים שהתממשו, ובאמצעות השימוש בדשבורדים על סטטוס העמידה בכללי ממשל תאגידי, ניהול סיכונים וציות (governance, risk and compliance dashboards). השימוש בכלי ניתוח סיכונים מאפשר למבקרים פנימיים לזהות תהליכים בעלי סיכון והשפעה גבוהים במקום הפעלת שיקול דעת בלבד. יתרה מזאת, השימוש בכלים כאלה עשוי לשפר את היקף הכיסוי של הביקורת באמצעות:

Ÿ   זיהוי משימת הביקורת הנכונה שיש לבצע.

Ÿ   הגדלת מספר משימות הביקורת בשנה.

Ÿ   הקטנת משך הזמן הדרוש כדי להשלים את כל נושאי הביקורת.

Ÿ   הגברת תדירות הביקורות בתחומי סיכון מרכזיים.

Ÿ   הרחבת ההיקף של ביקורות ספציפיות.

יעילות הביקורת

השימוש בכלי ניתוח נתונים מאפשר למחלקות הביקורת הפנימית להגדיל יכולות ניתוח נתונים קריטיות. לדוגמה, כלי ניתוח נתונים יכול לשפר את יעילותה של המחלקה בזיהוי אנומליות סיכון ונתונים, כמו גם בזיהוי הזדמנויות לשפר ביצועים ברחבי הארגון. בנוסף, גישה המאפשרת למבקרים לבחור דגימות בסיכון גבוה מסייעת להשגת חיסכון במשך ביצוע ביקורת וצמצום היקף ההפרעה ללקוחות הביקורת.

ביקורת פנימית מבוססת סיכון

השימוש בכלי ניתוח נתונים כדי לזהות אנומליות יכול לעזור למבקרים פנימיים לזהות אזורים בסיכון גבוה בתוך שלל תחומי הביקורת, ולפתח נושאי ביקורת המאפשרים בחירת תהליכים בסיכון גבוה שמצריכים עבודת ביקורת מקיפה מקצה לקצה.

בניית דשבורדים ודיווחים אנליטיים על מדדים, כגון מדדי סיכון מרכזיים ומדדי ביצוע מרכזיים בכל אזור תפעולי בארגון, יכולה לעזור למבקרים למנף את יישומה של ביקורת מתמשכת. הם גם יכולים להוות פלטפורמה לתהליכי הערכת סיכונים חזקים ורציפים יותר בעת תכנון משימות הביקורת.

כמו כן, הביקורת הפנימית יכולה לקשור את עבודתה למטרות האסטרטגיות של הארגון על ידי פיתוח נושאי ביקורת הנגזרים מתוצאות הערכות תקופתיות של מדדי סיכון מרכזיים.

תהליך הביקורת

ניתן להטמיע נתונים וכלים אנליטיים במספר אבני דרך במחזור הביקורת. לדוגמה, מבקרים יכולים להשתמש בכלי בינה עסקית (business intelligence) כדי לאסוף נתונים ולקבוע את היקף המשימה לפני תחילת העבודה בשטח. השימוש בכלי ניתוח מאפשר תכנון ביקורת דינמי באמצעות תהליך הערכת סיכונים מתמשך, מבוסס טכנולוגיה ונתונים כמותיים. מבקרים גם יכולים להשתמש בכלים אנליטיים לבדיקות באזורים ספציפיים, כגון הגנה פרואקטיבית מפני הונאות.

גישת ביקורת פנימית מבוססת נתונים כוללת את השלבים הבאים:

1. זיהוי נושאים רלוונטיים לשימוש בביקורת מבוססת נתונים

על מבקרים פנימיים לנתח את כלל נושאי הביקורת כדי לקבוע ולבחור נושאי ביקורות שבהם ניתן להפיק תועלת מהשימוש בכלי ניתוח נתונים, בהתבסס על גורמים כגון:

זמינות הנתונים. יש לבדוק אם ישנם מספיק נתונים זמינים כדי לנתח את הנושא המבוקר, ואם קיימת בביקורת הטכנולוגיה המתאימה לניתוח הנתונים.

אמינות הנתונים. יש לבדוק אם הנתונים הזמינים הם עקביים ומתקבלים ממקור אמין.

ניתוח סיכונים. בהתבסס על הערכת הסיכונים שבוצעה, יש לקבוע האם התחום הנבחן מוערך כתחום בסיכון גבוה. ככל שהערכת הסיכון גבוהה יותר, כך יקבל התחום תעדוף גבוה יותר לעבור לתהליך של ביקורת מבוססת נתונים.

מורכבות. מורכבות הנתונים מבוססת על מספר המקורות שמהם נגזרים הנתונים ועל הזמן הדרוש להשגתם.

תדירות. מספר הפעמים שביקורת נדרשת לביצוע במהלך תקופת הביקורת השנתית.

2. הרחבת ההיקף של משימות ביקורת

מבקרים פנימיים צריכים לבחון את מוקדי הסיכון הקיימים בתהליכים בתחום הנבדק כדי לקבוע את מדדי הביצוע המרכזיים, את מדדי הסיכון המרכזיים, ואת המגמות או האנומליות שישפיעו על היקף הביקורת.

3. ביצוע הביקורת

שלב הביצוע מתחיל בשליפת נתונים. הביקורת הפנימית יכולה להשיג קבוצות נתונים מדיווחים ממערכות מידע ניהוליות, ממערכות ניהול ידע ומדוחות תפעוליים ספציפיים מהמערכות הזמינות, כאשר המקורות נקבעים בשלב הניתוח של כלל נושאי הביקורת. לאחר קבלת הנתונים, על המבקרים לחלץ אזורי נתונים רלוונטיים ממערכת המקור, להעביר אותם לתבנית מסד נתונים ולטעון אותם לכלי אנליטי.

לאחר מכן, על המבקרים לנתח את הנתונים כדי לזהות בעיות פוטנציאליות, מגמות ואנומליות. אפשר להשתמש במנוע אנליטי כדי לבצע ניתוחים מתקדמים, לרבות סקריפטים מבוססי כללים, מודלים תיאוריים או מודלים ניבויים. ניתן לבקש עזרה ממומחה עם הכשרה טכנית מתקדמת וניסיון רלוונטי.

רצוי לשלב כלים אנליטיים בתוכנית הביקורת על מנת לעמוד ביעדים. על המבקרים לתכנן ולבצע בדיקות הרצה על כלים אלה תוך שימוש בנוהלי ביקורת מבוססי ניתוחי נתונים על מנת לוודא השגת יעדי הביקורת. לדוגמה, ביקורת בנושא ניהול ספקים עשויה לכלול:

Ÿ   פעילות – ניהול נתוני אב על ספקים.

Ÿ   סיכון תהליכי – חוסר יעילות תפעולית כתוצאה מניהול לא יעיל של נתוני אב על הספקים.

Ÿ   ביצוע נוהל מסורתי – יש לוודא שמנהלי הרכש בוחנים את נתוני האב על הספקים כדי לאתר אי דיוקים או נתונים חלקיים.

Ÿ   ביצוע נוהל ביקורת מבוססת נתונים – לשם הפקת נתונים סטטיסטיים עבור כל שדה בקבוצות נתונים קריטיות, לרבות בחינת מדדים כדי לאתר יחידות נתונים בטווח הרלוונטי.

לאחר השלמת נוהלי הביקורת, על הביקורת הפנימית לבחון את התוצאות ולפתח תובנות. על המבקרים לבצע עבודת שטח נוספת כדי לאמת את ביצוע הניתוח כראוי וכדי לזהות את המגמות, האנומליות או הבעיות שיש לדווח עליהן. כדאי להשתמש בכלי המחשה חזותית כדי לאמת את תוצאות הניתוח.

4. דיווח על הממצאים

לאחר השלמת הביקורת, המבקרים הפנימיים ידווחו על התוצאות תוך שימוש בכלי המחשה חזותית המאפשרים דיווחים משופרים באמצעות חיבור, שליפה וניתוח נתונים תוך קשירתם למדדי הביצוע המרכזיים ולמדדי הסיכון המרכזיים. ניתן להשתמש גם בדוח ביקורת סטנדרטי שאפשר לשתף עם ההנהלה. בנוסף, המבקר הפנימי הראשי יכול לתכנן ולהקים מנגנוני דיווח, דשבורדים לניתוחי נתונים והתראות.

סיכום

יישום גישה של ביקורת פנימית מבוססת נתונים יכול להיות מסע ארוך. כדי להתחיל בו, המבקר הפנימי יכול לתכנן פרויקט פיילוט ולבצע התקשרות אחת המיישמת גישה זו, ולאחר מכן לחדד עוד יותר את אסטרטגיית הביקורת הפנימית.

מוחמד חסן ריזבי הוא יועץ בכיר ב-Grant Thornton UAE בדובאי.

The post ביקורת פנימית מבוססת נתונים appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

על חשיבות יישום של כלי BI בעבודת הביקורת הפנימית

מאת: רו"ח יוסי אליאס, Data Analyst ומבקר IT בחטיבת הביקורת הפנימית בבנק דיסקונט.

המידע הקיים בבסיסי הנתונים של הארגון משקף את תוצאות הפעילות העסקית אך גם את הבקרות ששלובות בתהליכים העסקיים.

שימוש יעיל ואפקטיבי בכלי תחקור נתונים על ידי הביקורת הפנימית, במסגרת ההיערכות לעבודת הביקורת וכן במהלכה, יאפשר למבקר לבחון את התהליכים העסקיים ואת אפקטיביות הבקרות בו־זמנית, ולהתמקד באזורי הסיכון בתהליכים המבוקרים.

מהפכת המידע אשר השפיעה רבות על עולם העסקים, הכריחה ארגונים וחברות ברחבי העולם להתאים עצמם לעידן הדיגיטלי. המעבר לעולם המוצף במידע ובנתונים וכן ההתפתחות המואצת של עולם הטכנולוגיה, הביאו ארגונים וחברות לאמץ שיטות עבודה חדשות וכלים מתקדמים, כדי להתמודד בהצלחה עם הגידול הניכר בכמויות המידע שנצבר אצלם ועם ריבוי מקורות המידע. כדי להתמודד בהצלחה עם האתגרים והסיכונים החדשים שהביאה עמה מהפכת המידע, על קווי ההגנה באותם ארגונים, ובפרט יחידות הביקורת הפנימית, לאמץ אף הם שימוש בכלים מתקדמים – בעת ההיערכות לעבודת הביקורת ובמהלכה.

כשם שאותה מהפכה מאפשרת לארגונים רבים להפיק תועלת מהנתונים המאוחסנים במאגרי המידע שלהם, כגון שימוש בנתונים במסגרת תהליכי קבלת החלטות, כך על הביקורת הפנימית לנצל את המידע והנתונים שבמאגרי הארגון, לשם השגת מטרותיה. אימוץ של כלים מתקדמים לניתוח נתונים על ידי הביקורת הפנימית בארגון, תאפשר למבקרים להעצים את היכולות שלהם לבקר את התהליכים המתקיימים בארגון, את המערכות, ואת התשתיות.

היכולות הטמונות בכלים לתחקור נתונים, כגון כלי Data Analysis (DA) וכלי Business Intelligence  (BI), מאפשרות למבקר לעבד כמות עצומה של נתונים בזמן קצר, כולל ניתוח של כלל הפריטים הקיימים באוכלוסייה המבוקרת, להצליב נתונים מתהליכים עסקיים שונים וממערכות שונות. כפועל יוצא מכך, גדל הסיכוי לאתר פעולות חריגות בתהליך המבוקר, זאת בהשוואה לשימוש בדגימת פריטים מכלל האוכלוסייה המבוקרת.

אימוץ כלים מתקדמים בביקורת

שימוש בכלי תחקור נתונים מתקדמים במסגרת עבודת הביקורת יאפשר למבקר, בנוסף לאיתור פעילות חריגה ביחידה המבוקרת, לבחון את מידת העמידה של המבוקרים בהוראות חוק, נוהלי עבודה או רגולציה. הנתונים הנשלפים ממערכות המידע משמשים כלי עזר בידי המבקר לביסוס הבדיקות שהוא עורך במסגרת עבודת הביקורת. שימוש בכלים אלה במסגרת היערכות לביצוע עבודת ביקורת מאפשר למבקר לקבל תמונת מצב על התהליך המבוקר, עוד לפני שהחלה עבודת הביקורת.

לשם כך, הביקורת הפנימית צריכה להכשיר את אנשיה ולפתח יכולות תחקור וניתוח באופן עצמאי, ללא תלות ביחידות אחרות בארגון. ככל שהשימוש בכלים אנליטיים בארגון נעשה נפוץ יותר, והוא הופך לארגון מונחה ־נתונים (Data-Driven Enterprise), כך על הביקורת הפנימית להתאים עצמה ולעשות שימוש רב יותר באותם כלים בפעילותה.

שימוש יעיל ואפקטיבי בכלי תחקור נתונים על ידי הביקורת הפנימית יכול לבוא לידי ביטוי בהיערכות לעבודת הביקורת וכן במסגרת הביקורת עצמה. לדוגמה, שימוש בכלי תחקור נתונים בביקורת פנימית בבנק, בעת בדיקת נושא מתן הלוואות ללקוחות הסניפים.

ניתוח נתונים בהיערכות לביקורת

כלי BI, אשר ארגונים רבים משתמשים בהם להצגת ולמדידת פעילויות עסקיות שונות, מאפשרים לביקורת הפנימית להציג את התהליכים הנכללים בתוכנית הביקורת, לפי חתכים שונים, בהם רמת הסיכון הנשקפת מהם, על סמך הפריטים החריגים שאותרו בשלב המקדים. כך מתאפשר למבקר למקד את עבודתו בתתי-התהליכים שהינם בעלי סיכון גבוה ביחס לשאר, ולהעמיק את בדיקותיו במסגרת עבודת הביקורת. קיימת חשיבות רבה לידע, לניסיון ולהיכרות של המבקר עם הארגון והתהליכים העסקיים המתקיימים בו. תחקור הנתונים יאפשר לו לזהות פעילות חריגה בתהליך, אבל על המבקר להפעיל שיקול דעת במתן המענה לאותם חריגים או סיכונים שזוהו.

בהמשך לדוגמה, כחלק מהיערכות לעריכת ביקורת פנימית בבנק, בנושא מתן הלוואות ללקוחות בסניפי הבנק, על המבקר לערוך מיפוי של אזורי הסיכון בתהליכים העסקיים שיבוקרו על ידו. לשם כך, יש להגדיר תחילה את התהליכים שייכללו בעבודת הביקורת, לדוגמה: דירוג אשראי של לקוחות וקמפיינים לשיווק אשראי בסניפים. באמצעות שימוש בכלי ניתוח נתונים, כגון SQL, ניתן לשלוף מהמערכות התפעוליות של הבנק הרלוונטיות לתהליך האשראי, את נתוני ההלוואות שניתנו בשנתיים החולפות בכל סניפי הבנק. באמצעות כלי BI ניתן להציג באופן ויזואלי את התפלגות ההלוואות לפי חתכים שונים, כגון: היקף כספי, כמות הלוואות, סוגי הלוואות וכן כשל אשראי לפי סניפים, חודשים בשנה וסוגי לקוחות. כך, מתקבלת תמונת מצב ראשונית של אזורי הסיכון בתהליך, וניתן להבחין בסניפים וכן בסוגי הלקוחות וההלוואות שראוי להתמקד בהם במסגרת עבודת הביקורת.

ניתוח נתונים בעבודת הביקורת

במהלך עבודת הביקורת, המבקר יכול להשתמש בכלים לתחקור נתונים לשם בדיקת בקרות השלובות בתהליכים העסקיים. לשם כך, לאחר בחירת אזורי הסיכון בתהליכים המבוקרים בשלב ההיערכות לביקורת, על המבקר למפות את הבקרות השלובות בתהליכים הללו, באמצעות סקירת נוהלי עבודה, הנחיות והוראות רגולטוריות הרלוונטיים לנושא הביקורת. באמצעות שימוש בניתוח נתונים בבדיקת ההלוואות, סוגי הלקוחות והסניפים שנבחרו על ידי המבקר, ניתן לאתר את הפעילויות החורגות מנוהלי העבודה, ההנחיות והוראות הרגולציה שהוגדרו, כגון: מתן הלוואות בסכומים ובשיעורי ריביות שאינם תואמים את דירוג האשראי של הלקוחות; אישור/מתן הלוואות ללקוחות בניגוד למדרג ההרשאות הקיים בבנק; איתור סוגי לקוחות/סוגי הלוואות עם כשל אשראי חריג. נוסף לכך, קיומם של פריטים חריגים באוכלוסיית ההלוואות עשוי להעיד על מידת האפקטיביות של הבקרות השלובות בתהליך המבוקר. ניתן להיעזר בכלי תחקור לשם שחזור עצמאי של הבקרות הקיימות בתהליך ובדיקתן על נתונים זהים אך ממקור שונה, כדי לאתר כשלים אפשריים בבקרות.

השפעת מהפכת המידע על הביקורת הפנימית

מהפכת המידע צפויה להשפיע גם על עתיד הביקורת הפנימית, על ידי אימוץ יכולות תחקור המבוססות על Big Data. אם עד כה שימוש בניתוח נתונים במסגרת הביקורת נתן מענה לשאלות שהוגדרו מראש על ידי המבקר, הרי שבשיטת ניתוח נתונים המבוססת על Big Data, הנתונים עצמם מגדירים את שאלת הביקורת. כלומר, שימוש אפקטיבי ויעיל בכלים מתקדמים לניתוח נתונים במסגרת עבודת הביקורת הפנימית, יאפשר למבקר להעלות תובנות עסקיות, לזהות מגמות בפעילות יחידות הארגון ולאתר קשרים בין נתונים, אשר ממבט ראשון לא קיימת קורלציה ביניהם. שימוש בכלי ניתוח מתקדמים, כגון שפת R, שפת Python ושילוב עם מתודולוגיות חדשניות כ ־Machine Learning ו־Data Science, עשויים לאפשר למבקר הפנימי לקבל מענה לשאלה "למה", זאת בנוסף ל"כמה" ו"מתי".

לסיכום, העידן הנוכחי שבו פועלים ארגונים וחברות צפוי לחולל שינוי גם בתפיסה העתידית של מטרות השימוש בכלי תחקור נתונים בביקורת הפנימית. אם עד כה המטרה העיקרית של ניתוח נתונים היה להסביר מגמות המתרחשות בארגון (Descriptive Analysis), באמצעות מדידה של ביצועים או בחינה של אופן עמידה ביעדים ובמטרות, אזי המגמה היא מעבר למודל של חיזוי ואופטימיזציה (Predictive Analysis). מודל זה בא לידי ביטוי באיתור קשרים בין נתונים שונים, המצביעים על מגמות עתידיות.

The post חשיבות יישום של כלי BI בעבודת הביקורת הפנימית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

דוחות המבוססים על נתונים יכולים לעיתים להיות מטעים, מה שעלול להוות בעיה כאשר ארגונים מסתמכים עליהם בקבלת החלטות עסקיות קריטיות. דוחות בלתי מהימנים עלולים גם לשבש את הבקרות הניהוליות השוטפות, דבר שעלול למנוע איתור או מניעה של טעויות מהותיות או של אי סדרים. לפיכך, ארגונים צריכים לוודא את הלימת הדוחות המשמשים לקבלת החלטות או לבקרות מפתח.

מבקרים פנימיים יכולים ליישם כלים וטכניקות שיטתיות כדי להבטיח את מהימנותם של דוחות מידע ונתונים.

השפעתם השלילית של נתונים בלתי מהימנים

מחקר של גרטנר מגלה שאיכות נתונים ירודה גררה הפסד ממוצע של 15 מיליון דולר לשנה לארגון. איכות נתונים ירודה הינה גם הסיבה העיקרית לכך ש-40% מכלל היוזמות העסקיות נכשלות בהשגת מטרותיהן. דוחות שאינם מהימנים יכולים להשפיע על:

• החלטות אסטרטגיות – כגון ביצוע מיזוגים ורכישות, שינוי מבנה ארגוני, התרחבות של הפעילות העסקית לאזורים חדשים, או בפיתוח מוצרים חדשים.
• החלטות תפעוליות – כגון תמחור פרויקטים, החלטות הקשורות בתקציב וקביעת סדרי עדיפויות, תחזית מכירות, ייצור, דרישות מלאי ומשאבים נדרשים.
• החלטות פיננסיות – כגון דיווח כספי, אשראי והלוואות, גביה והשקעות.
• רגולציה וציות – כגון דיני עבודה, קניין רוחני, פרטיות ורישוי תוכנה.

לעיתים השפעתם השלילית של נתונים בלתי מהימנים יכולה להגיע עד לכדי תביעות אזרחיות או פליליות, סנקציות, קנסות ופגיעה המוניטין.

הצעד הראשון :  הערכת סיכונים

באופן טבעי לא ניתן לבדוק לעומק את מהימנותם של כלל הדוחות הניהוליים ודוחות הבקרה בארגון. לפיכך, הצעד הראשון הוא לבצע הערכת סיכונים אשר תקבע אילו דוחות צריך לבדוק ואיזה עומק בדיקה נדרשת. על הערכה זו לכלול סקירה של סוג הדוח, השפעת הדוח על קבלת החלטות, הערכה בנוגע לבקרות מפתח, תהליך ניהול השינויים והגבלת גישה.

באופן כללי, ניתן לסווג דוחות לשלושה סוגים: "דוחות מקור", "דוחות מותאמים" ו-"דוחות ידניים". דוחות מקור מופקים ממערכת ללא מעורבות של גורמים חיצוניים למערכת. הסיכון לטעות בדוחות אלה הוא בדרך כלל נמוך בהיבטים של שלמות ודיוק וזאת בהנחה שהנתונים שמהם מורכב הדוח עברו טיוב ובדיקות הלימה.

לא דומה הדבר ב-"דוחות מותאמים" המפותחים בהתאם לדרישות המשתמש והם בעלי סיכון גבוה יותר בהיבטים של שלמות ודיוק. דוחות ידניים נוצרים על ידי משתמש קצה ולא עברו תהליך של ניהול שינויים פורמלי. הם בדרך כלל בעלי הסיכון הגבוה ביותר.

היות שכל סוג של דוח מייצג רמת סיכון שונה, זיהוי סוג הדוח הינו חיוני להערכת מהימנותו. כל סוג דוח ידרוש בדיקות שונות.

גורמים אחרים שיש לקחת בחשבון בעת ​​קביעת דוחות לבדיקה כוללים:

• שימוש בנתונים – האם הדוח והנתונים הכלולים בו מתייחסים להחלטות אסטרטגיות, פיננסיות, תפעוליות או רגולטוריות?
• השפעת הדוח – האם טעות בדוח תגרור סיכון פוטנציאלי אסטרטגי, פיננסי, תפעולי, או רגולטורי לארגון?
• שיקולי בקרה – האם הדוח משמש לביצוע של בקרות מפתח כדי להפחית סיכונים משמעותיים?
• ניהול שינויים – עד כמה יעיל ניהול השינויים ליצירת הדוח?
• הגבלות גישה – אילו מנגנוני הגבלת גישה, כגון סיסמה או הרשאות, קיימים?

בדיקת שלמות הנתונים

מבקרים פנימיים צריכים לזהות את סוג הדוח ולהבין את הפרמטרים המשמשים ליצירתו. פרמטר אחד לא נכון עלול להשפיע בצורה מהותית על אמינות הדוח. היות שלרוב יש מספר פרמטרים המשמשים ליצירת דוח, המבקר הפנימי צריך להבין מבעל הנתונים (DATA OWNER) מה עומד מאחורי כל אחד מהפרמטרים שעל בסיסם נבנה הדוח.

בנוסף לכך, מבקרים פנימיים צריכים לבדוק האם חריגים כלשהם הוגדרו בממשק המשתמש של היישום או ברמת הקוד. אם חריגים הוגדרו ברמת הקוד, יתכן שיידרש סיוע מהמפתחים.

מבקרים צריכים גם להיזהר מאוד שלא "ללכת על עיוור" אחר שם או כינוי הדוח. דוח רכש בשם "סך ההוצאה לספקים" יכול להציג רק הוצאות הקשורות ברכש, אבל לא את כל ההוצאות.

מבקרים פנימיים צריכים לבצע מספר בדיקות כדי לקבוע את מידת המהימנות והשלמות של דוחות:

• בדקו מתי הדוח שונה לאחרונה – בדיקת תאריך השינוי האחרון יכולה להצביע על שינויים שנעשו בדוח.
• במקרים רבים הרשאות הגישה של משתמשים מוגבלות לצפייה או שינוי של נתונים מסוימים על בסיס "Need to know" (לדוגמא: כרטיסי אשראי של לקוחות). הגבלות אלו עלולות לשבש את הדוחות המופקים ע"י משתמשים שהרשאתם מוגבלת. לפיכך, רצוי תמיד לגשת ל"בעל" המערכת.
• יש לערוך השוואת בין דוחות שונים שאמורים להציג את אותם הנתונים – היות שכל דוח בנוי עם לוגיקה שונה, זו דרך טובה לבדוק את מהימנות הדוח. השוו אותו מידע ממקורות שונים ושאלו בעלי עניין שונים את דעתם על סבירות הנתונים.
• השתמשו בשיטת "Full and False Inclusion" (שיטה בה יש לוודא כי כל מה שהיה אמור להילקח בחשבון נילקח בחשבון ולא נכלל משהו שלא היה צריך להילקח בחשבון). קחו מדגם של עסקאות שאמורות ואשר אינן אמורות להיכלל בדוח, ואמתו בהתאם.
• בדקו האם בדיקות ידניות או בדיקות מערכת כלשהן מונעות רשומות כפולות. כדי לזהות מקרים כאלה, בצעו בדיקת כפילות פשוטה אך יעילה עבור מדגם של שדות נתונים.
• בדקו שדות נתונים ריקים. נתונים חסרים הינם אינדיקציה טובה לכך שיש לבצע בדיקות נוספות.
• בעת שימוש בכלי דיווח, כגון יישום בינה עסקית, הבטיחו כי נעשה שימוש בגרסה האחרונה של היישום. שדרוגים בדרך כלל פותרים פגמים טכניים, וממשקים למחסן הנתונים יכולים להיות שונים.

בדיקת דיוק הנתונים

בבדיקת דיוק, מבקרים פנימיים צריכים להבין איזה אמצעי קלט או שיטת לכידת נתונים (Data Capture) הייתה בשימוש, שכן לכל קלט או שיטה יש רמת סיכון שונה למהימנות הנתונים: על גבי טופס נייר, על ידי משתמשים שהזינו נתונים ישירות, או על ידי מערכת. חשוב גם כי המבקרים יזהו את סוג הבקרות על הזנת הנתונים במערכת, כגון מניעת הקלדה כפולה.

פרטים נוספים שעל המבקרים לבדוק בנוגע לדיוק הנתונים כוללים:

• המשמעות של שדה נתונים – אסור למבקר הפנימי להניח, בהתבסס על תיאורי העמודות, שברור לו מהו הנתון.
• נתוני המקור של שדות מפתח – ניתן לבצע על ידי התחקות אחר נתוני המקור.
• סבירות המידע – לדוגמה, האם זה סביר כי הושכרה מכונית תמורת 2,000 דולר ללילה?
• שדות תאריך – בתבניות תאריך כפולות עלולות להשפיע על ניתוח מבוסס תאריך. לדוגמה, תאריך בדוח כגון 03/05/2019 עשוי לייצג את ה-5 במארס 2019, או ה-3 במאי 2019, זאת בהתאם לאזור הגאוגרפי של המשתמש.

סיכום הדברים: היזהרו מאמונה עיוורת בדוחות ניהוליים

נתונים לא מהימנים יכולים להשפיע לרעה על החלטות עסקיות מהותיות. במקרים רבים, ארגונים אינם מודעים לדיווחים בלתי מהימנים, וכתוצאה מכך בעלי העניין מתמודדים עם נתונים פגומים, אשר בסופו של דבר, עלולים להוביל להחלטות שגויות או לא-אופטימליות. חוסר המודעות עלול להוביל ארגונים רבים לסמוך באופן עיוור על הנתונים שלהם, וזה עלול להיגמר לעיתים באסון.

ביקורת בנושא מהימנות דוחות ניהוליים הינה הזדמנות מיוחדת למבקרים פנימיים להוסיף ערך משמעותי להנהלות ולמועצות מנהלים בארגון שעשויות למנוע נזקים מהותיים ובלתי הפיכים.

The post הערכת מהימנות נתונים appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

קשה למצוא ארגון שבו כלל הפעילויות העסקיות מתקיימות ומנוהלות במערכת אחת. לרוב מדובר במספר מערכות, תפעוליות ופיננסיות (המשפיעות על הדיווח הכספי).על מנת להעביר נתונים בין מערכות יש צורך בהקמת ממשק.

לדוגמה: מערכת תפעולית שרושמת שימוש של הלקוחות בשירותים שחברה מעניקה. בסוף החודש יש לתרגם את השימוש למונחים כספיים ולחייב את הלקוח. המערכת התפעולית שולחת את הנתונים הנדרשים למערכת הכספית.

בעידן BIG DATA  ותעבורת נתונים מקצה לקצה של הארגון, ישנה חשיבות לבחון את היכולות של הארגון בפעילות הממשקים. חברות משקיעות משאבים על מנת לבחון את המערכות ממגוון היבטים כדוגמת תהליך הפיתוח, אבטחת מידע, תהליך מתן  הרשאות והסרתן, ועוד. עם זאת, לעיתים לא ניתנת  התייחסות הולמת לנושא הממשקים. גם הביקורת בדרך כלל מתמקדת בבדיקות של המערכות עצמן, כגון תהליכי פיתוח, אבטחת מידע, בקרות לוגיות וכו', ללא התמקדות ועריכת ביקורת מקיפה בנושא ממשקים. במאמר זה אתן כלים פרקטיים למבקר בבואו לבדוק ממשקים בין מערכות.

אי העברת נתונים על ידי ממשק, או העברת נתונים בצורה לא תקינה או חלקית, עלולה לגרום לחיוב שגוי של לקוחות, לעזיבת לקוחות, לפגיעה במוניטין, לתביעות ייצוגיות ועוד.

על מנת להתמודד עם הסיכון, ישנם ארבעה נושאים מרכזיים שעל המבקר לבחון בעת בדיקת ממשקים בארגון:

• שלמות ואיכות המידע שמבצעים הממשקים.
• אמצעי הניטור והבקרה על תשתיות המערכות ופעילות הממשקים.
• יכולות הממשקים להתאושש מכשלים.
• שרידות תשתיות הממשקים.

ראשית, יש לוודא כי קיים מיפוי של כלל הממשקים הקיימים/הרצים בחברה, הפנימיים והחיצוניים. במיפוי יש להתייחס לרשימת הממשקים היוצאים ממערכת; רשימת הממשקים הנכנסים למערכת; שיטת העבודה בהעברת מידע בממשקים (כספות/ FTP/ SFTP/ מערכות דיודה/ מערכות קבצים בענן/ ממשקים בקווים ישירים). לאחר מכן יש לבצע את הבדיקות המפורטות בכל אחד מההיבטים:

• שלימות ואיכות המידע שמבצעים הממשקים

השאלה המרכזית שנשאלת בבדיקה זו היא: מה יקרה אם המידע שיתקבל מהמערכת השולחת אינו שלם? האם המערכת המקבלת את המידע תזהה שהמידע אינו שלם? האם תמשיך בתהליך העיבוד או שתחזיר שגיאה בפניית תשאול סטטוס למערכת השולחת?

הפרקטיקה המקובלת בפיתוח תהליכי ממשק היא לבדוק את כמות הרשומות שהתקבלו בשלושה היבטים:

• מספר הרשומות שהתקבלו במשלוח המידע הנוכחי ביחס למספר שמדווח השולח.
• כמות הרשומות הכוללת שהתקבלה מהשולח בחלון זמן נתון.
• איכות המידע שעבר בממשק.

1. על המבקר לבחון האם מתבצעת בדיקה על מספר הרשומות שהתקבלו מהמערכת השולחת. גם במקרים בהם נשלחים קבצים, יש לבדוק האם מצורף, כמקובל, Header הכולל את מספר הרשומות שנשלחו. ערך זה והבדיקה המתבצעת עליו נדרשים על מנת לוודא שכל הרשומות שנשלחו אכן התקבלו.
2. לבחון האם מתבצעת בדיקת סבירות על מספר הרשומות הכולל שהתקבל מהמערכת השולחת בחלון זמן נתון.
3. כדי לוודא שהמידע עבר במלואו ושתכנים לא שובשו, מומלץ לבצע השוואה כמותית של רשומות המידע במערכות השונות וכן לבצע השוואת ערכים עבור שדות משמעותיים לתקינותו של התהליך, בעצם ההמלצה היא למחשב תהליך אוטומטי שיבצע השוואה של כמות הרשומות במערכות השונות.

• אמצעי הניטור והבקרה על תשתיות המערכות ופעילות הממשקים

תהליכי הדיווח, הניטור והבקרה נדרשים בכדי לוודא פעילות תקינה של התהליכים השונים ובכדי לוודא שתקלות דווחו לגורמים הרלוונטיים. בנוסף, תהליכים  אלו מאפשרים הסקת מסקנות הנוגעות לאיכות התהליכים ובכך מסייעים לשיפור מתמיד.

יש להתייחס לניטור והבקרה בהיבטים הבאים:

• ניטור תשתיות.
• דיווח האפליקציה וניטור שוטף על תקלות אפליקטיביות.

1. השלב הבסיסי כולל ניטור שוטף של התשתיות עליהן "רצה" האפליקציה. תשתיות אלו כוללות רכיבי תשתית כדוגמת מערך האחסון (Storage), שרתים, מסדי נתונים, קווי תקשורת ועוד. רכיב בסיסי נוסף אותו נדרש לנטר הוא הזמינות של התהליכים (Processes) השונים מהם בנויה המערכת, ובמקרה של ריצת ממשקים, את תחילת וסיום ריצת הממשק ע"פ הגדרות תזמון הריצה.
2. דיווח וניטור שוטף של תקלות בהן נתקלת האפליקציה נדרשים בכדי להתריע על כשלים שאינם מנוטרים ע"י מערכות ניטור התשתית. לדוגמה, שינויי הגדרות של רכיב חומת האש באתר המארח של האפליקציה עלול לגרום לתקלות במעברי המידע בין רכיבי המערכת. במקרה זה נדרשת האפליקציה לדווח על השגיאה שארעה.

בנוסף לכך, יהיה צורך לבחון האם נרשמות שגיאות אפליקטיביות לטבלת לוג ונשמרות במשך תקופה, וכן האם  מתבצע תהליך ניטור על השגיאות שנרשמו.

• יכולות הממשקים להתאושש מכשלים

תכנית המשכיות עסקית נועדה להבטיח רציפות תפעולית של התהליכים העסקיים הקריטיים של הארגון בשעת חירום. התכנית מתייחסת לאירועי חירום שונים ומגדירה תכניות פעולה לצורך התאוששות. לדוגמה, מצב כשל של מסד נתונים מרכזי (SQLSERVER) במערכת ; זיהוי הכשל, מהן הפעולות שיש לנקוט, מהן הבדיקות שיש לבצע לאחר אישוש המערכת, אלו פעולות יש לבצע ידנית, למי נדרש לדווח על המצב בשלבים השונים של הטיפול בתקלה וכדומה.

עבור מערכות חיוניות מקובל להגדיר אתר חלופי (DR) שיאפשר המשך הפעילות העסקית מול האתר החלופי במקרה של כשל הראשי. כאשר למערכת קיים אתר DR, כוללת התוכנית התייחסות לזיהוי המצבים בהם נדרש מעבר לאתר המשני, נהלי המעבר והחזרה לאתר הראשי. התוכנית להמשכיות עסקית מתבססת על תיק אתר הממפה את תשתיות המחשוב השונות אותן נדרש לאושש.

• שרידות תשתיות הממשקים

בפרק זה, נדרש להתייחס לנושאים הבאים:

1. ארכיטקטורת המערכת לטובת התמודדות עם עומסים ותקלות
2. הגדרות ובדיקות עמידות בעומסים
3. גיבויים ושחזורי המידע

• יש לבחון האם המערכות נבנו בצורה שתאפשר עבודה אסינכרונית[1] על המידע שמתקבל מבלי להפריע בתהליך קליטת המידע מהמערכת השולחת. המערכות מבצעות באופן סינכרוני אימות בסיסי למידע המתקבל. המשך פעילות עיבוד וטיוב המידע מתבצעים בצורה אסינכרונית.
• עבור מערכות הנדרשות לעבוד בעומסי מידע גבוהים וגדלים, בהתאם לכמויות המידע הנשלחות, יש לבחון האם הוגדרו העומסים בהם צריכות המערכות לעמוד בטרם עליה לאוויר. בנוסף, יש לתעד מסמך דרישות עמידה בעומסים המהווה חלק מאפיון אשר נבדק ומאושר כחלק מתהליך הבדיקות.
• פעילות הגיבוי השוטפת נדרשת כדי להבטיח יכולת שחזור המידע במקרה של פגיעה. ללא פעילות גיבוי קיימת חשיפה לאובדן כל המידע התפעולי הנצבר. בנוסף, ישנה חשיבות גבוהה לגיבוי השרתים ולכלל קונפיגורציה התשתיות של המערכת. ללא גיבוי הקונפיגורציה זמן ההתאוששות במקרה של פגיעה באתר עלול לקחת זמן רב.

לסיכום,

עם ריבוי המערכות בארגון וריבוי תהליכים הרצים במערכות שונות, המבקר חייב לכלול בתכנית העבודה שלו גם ביקורות מקיפות בנושא ממשקים בין מערכות ותפקודם. במאמר כללתי את הדגשים החשובים ביותר לבדיקה על מנת לסייע למבקר בביקורות אלה.

[1] מערכות אסינכרוניות להעברת מסרים מעבירות מסרים מהשולח למקבל, מבלי לחכות שהמקבל יהיה מוכן. היתרון של תקשורת אסינכרונית הוא בכך שהשולח והמקבל יכולים לעבוד במקביל מכיוון שהם לא מחכים האחד לשני.

The post דגשים לביקורת הממשקים במערכות המידע הארגוניות appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

קיטי קיי צ'אן | PHD ,היא פרופסורית של פרקטיקה מקצועית באנליטיקה יישומית ומנהלת אקדמית של תואר
MS באנליטיקה יישומית באוניברסיטת קולומביה במדינת ניו-יורק.
טינה קים | CPA, CISA, CRMA, CIA ,היא סגנית מבקר בתחום אחריות דיווח בממשלת המדינה, לשכת מבקר
מדינת ניו-יורק בעיר אלבני.

בעזרת תכנון ותהליכים, בכוחה של בינה מלאכותית לגרום למהפכה בעבודת הביקורת הפנימית ובערכה.

במקום לבזבז שעות בפענוח כתב יד של יומני עבודה בזה אחר זה, תדמיינו מצב שבו מבקרים פנימיים יכולים להמיר אלפי פתקים מקושקשים לטקסט, לנתח אותם, ולבצע התאמה לגיליונות שעות אלקטרוניים, והכול באופן אוטומטי. זאת דוגמה אחת של השימוש בעיבודי שפה טבעית (natural language processing – NLP) ושל ניתוחי טקסט המיועדים לאימות תקפותם של החזרי הוצאות.

טכניקות AI כאלו משנות באופן דרמטי את הנוף העסקי. AI מתייחסת למערכות לניהול וניתוח מידע תוך שימוש באמצעים שמחקים בינה אנושית. אם ניקח כדוגמה שירות משלוחים, מפות חכמות משתמשות ב-AI כדי לאתר את המסלול הקצר ביותר ולמזער עלויות משלוח. נוסף על כך, בשנים האחרונות צמחו מגזרים עסקיים חדשים הנשענים על AI כמעט לחלוטין, כמו המדיה החברתית ושירותי נסיעות שיתופיות.

כעת הגיע תורה של הביקורת הפנימית לנצל את היתרונות של AI כדי לשנות את עבודת הביקורת. השימוש ב-AI יאפשר למבקרים פנימיים לעבד היקפי נתונים גדולים יותר ולנתח טווח רחב יותר של תסדירי נתונים. יתרה מזאת, השימוש ב-AI יאפשר למבקרים לבצע משימות כאלה מהר יותר מאי פעם. כתוצאה מכך מבקרים יוכלו לספק ללקוחותיהם תובנות רבות יותר ולהגדיל לבעלי העניין את ההחזר על השקעותיהם בשירותי ביקורת פנימית.

יישומי AI בביקורת פנימית

על אף הבדלי גודל, היקף, מטרות ארגוניות ודרישות רגולטוריות שבפונקציות הביקורת, כל הפונקציות הנ"ל תורמות לשיפורים בממשל התאגידי, בניהול סיכונים ובתהליכי הבקרה בארגוניהן. במסגרת עבודתם, מבקרים פנימיים מנתחים ומעריכים מידע ממקורות רבים כדי להסיק מסקנות ולהגיש המלצות. ההתפתחויות האחרונות בטכנולוגיית AI כוללות שִכלולים בניתוח היקפים גדולים של נתונים, ומבקרים יכולים לרתום אותן במספר דרכים:

• ראייה ממוחשבת (computer vision). מבקרים פנימיים יכולים להשתמש בטכנולוגיית ראייה ממוחשבת כדי לאמת את הדיוק והאמינות של מידע תפעולי ופיננסי על ידי פענוח וניתוח של תמונות דיגיטליות. לעיתים קרובות, מבקרים מאמתים נכסים כחלק מעבודתם באמצעות בדיקות מדגמיות – משימה שצורכת זמן רב. ראייה ממוחשבת יכולה לשפר את איכותו ויעילותו של תהליך זה, ובנוסף ראייה ממוחשבת יכולה לתת גישה למידע שהיה בלתי ניתן להגיע אליו קודם לכן. לדוגמה: השימוש ברחפנים כדי למדוד אוכלוסיות שלמות של נכסים, כגון מספר המשאיות במפעל לייצור רכבים או רמת מלאי הפחם בתחנת כוח.
• עיבודי שפה טבעית. מבקרים פנימיים יכולים להשתמש בעיבודי שפה טבעית כדי לנתח מסמכי טקסט באופן יעיל יותר. באמצעות שילוב של עיבודי שפה טבעית וטכניקות של למידת מכונה, מבקרים יכולים לסרוק כמויות אדירות של טקסט, כמו מיילים, חוזים ופוסטים במדיה החברתית במהירות חסרת תקדים כדי לאתר אי התאמות ולגלות פרטים חשובים. כתוצאה מכך מבקרים יכולים לבצע בדיקות מקיפות יותר, כגון סריקת מסמכי בנק כדי לבדוק ציות משפטי.
• למידת מכונה. טכנולוגיית למידת מכונה מפיקה תובנות מתוך נתונים באמצעות אלגוריתמים המאפשרים למכונות ללמוד ולהשתפר באופן אוטומטי ואוטונומי. השימוש בלמידת מכונה נעשה בתחומים רבים, למשל כדי להציע ספרים לקונים באינטרנט, וכדי לגלות אם מייל מסוים הוא אמיתי או ספאם. מבקרים פנימיים יכולים להשתמש בלמידת מכונה כדי לאתר חריגים ולזהות סיכונים מתהווים. לדוגמה, מבקרים כבר משתמשים בטכנולוגיה הזו כדי לאתר עסקאות פיננסיות חריגות ולזהות דפוסים של הונאה ברמת הנהלה. כמו כן, מבקרים יכולים להשתמש בלמידת מכונה כדי לבצע בדיקה של כל העסקאות וכל התצפיות, במקום סקירה של תת-קבוצה של נתונים בלבד. בשלב של תכנון והערכת סיכונים, המבקרים קובעים את התחומים המהווים סיכון גבוה על בסיס סקירה של טווח רחב והיקף גדול של מידע, כגון אירועים ספציפיים לארגון, דרישות משפטיות משתנות ומגמות בתעשייה. כחלק מהתהליך הזה, המבקרים צריכים לאזן בין המשאבים הזמינים לבין ההיקף של כל ביקורת. הפעלת למידת מכונה בקנה מידה גדול – המתמקדת בבניית אלגוריתמים כדי לעבד קבוצות נתונים גדולות – מאפשרת למבקרים לעבד מידע רב יותר במהירות גדולה יותר, תוך התייחסות למידע בפירוט רב יותר.

AI בעבודה

בנייה מחדש של פונקציית הביקורת המסורתית כדי לשלב בה שימוש ב-AI דורשת מיומנויות, תשתיות, תהליכים והסתגלות תרבותית. אומנם אין עיצוב אחד שהוא הטוב ביותר, אבל כן יש רכיבים שחשוב לכלול כדי לשלב AI בפונקציית הביקורת בצורה מוצלחת:

• אסטרטגיית AI שמתיישבת עם סדרי עדיפויות עסקיים ומתחברת לביצועים הניתנים למדידה. ההחלטה לשלב AI בפונקציית ביקורת היא החלטה עסקית נכונה אם היא עוזרת לארגון להשיג את יעדיו ומטרותיו. לכן גיבוש אסטרטגיית ה-AI חייב להתאים לסדרי העדיפויות של הארגון. האסטרטגיה צריכה להוסיף ערך לפחות באחד מתחומי המטרה העיקריים ולסייע בזיהוי סיכונים חדשים ומתהווים.
  על אף המטרות העסקיות המשותפות לפונקציות ביקורת, כל מחלקה עשויה לקבוע סדרי עדיפויות שונים בטווח המיידי, כמו למשל מועד תחילת השנה הכספית או שינויים עונתיים בעסקים של ארגוניהם. על הביקורת הפנימית לבנות את אסטרטגיית ה-AI שלה כדי להתאים אותה להתפתחות סדרי העדיפויות העסקיים בטווח הקצר, הבינוני והארוך, ובכך להקצות את המשאבים ליישום האסטרטגיה באופן אופטימלי.
  במידת האפשר, על הביקורת הפנימית לכמת את היתרונות הצפויים לנבוע מאסטרטגיית ה-AI, לרבות חיסכון בעלויות, גידול בהכנסות, ושיפור בהתייעלות בכוח אדם. כמו כן, כדאי לראשי ארגון הביקורת הפנימית להוסיף פירוט לגבי היתרונות הבלתי מוחשיים, כמו הגברת האמון העסקי בקרב בעלי העניין כתוצאה ממתן תובנות מדויקות יותר. נוסף על כך, חשוב מאוד לחשב את עלויות הזמן והמשאבים כדי לממש את היתרונות.
• תשתית AI הניתנת להתאמה. מכיוון שיכולות אנליטיות מתפתחות באופן הדרגתי לאורך זמן, חשוב לבנות את תשתית ה-AI על בסיס איתן המאפשר הגדלת התפוקה והמורכבות. בעת בחירת החומרה והתוכנה בתשתית ה-AI המיועדות לשילוב בתהליך הביקורת, על הביקורת הפנימית להתחשב בצרכים העסקיים והמידה שבה הטכנולוגיות משתלבות היטב עם המערכות הקיימות בארגון.
  חלק משמעותי מתהליך הביקורת כרוך ברישום, שיתוף ודיווח של מידע. לכן תשתית כוללנית צריכה לשלב כלים לניהול וניתוח נתונים שכוללים לא רק ניהול רישומים, שיתוף קבצים ודיווחים מסורתיים, אלא גם תהליכי אוטומציה ומחשוב ענן (cloud computing). בעת בחירת כלים כאמור, כדאי לשקול:
  • האם מבנה המערכת הוא מודולרי ומאפשר התאמה אישית ואינטגרציה מחדש לפי הצורך.
  • רמת התמיכה הזמינה מצד נותני השירותים.
  • דרישות ההכשרה של חברי הצוות בעלי רקע טכני שונה.
  • סכום העלויות הכולל, לרבות עלויות מראש והוצאות שוטפות עבור תחזוקה ושדרוג המערכת.
• תהליכי ניהול אסטרטגיית ה-AI ברורים וסדורים. כדי להשיג את רמת ההשפעה והיעילות הרצויה מאסטרטגיית ה-AI, יש לבנות תהליכים שינהלו את גיבושה ויישומה. בדרך כלל מבקרים פנימיים בעלי מיומנויות וידע רלוונטיים מיישמים AI לאורך כל השלבים במחזור החיים של הביקורת ובהתאם לדרישות העסקיות השונות של פונקציית הביקורת. בניית מבנה במטרה לתאם ולסנכרן עבודה זו היא חיונית על מנת לקבל תוצאות בעלות ערך גבוה. המלצות לבחינה בעת בניית תהליך AI ראשוני כוללות:
  • עריכת פרוטוקולים לניהול וניתוח נתונים עבור כל שלב בתהליך הביקורת.
  • קביעת רוטציה במשימות או בתהליכים אחרים כדי לעודד שיתוף פעולה בין צוותים.
  • קביעה ותיעוד של נוהלי אנליטיקה ככל האפשר. כך ניתן להגביר את השקיפות, העקביות, האיכות וההדירות של הניתוחים.
  • הוספת תוכנית לניהול שינויים.
• מחויבות לטיפוח בקיאות ב-AI. הביקורת הפנימית זקוקה לאנשים בעלי מיומנויות רלוונטיות כדי להשיג תוצאות מיטביות בעזרת AI. לכן ראשי הביקורת הפנימית צריכים להיות מסוגלים למשוך אנשים מוכשרים, ולפתח, לנהל ולשמר אותם. מבנה הצוות צריך להשלים את המבנה והתרבות הקיימים של פונקציית הביקורת. כל חבר בצוות צריך לקבל תפקידים ותחומי אחריות מוגדרים.
  ייתכן שיהיה צורך לספק הכשרה ותמריצים לפיתוח מיומנויות ודפוסי חשיבה ב-AI. קורסים אקדמיים ורוטציות בהכשרה תוך כדי העבודה יכולים להעניק לעובדים מיומנויות בניתוח נתונים. בנוסף, בהתחשב בעובדה שתחום ה-AI יהיה חדש עבור חלק מאנשי הצוות, כדאי לביקורת הפנימית לייצר סביבת לימוד שבה מבקרים יכולים לשאול שאלות ולהתנסות בהתגברות על אתגרים.
• תוכנית תקשור כדי לזכות בתמיכת בעלי עניין. שיתוף פעולה עם מחלקות שונות בארגון הוא עניין חיוני כדי לוודא שאסטרטגיית ה-AI מתיישבת עם הצרכים העסקיים. מאמצי הסברה בכל הרמות העסקיות יכולים להוביל לתמיכה עבור שילוב AI בפונקציית הביקורת. כמו כן, תוכנית הסברה המנוסחת היטב יכולה לסייע לביקורת הפנימית בפעולותיה כדי לוודא שאסטרטגיית ה-AI אכן תומכת בצרכים העסקיים ומפגינה הצלחה כדי להגביר את התמיכה.
  תוכנית התקשור צריכה לזהות בעלי עניין, לבחור ערוצים ולגבש מסרים מותאמים עבור קבוצות שונות (בהתאם להמלצות של שרה לבל וג'ניפר ולדק בספרן Strategic Communication for Organizations). כדאי גם לכלול בתוכנית הוראות לניטור ולהעריך את האפקטיביות שלה. המלצות לבניית התוכנית:
  • לפרט את הסיבות ליישום יוזמת ה-AI כדי לעודד השתתפות.
  • לנסח מסרים קצרים, ברורים, עקביים ומותאמים אישית כדי לבנות אמון.
  • להוסיף מדדי ביצוע עיקריים (KPIs) כדי להעריך אפקטיביות ולוודא שאסטרטגיית ה-AI מתיישבת עם סדרי העדיפויות העסקיים.

אופטימיזציה של AI

ניצול הכוח שב-AI יכול לעזור למבקרים פנימיים לבנות אמון בקרב בעלי עניין בפעילות ארגוניהם ולספק החזר גבוה יותר על השקעותיהם בשירותי ביקורת. על מנת להשיג את המטרות האלה, מחלקת הביקורת הפנימית חייבת לעודד פיתוח נתונים, תשתיות, אנשים ותהליכים. יותר מהכול, נדרש תכנון טוב.

על מובילי הביקורת הפנימית להבין את המצב הנוכחי בניהול נתונים וביכולות אנליטיות כדי שיוכלו למקסם את הערך ש-AI יכולה להביא לארגון. זאת אחריות גדולה, אך שילוב AI בתוך תהליכי ביקורת יכול לאפשר למבקרים לספק ייעוץ קריטי וביטחון בעידן הדיגיטלי.

איך מדינת ניו יורק משתמשת ב-AI בנושא סיכון ספקים?

ככל שמתגבר השימוש במיקור חוץ בתחומי השירותים והפרויקטים, כך מתגבר הצורך בקרב המבקרים הפנימיים לבחון את הסיכונים הכרוכים בעבודה עם ספקים. בעבר, מבקרים קיבלו סיוע בהערכת גורמי סיכון היסטוריים מניתוחים שהתבססו על ניסיון וידע שהופק מעבודות של אחרים כדי לקבל סיוע בהערכת סיכוני ספקים. לעיתים עבודה זו כוללת ניתוח יחסים (השוואה בין אחוזים מסה"כ התשלומים במסגרת קטגוריה מסוימת), הערכת מגמות לאורך זמן ובחינת תוצאות ביקורת קודמות.

כדי לטפל בסיכון ספקים, המבקרים הפנימיים של מדינת ניו-יורק פיתחו מודל חיזוי תוך שימוש בטכניקות של למידת מכונה. המודל מדרג ספקים על בסיס הסיכונים ומאתרת את העסקאות שהמבקרים צריכים להתמקד בהן במהלך עבודת הביקורת. כחלק מתהליך זה, מדינת ניו-יורק השתמשה ב-AI ובלמידת מכונה כדי להפוך תהליכים שהיו ידניים בעבר לתהליכים אוטומטיים לבחינת גורמי סיכון פרטניים, כגון מידע על תשלומים באיחור או שלא שולמו בכלל.

בנוסף, המבקרים בנו מודלים כדי להבין טוב יותר איך גורמים מסוימים תורמים לסיכון של טעויות בסכום התשלום וכדי לקחת בחשבון יחסי גומלין מורכבים בין גורמי הסיכון השונים. מודלים אלה יכולים לכלול גורמים כמותיים ואיכותיים. כתוצאה מכך מודל אחד יכול לבחון תוצאות של ניתוח יחסים, וכן מידע מתוך הביאורים לדוחות כספיים מבוקרים שעשויים לאתר סימני אזהרה, כגון מספר רב של עסקאות עם צדדים קשורים.

המודלים נותנים ציון אחד עבור סיכון תשלום שגוי עבור כל ספק וספק, ומעניקים למבקרים הפנימיים דרך להעריך סיכון בצורה קלה להבנה ולכימות. מבקרים יכולים לקבץ ספקים בעלי סיכון גבוה בקבוצות ולבצע ניתוח סטטיסטי של הוצאותיהם על מנת לזהות התנהלות חריגה. כל זה מאפשר לעבודת הביקורת להפוך לממוקדת יותר, להגדיל את ההחזר על השקעה, ולקצר את תהליך העבודה עבור המבקרים של המדינה.

The post שימוש בבינה מלאכותית בביקורת הפנימית- מאמר מתורגם appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.