1. "יוחננוף מחלצת במיליון שקל את בת המנכ"ל מחנות הבוטיק שלה" (כותרת כלכליסט מיום 01/11/2022). כותרת כזו מופיעה מעת לעת בתקשורת בצורה המציגה באור שלילי עסקאות שבוצעו בין חברה לבין בעל השליטה בה, או בין חברה לבין קרוב של בעל השליטה. עסקה כזו מעצם טבעה היא בעלת רגישות מיוחדת, ולכן עשויה לעורר גם את השאלה: האם נדרשת מהמבקר הפנימי של החברה מעורבות בבדיקת העסקה הספציפית?

במסגרת מאמר זה אנסה לתאר את עמדתי המקצועית בסוגיה של מתכונת ביצוע בדיקה של מבקר פנימי בנוגע לעסקאות עם בעל שליטה, תוך התייחסות לשאלה האם המבקר הפנימי נדרש לבצע בדיקה של העסקה הבודדת.

2. מבוא
   • ביקורת על תהליך
     • הביקורת היא גורם מקצועי בלתי תלוי ומשמשת כקו הגנה שלישי לבדיקות המבוצעות על ידי בעלי תפקידים אחרים בארגון. לאי התלות המאפיינת את הביקורת הפנימית יש שני היבטים מרכזיים: ריחוק מבחינה ארגונית ומהותית מעיסוק בתהליך המבוקר, וכן ריחוק מבחינת העיתוי של ביצוע הבדיקה (בדיקה בדיעבד).
     • מבקר פנימי אינו בגדר שוטר תנועה. מבקר פנימי נדרש לבצע ביקורת תקופתית על הצמתים המרכזיים בארגון, ובמסגרת זו לבחון קיומה של תשתית נאותה ומנגנוני בדיקה ובקרה פנימיים שיבטיחו תהליך תקין ואפקטיבי באופן שוטף.
     • לפיכך, הכלל הוא שהביקורת הפנימית בוחנת את התהליך בדיעבד ואינה בוחנת עסקה ספציפית טרם ביצועה של העסקה – תפקיד ששמור לפונקציות הקו הראשון והשני. כמובן שקיימים חריגים אפשריים לאותו כלל, כגון דרישה ספציפית של הרגולטור או בקשה של ועדת הביקורת לביצוע בדיקה המתייחסת למקרה או לאירוע ספציפי בסמוך למועד התרחשותו.

יתרה מכך, נוכחות המבקר הפנימי בדיון שבו אושרה עסקה ספציפית, אין משמעה שהמבקר אישר את ביצועה של העסקה וגם לא שהוא בדק את נאותות תהליך קבלת ההחלטה. כפי שיובהר במאמר זה, חלק מרכזי בבדיקה כזו צריך לכלול בחינת נאותות התשתית העובדתית (שלמות ודיוק המידע) ששימשה לקבלת ההחלטה – בדיקה שאי אפשר לבצע רק מעצם הנוכחות בדיון, ובדרך כלל גם אינה אפשרית לביצוע רק על בסיס עיון בחומר הרקע לדיון.

• תפקידה המרכזי של הביקורת הפנימית: מתן חוות דעת מקצועית ואובייקטיבית על התהליך ביחס אליו מבוצעת הביקורת. חוות דעת על תהליך אינה רק מבט שטחי "מלמעלה" או ביצוע סקירה בלבד בבחינת ניסיון להימנע מעיסוק בנושאים המורכבים או הרגישים. להיפך, הביקורת נועדה לתת חוות דעת כוללת, מקצועית ומקיפה, המבוססת על בדיקות משמעותיות תוך שימוש בכל כלי הביקורת הרלוונטיים (לרבות ביצוע בדיקות מדגמיות של עסקאות ספציפיות, וביצוע בדיקות טכנולוגיות של אוכלוסיות שלמות, בהתאם לצורך ולפי העניין).

חשיבות ורגישות הנושא של עסקאות עם בעלי עניין, מצריכים ביצוע ביקורת בתדירות גבוהה יחסית, אולם ביקורת על תהליך זה אינה שונה מכל ביקורת אחרת על תהליך משמעותי בארגון.

• עסקאות עם בעלי עניין
  • עסקאות עם בעלי עניין הן עסקאות משני סוגים עיקריים: עסקה של חברה עם נושא משרה בה, או עסקה חברה ציבורית עם בעל השליטה בה. החשש בעסקאות מסוג זה הוא כי מי שמופקד על קבלת ההחלטות בחברה ינצל את כוחו ומעמדו על מנת להפיק לעצמו או למקורביו טובות הנאה על חשבון החברה ובעלי מניותיה.
  • חשוב להדגיש כי חוק החברות אינו אוסר על ביצוע עסקה עם בעל שליטה, אם העסקה מבוצעת בתנאים הוגנים. במקום זאת, החוק כולל מספר הוראות שנועדו להתמודד עם עסקה המבוצעת על ידי חברה ציבורית הנגועה בניגוד עניינים של בעל השליטה. במישור הפרוצדורלי נקבע הסדר ייחודי של קבלת החלטות שנועד להבטיח כי העסקה תהיה כפופה לאישור מראש מאת אורגנים בלתי תלויים בחברה, שאינם מושפעים מניגוד העניינים, וכי יהיה גילוי ודיווח בדבר העסקה והנימוקים לאישורה. יתרה מכך, עסקה חריגה עם בעל שליטה שלא אושרה על פי ההסדר הייחודי הקבוע בחוק, לרבות אם נפל פגם מהותי בהליך אישורה, תהיה עסקה חסרת תוקף.
  • לעניין מנגנון האישור של העסקה – בחוק החברות נקבע כי עסקה חריגה של חברה ציבורית עם בעל שליטה כפופה לאישור של ועדת הביקורת, הדירקטוריון והאסיפה הכללית, תוך שנדרש רוב מקרב בעלי מניות המיעוט.
  • לעניין מנגנון הדיווח על העסקה – טרם כינוס האסיפה הכללית לאישור עסקה חריגה עם בעל שליטה, נדרש פרסום דיווח מיידי לרשות ניירות ערך ולבורסה בדבר עיקרי העסקה ונימוקי ועדת הביקורת והדירקטוריון לאישור העסקה. הדיווח המיידי יפורסם גם במקרה שבו העסקה עומדת בתנאים על פי דין למתן הקלה המתירה שלא לאשרה באספה הכללית.

3. היבטים מרכזיים בבדיקת התהליך הרלוונטי לעסקאות עם בעלי עניין
   • הכלל שלפיו המבקר הפנימי אינו נדרש לבחון אישור עסקה ספציפית טרם ביצועה, בוודאי רלוונטי ככל שמדובר בעסקה ספציפית הקשורה בבתו של המנכ"ל ומבעלי השליטה ברשת המרכולים "יוחננוף". עסקה זו משקפת מקרה שבו פורסם כדין דיווח מיידי בדבר העסקה, ובמסגרת הדיווח נכלל פירוט בדבר העסקה ובדבר נימוקי ועדת הביקורת והדירקטוריון לכך שהעסקה בוצעה בתנאים הוגנים. במקרה כזה בוודאי שלא נדרשת בדיקה של המבקר הפנימי, שכן כל מי שרואה עצמו נפגע מהעסקה מודע לקיומה ויכול לעמוד על זכויותיו, וגם הרשות לניירות ערך יכולה להתערב אם תראה בכך צורך.

מקרה בעייתי עלול להתרחש דווקא אם עסקה חריגה עם בעל שליטה לא אושרה בפרוצדורה הנדרשת, או שלא הועבר דיווח לציבור בגין העסקה. לפיכך, תרומתו של מבקר פנימי יכולה להיות משמעותית הרבה יותר אם יבצע בדיקה תקופתית שתביא לשיפור התהליך בכללותו, כך שהחברה תפעל בעצמה באופן שוטף כדי להבטיח שכל העסקאות עם בעל השליטה יובאו לאישור ולדיווח כנדרש.

להלן יובאו שלושת הרכיבים המרכזיים שיש לכלול בביקורת פנימית על תהליך האיתור והאישור של עסקאות עם בעל שליטה.

• רשימת בעלי העניין – ראשיתו של התהליך בקיומה של רשימה של כי מי שעסקה עימו תיחשב כעסקה עם בעל שליטה: עסקה עם בעל השליטה עצמו, וכן עם אדם אחר שלבעל השליטה יש בה עניין אישי, לרבות עניין אישי של קרובו ושל תאגיד אחר שבעל השליטה או קרובו הם בעלי עניין בו. לאור האמור ובשל ההגדרה הרחבה של "קרוב" בחוק החברות, רשימת בעלי העניין צריכה לכלול שורה ארוכה של בני משפחה (לדוגמה: אח של בן הזוג (גיס), או בן הזוג של הבת (חתן)), ובנוסף עשויה לכלול קבוצה גדולה של חברות המוחזקות על ידי בעל השליטה בחברה או על ידי קרוביו. בהמשך לכך, רשימת בעלי העניין עשויה לכלול גורמים רבים ועשויה להשתנות בתדירות גבוהה, ולפיכך המבקר הפנימי נדרש לבדוק כי בחברה קיים תהליך שוטף ותקופתי (למשל, באמצעות שאלונים שמעבירה החברה אל בעלי העניין) להבטחת שלמות ועדכניות הרשימה.
• איתור העסקאות – כדי שעסקה עם בעל שליטה תובא לאישור ולדיווח, יש להבטיח תהליך נאות בחברה לאיתור העסקה טרם ביצועה. ככל שהארגון גדול ומורכב יותר וככל שמבוצעות בו עסקאות מסוגים שונים ובתדירות גבוהה, כך תהליך האיתור של עסקה עם בעל שליטה מורכב יותר. בנסיבות העניין אף ייתכן שנדרשת הטמעה של רשימת בעלי העניין במערכות התפעוליות כדי שתבוצע בהן חסימה או תינתן בהן התראה טרם ביצוע עסקה עם בעל שליטה. לפיכך, המבקר הפנימי נדרש לבדוק האם קיימת מודעוּת מספקת בחברה לאיתור עסקאות עם בעל שליטה, ובמקרים המתאימים עליו לבדוק, באמצעות בדיקות אפליקטיביות, שבמערכות התפעוליות הרלוונטיות בכל תחומי הפעילות של החברה הוטמעו מנגנונים לאיתור עסקה עם בעל שליטה. כמו כן, המבקר הפנימי אף יכול לאתגר את רשימת העסקאות שאותרו על ידי החברה בתקופה מסוימת (על בסיס רשימת בעלי העניין העדכנית), באמצעות שליפות עצמאיות ובלתי תלויות של הביקורת מהמערכות התפעוליות השונות.
• האישור והדיווח, לרבות בחינת תנאי שוק – לאחר שאותרה עסקה עם בעל שליטה, על החברה לבחון האם נדרש להפעיל לגביה מסלול אישור ודיווח ייחודי, כלומר האם מדובר בעסקה חריגה. עסקה מסוג זה מוגדרת בחוק החברות כ"עסקה שאינה במהלך העסקים הרגיל של החברה, עסקה שאינה בתנאי שוק, או עסקה העשויה להשפיע באופן מהותי על רווחיות החברה, רכושה או התחייבויותיה". הרכיב המשמעותי יותר לעניין ההחלטה של החברה בקשר לחריגות העסקה קשור בשאלה האם העסקה בוצעה בתנאי שוק, שכן עסקה עם בעל שליטה בדרך כלל לא תחצה את רף המהותיות וגם לא תהיה כזו שכלל אינה קשורה לפעילותה של החברה. כמו כן, ההכרעה בשאלת תנאי השוק עלולה להיות קשה ומורכבת. הקריטריונים לעניין חריגות העסקה (לרבות לגבי תנאי השוק) צריכים להיקבע על ידי ועדת הביקורת, שיכולה מדי שנה לקבוע אמות מידה לעניין סוגי עסקאות וחריגותן. לפיכך, המבקר הפנימי נדרש לבדוק האם נקבעו בחברה נהלים מתאימים לבחינת חריגות עסקה עם בעל שליטה, ובמיוחד האם נקבעו עקרונות וכללים לבחינת תנאי השוק של העסקה. כמו כן, על המבקר הפנימי לבדוק האם הלכה למעשה תהליך בחינת תנאי השוק בעסקאות עם בעל שליטה מבוצע בהתאם לנהלים שנקבעו. לשם כך עליו לבדוק את מנגנוני הבקרה הפנימית המופעלים בחברה, ואף לבצע בדיקה מדגמית (בדיעבד) של עסקאות נבחרות כדי לאתגר את האופן שבו בחנה החברה את שאלת תנאי השוק באותן עסקאות, לרבות אתגור שלמות ודיוק המידע שעל בסיסו התקיים הדיון בחברה בשאלת קיומם של תנאי שוק כחלק מאישור העסקה. בדיקה מסוג זה יכולה להתבצע על ידי הביקורת באמצעות שליפה עצמאית ובלתי תלויה של נתונים מהמערכות התפעוליות, וכן בחינה עצמאית ובלתי תלויה של התנאים שבהם בוצעו עסקאות דומות עם מי שאינו בעל השליטה.

4. סיכום
   • מורכבות הנושא ומורכבות התהליך של איתור ואישור עסקאות עם בעלי עניין, מחייבות את המבקר הפנימי לבצע ביקורת על התהליך בכללותו על כל היבטיו ובתדירות גבוהה, ובמיוחד במקרים שבהם בעל השליטה בחברה הוא בעל שליטה בקבוצה גדולה של חברות, וכאשר עסקאות עם בעל שליטה מבוצעות בתדירות גבוהה כחלק ממהלך העסקים הרגיל.
   • ככלל, המבקר הפנימי יבצע בדיקה תקופתית בדיעבד על התהליך בכללותו (תוך שילוב בדיקות טכנולוגיות ובדיקות מדגמיות, לרבות בדיקות בהתייחס לנאותות בחינת תנאי השוק בעסקאות ספציפיות שבוצעו בתקופה הנבדקת), להבדיל מביצוע בדיקה מראש טרם ההתקשרות של החברה בעסקה ספציפית.
   • ככל שהמבקר הפנימי יידרש לבדיקה של עסקה ספציפית שאותרה על ידי החברה עצמה, אושרה על ידי האורגנים הנדרשים של החברה ודווחה לציבור תוך הסתייעות ביועציה המשפטיים של החברה, הרי שעליו לבחון את נאותות תהליך קבלת ההחלטה לגבי העסקה, לרבות בחינת נאותות (שלמות ודיוק) הנתונים שהובאו בפני הגורמים שקיבלו את ההחלטה. יודגש כי אם אין למבקר הפנימי הערות לגבי תהליך קבלת ההחלטה, הוא אינו רשאי להתערב ולהביע עמדה בדבר נאותות ההחלטה שהתקבלה.

The post מוכר לכם? appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מי מאיתנו לא שמע, ויותר מפעם אחת, את התגובה – "מה אתה מבין בזה בכלל?"

תגובה זו מייצגת את חוסר האמון שחשים מנהלים בארגון כלפי יכולתו והכשרתו של המבקר הפנימי לבדוק נושאים ותחומים מקצועיים גרידא של פעילות הארגון.

לפעמים יש צדק בדברים, הרי הכשרתנו כמבקרים אינה נותנת בידינו כלים שיוצרים "זכות עמידה" מול אנשי מקצוע שבמשך שנים ארוכות רכשו את הכשרתם וניסיונם.

האומנם המבקר לא צריך להיכנס לנושאים המקצועיים שבליבת הפעילות הארגונית? יתרה מכך, האם המבקר הפנימי יכול להביא ערך מוסף ממשי לארגון ללא כניסה לתחומי הפעילות המקצועיים?

כדי לבחון שאלות אלה, ניקח לדוגמה ארגון דמיוני בשם "המכון לחקר החלל".

נניח שמטרותיו של הארגון הזה הוא לקדם מחקרים מדעיים בנושא החלל, בין בעצמו דרך חוקרים של המכון, ובין באמצעות מימון מחקרים חיצוניים או שיתופי פעולה רלוונטיים.

נניח שמוניתי לשמש מבקרת פנימית למכון. מה יש לבדוק?

כמובן, כמו בכל ארגון יש לבחון את הנושאים הסטנדרטיים הניהוליים והתפעוליים, ובהם: בקרות התקציב של הארגון, התקשרויות מהותיות, הסדרים לגבי מקורות מימון, כל ההוצאות התפעוליות והמנהליות, שכר עובדים וכו', וגם עניינים חשובים כמו הממשל התאגידי, ניהול סיכונים ועוד.

אף שברשימה החלקית הזו יש כבר עבודה למספר שנים, האם נסתפק בזה בלבד? אם התשובה חיובית, המשמעות היא כי הביקורת הפנימית לא תגיע לרמה של מעורבות והבנה בנושאים המהווים את ייעודו המרכזי של הארגון – מחקרי חלל. כלומר, גם יכולת ההשפעה של המבקר על קידום התהליכים בתחום הפעילות המרכזי תהיה מועטה ביותר. כתוצאה מכך ההנהלה המקצועית לא תראה במבקר כתובת להיוועצות בעניינים של קבלת החלטות ותהליכי עבודה, והוא לא יוזמן לישיבות שבהן מתקבלות ההחלטות המרכזיות הנוגעות לפעילות הארגון.

הואיל ואנחנו המבקרים רוצים וצריכים להיות מעורבים בכל מה שקורה בארגון, עלינו להתמודד עם הצורך בכניסה גם לנושאים שבליבת העשייה המקצועית. כיצד נעשה זאת?

אנחנו, המבקרים, לא מצויים כמובן בתחום החלל (אנו רק מכירים את חלל החדר שהקצו לנו בארגון…). אך בכל זאת חובתנו לבדוק גם בליבת הפעילות המקצועית ובסביבתה, בהיבטים שבהם אנו יכולים לתרום.

למשל, במכון לחקר החלל אפשר להעלות בביקורת, בין השאר, את הנושאים הבאים:

• גיבוש מדיניות

מדיניות לטווח הקצר והארוך בעניין סוגי המחקרים המועדפים – גיבוש מדיניות על ידי הדירקטוריון/ועד מנהל ו/או ועדת משנה מקצועית, כגון ועדת מחקרים שהמלצותיה אומצו על ידי הדירקטוריון.

• הליך קבלת החלטות לעניין אישור מחקרים חדשים במכון

באיזו מידה ההליך מבוסס על קווים מנחים שאושרו מראש, המתייחסים להתאמת נושא המחקר למדיניות, בדיקה מוקדמת לבסיס המחקר, קריטריונים למידת התאמתו של החוקר לנושא המוצע למחקרים ועוד.

• דרכי התקשרות עם חוקרים ו/או גופי מחקר

מסגרות שאושרו להתקשרות בהיבטים כספיים ואחרים, חוזים שנחתמו, בדיקות נלוות שנדרשות לביצוע טרם התקשרויות, מורשי חתימה ועוד.

• כלי בקרה ומעקב לעניין התקדמות המחקר

      קיום מעקב בין בתחנות ביניים שנקבעו ובין בסיומו של המחקר, בכלל זה הליכי מינוי של מעריך או מנחה הולם. הגשת דיווחים לפורומים מקצועיים.

• הסדרים בעניין זכויות יוצרים וכן זכויות פרסום של תוצאות המחקר

      קיום הסדרים וכלי בקרה לעניין שמירת הקניין הרוחני של הארגון.

• הבטחת איכות ואי תלות בביצוע מחקרים

      נהלים להבטחה של אי תלות אקדמית בביצוע המחקרים (למשל, ניתוק בין מזמין המחקר ומבצע המחקר) וטיפול במצבים של חשש לניגוד עניינים.

כל זאת, בנוסף על העניינים הנלווים בכל מחקר: התקציב, החוזים שנחתמו, גביית הכנסות, התשלומים לזכאים, רכישת שירותים וכו'.

והנה לנו עוד כמות נושאים לבדיקה למשך מספר שנים, במקביל לנושאים ה"סטנדרטיים" הקודמים שאוזכרו.

אם כך, זה לא בחלל לבקר את ליבת הפעילות המקצועית של המכון לחקר החלל.

אני סבורה כי הביקורת צריכה להעלות שאלות לגבי התוכניות האסטרטגיות ותוכניות העבודה המקצועיות בהיבטים שנוגעים לבחינת תרומתם של אלה להשגת יעדי הארגון, ובאופן תקין. יכולתנו לבחון שאלות אלה בכל סוגי הארגונים מבוססת גם על אחת מהתכונות והכישורים הבסיסיים הנדרשים מהמבקר – היכולת ללמוד באופן תמידי.

עם זאת, יש למצוא את האיזון הנכון בין החובה לבחון את סביבת הפעילות המקצועית לבין הצורך שלא להתערב בשיקול הדעת המקצועי.

אכן, לנו המבקרים אין ידע וכלים כמו לאנשי המקצוע בנושאים מקצועיים ייחודיים לארגון, אך לאורח מבחוץ יש יכולת לראות את הדברים מזווית שונה, ועלינו להשתמש ביתרון זה.

אנסה לתת את הערכתי למציאת איזון זה בשני ארגונים שבהם אני משמשת מבקרת פנימית.

• ביקורת במוזיאון ישראל:

במוזיאון ישראל קיימים אוספים רבים מתחומים שונים: אומנות מודרנית, אומנות ישראלית, ארכיאולוגיה של תקופות שונות, אומנות המזרח הקרוב והרחוק, יודאיקה, ועוד. האוספים השונים הצטברו במשך השנים מתרומות שונות ומהזדמנויות לרכישות שנקרו בפני המוזיאון.

על כל אוסף כזה מופקדים אוצר ראשי (מנהל מחלקה), עוזר לאוצר, מנהל מחסן, חוקרים ועוד. לכן עבור כל אוסף קיימות עלויות שוטפות לתחזוקה.

נושא מרכזי לבדיקה בליבת הפעילות המקצועית – התפתחות האוספים. 

במסגרת הביקורת, להלן שאלות שראוי לבדוק בעניין התפתחות האוספים:

• האם גובשה מדיניות שמגדירה אילו פריטים ראוי לאסוף? מהו אופיו הייחודי של המוזיאון? לאן רוצים להתקדם? האם מדיניות זו אושרה בדרג מועצת המנהלים?
• האם המדיניות שגובשה נבחנה מעת לעת לאור שינויים סביבתיים ועולמיים?
• האם הליך אישור קבלת מתנות לאוסף מבטיח שאלו יהיו בהתאם למדיניות?
• כיצד ועדות הרכישה של האוספים מוודאות התאמה של הרכישה המבוקשת למדיניות שנקבעה?
• מהו סוג המידע הנמסר לוועדת הרכישות לצורך אישור רכישה, לרבות מידע לעניין תרומתה של הרכישה הנוספת להתפתחות האוסף.
• האם חוות הדעת המקצועיות שמוגשת בעניין זה לוועדת הרכישות ניתנות בידי גורמים שהתמחותם בתחום האיסוף המדובר? בידי מי הם נבחרים?

בדיקות אלו נועדו לבחון את התאמת האוספים למדיניות החברה ואת סביבת הבקרה התומכת ביישום מדיניות זו, מבלי להתייחס לטיבם וחשיבותם של האוספים, ולחוות את דעתם המקצועית של אוצרי המוזיאון ומנהליו על הפריטים הכלולים באוספים אלו.

תרומתה של הביקורת הפנימית בנושא התפתחות האוספים תהיה בהבטחת קיומן של מסגרות נכונות של דיונים בשאלות הרלוונטיות לקבלת החלטות, נהלים לעניין אופן מסירת המידע הרלוונטי לצורך אותם דיונים, וכן לעניין דרכים לבחון את המידע המובא בפני מקבלי ההחלטות.

• ביקורת בתאגיד השידור הישראלי

לפי חוק תאגיד השידור הישראלי, התאגיד נדרש לרכוש הפקות מקור בסכום של 240 מיליון ש"ח בשנה לשידור טלוויזיה. סכום זה מהווה שליש מסך כל התקציב השנתי. מרבית הרכישות נעשות באמצעות הפצת "קול קורא" שבו התאגיד מזמין חברות הפקה להגיש הצעות לסרטים ולסדרות, לפי קטגוריות שונות.

נושא מקצועי מרכזי לבדיקה בליבת הפעילות – בחירת הפקות המקור הנרכשות על ידי התאגיד.

המבקר יכול וצריך לבדוק את הליך בחירת ההפקות מתוך ההצעות, הן בהיבט המקובל של הליכי מכרז תקין, אבל יותר מכך – לבחון באיזו מידה הנושאים להפקות שנבחרו עונים על דרישת המחוקק להבטיח תוכן מגוון, בלשון סעיף 7 (ב) לחוק:

"התוכן שיספק תאגיד השידור הישראלי יהיה עצמאי, יופנה לכלל אזרחי ישראל ותושביה, ישקף ויתעד את היותה של מדינת ישראל מדינה יהודית ודמוקרטית, את ערכיה ואת מורשת ישראל, וייתן ביטוי הוגן, שוויוני ומאזן למגוון ההשקפות והדעות הרווחות בציבור הישראלי."

כדי לבחון זאת ראוי לבדוק:

• קיומן של תוכניות עבודה המגדירות מראש מהם התכנים הנרכשים הרצויים.
• כלי מעקב לסיווג ההפקות על פי הפרמטרים המוזכרים בחוק.
• דיווחים וניתוחים של סוגי ההפקות שנרכשו בהשוואה לדרישות החוק.
• כיצד בא לידי ביטוי הגיוון הנדרש בהפקות והאם הוא עולה בקנה אחד עם המדיניות?

שוב, כל זאת מבלי להתייחס לאיכות האומנותית של הפקות המקור הטלוויזיוניות שנרכשו.

לסיכום

ללא בדיקה מעמיקה ותובנות על הפעילות המקצועית ייעודית של הארגון, לא נוכל להביא ערך מוסף ממשי ולטייב את הליך קבלת ההחלטות בנושאים אלו. מי שיסתפק בביקורות על תחומי המִנהל, הכספים והתפעול – יישאר מאחור ויהיה פחות רלוונטי במעמדו כיועץ להנהלה ולדירקטוריון.

בפעם הבאה כששואלים אותנו "מה אתה מבין בזה", אפשר להשיב כך: בזה אני לא מבין, אבל אני כן יודע לשאול את השאלות הנכונות כדי לבחון ולסייע בקידום ניהול תקין ותהליכים מועילים בכל תחומי הפעילות של הארגון.

The post מה אתה מבין בזה בכלל? appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מבוא

כללי הביצוע לקוד האתי של ה-IIA קובעים שהמבקר הפנימי יעמיד שירותים רק בתחומים שבהם עומד לרשותו הידע הנדרש.

במקרים רבים ביקורת על תהליכי העבודה בליבת הפעילות הארגונית, מצריכה ידע מקצועי ספציפי נרחב הכרוך בהכשרה מקצועית ארוכה, ובמקרים מסוימים נדרש גם ניסיון מקצועי משמעותי בליבת הפעילות. דוגמאות לתהליכי ליבה מסוג זה הם תהליכי ייצור מורכבים בחברות תעשייתיות, והסתמכות על מודלים סטטיסטיים מורכבים בתמחור מוצרי ביטוח בחברות ביטוח ובחיתום אשראי בחברות פיננסיות.

קיומם של פערי ידע לגבי ליבת הפעילות הארגונית, עלולים להוביל לפגיעה משמעותית באיכות תוצרי הביקורת ובמעמדה של יחידת הביקורת הפנימית בארגון, וכן לגרום לפגיעה בפעילות העסקית של הארגון.

בפני המבקר הפנימי הראשי עומדות החלופות הבאות כדי להתמודד עם פערי הידע:

• הכשרת עובדי יחידת הביקורת הפנימית בנושאים הרלוונטיים לליבת הפעילות הארגונית.
• גיוס עובד/ת עם ניסיון מקצועי בביצוע תפקיד בליבת הפעילות הארגונית (מתוך הארגון או מחוצה לו) אל יחידת הביקורת הפנימית;
• שימוש בשירותים של גורמי מקצוע במיקור חוץ.

במסגרת המאמר אסקור את היתרונות ואת החסרונות שבכל אחת מהחלופות הללו, ואתייחס גם לקווים מנחים שלדעתי ראוי שהמבקר הפנימי יבחן בבואו לבחור באחת מהחלופות.

 יתרונות וחסרונות של כל אחת מהחלופות להתמודדות עם פערי ידע, בביצוע ביקורת על ליבת הפעילות הארגונית:

• הכשרת עובדי יחידת הביקורת הפנימית בנושאים הרלוונטיים לליבת הפעילות הארגונית:

דוגמה למקרים שבהם מתבקש להכשיר את עובדי יחידת הביקורת הפנימית בליבת הפעילות הארגונית, היא חברות תעשייתיות שפסי הייצור שלהן מנוהלים בסטנדרט אחיד ובמספר רב יחסית של מדינות (כגון יצרניות מתחום הפארמה, הכימיקלים והשבבים). בחברות מסוג זה, כחלק מחיזוק מוטת השליטה של הנהלת החברה על תהליכי הייצור באתרים הגיאוגרפים השונים, יחידת הביקורת הפנימית נדרשת לרוב לבחון את תהליכי הייצור בכל אחד מהאתרים בהם הם מנוהלים, והדבר מצריך הכשרה ייעודית של עובדי הביקורת לעניין זה.

• גיוס עובד עם ניסיון מקצועי בביצוע תפקיד בליבת הפעילות הארגונית (מתוך הארגון או מחוצה לו) אל יחידת הביקורת הפנימית

• שימוש בשירותים של גורמי מקצוע במיקור חוץ

דוגמה לשימוש בגורמי מקצוע במיקור חוץ היא שימוש במומחי אבטחת מידע בביצוע בדיקות חדירה בחברות שהן מוטות מערכות מידע, כגון חברות סליקה (ובכלל זאת סליקת מזומן, סליקת עסקאות בכרטיסי אשראי, מסלקות של ניירות ערך), חברות מו"פ ביטחוניות וכדומה.

אני מבקש להתייחס לקווים מנחים שלדעתי עשויים לסייע בבחירת החלופה הרלוונטית להתמודדות עם פערי ידע בביצוע ביקורת על ליבת הפעילות הארגונית:

• האם לרוב בתוכנית העבודה השנתית נכלל היקף משמעותי של משימות ביקורת בליבת הפעילות הארגונית? אם התשובה חיובית, החלופות הרלוונטיות הן הכשרת עובדי יחידת הביקורת לביצוע ביקורת בליבת הפעילות, או לחילופין גיוס עובד עם ניסיון מקצועי בביצוע תפקיד בליבת הפעילות הארגונית אל יחידת הביקורת הפנימית.
• האם רמת הסיבוכיות ומשך ההכשרה הנדרשים לצורך רכישת הידע על ליבת הפעילות הארגונית הם גבוהים? אם התשובה חיובית, החלופות הרלוונטיות הן גיוס עובד עם ניסיון מקצועי בביצוע תפקיד בליבת הפעילות הארגונית אל יחידת הביקורת הפנימית, או לחילופין שימוש בשירותים של גורמי מקצוע במיקור חוץ.
• האם יש תחלופה גבוהה של עובדים ביחידת הביקורת הפנימית? אם התשובה חיובית, החלופה הרלוונטית היא שימוש בשירותים של גורמי מקצוע במיקור חוץ.

בהקשר זה יש לציין שהמציאות עשויה להעמיד בפני המבקר הפנימי הראשי סיטואציות יותר מורכבות, שעליו להביא בחשבון במכלול השיקולים להתמודדות עם פערי ידע בביקורת על ליבת הפעילות הארגונית. להלן מספר דוגמאות:

• פיזור גיאוגרפי רחב של הארגון המבוקר, וההשלכות הנובעות מהדבר בנושאים כמו זמינות של עובדי ביקורת ויועצים חיצוניים לנסיעות עבודה ממושכות, מחסומים של שפה וכדומה.
• ליבת פעילות ארגונית המאופיינת בשינויים תכופים, כגון שינויים טכנולוגיים, מוצרים חדשים וכדומה.
• מגבלת תקציב לביצוע משימות ביקורת פנימית במיקור חוץ, או לחילופין מגבלת כוח אדם זמין ביחידת הביקורת הפנימית.

סיכום ותובנות אישיות

מניסיוני האישי בתפקידי ביקורת פנימית בחברות בענפי התעשייה והפיננסים, לרוב לא קיים פתרון יחיד להתמודדות עם פערי ידע בביצוע ביקורת על ליבת הפעילות הארגונית, וראוי שהמענה לפערים מסוג זה ייבחן על בסיס תקופתי ולגופו של עניין.

גם הזדמנויות אקראיות עשויות לשחק תפקיד משמעותי במתן מענה לפערי ידע, ולכן רצוי שהמבקר הפנימי הראשי ישמור על פתיחות מחשבתית לעניין זה. להלן מספר דוגמאות להזדמנויות שנתקלתי בהן בעבר וסייעו באופן משמעותי בהעלאת הרמה המקצועית של תוצרי הביקורת על ליבת הפעילות הארגונית:

• פנייה יזומה אל יחידת הביקורת הפנימית, שהעביר עובד עם ניסיון משמעותי מליבת הפעילות בארגון. העובד הביע רצון אמיתי ללמוד ולהתפתח בתחום הביקורת הפנימית. העובד גויס ליחידת הביקורת הפנימית וסייע בהעלאת הרמה המקצועית של תוצרי הביקורת על ליבת הפעילות הארגונית.
• הזדמנות לקבל שירותי ייעוץ מגורם חיצוני ומקצועי שברשותו ניסיון רב בפעילות הליבה העסקית מארגון אחר המוביל את התעשייה בענף שבו פועל הארגון המבוקר, ושברשותו היכרות עם פרקטיקות עבודה מתקדמות וייחודיות.

The post התמחות, התרחבות או שותפות – התמודדות עם פערי ידע בביצוע ביקורת על ליבת הפעילות הארגונית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

רמת המודעות של המגזר העסקי ל-ESG בכלל ולמשבר האקלים בפרט נמצאת בשיאה. המניעים לכך שונים, ובין היתר כוללים לחץ מצד משקיעים, מתן דגש של הרגולטורים לנושא, וכן דרישות מצד הציבור הרחב. אך השורה התחתונה ברורה: ניהול סיכוני  ESGהפך מ-Nice to have ל-Must have.

ניהול סיכוני ESG אמור לנבוע מאסטרטגיה סדורה הנשענת על הבנה ברורה של הנושאים, תוך דיווח לכלל בעלי עניין. כמבקרים פנימיים, עלינו לוודא כי הארגון מזהה ומעריך את סיכוני ה-ESG וקובע מדדים ויעדים לניהולם. זאת על ידי בחינת ניהול הסיכונים השוטף, ביצוע סקרי פערים, בחינה ופיתוח של הממשל התאגידי, מדיניות ונהלים, בחינת עסקאות, גיבוש קריטריונים לזיהוי סוגיות פוטנציאליות (לרבות כאלו הנובעות מפעילות עם צדדים שלישיים), וסיוע בעריכת הדיווחים לבעלי העניין.

הגופים הפיננסיים ותפקידם במעבר לכלכלה דלת פחמן

עקרונות ה-ESG כוללים עולמות תוכן שונים. החל מהמרחב הפנימי, הנוגע לעקרונות הממשל התאגידי של הארגון (Governance), דרך המרחב החיצוני של בעלי עניין ואחריות חברתית-תאגידית (Social), ועד להשפעה על הסביבה והאקלים (Environmental).

בשנים האחרונות אסונות הטבע ההולכים וגוברים, לצד מגמות סביבתיות שליליות, רגולציה מתגברת ותשומת הלב העולמית לסיכוני סביבה ואקלים, חידדו את הפן של הזווית הסביבתית (ה-E) ביישום עקרונות ה-ESG, ואת הצורך בניהול סיכוני סביבה ואקלים.

בשנת 2016 חתמו רוב מדינות העולם על הסכם פריז, שבו התחייבו לפעול להפחתת פליטות הפחמן במטרה להאט את קצב ההתחממות הגלובלית. ההסכם הביא ממשלות ברחבי העולם לקבוע תוכניות פעולה ולחוקק חוקים שמטרתם הפחתת פליטות הפחמן הנובעות מהפעילות העסקית. תוכניות פעולה אלו ביססו את הצורך של כלל המגזרים העסקיים לפעול באופן אקטיבי לצמצום פליטות הפחמן.

ציפיות אלו, והעקרונות שנקבעו במסגרת הסכם פריז, ביססו את ההבנה כי לשם עמידה מהירה ואפקטיבית ביעדים יש לפעול באופן מיידי לצמצום זרימת הון, השקעות ואשראי לארגונים מזהמים, תוך הרחבת אפיקי המימון לפעילויות "ירוקות" המקדמות את הפחתת הזיהום. בשל כך, בנקים מרכזיים ורגולטורים פיננסיים רבים החלו להעלות הילוך ולפעול לאור האיום שמציב שינוי האקלים ליציבות הפיננסית, ולהתייחס אליו כאל חלק מניהול הסיכונים הכולל של המערכת הפיננסית.

יתרה מכך, המעורבות האקטיבית של המגזר הפיננסי מול ארגונים מזהמים בכל הקשור באפיקי המימון (אשראי והשקעות), ייצר לארגונים סביבת סיכונים חדשה שזולגת מעבר לסיכונים התפעוליים והתדמיתיים אל סיכונים פיננסיים ואסטרטגיים משמעותיים.

לשם יצירת בסיס אחיד ובין-לאומי להגברת המעורבות של הגופים הפיננסיים בהתמודדות עם סיכוני סביבה ואקלים, התפתחו פרקטיקות ומתודולוגיות שונות. לדוגמה:

• Partnership for Carbon Accounting Financials– כלי למדידה ולדיווח על פליטת גזי החממה (GHG) במימון הלוואות והשקעות.
• עקרונות הגילוי TCFD – גילוי הנוגע להיבטי ממשל תאגידי בתחום הסביבה ואקלים, וכן להיבטים רוחביים בארגון כגון אסטרטגיה, ניהול סיכונים ומדדים כמותיים ואיכותיים.

סיכוני סביבה ואקלים בראי המגזר הפיננסי

כפי שאנו למדים מציפיות פיקוחיות ופרקטיקה מיטבית בתחום, נהוג להתייחס לסיכוני אקלים ולסיכוני סביבה בהתאם לחלוקה הבאה:

• סיכוני אקלים – סיכונים פיזיים וסיכוני מעבר הקשורים לשינויי אקלים. למשל, חשיפה לנזקי שיטפונות או לירידה בשווי הנכסים בענפים עתירי פחמן.
• סיכונים סביבתיים – סיכונים הנובעים מחשיפה של התאגידים לפעילויות שקיים פוטנציאל שיגרמו לנזקים סביבתיים או יושפעו מהם. למשל, זיהום אוויר ומים, זיהום קרקע, הפחתת המגוון הביולוגי ובירוא יערות.

סיכוני האקלים עצמם נחלקים לשני סוגים:

• סיכונים פיזיים הם סיכונים הנובעים מנזק לרכוש, קרקע ותשתיות בשל אירועי אקלים וסביבה קיצוניים, ובשל התגברות תופעות אקלים כגון גלי חום, הוריקנים, יובש, הצפות ועליית פני הים. זיהינו שאלו נחלקים בפרקטיקה ובציפיות לתתי-קטגוריות של סיכון חמור (אקוטי)/נקודתי (רעידת אדמה, שיטפונות, שריפות, זיהום קרקע ומים וכו'), ולסיכון כרוני (שינוי מתמשך, ארוך טווח, בדפוסי מזג האוויר). ההשפעה של הסיכונים הפיזיים יכולה לבוא במגוון צורות – שיבוש בתפעול/שינוע שרשראות אספקה/הפצה, נזק לנכסים פיזיים (מפעלים, ציוד, תשתיות), השלכות על היציבות הפיננסית, וגישה למשאבי נזילות פיננסיים, לרבות ביטוח.

סיכון אקלים פיזי עלול להיות בעל מהוּתיות עסקית גבוהה, אך קשה לחיזוי ולהערכה היכן ובמי תהיה הפגיעה. פרט להיערכות להמשכיות עסקית של הארגון עצמו, בשלב זה אין בידי רוב הארגונים את הכלים לזהות השפעות מהותיות בטווח הקצר של סיכון זה.

• סיכוני מעבר הם הסיכונים העלולים לנבוע מעצם המעבר לכלכלה בת-קיימא ונטולת פחמן, וכוללים מוקדי סיכון שונים:
• סיכון רגולטורי משפטי נובע מרגולציות קיימות וחדשות שיכוונו לטפל בשינוי האקלים – מס פחמן, חובות גילוי ודיווח, תביעות משפטיות (בשל עילות שונות), והגבלות על הרישיונות של חברות וארגונים.
• סיכון טכנולוגינובע מטכנולוגיות חדשות שייווצרו במטרה לתמוך במעבר לכלכלה דלת-פחמן. הסיכון יכול לכלול החלפת מוצרים ושירותים קיימים בכאלו עם אפשרויות פליטה פחותות, ועלויות הקשורות במעבר לטכנולוגיות בעלות אפשרויות פליטה פחותות.
• סיכון תנודתיותהנובע משינוי בהיצע ובביקוש. זה יכול לנבוע משינוי בהתנהגות הצרכנים ו/או המשקיעים, חוסר בוודאות בקריאת השווקים, ומעלייה בעלויות החומרים.
• סיכון המוניטיןהנובע מפגיעה בערך המותג, וכן מאיבוד צרכנים בשל שינוי הרגש הציבורי בנוגע לשינוי אקלים. זה יכול לנבוע משינוי בהעדפות הצרכנים, מ"סטיגמטיזציה" של סקטור מסוים, ומדאגה גוברת של כל בעלי העניין בחברה מסוימת.

סיכוני סביבה ואקלים והשפעתם על הסיכון הפיננסי

כפי שניתן להבין, הסיכונים הללו עשויים להיות מהותיים לחברות ספציפיות ולתחומי פעילות ספציפיים, ובעיקר בענפים עתירי פליטות גזי חממה. מבחינת הבנקים המממנים של פעילות חברות, הסיכונים העיקריים שאליהם הם חשופים הם סיכון מעבר והסיכון הפיזי שאליו חשופים הלקוחות שלהם (חברות ומשקי בית). אלו יכולים לבוא לידי ביטוי בתיק האשראי ובתיק ההשקעות של הבנק, ולכן עשויים להיות בעלי השלכות על הפעילות העסקית – אך מידת המהותיות של השפעה זו תלויה גם במשקלם בתיק, בפיזור, וכן ביכולת חברות אלו לנהל ולגדר את הסיכון.

סיכונים אלו יכולים להיכלל גם במסגרת הסיכונים האחרים שנוטל על עצמו התאגיד הבנקאי (כגון סיכון אשראי, סיכון שוק, סיכון תפעולי, סיכון ציות, סיכון משפטי, סיכון מוניטין וסיכון נזילות), ולהפוך במקרי קיצון לסיכונים יציבותיים. ניתן להתייחס אל הסיכונים הללו כאל"Underlying risks"  – סיכונים שיכולים לחולל שינוי והתגברות של הסיכונים האחרים בבנקים. עם זאת, לאחרונה המערכת הבנקאית המקומית, ובעיקר הפיקוח על הבנקים, החלו להבין, להעריך ולהיערך לניהול הסיכון – והלקוחות עומדים להרגיש זאת.

ברחבי העולם החל המעבר לכלכלה דלת-פחמן, וגם אם הוא אינו מורגש דיו בישראל, מצב זה עשוי להשתנות בקרוב. המעבר מביא עימו שלל סיכונים למגזר העסקי והפיננסי, בעלי השפעה פוטנציאלית ניכרת על המודל העסקי, ההתנהלות והרווחים של חברות, וכן על הגורמים המממנים אותן והמשקיעים בהן. בשוק האנרגיה לדוגמה, על מנת להפחית את פליטות גזי החממה הנובעות משימוש בנפט, פחם וגז, יש צורך במעבר להתבססות על אנרגיות מתחדשות כגון רוח, שמש, מים, גרעין ו/או דלקים ביולוגיים. אולם עם אימוץ האנרגיות המתחדשות, שוק האנרגיה עלול לחוות רגישות גבוהה יותר שתבוא לידי ביטוי בחוסר ודאות, בתנודות מחירים, בפריצות דרך טכנולוגיות ועוד. במקרה שבו תחול האצה פתאומית במעבר לאנרגיות מתחדשות, חברות בתחום האנרגיה עלולות להיתפס לא מוכנות לשינוי. בנוסף על חברות בתחום שיושפעו מהמעבר ברמת ודאות גבוהה, גם שאר הסקטורים במשק, בהם התחבורה, התעשייה והבנייה יושפעו ממנו רבות. כולם צורכים אנרגיה וכולם יהיו נתונים ללחצים לשינוי באופן פעילותם במטרה להפחית את השפעתם על האקלים, ומעל כולם – המגזר הפיננסי – המממן הראשי של כל אלו.

סיכום

בבואנו לבחון את אופן ניהול הסיכונים בארגון ואת מוכנותו ל"נורמליות החדשה", נרצה להבין כיצד הוא מנהל את סיכוני האקלים הנשקפים לו:

1. האם יש לו אסטרטגיה סדורה ביחס לשינוי האקלים בכלל, ולניהול סיכוני ESG ואקלים בפרט;
2. האם הובנה הממשל התאגידי בנושא, לרבות מדיניות ונהלים;
3. האם הנושא משולב בניהול הסיכונים הארגוני, וכיצד;
4. והאם הארגון עצמו מדווח על כך לבעלי העניין שלו – הרגולטורים, הציבור והמשקיעים.

חברת EBA & Co. היא חברת ייעוץ בוטיק מובילה בישראל, המלווה ארגונים בארץ ובחו"ל בתחומים של ניהול סיכונים, ייעוץ עסקי אסטרטגי וייעוץ בתחומי הבקרה הפנימית, ביישום והטמעה של תהליכים לניהול אפקטיבי של סיכוני סביבה ואקלים, ובגיבוש תהליכים ליישום ודיווח על עקרונות ESG.

The post ניהול סיכוני סביבה ואקלים בראי גופי השקעה ומימון חיצוניים appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מהפכות אלו נעות על צירים מקבילים, ובחלק ניכר מהארגונים אינן מחוברות ביניהן אף שבין התחומים קיימים קשרים משיקים ומשמעותיים מאוד. קידום מדיניות ה-ESG (Environmental, Social, & Governance) החדשה היא הזדמנות מצוינת לאגם את שני התחומים ולייצר שלם אחד, שהוא יותר משמעותי, אפקטיבי ורלוונטי לעת הזאת. במאמר קצר זה אציג מצד אחד את הרלוונטיות של תחום הבטיחות לתפיסת הESG – בארגון, ומצד שני את הדרך הנכונה לשלב את תחום הבטיחות במדיניות הכוללת של ה-ESG .

מניעת מחלות תעסוקה כמרכיב חשוב בצדק החברתי

לאחרונה פרסמתי מאמר שמנתח את מצב התחלואה והתמותה התעסוקתית במדינת ישראל[1]. הניתוח מבוסס על עבודת חקר שהובלתי בתפקידי כראש מינהל הבטיחות והבריאות התעסוקתית יחד עם הרשם למחלות מקצוע בישראל.

מהמאמר עולה כי במדינת ישראל מתים מדי שנה למעלה מאלף אנשים כתוצאה ממחלות תעסוקתיות שונות. למתים אלו מתווספים מדי שנה עוד אלפים רבים שחלו במחלות תעסוקתיות שונות שלא הובילו למותם אך פגעו בבריאותם. מדובר במחלות קשות כגון סרטן, מחלות בדרכי הנשימה, מחלות במערכת כלי הדם וכדומה, וכן מחלות "קלות" יותר כמו בעיות אורתופדיות, אסתמה, בעיות שמיעה ואחרות. המשותף לכל סוגי התחלואה התעסוקתית הוא שהסיבה שהובילה לתחלואת העובד לא הייתה גזרת גורל, גנטיקה משפחתית, או הידבקות בווירוס או חיידק, אלא מחלה שנגרמה בגלל אופי העסקתו של העובד במקום עבודתו. העובדים נחשפו במשך שנים לגורמי סיכון בריאותיים שונים במקום העבודה (כגון אבק מזיק, גזים, ויברציות רעש, רעלים, קרינה מייננת/לא מייננת ועוד), שבסופו של דבר הובילו לתחלואת העובדים במחלות המקצוע השונות. כלומר, עצם קיומם של סיכונים בריאותיים במקום העבודה שלא טופלו כנדרש על ידי הארגון, הובילו בסופו של דבר לתחלואת העובדים.

אין ספק כי ההיקף הגדול של החולים והמתים ממחלות מקצוע, עוד לפני שספרנו את הנפגעים הרבים האחרים בתאונות עבודה, היא סיבה מספקת דיה על מנת לשלב את תחום הבטיחות והבריאות התעסוקתית במדיניות ESG בארגון. חשוב לציין שניתוח זה אומנם בוצע בישראל אך אינו ייחודי רק לה. על פי מחקרי ארגון הבריאות התעסוקתית העולמי  ,(ILO)היקף העובדים שמתים בגלל אופי העסקתם בעולם עומד על כ-2.78 מיליון עובדים, כ-86% מהם בגלל תחלואה תעסוקתית והשאר מתאונות עבודה. עם זאת, חשוב לזכור כי מרכיב נוסף שמגביר את המוטיבציה וההצדקה למהלך זה הוא המחיר הגבוה שמשלמת המדינה לאי קיומם של תהליכי בטיחות נכונים ועמוקים במשק. מדובר בהיקפי עלות עצומים למדינה ואזרחיה, שמסתכמים מדי שנה בסכום של כ-15 מיליארד שקל לפחות (כפי שעולה מנתוני הביטוח הלאומי ומניתוח שבוצע במינהל הבטיחות), שמשולמים מכספי המיסים לצורך טיפול בחולים התעסוקתיים – אם בשיקום וטיפול בפצועים, אם כפיצוי כספי על הנזק שנגרם לעובדים, ואם באובדן ידיים עובדות במשק והקטנת פריון העבודה. התוצאה היא שאנו כחברה "משלמים" פעמיים על חוסר בתרבות בטיחות וגהות במשק: פעם אחת כאשר אנחנו העובדים נפגעים פיזית או בריאותית בגלל העיסוק המקצועי שלנו, ופעם נוספת משום כספי המיסים שלנו מופנים לטיפול בנזקים הנוצרים במקומות העבודה, במקום להפנות משאבים אלו לרווחת אזרחי המדינה וקידום הכלכלה.

בטיחות כמרכיב חשוב בשמירה על הסביבה

תאונת עבודה עלולה ליצור אירוע סביבתי גדול. חלק מהאירועים הסביבתיים שמתרחשים בעולמנו נובעים לאו דווקא מאי מודעות לחשיבות בהגנה על הסביבה, אלא מתהליכי עבודה לא בטוחים שהובילו בסופו של יום לאירוע סביבתי גדול ומשמעותי. די אם נזכיר כדוגמה את אסון הכור האטומי בצ'רנוביל, כור אטומי שתוכנן להיות בטוח לסביבה, אך ביצוע תרגול לא בטיחותי של צוותי העבודה בכור בהתמודדות עם אירוע חירום, הוביל לתאונה קטלנית ולאחד האסונות הסביבתיים הגדולים שידע העולם. דוגמה נוספת היא אסון הזיהום הגדול בעברונה על ידי קווי הצינורות של קצא"א. כפי שעולה מכתב האישום, חלק מהסיבות שהובילו לאירוע הקשה היו, בין היתר, אי יישומם של נוהלי בטיחות של החברה, נהלים שנכתבו ואושרו אך לא יושמו כנדרש בדרגות הניהול והביצוע השונים.

יותר ויותר גופים בארץ ובעולם מבינים את הקשר בין בטיחות בעבודה והשמירה על הסביבה. ככל שנקדם את הבטיחות בעבודה בארגון, כך נצמצם את ההסתברות להתרחשותו של אירוע סביבתי שיכול להוביל לאסון סביבתי גדול.

אחריותו של התאגיד לבטיחות עובדיו 

במדינת ישראל יש חוקים ותקנות רבים ומגוונים בתחום הבטיחות והבריאות התעסוקתית, כאשר חוט השני המחבר בין כולם הוא האחריות הכמעט מוחלטת של התאגיד ומנהליו לבטיחות ולבריאות התעסוקתית של העובדים. המחוקק נתן בידי התאגיד ומנהליו שורה של כלים ואמצעים שנועדו לשרת אותו במימוש אחריותו הענפה לבריאות העובדים. לדוגמה: חובה למינוי ממונה על הבטיחות, חובת קיום ועדת בטיחות, מינוי נאמני בטיחות, תוכנית לניהול הבטיחות ועוד. שימוש וניהול נכון של כלים אלו הם באחריות המלאה של התאגיד ומנהליו. עצם קיומם של הכלים האלו בארגון, אך ללא הפעלה ושימוש נאותים על ידי התאגיד ומנהליו, אינם מספקים – לא בקידום הבטיחות בארגון, ולא במילוי חובתם בדין של התאגיד ומנהליו.

המחשה לאחריות זאת ניתן למצוא בפסק דין תקדימי שניתן בינואר 2021 נגד חברת דלק תעשיות ומנהליה הבכירים[2], בעקבות תאונת עבודה שאירעה לעובד קבלן שהועסק על ידי הארגון. בפסק הדין הורשעו בגרימת חבלה חמורה מנכ"ל החברה, סמנכ"ל הנדסה של החברה, ואף החברה עצמה, זאת למרות שהחברה קיימה מערך בטיחות ענף, שכלל בין היתר ממונה בטיחות, ועדות בטיחות, נהלים ועוד. פסק דין תקדימי זה מייצג ללא ספק את הלך הרוח החדש במדינה, הדורש כי החוק ימומש הלכה למעשה על ידי התאגיד ומנהליו.

אז כיצד נביא את תחום הבטיחות והבריאות התעסוקתית לידי ביטוי במדיניות ה-ESG?

הדרך הטובה ביותר שעומדת בפני התאגיד ומנהליו לניהול מערך הבטיחות היא בנייה של תוכנית אכיפה פנימית לתחום זה, שתשתלב במדיניות ה-ESG. התוכנית צריכה לכלול בקרה וניהול נכונים ואפקטיביים של כל מרכיבי הבטיחות בארגון (ממונה הבטיחות, ועדות הבטיחות, נוהלי החברה וכו'). אנו שואבים רוח גבית לנחיצותה של תוכנית האכיפה הפנימית גם מנוהל שפורסם בשנת 2019 על ידי פרקליט המדינה. בנוהל זה מנחה פרקליט המדינה את הפרקליטים הדנים בסוגיות של העמדה לדין של תאגידים, כי תאגיד שיראה ויוכיח כי בנה וקיים תוכנית אכיפה פנימית אפקטיבית בארגון, הדבר יעמוד לזכותו כחלק ממארג השיקולים האם להעמידו לדין. כלומר, בהיבט סיכוני הדין הפלילי, קיימת מוטיבציה גבוהה לתאגיד ולמנהליו לקיים תוכנית אכיפה פנימית.

סיכום

לתחום הבטיחות והבריאות תעסוקתית השלכות רבות ועמוקות על כל אחד מהמרכיבים של מדיניות ה-ESG – היבטי הסביבה, היבטי החברה, ההיבטים התאגידיים ואף ההיבטים הפליליים. לכן שילוב של תחום זה במדיניות הESG- הוא תהליך טבעי ונכון, והדרך הנכונה ביותר למימושו היא על ידי כתיבת תוכנית אכיפה פנימית אפקטיבית לתחום הבטיחות שתשולב בתוכנית הכוללת של ה-ESG.

[1] מאמר שפורסם באתר דבר לעובדים בישראל בחודש ב-27/9/21  https://www.davar1.co.il/335989/

[2] פסק דין שניתן ב-31/1/2021 בעניין אשמה בגרימת חבלה חמורה לעובד שנפצע אנושות במפעל דלק תעשיות – ת"פ 12709-03-16 פרקליטות מחוז מרכז – פלילי נ' זילביגר ואח'.

The post בטיחות כמרכיב מרכזי בתפיסת מדיניות ה-ESG appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

ההתחממות הגלובלית גורמת לשינוי בתופעות מזג האוויר. המאפיין העיקרי של ההתחממות הוא הקצנה באירועי מזג האוויר. משטר הרוחות משנה את אופיו, גלי החום מתעצמים בעונה החמה, ומנגד גלי קור ופרצי שיטפונות מתגברים אף הם. ההקצנה הזו בתופעות מזג האוויר נגרמת כתוצאה מהימצאות גושי אוויר חמים מהרגיל באטמוספרה לצד גושי אוויר קרים. השילוב בין אוויר קר לאוויר חם יוצר אי יציבות חריפה, והתוצאות מתבטאות בתופעות מזג אוויר קיצוניות: סופות עזות, שלגים ושיטפונות מצד אחד, לצד תקופות יובש, בצורות, וגלי חום מצד שני.

ישראל נמצאת על הגבול בין שני אזורי אקלים: המדברי (כמחצית משטח המדינה) והים תיכוני. עובדה זו הופכת את ישראל לרגישה במיוחד לשינויי האקלים. כל תזוזה קטנה של אזורי האקלים בעולם, שינויים במשטר הרוחות ולחצי האוויר, משפיעים על אזורנו בצורה משמעותית. כאשר בוחנים את המגמות האקלימיות שכבר נצפות באזורנו, ניתן להצביע על כמה תופעות עיקריות:

• עלייה של הטמפרטורה הממוצעת בכ-2 מעלות, כפול מהממוצע העולמי.
• ירידה בכמויות המשקעים השנתיות, בעיקר בצפון מזרח הארץ (אגן ההיקוות של הכינרת) ואזורי ההרים.
• עלייה בתדירות הבצורות, משכן ועוצמתן (שוב בעיקר באזור הכינרת).
• עלייה חדה בעוצמות המשקעים לאורך מישור החוף והשפלה, מפרקי זמן קצרים (שברי ענן) ועד גשם יומי.
• עלייה בהתאדות וירידה ביובש הקרקע.

מגמות אלה באו לידי ביטוי בשנים האחרונות בצורה חריפה בכמה מובנים: התייבשות של מקורות מים כמו נחלים ומעיינות, פגיעה באיכות המים, פגיעה במגוון הביולוגי, עלייה ביובש הקרקע, התארכות עונת היובש אל תוך הסתיו והאביב, וכתוצאה מכך התגברות תופעת השריפות, בעיקר שריפות ענק בחורש וביער. מנגד, בעונות המעבר ובחודשי החורף התגברה מאוד תופעת ההצפות העירוניות ועוצמת השיטפונות בנחלים. להתגברות ההצפות בערים תרמו מאוד גם הגידול בשטחים הבנויים והיעדר תשתיות ניקוז מתאימות בערים.

כל המודלים והתחזיות האקלימיות מצביעות על כך שבעשורים הקרובים המגמות הללו רק ילכו ויואצו. חוסר ההסכמה בין מדינות העולם להתחייב על הפחתה דרסטית של פליטות גזי החממה לאטמוספרה, מביא לכך שהריכוזים ממשיכים לעלות. המדענים החברים בפאנל הבין-ממשלתי לשינויי אקלים (IPCC) סבורים שעלייה של 2-1.5 מעלות עד שנת 2050 היא כבר בלתי נמנעת. רק איפוס גלובלי של פליטות הפחמן בעשורים הקרובים תמנע עלייה חדה הרבה יותר (של 5-4 מעלות עד סוף המאה). עלייה כה חדה של הטמפרטורה הגלובלית תגרום לשינויי אקלים חריפים ביותר הטומנים בחובם תוצאות הרסניות: עלייה של עשרות ס"מ במפלס מי הים והצפת שטחים שבהם חיים עשרות מיליוני בני אדם, התייבשות והתגברות תופעת הבצורת באזורים נרחבים בעולם, התעצמות הסופות, וגלי חום בלתי נסבלים.

מדינת ישראל צפויה להתמודד בעיקר עם עלייה בגלי החום והתרחבות תופעת השריפות בשטחים הפתוחים. בחודשי הסתיו והחורף יש לצפות להתעצמות תופעת ההצפות העירוניות. את המחסור במים למגזר העירוני והחקלאי פתרה המדינה על ידי הקמת שבעה מתקני התפלה מהגדולים והיעילים בעולם ועל ידי השבת מי קולחין לטובת השקיה (90% מהמים במגזר העירוני מגיעים לשימוש חוזר בחקלאות). מנגד, סוגיות כבדות משקל אחרות עדיין לא מטופלות בצורה מספקת: הסתגלות משק האנרגיה לשינויי האקלים, מעבר נרחב לאנרגיות מתחדשות, התאמת סקטור החקלאות לאקלים המשתנה, והטיפול בניקוז (בעיקר בניקוז העירוני) שממשיך להיות מוזנח.

שינויי האקלים מציבים אתגרים עצומים לכל מדינה, ודאי למדינה באזור כה רגיש כמו ישראל. משרדי הממשלה, הרשויות המקומיות ואף המגזר העסקי במדינה לא השכילו להבין עד כה את גודל האיום ולהיערך בהתאם. מחקרים חדשים שבוצעו באיחוד האירופי מראים שכל אירו שמושקע כיום בהיערכות לשינויי אקלים שווה ל-400 אירו בנזקים שנמנעים. מדינת ישראל חייבת לשנות גישה, להכין תרחישי ייחוס מפורטים לכל סקטור וסקטור במדינה. תרחישים כאלה יאפשרו לתרגם את הנתונים האקלימיים ל"מודיעין מבצעי" ולהמלצות לפעולה, כמו הקמת מערכות התרעה והתגוננות מפני פגעי האקלים שכמעט לא קיימות במדינה כיום. מעבר להסתגלות לשינוי האקלים, ישראל צריכה ליישר קו עם שאר המדינות המתועשות בכל הנוגע למעבר לאנרגיות מתחדשות (בעיקר אנרגיה סולרית במקרה שלנו), לא רק בהצהרות אלא גם במעשים.

The post השפעות צפויות של שינויי האקלים על מדינת ישראל appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

פרטיות הוא הנושא החם ביותר בשנים האחרונות בכל העולם.

כולם מדברים על פרטיות, רוצים לשמור עליה ולהודיע על כך בריש גלי ללקוחותיהם.

החברות לא נהפכו בן־לילה ללוחמי הפרטיות אלא מדובר בתהליך ארוך שנים שהבשיל בשלוש השנים האחרונות בעקבות רגולציה מסודרת שחוקקה בכל העולם, לרבות בישראל, שבמסגרתה מושתים על חברות מפרות קנסות בסכומי עתק על ידי רשויות הפרטיות המקומיות.

כמו כן, העלייה המתמדת באירועי אבטחת מידע וסייבר תורמת לרצון החברות לאמץ את הוראות הרגולציה לא רק כדי לצאת ידי חובה אלא גם כדי להגן עליהן מפני איבוד מידע ופגיעה אנושה בעסקיהן.

כך למשל, חברת הביטוח שירביט חוותה במהלך חודש דצמבר 2020 מתקפת כופר על ידי האקרים אשר הדליפו פרטים אישיים על לקוחות החברה לאחר שמועד תשלום דמי הכופר חלף.

מעבר לפגיעה בעסקים ונזקי המוניטין שנגרמו לחברה, הרי שהוגשו נגד שירביט מספר בקשות לאישור תובענות ייצוגיות בבית המשפט וכן נפתחה כנגדה חקירה על ידי הרשות להגנת הפרטיות.

נושא הפרטיות מביא עמו אתגרים רבים לביקורת הפנימית, לרבות הצורך להכיר לפרטי פרטים את התקנות והחוקים המקומיים והעולמיים החלים על החברות המבוקרות.

תקנות ה־GDPR

תקנות הגנת המידע האירופיות, ה-GDPR (General Data Protection Regulation) התקבלו אומנם בשנת 2016 אך הפכו לבנות אכיפה החל ממאי 2018. רגולציה זו חלה על כל גורם המעבד נתונים של אזרחי האיחוד האירופי ולכן גם חברות ישראליות רבות כפופות לה, ללא קשר למקום התאגדותן, ובלבד שהן משווקות את מוצריהן באירופה.

רשויות הפרטיות המקומיות באירופה רשאיות להטיל מכוח ה ־ GDPR קנסות חמורים אשר יכולים להגיע לכדי 4% מהמחזור השנתי הגלובלי של גוף מפר או קנס עד 20 מיליון יורו, לפי הגבוה מביניהם.

להלן כמה מקרים בולטים שפורסמו לאחרונה:

• באוקטובר 2019 הודיעה רשות הפרטיות הבריטית ה־ICO (Information Commissioner'sOffice) על כוונתה להטיל קנס חסר תקדים על סך 183.4 מיליון פאונד על חברת התעופה בריטיש איירוויס בגין הפרת אבטחת מידע (Security) שגרמה לדלף מידע אישי. בסופו של דבר, באוקטובר 2020 הוחלט להשית על החברה קנס בסך 20 מיליון פאונד – סכום לא מבוטל לכל הדעות.
• בדצמבר 2020 הטילה רשות הפרטיות הצרפתית, ה־CNIL (Commission National Informatique & Libertés) קנס בסך מצטבר של 135 מיליון tאירו על חברות גוגל ואמזון בגין העדר שקיפות ואי קבלת הסכמה מדעת של המשתמשים לעשות שימוש במידע האישי שלהם אשר נאסף באמצעות עוגיות[1] (Cookies) לצורכי פרסום מודעות מותאמות אישית.

רגולציית ה־GDPR הציבה סטנדרט חדש של ציות בכל הקשור לפרטיות ואף יצרה הגדרת תפקיד חדשה לחברות שמעבדות מידע רגיש בהיקף רחב – "ממונה על הגנת הפרטיות" או "DPO" (Data ProtectionOfficer).

תקנות ה־CCPA וה־CPRA

תקנות הגנת פרטיות הצרכן בקליפורניה, ה־CCPA (California Consumer Privacy Act) נכנסו לתוקף במהלך 2020 והן כוללות שורה של הגנות לצרכן בדומה ל־GDPR ואף שדרוגים והרחבות לזכויות הפרט, כגון הזכות הישירה למנוע מחברות למכור מידע אישי לצדדים שלישיים ;מדובר בהרחבה לחובת יידוע על הזכות לבטל הסכמה (Opt-out) בדיוור ישיר מותאם אישית (למשל לצורכי פרסום ממוקד).

כמו מקבילו האירופי, גם ה־CCPA עשוי לחול על חברות ישראליות ובלבד שהן אוספות או מוכרות מידע אישי של תושבי קליפורניה או מספקות לתושבי קליפורניה שירותים או מוצרים באמצעות רשת האינטרנט או בכל דרך אחרת.

למרות שתקנות ה־CCPA נכנסו לתוקף לא מכבר, הן כבר עודכנו והחל מינואר 2023 יוחלפו ב־CPRA (California Privacy Rights Act). התקנות הוחלפו ונוספה בהם הנחיה ששומרת על הצרכן ואוסרת על החברה שאוספת מידע על הלקוח – למכור את אותו מידע הלאה לאחרים.

למשל, פייסבוק שמקבלת פרטים עלינו ועל החיפושים שלנו ומוכרת אחר כך את המידע הזה למפרסמים..

ומה המצב בישראל?

בשנת 2017 הותקנו תקנות עדכניות לחוק הגנת הפרטיות שחוקק עוד בשנת 1981 ואשר מיישרות קו עם רוב ההוראות המקובלות בעולם – תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017.

התקנות נכנסו לתוקף במאי 2018 והן חלות על כל מי שמנהל, מחזיק ו/או בבעלותו מאגר של מידע אישי כולל ארגונים, חברות, עסקים ואנשים פרטיים.

התקנות מפרטות את אופן יישומה של חובת אבטחת המידע וקובעות מנגנונים ודרישות שמטרתם להפוך את אבטחת המידע לחלק שוטף ושיגרתי. מדובר בדרישות קונקרטיות וטכניות, כגון הכנת:

1. מסמך הגדרות מאגר. רשות הפרטיות מספקת תבנית גנרית של מסמך הגדרות אשר יש למלאו תוך התייחסות לנושאים כגון: אופן איסוף המידע, מטרות השימוש בו, סוגי המידע השונים וכיו"ב.
2. נוהל אבטחת מידע אשר מתייחס לאספקטים השונים הכתובים בתקנות, בהתאם לרמת האבטחה החלה על המאגר (נמוכה, בינונית, גבוהה).
3. מיפוי מערכות המאגר הכולל רשימת מצאי מעודכנת של מערכות המאגר.

את כל המסמכים הללו יש לעדכן אחת לשנה ובמסגרתם לבדוק גם כי לא מוחזק במאגר מידע רב מהדרוש למטרותיו.

התקנות מפרטות חובות נוספות למאגר בעל רמת אבטחה גבוהה כגון החובה לערוך סקר סיכוני אבטחת מידע, לקיים מבדקי חדירה, להדריך את בעלי הרשאות הגישה למאגר ולקיים דיונים שוטפים בדבר אירועי אבטחה.

פעולות אכיפה של רשות הפרטיות בארץ

על פי תקנות העבירות המנהליות (קנס מנהלי – הגנת הפרטיות), תשס"ד-2004 הרשות להגנת הפרטיות רשאית להטיל קנסות מנהליים בסכומים של עד 25 אלף ₪ על יחידים וחברות במקרים של הפרת הפרטיות בעבירות של אחריות קפידה[2].

סכום זה אומנם נראה נמוך אך הרשות רשאית להכפיל את הקנסות ככל שמדובר במספר אירועי הפרה על פני תקופה.

כך למשל באוקטובר 2017 הוטלו קנסות בסך 400 אלף ₪ ו־150 אלף ₪ על שתי חברות סיעוד,  חברת שי-חברה לשירותי סיעוד בע"מ וחברת מ.ס.ד חיפה חברה למסחר בע"מ, בהתאמה, בגין שימוש במידע רפואי רגיש על חולים מאושפזים שמקורו במאגרי המידע של בתי החולים בהם אושפזו, וזאת לצורכיה העסקיים, ללא ידיעתם או הסכמתם של המאושפזים. גובה הקנס בסך 400 אלף ₪, שהושת על חברת שי, משקף מכפלה של 16 אירועים נפרדים ולכן הגיע לסכום משמעותי זה.

במרץ 2018 הוטל קנס מהלי בסך 100 אלף ₪ על חברת ליבנה דני שירותים פיננסיים בע"מ, שפועלת תחת השם המסחרי "אובליגור". החברה לא רשמה מאגר מידע כנדרש ופגעה בפרטיותם של נושאי המידע בכך שעשתה שימוש בתוכנה לצורך איתור פרטי קשר של לקוחות פוטנציאליים על מנת לעניין אותם בשירותיה. בנוסף, עשתה החברה גם שימוש מסחרי במאגר המידע שבאתר "נט המשפט" של הנהלת בתי המשפט, ובמסגרתו איתרה תיקים שבהם אזרחים נתבעו על ידי בנקים מסחריים, ופנתה אליהם כלקוחות פוטנציאליים בדיוור ישיר שלא כדין, כדי להציע להם שירותים לטיפול בתביעות נגדם.

כמו כן, במקרים מסוימים הפרת פרטיות עשויה להיחשב עבירה פלילית. במקרים אלו, הרשות להגנת הפרטיות מוסמכת לקיים חקירה ולהעביר את ממצאיה לפרקליטות לצורך הגשת כתב אישום.

בכל הקשור לאירועי אבטחת מידע, הרשות מבצעת פעולות אכיפה ופיקוח מנהלי אך לרוב מסתפקת במתן הנחייה לתיקון ליקויים ללא השתת קנסות וזאת משום שתקנות העבירות המנהליות מיושנות ואינן מאפשרות הטלת קנסות על רוב הפרות אבטחת המידע המפורטות בתקנות אבטחת המידע.

כך למשל בספטמבר 2020 נקבע כי חברת סיקינג אלפא בע"מ הפרה את סעיף 17 לחוק הגנת הפרטיות והתקנות בקשר לאחריותה לאבטחת מידע, וזאת בעקבות אירוע של ניצול פרצת אבטחת מידע בקוד אתר החברה, שאפשר להשיג באמצעות הדפדפן גישה למחשבי משתמשים אחרים הרשומים באתר החברה.

ניתן לראות בנקל כי לעת עתה רשות הפרטיות האמונה על אכיפה חוק הגנת הפרטיות במשרד המשפטים הינה "חסרת שיניים" ביחס לחברותיה בעולם.

בעוד שבעולם מדובר בסכומים דמיוניים שמגיעים למאות מיליוני דולרים, הקנסות המנהליים בארץ יכולים להגיע לתקרה של עשרות אלפי שקלים בודדים ובמקרים של מספר הפרות או הפרה נמשכת למאות אלפי שקלים.

עם זאת, הצעת חקיקה עברה בקריאה ראשונה בכנסת בשנת 2018 ומאז עומדת על שולחנה של ועדת החוקה, חוק ומשפט לתיקון חוק הגנת הפרטיות ובמסגרתה מוצע להקנות לרשות הפרטיות סמכויות אכיפה משמעותיות, לרבות היכולת להטיל עיצומים כספיים משמעותיים בסכומים של מאות אלפי שקלים ואף מיליוני שקלים במקרה של הפרה נמשכת וחוזרת[3].

ומה תפקידה של הביקורת הפנימית?

בהתאם למודל שלושת הקווים של ה־IIA, ניתן לומר כי תפקידו של הממונה על הגנת הפרטיות בחברה  הוא לשמש כקו ההגנה השני בארגון, קרי אותו גורם שאחראי על פיקוח הציות להוראות הרגולציה בתחום הגנת הפרטיות.

המבקר הפנימי, כאמור, משמש כקו השלישי והבלתי תלוי, ואכן תקנה 16 לתקנות הגנת הפרטיות קובעת כי בעל מאגר מידע שחלה עליו רמת אבטחה בינונית יערוך אחת לשנתיים ביקורת פנימית או חיצונית, על ידי גורם בעל הכשרה מתאימה לביקורת בנושא אבטחת מידע.

במסגרת ביקורת פנימית כזו, על המבקר לבחון האם הארגון מקיים את הדרישות הקבועות בחוק ובתקנות, כגון הכנת נוהל אבטחת מידע, מסמך הגדרות ומיפוי מערכות המאגר, וכן לאתר פערים בין נוהלי הארגון והוראות החוק אל מול אופן יישומם בפועל.

מוצע להיעזר בגורמים בעלי ידע והכשרה טכנולוגית שכן על המבקר לאמת את ממצאיו, לעיתים באמצעות טסטים, בנושאים טכניים כגון ניהול הרשאות גישה, זיהוי ותיעוד גישה, גיבוי ושחזור המידע וכן שימוש באמצעי הגנה נאותים בחיבור התקנים ניידים למערכות המאגר.

לאחר הגשת דו"ח הביקורת, על החברה לקיים דיון ענייני בממצאים על מנת לבחון את הצורך בעדכון נוהליה הפנימיים, עדכון בקרות והוספת אמצעי הגנה נוספים.

לפיכך, המבקרים הפנימיים יכולים לשמש כוח עזר לממונים על הגנת הפרטיות, הן לאור התמחותם בנושאי הפרטיות ואבטחת המידע והן לאור היותם אובייקטיבים.

לסיכום

יש לצפות כי לאחר תיקון החוק ומתן סמכויות אכיפה משמעויות ואפקטיביות יותר לרשות הפרטיות, יתעורר ביתר שאת הצורך מצד החברות לקיים באופן דווקני את הוראות הפרטיות וכך בהתאמה גם יגדל הצורך בעריכת ביקורות פנימיות יסודיות ומקיפות כדי לוודא את עמידתן בהוראות כאמור ובכך להימנע או לצמצם באופן משמעותי את חשיפתן לסנקציות.

עם זאת, פעילות פרואקטיבית של מבקר פנימי, המעוניין להפחית את הסיכונים שעלולים להתקיים אם יתרחש אירוע של דלף מידע, דוגמת האירוע בחברת שירביט, עשויה להוסיף גם במצב הקיים ערך רב לארגונים שבהם הם מכהנים.

[1] מחרוזת אותיות או מספרים המשמשת לאימות, למעקב ולאגירת מידע על אודותיו של גולש באתר אינטרנט, כגון שמירת העדפות המשתמש.

 [2] אחריות קפידה הינה עבירה שבה די להוכיח כי אדם ביצע את העבירה ואין צורך להוכיח "יסוד נפשי" של מחשבה פלילית או רשלנות. הדוגמה הבולטת לאחריות קפידה היא דו"ח תנועה שמהווה עבירה פלילית.

[3] הצעת חוק הגנת הפרטיות (תיקון מס' 13), התשע"ח-2018

The post על תפקידה של הביקורת הפנימית בהגנת הפרטיות appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

שלושים שנה אחרי שהונחו תוכניותיו, באיחור של תשע שנים, חריגות של מיליארדי יורו וענן של פרשיות שחיתות, שדה התעופה החדש של ברלין נפתח לבסוף רק ב ־31 לאוקטובר 2020.

הפרויקט, שהיה אמור להיות סמל של בירת גרמניה המאוחדת, הפך דווקא ל"פרויקט הפדיחות" –  פתיחתו נדחתה שוב ושוב עקב ליקויי תכנון ובנייה, פרשיות שחיתות התגלו סביבו והיו אף שהציעו שכבר עדיף להרוס אותו ולבנותו מחדש.

ארגונים רבים, בשלב כזה או אחר בחייהם, מעורבים בייזום פרויקטי בינוי. אולם, בהיעדר גוף תכנוני וקבלני In-House ובדגש על מקרים שבהם בינוי אינו חלק מה- Day to Day של הגוף היוזם, היזם נאלץ להסתמך כמעט לחלוטין על צדדים שלישיים. כתוצאה מכך, במקרים רבים, תחושות הגוף היוזם זהות לתחושות פער הידע, היעדר השליטה ואף חוסר האונים, המוכרות לכולנו כאשר אנו מבקשים לערוך שיפוץ בביתנו או לתקן את רכבנו במוסך.

המשמעות היא שלגורם מקצועי מהימן המתמחה בניהול סיכונים ובבקרת תהליכים, כדוגמת הביקורת הפנימית, יש כר פורה להשתלבות בתהליך ופוטנציאל אמיתי ליצירת ערך לארגון לרבות ערך כספי מוחשי ומיידי באיתור תשלומי יתר לקבלנים ומניעתם, כמפורט בהמשך.

המאמר שלפניכם מבוסס על מחקרים, על מאמרים ועל ניסיון בליווי מגוון פרויקטי בינוי בארץ ובעולם והוא יכול לשמש ארגז כלים מעשי הניתן ליישום בכל שרשרת הערך בפרויקט. ארגז כלים זה מיועד למבקרים פנימיים בבואם להתמודד, עם הסיכונים והחשיפות הכרוכים בייזום פרויקטי בינוי בארגונם, הן כמבקרים והן כיועצים.

המצב בעולם

במחקרים שנערכו בשנים האחרונות ע"י תאגיד הייעוץ האסטרטגי הבינלאומי McKinsey & Company, לעניין "מגה" פרויקטי בינוי, נמצא כי:

• ב־ 98% מהפרויקטים יש פיגורים בלוחות זמנים ו/או חריגות בתקציב
  • פיגורים בלוחות זמנים – 20 חודשי איחור בממוצע
  • חריגות בתקציב – 80% בממוצע מעל לתקציב המקורי
• ענף הבנייה נמנה בין הענפים הכי לא מקוונים והכי לא דיגיטליים (שני רק לחקלאות ולציד)

דוגמאות לאיחורים בלוחות זמנים ולחריגות בתקציב בפרויקטי בינוי נבחרים בעולם:

המצב בארץ:

המכון הלאומי לחקר בנייה בטכניון חקר לאחרונה את שיעורי החריגה בתקציב, האיחור בלוחות זמנים והחריגה באיכות, בסקטורים שונים.

המסקנה הייתה כי פרויקטי בנייה שבהם היזם אינו חברת בנייה, נוטים לחרוג מהתקציב ולאחר בלוחות הזמנים, וזאת בהבדל משמעותי לעומת יזמים שהם חברות בנייה.

להלן פירוט הממצאים:

מתווה לתכנון ביקורת פנימית:

להן נושאים אפשריים לתכנון הביקורת הפנימית: לאורך חיי הפרויקט, בזמן אמת כיועץ מלווה או בדיעבד  כמבקר:

הערה: לבדיקת נושאים מסוימים, כגון: בטיחות, מומלץ להיעזר במומחה חיצוני.

נושאים ודגשים לעיקריים לביקורת:

1. אומדן עלויות (תמחיר הפרויקט):

אומדן עלויות הפרויקט הינו בעצם הערכה בקירוב של המשאבים הכספיים הנדרשים להשלמת הפרויקט, לרבות עלויות ישירות ועלויות עקיפות.

2. קביעת תקציב הפרויקט (תקציב "0"):

תקציב הוא כלי בקרה ניהולי לתכנון הוצאות והכנסות הארגון בפעילות מסוימת לפני תחילתה, מעין "תוכנית עסקית המבוטאת בערכים כספיים".

3. בקרת עלויות לאורך חיי הפרויקט:

בקרת עלויות היא מעקב אחר מצב הפרויקט כדי לבחון את הצורך בעדכון תקציב הפרויקט וכדי לנהל שינויים בתכנית הבסיסית לעלויות.

4. הקמה ותחזוקה במערכות הממוחשבות:

כבקרה לתהליך ההתחשבנות, הן התנאים המסחריים והן כתב הכמויות של הפרויקט מנוהלים, עפ"י רוב, במערכת ממוחשבת ייעודית (להלן: "המערכת") ישירות אצל היזם ו/או ע"י חברת פיקוח מטעם היזם.

5. ניהול תוספות ושינויים – "חריגים":

"חריג" הינו שינוי מוסכם בתכולת העבודות באמצעות הוספה ו/או גריעה של עבודות מתכולת העבודות המקורית. ייתכן שהחריג ישפיע גם על שהעלות הכוללת של הפרויקט ועל מועד השלמת העבודות.

סיכום:

פרויקטי בינוי כרוכים בהשקעת משאבים לא מבוטלים מצד היזם וחשופים במידה רבה לאיחורים בלוחות זמנים ולחריגות בתקציב, בפרט בפרויקטים שבהם בינוי אינו תחום עיסוקו של היזם.

עם זאת, בדומה לעולם ניהול הפרויקטים, תחת ההתאמות הנדרשות, גם בהתמודדות עם פרויקט בינוי, קיימים מגוון כלים ובקרות הניתנים ליישום כדי לצמצם את הסיכונים ואת החשיפות.

לאור האמור לעיל, מומלץ לביקורת הפנימית, כקו (הגנה) השלישי במודל שלושת הקווים, ללמוד ולהכיר תהליכי בינוי, על מנת שתוכל לאתגר אותם, כמבקר או כיועץ, ולהוסיף ערך לארגון במתן תובנות והמלצות משמעותיות לאורך כל שרשרת הערך של הפרויקט. זאת החל משלב הייזום, המשך בהתארגנות לביצוע, ביצוע בפועל וכלה במסירת הפרויקט.

The post ביקורת פנימית בייזום פרויקטי בינוי – איחורים, חריגות וליקויים appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מבוא

הגלובליזציה של הפעילות הבנקאית ושל הפשע הפיננסי, מחייבת שינויים רגולטוריים ודורשת מבט מחודש על תפקידה של הביקורת הפנימית ואופן ביצועה. הרגולציה הישראלית והבינלאומית מגדירה את חובותיה של הביקורת הפנימית במאבק בהלבנת הון, מימון טרור ובשחיתות, ומטילות עליה אחריות נרחבת על קיום מערכות יעילות יותר של בקרות פנימיות.

החובות החלים על הביקורת הפנימית בגופים פיננסיים במאבק באיסור הלבנת הון ומימון טרור, מעוגנים ברגולציה הישראלית, בין היתר, במסגרת ניהול בנקאי תקין 308 ("ציות ופונקציית הציות בתאגיד בנקאי"), בתקנות הבורסה לניירות ערך, ובחוזר רשות שוק ההון, ביטוח וחיסכון לעניין ניהול סיכוני הלבנת הון ומימון טרור בגופים מוסדיים. גם הרגולציה הבינלאומית הרחיבה בשנים האחרונות את האחריות של הביקורת הפנימית במאבק זה במסגרת חוק USA Patriot Act, חוק הסודיות הבנקאית של ארה"ב BSA – ((Bank Secrecy Act, פרסומי OFAC (The Office of Foreign Assets Control) של משרד האוצר של ארה"ב. הגופים שאליהם מתייחסת הרגולציה כאמור הם בנקים, חברות ברוקראז', נותני שירותים פיננסיים, חברות ביטוח וחברות השקעה.

מאמר זה נועד לבחון את ההתפתחות בתפקידה של פונקציית הביקורת הפנימית במאבק בהלבנת הון ומימון טרור בפעילות הפיננסית הגלובלית.

כפי שעולה מהרגולציה הישראלית והבינלאומית, מצופה כי הביקורת הפנימית תמלא תפקיד מפתח במאבק בהלבנת הון.

מהי הלבנת הון?

הלבנת הון מוגדרת כתהליך שבו כסף שהושג באופן בלתי חוקי מוצג למערכת כמקור לגיטימי. הפעילות הבלתי חוקית שאליה מתייחס החוק היא פעילות המוגדרת במסגרת "עבירות מקור" (בין היתר, פעילות של שוחד ושחיתות, סחר בבני אדם, סחר בסמים, הימורים בלתי חוקיים, סחר לא חוקי בנשק, פעילות שמטרתה הימנעות מתשלומי המס ועוד). בשונה מהלבנת הון, פעילות מימון טרור יכולה להיות ממומנת גם ממקור כסף חוקי, אך לשמש לתמיכה בפעילות טרור. בהמשך המאמר הן פעילות הלבנת הון והן פעילות מימון טרור ייקראו "הלבנת הון".

ניתן לזהות בהלבנת הון שלושה שלבים:

שלב ההשמה – השלב שבו מוחדר הכסף אל תוך המערכת הפיננסית.

שלב הריבוד – השלב שבו נעשות פעולות לטשטוש מקורו של הכסף.

שלב ההטמעה – השלב שבו נמשך הכסף בצורתו החדשה, ה"מולבנת", על ידי העבריין.

הלבנת הון היא תופעה בינלאומית הולכת ומתרחבת שיש לה השפעות הרסניות על הכלכלה העולמית, ובמיוחד על כלכלות מתפתחות ופגיעות. השכיחות של הלבנת הון הטרידה ומטרידה רגולטורים, בנקים וגופים פיננסים ברחבי העולם.

על פי הפרסומים של הרשות לאיסור הלבנת הון ויחידות מודעים פיננסיות בעולם (FIU), היקפי הלבנת הון, פשיעה מאורגנת, שחיתות, הונאות מס ופשעים גדולים אחרים לא פחתו בשנים האחרונות אלא דווקא התעצמו. המטרות הבסיסיות של הלבנת הון אינן שונות כיום מאשר בעבר, אך כיום הלבנת הון מתרחשת בסביבה גלובלית של התפתחויות טכנולוגיות המקלות על ההסתרה וההסוואה של הכספים הלא חוקיים.

שימוש בכלים טכנולוגיים ובבינה מלאכותית על ידי הביקורת הפנימית

היקף הפעילות וכמות הרשומות בארגונים פיננסיים בעולם גדלה משנה לשנה.

למוסדות פיננסיים יש בדרך כלל מערכות ניטור מבוססות חוקים לזיהוי של פעילות חשודה החורגת מהחוק או מהרף המוגדר. הרף הזה מתייחס בדרך כלל לסכומים המוגדרים בחוק כסכומים לדיווח בהתייחס לאופי הפעילות, לפעילות מול מדינות מסוימות, השוואת פעילות פיננסית של לקוח לתקופות קודמות או לפעילות בהשוואה ללקוחות אחרים הפועלים באותו ענף עסקי. עם זאת, למרות השקעה של משאבים כלכליים רבים בטיוב המידע והדוחות, יותר מ-95% מההתראות המופקות על ידי המערכת נסגרות כ"תוצאות חיוביות שגויות" (false positive) ולא מובילות לדיווח על עסקאות חשודות (תוצאה חיובית שגויה – תוצאה המופקת על ידי מערכת ניטור ומצביעה על חריגות המרמזות על אפשרות של פעילות הלבנת הון, אך לאחר בדיקה מעמיקה יותר מתבררת כפעילות תקינה).

על מנת לאפשר דיוק של תוצאות הביקורת ולאפשר ניתוח רחב ומדויק שיתמוך בהגברת היכולת לזהות סיכונים ברחבי הארגון ולטפל בהם, המציאות חייבת להשתנות. הביקורת מבוססת מדגם, התהליכים הידניים, ומערכות הניטור המיושנות, חייבים להתחלף בגישות ובמערכות חדשניות כגון בינה מלאכותית. כך יהיה אפשר להגביר אפקטיביות, לכסות יותר מידע ונתונים ולבצע זאת בפחות זמן ומשאבים.

מערכות בינה מלאכותית מאפשרות זיהוי אנומליות בהתנהגות הלקוחות על ידי יכולת לזהות ולנתח את כלל הישויות המעורבות בפעילות מול הלקוח, לנתח עסקאות מורכבות עם קריטריונים רבים, תוך זיהוי דפוסי הלבנת הון פוטנציאליים בכל שלבי תהליך הלבנת הון כתהליך רציף.

עם זאת, בהטמעת טכנולוגיית מאבק בהלבנת הון בארגון המבוססת על בינה מלאכותית, התאמה אישית מינימלית להגדרות המערכת אינה מספיקה, במיוחד בעידן המתאפיין בהגברת הפיקוח הרגולטורי, בסביבה חקיקתית המשתנה קרובות ובמציאת דרכים חדשות להלבנת הון על ידי העבריינים. כדי להבטיח שמערכות ניטור הפעילות יפעלו כראוי וכמצופה מהן, על הביקורת הפנימית להעריך את מוכנות הארגון, בין היתר, לאתגרים הבאים:

1. התאמה מהירה של המערכות לתקנים רגולטוריים חדשים ומחמירים יותר.
2. מתן פתרון לזיהוי כשלים בשלמות הנתונים ואיכותם ובטעינת נתונים – וידוא מיפוי וזיהוי שלמות המידע הנדרש ממערכות שונות והתהליכים הרלוונטיים. מידע לא שלם או לא מדויק יערער את יכולתה של מערכת ניטור עסקאות לפעול בצורה אופטימלית.
3. בחינה באופן שוטף כי ההגדרות והרפים המוגדרים במערכת תואמים את דרישות וציפיות הרגולטור, כמו גם תובנות ניתוח טופולוגיות בארגון עצמו ובארגוניים פיננסיים בישראל ומחוצה לה.
4. מתן מענה לשקיפות נדרשת מתהליכים ובקרות התומכים בטכנולוגיות. תחומי מיקוד ספציפיים כוללים, בין היתר, בדיקת יעילות המערכת, הגדרת הדרישות לשחזור וגיבוי, וכן מתן מענה לדרישות אבטחת מידע ושיקולי הגנת הפרטיות.

ההתפתחות המהירה והמורכבות הטכנולוגית במאבק באיסור הלבנת הון, יוצרות פער ידע עבור המבקר הפנימי. בסביבה העסקית של היום, ביקורת פנימית צריכה להכיר מקרוב את אופן הפעולה של המערכות כאמור. בהתאם, המעבר לשימוש רחב יותר בטכנולוגיות מידע לניטור עסקאות וסנקציות ולזיהוי טופולוגיות הלבנת הון ומימון טרור, מחייב צוות משולב של מומחי רגולציה, מומחי פעילות עסקית ואנליסטים, ולא פחות חשוב – מומחי מערכות מידע.

אם ארגון מיישם טכנולוגיית מאבק חדשה באיסור הלבנת הון, תפקידו של המבקר הפנימי הוא לקבל ממדים נוספים ומורחבים כדי לפקח על אסטרטגיות בדיקת ניהול שינוי ארגוני. במהלך היישום, על הביקורת הפנימית להבטיח כי ההטמעה של המערכת עונה על הנדרש, לרבות כל התחומים המושפעים מהטכנולוגיה על פעילות הארגון מול הלקוחות, הגדרות דיווח ועוד. בין היתר, הביקורת הפנימית תבחן האם בוצעו בארגון בדיקות מקיפות מספיק כדי לוודא שהמערכת תפעל כמתוכנן; האם הנתונים מדויקים ושלמים; והאם הוגדרו מלוא הממשקים הנדרשים ממערכות מידע בארגון כדי לאפשר ניטור יעיל ואפקטיבי. על הביקורת הפנימית להעריך את המגבלות הפוטנציאליות של המערכת ולהעריך את פעולת המערכת על פני מגוון ערכי קלט על ידי בדיקות קבלת משתמשים, בניסיון לזהות ולהפחית אפשרות לקבלת תוצאות "שליליות שגויות", כאשר תנועה ו/ או רצף תנועות לא יפיקו התראה נדרשת לפעילות חריגה במערכת, ומאידך יש להפחית אפשרות להתראות "חיוביות שגויות" – על מנת להימנע מקבלת ריבוי התראות שאינן מצבעים בפועל על הפעילות החריגה.

ביקורת פרואקטיבית ויוזמת

אחד מהתפקידים של הביקורת הפנימית הוא לתמוך בתהליך אכיפת הרגולציה, בין היתר בשל הבקיאות הרבה של המבקר בפעילות הארגון. עם זאת, נדיר כי הביקורת מזהה ומדווחת על חשדות לפעילות הלבנת הון.

אינני יכולה לקבוע בוודאות אם הביקורת הפנימית תופסת את עצמה כבעלת תפקיד מונע במאבק בהלבנת הון, אך נראה שקיימת גישה מנוגדת במקצת מציפיות הרגולטורים בעולם לזהות אירועי הלבנת הון במהלך ביקורות.

תקן 2100 של IIA קובע כי "הביקורת הפנימית חייבת להעריך ולתרום לשיפור תהליכי הממשל התאגידי, ניהול הסיכונים ותהליכי הבקרה של הארגון, באמצעות שימוש בגישה שיטתית, ממוסדת, ומבוססת סיכונים. אמינות וערך הביקורת הפנימית מתגברים כאשר המבקרים פרואקטיביים, והערכותיהם מציעות תובנות חדשות ומתייחסות להשפעה עתידית".

סיכום

כמו ברוב סוגי הפשע, כאשר שיטת הלבנת כספים אחת הופכת למאתגרת יותר לביצוע, העבריינים יחפשו שיטות חדשות. ככל שהחקיקה הפכה מחמירה יותר ומוסדות פיננסיים חיזקו בהתאמה את תהליכי הניטור שלהם, גם שיטות הפעולה של פושעים השתנו. בהתאם, במציאות המשתנה לעיתים קרובות, ביקורת פנימית אינה יכולה להרשות לעצמה כי עבודתה תהיה איטית ובדיעבד, ושהיא תפיק לקחים שבועות ולעיתים אפילו חודשים לאחר זיהוי הממצא. המציאות מחייבת את הביקורת הפנימית לפעול מהר, להתאים את תוכנית הביקורת במהירות ובתדירות גבוהה, לזהות את הנולד ולבקר את מה שיהיה חשוב מחר. כל זאת יתאפשר בזכות צוות משולב של מומחים בתחומי רגולציה, עסקים, אנליסטים ומומחי מערכות מידע, ותוך שימוש במערכות מידע חכמות ובבינה מלאכותית.

The post המאבק בהלבנות הון ומימון טרור מחייב מהפיכה דיגיטלית בעבודת הביקורת הפנימית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מאת: ד"ר יוסי נטוביץ | רו"ח מנכ"ל טיוב יועצי מערכות בע"מ

זהירות, תרבות רעה!

הסקנדלים נחתו על חברת אוּבּר ( (Uberבמפתיע. זה החל בשנת 2017, כאשר אובר, שעד אז נחשבה חברה גלובלית מצליחה לשיתוף היסעים, השווה עשרות מיליארדי דולרים, הואשמה בבלוג שפרסמה עובדת בהתנהלות סקסיסטית פרועה ובאפליה. בהמשך, תחקיר הניו יורק טיימס חשף כי עשרות עובדות נוספות באובר חוו הטרדה מינית וזכו להתעלמות ההנהלה מתלונותיהן. הדירקטוריון פתח בחקירה עצמאית שבמסגרתה נפתח "קו חם", שעד מהרה הוצף בדיווחי עובדים על הטרדות מיניות, בריונות, חשש מאלימות, נקמנות מצד מנהלים ואפליה. החקירה פתחה תיבת פנדורה של התנהלות תאגידית חסרת מעצורים במגוון תחומים: עבירות על חוקי תעבורה, פגיעה בזכויות עובדים ובקניין רוחני, מהלכים נצלניים כגון העלאת מחירים בזמן פיגועים ומתקפות טרור, ופעולה יזומה נגד עיתונאים. רצף הפרסומים פגע קשות בתדמית החברה ובעקבותיהם היא נאלצה לשלם מיליוני דולרים פיצויים לנפגעים. כחלק מתהליך השיקום, בשנת 2018 נאלצו המנכ"ל והצוות הבכיר של החברה לפרוש בזה אחר זה.

עד לכאן להציג בצורה בולטת

ביקורת מאתגרת מאוד

המקרה של אוּבר העלה את המודעות לסיכוני התרבות הארגונית. במקביל, מחקרים שפורסמו לאחרונה מצאו כי תרבות ארגונית חזקה מגבירה אפקטיביות והצלחה עסקית. כתוצאה מכך בקהילה העסקית עלה העניין בתרבות הארגונית וגברה ההכרה בחשיבותה. "התרבות אוכלת את האסטרטגיה לארוחת בוקר", קבע היועץ העסקי האגדי פיטר דרוקר.

גם הביקורת הפנימית החלה להבין שיש כאן תחום חדש ובעל ערך אסטרטגי, אך מאתגר ולא פשוט. תרבות ארגונית היא מכלול של התנהגויות אנושיות, ובניגוד לתחומי הביקורת המסורתיים היא פחות מוגדרת ומוחשית, ונעדרת מדדים כמותיים להערכה. איך למשל ניתן לבקר אווירה, אמונות וערכים? כדי לעמוד באתגר, הביקורת הפנימית נדרשת להרחיב את סט המתודולוגיות והכלים שלה. הספר "מסע לתוך ביקורת תרבות" הוא אחד המסמכים המקיפים הראשונים שנכתב בתחום. המחברים, סו ג'קס ואדי בסט, בכירים בניהול סיכונים וניהול משאבי אנוש מפירמת גרנט ת'ורנטון בריטניה, מציעים בו מתודולוגיה ופרקטיקה המבוססות על לקחים מהניסיון החלוצי שצברו בשטח.

המפתח לביקורת שיטתית: מניעי תרבות

אחת ההגדרות המקובלות של תרבות ארגונית היא "שילוב של ערכים, גישות והתנהגויות שהחברה מקיימת בפעילותה וביחסיה עם אלה המושפעים מהתנהלותה, כגון עובדים, לקוחות, ספקים והקהילה".

"תרבות צריכה להיות מנוהלת ומפוקחת", מדגישים המחברים, "ולא רק תאונה של ההיסטוריה או של מי שבמקרה יוצא לו לעבוד בארגון. אין תרבות נכונה או שגויה – אבל יש תרבות נכונה או לא נכונה לאסטרטגיה של הארגון". תפקיד ההנהלה הוא לתכנן ולערוך תוכנית שינוי שתנחיל תרבות נכונה ותואמת למטרות העסקיות שקבעה. כדי לעשות זאת, להנהלה יש כמה דרכים להתערבות הנקראות מניעי תרבות (drivers of culture”").

אז מהם אותם מניעי תרבות שבשימוש ההנהלה? אסטרטגיה היא מניע מרכזי המהווה נקודת מוצא קריטית שרותמת את התרבות בתפקיד מפתח להשגת המטרות העסקיות. מנהיגות גם היא מניע מרכזי. מנהיגים בארגון ברמות שונות של הנהגה, נדרשים לעסוק באופן פעיל בתרבות הארגונית, בין היתר על ידי מתן דוגמה אישית (אבל לא רק). ניהול אנשים מהווה מניע נוסף המשפיע על העובדים ומקדם ומעודד את ההתנהגויות הנכונות ברחבי הארגון. מניעי תרבות נוספים הם ניהול משאבים שונים, כמו שרשרת האספקה, נוכחות באינטרנט, מוניטין ותקשורת, וכן אחריות חברתית וסביבתית.

המתודולוגיה המוצעת לביקורת הפנימית היא התייחסות שיטתית לכל אחד ממניעי התרבות, תוך בחינה והערכה של שני שלבים: הראשון – תכנון ועיצוב התרבות הארגונית, והשני – האפקטיביות התפעולית שלה. גישה זו מאפשרת זיהוי של היעדר תיאום ושל חוסר עקביות, וכפועל יוצא גם זיהוי של נושאים שאינם מוטמעים בתרבות הכוללת ופוגעים ביכולת הארגון להשיג את המטרות העסקיות שלו. אומנם כל מניע תרבות לכשעצמו מהווה גם יעד לביקורת מסורתית, אולם ביקורת התרבות שונה מזו המסורתית בהתמקדות שלה: לא בוחנים את הממשל התאגידי ואת הבקרות, אלא את האפקטיביות של התרבות המוטמעת.

סיפור, הנחיות ורשימת תיוג

בשונה מהספרות המקצועית המקובלת שהיא עיונית באופייה, הספר מספר סיפור עלילתי. הגיבור הוא אלכס, מנהל הביקורת הפנימית בחברת "שייפרס". אלכס מקבל מסאם, הCEO- של החברה, בסיכום עם יו"ר ועדת הביקורת, מטלה לעריכת ביקורת על התרבות הארגונית, כאשר בתחילת הדרך אין לו מושג כיצד לערוך אותה. הספר מלווה את אלכס במסע הביקורת שהוא עורך, בדילוגיו בין הסניפים של החברה בבריטניה והעולם ובפגישותיו עם עובדי החברה. הקורא מתוודע להתלבטויות, להחלטות, לפעולות ולתובנות של אלכס בשלבי הביקורת השונים עד (זהירות "ספוילר") לסיומה המוצלח.

בין שלב לשלב, הספר מניח לעלילה ועובר להדרכה מעשית בסוגיה ספציפית שבה אלכס מתלבט. לדוגמה, בפרק העוסק במנהיגות נמצא הנחיות כגון "מנהיגים צריכים לא רק לעצב תרבות שפועלת כמאפשרת של מטרות עסקיות, הם צריכים למקד את תשומת ליבם בהטמעתה. אלכס היה מודע לכך מההתבוננות שלו בהתנהגות המנהיגות הבכירה… במהלך הביקורת אנו מצפים ממנהיגים להיות מסוגלים לדבר על ההשקעה האישית שלהם בזמן, על הדוגמה האישית שלהם, ומה הם עושים עם הצוותים שלהם במונחים של הכרה בתרומות התנהגותיות חיוביות מאחרים שמסייעים בהטיית התרבות, כמו גם על האופן שבו הם מעוררים השראה בהתנהגות זו באחרים".

גם רשימת התיוג המוכרת ("צ'ק ליסט") אינה נעדרת מהספר. כל פרק נחתם ברשימת גורמי הצלחה מרכזיים וברשימת שאלות חשובות שעל המבקר לשאול לגבי נושא הפרק. רשימות אלה מספקות לחסרי ניסיון בביקורת תרבות נקודות התחלה מועילות ביותר לתכנון הבדיקה.

להמחשה, הפרק העוסק באסטרטגיה מציג שאלות כאלו:

• האם יש אסטרטגיה עסקית כתובה? אם כן, האם היא מכסה הן את המטרות העסקיות והן את התרבות?
• האם הארגון שלך מייחס חשיבות רבה לעובדים כפי שהוא חשוב ללקוחות ובעלי המניות?
• האם הערכים, ההתנהגויות, האתיקה ודרישות ההתנהגות מועברים בבירור לכל העובדים?

ביקור חשוב במטבחון

נושא ביקורת מיוחד דורש גם כלים ושיטות ביקורת מיוחדות. בספר מוצגות מספר שיטות אפקטיביות לביקורת בנושא "רך" כמו תרבות. אחת מהן היא ניתוח סנטימנטים, כלי המשתמש בבלשנות חישובית לבחינת שפה וטקסט במטרה לזהות עמדות ודעות משתנות בארגון. הוא מיושם בדרך כלל לניתוח עמדות הלקוח במשובים וסקירות מוצר במדיה החברתית בתחומים שונים, החל משיווק, דרך שירות לקוחות ועד רפואה קלינית, אבל אין שום סיבה לא להשתמש בו גם במסגרת ביקורת תרבות. למשל, במסגרת ביקורת על המנהיגות, ניתן לנתח את אוסף המסרים שמעבירים המנהלים לעובדים בערוצי התקשורת האלקטרונית השונים בתקופות מסוימות, ולזהות שם התייחסויות לתרבות, לערכים ולהתנהגות. ניתוח כזה יספק מגמות ונתונים שיכולים לשמש את המבקר בביסוס מסקנותיו.

שיטה מעניינת אחרת, פשוטה יותר, מוצעת לביקורת ניהול המשאבים – סקירת סביבת המשרדים והמטבחון… להתבונן איך מעוצב החלל, ובמיוחד מה מוצג בלוחות המודעות. לדוגמה, המחברים נזכרים כי "באחד הארגונים המבוקרים המשרד הראשי היה נוצץ, נקי ומסביר פנים, אבל המשרד האחורי היה מלא בארגזים, קישוטי חג מולד, ספלי קפה מוכתמים, ובלאגן אחר. איזה מסר תרבותי העובדים מקבלים מכך? הלקוחות חשובים, ואנחנו לא!"

מדריך פרקטי למתחילים

הספר שומר לכל אורכו על טון של מדריך פרקטי וטכני לעריכת ביקורת. לא נמצא כאן דיונים בתפיסות ניהוליות ובביקורת. זה לא מפתיע מפני שהספר הוא למעשה ספרון בן פחות מ-80 עמודים ומחציתו מוקדש לעלילה הפיקטיבית, לכן ברור כי אינו יכול להיות ספר עיון מעמיק.

שילוב עלילותיו של המבקר הפנימי אלכס בספר הוא חידוש מרענן העוזר היטב להמחיש את המתודולוגיות המוצעות בספר. אליה וקוץ בה. בסיפור משולבים יותר מדי קטעי "צבע" שכנראה נועדו להחיות את הדמויות בסיפור אך הם חסרי ערך מוסף מקצועי. לדוגמה: "מחר, ביום שבת, הוא תכנן יום חופשי. לא היו לו תוכניות מלבד להירגע ולאחר מכן לארוז את תיק הטיולים שלו לנסיעה להולנד ביום ראשון ולניו יורק כמה ימים לאחר מכן. זו באמת הייתה תקופה ממלאת עבורו, אבל הוא היה צריך להמשיך, להתקדם עם משימת חקר התרבות".

בנוסף, לפי הספר הביקורת מתבוננת במניעי התרבות ובוחנת את התיאום בינם ובין מטרות הארגון, אולם היא פחות מתייחסת לממשל של התרבות הארגונית, האחראי לתפעול מניעים אלה – ובכלל זה בעלי התפקידים, השיטות והתהליכים והבקרות, כמקובל בביקורת פנימית מודרנית. על אף כל זאת, זהו מסמך עדכני, חשוב ומעניין מאוד בתחום חדש ומרתק זה, והוא יכול לשמש לעזר רב למבקרים פנימיים בצעדיהם הראשונים בתחום ביקורת התרבות הארגונית.

The post קצת תרבות גבירותיי ורבותיי: כיצד עורכים ביקורת תרבות ארגונית? appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.