• רקע כללי

בשנים האחרונות אנחנו שומעים על מקרים רבים של קבלת שוחד וטובות הנאה ועל מקרים של 'יד רוחצת יד' המעידים על קיומה של תרבות ארגונית המאפשרת שחיתות.

שחיתות ארגונית אינה רק עבירות של פשע כגון מרמה, הונאה, מעילה ושוחד, אלא גם עבירה מסוג עוון – רמת עבירות פליליות פחות חמורות, וכן מעשים לא תקינים אחרים, כולל עבירות משמעת ובהן ניגודי עניינים, קבלת טובות הנאה, לרבות מתנות אסורות, התעמרות-התנכלות-הטרדות, פגיעה בכללי אתיקה, פגיעה במשאבי הארגון, ובשנים האחרונות אף פגיעה באיכות הסביבה ובהיבטים סוציאליים-חברתיים (כחלק מהיבטי ESG).

השחיתות הארגונית לגווניה פוגעת במשאבי הארגונים ופוגעת בבעלי העניין בתוך הארגון ומחוצה לו (בעלי המניות, הציבור בכללותו, עובדים, ספקים, לקוחות ועוד), וכן עלולה להיות כרוכה בסיכוני רגולציה, תביעות משפטיות, אובדן מוניטין וכדומה. מכאן עולה הצורך במאבק בשחיתות הארגונית.

מכיוון שמעשי שחיתות ארגונית מקורם לרוב במערכות יחסים ובטובות הנאה הצומחות לשני הצדדים, קשה מאוד לחשוף מעשים אלה.

חושפי שחיתות (whistle blowers), כדוגמת עובדים, ספקים, קבלנים ועוד, הם מקור מידע חשוב ביותר לחשיפת שחיתות ארגונית לסוגיה. על פי נתונים שנתיים שמפרסם ארגון ACFE – Association of Certified Fraud Examiners, כ-40% ממקרי השחיתות שמתגלים בחברות עסקיות נחשפים על ידם. על פי הנתונים הללו זהו מקור המידע הגדול ביותר לחשיפת שחיתות ארגונית.

לכן יש חשיבות בכך שהארגון יעודד את עובדיו לחשוף שחיתות ארגונית על גווניה. לצד זאת, יש לזכור שהמחסום העיקרי בחשיפת שחיתות ארגונית ומעשים לא תקינים הוא חשש מהתנכלות של עובדים, ועדי עובדים ומנהלים.

תרבות ארגונית המעודדת עובדים לחשוף שחיתות ומעשים לא תקינים מכונָה speak up.

עידוד מנהלים להקשיב היטב לתלונות ולפעול נקראListen up .

כדי לבחון את אופן התייחסות הארגונים בישראל לנושא הגנת חושפי שחיתות בהשוואה לנורמות מתקדמות, ערכנו בקרב מבקרים פנימיים ראשיים בארץ שאלון בדבר חשיפת מעשי שחיתות בארגונם (הן בהתייחס לעבירות פליליות והן בהתייחס לשחיתות נמוכה יותר ברמת עבירות של עוון ועבירות משמעת).

השאלון התבסס על מיטב הידע והפרקטיקה העולמית לעניין הגנת חושפי שחיתות:

• הוראות SOX בארה"ב המייצרות מסד נורמטיבי בין-לאומי בדבר הגנת חושפי שחיתות.
• חקיקה של האיחוד האירופי שנכנסה לתוקף בסוף 2021 וממסדת את הגנת חושפי השחיתות.
• שני פרסומים חדשניים משנת 2022, NAVEX ו-COMPLIANCELINE, המייצרים מדדים מעניינים בדבר חשיפת שחיתות.
• מסמכים של חברה ישראלית הנסחרת בנאסד"ק וכפופה לרגולציה האמריקאית.

להלן ממצאי השאלון ומסקנות עיקריות בנושא:

• ניתוח המשיבים לשאלון

ענפים – להלן התפלגות המשיבים על פי ענפים:

המשיבים האחרים כוללים ענפים שונים (שיעור משיבים בודדים מכל ענף), לרבות חברות עסקיות הרשומות למסחר בבורסות חיצוניות וכפופות לרגולציה חיצונית וענף התעשייה.

הרגולציה שחלה על הארגונים – להלן התפלגות המשיבים לפי הרגולציה החלה עליהם:

ארגונים שחלה עליהם רגולציה מתקדמת

תחת ההגדרה של רגולציה מתקדמת כללנו ארגונים שחלה עליהם רגולציה מחוץ לישראל (גם אם לצד רגולציה ישראלית), וארגונים פיננסיים שחלה עליהם רגולציה ישראלית מתקדמת יותר.

לצורך ניתוח המידע באופן מעמיק חילקנו את המשיבים לארגונים שחלה עליהם רגולציה מתקדמת ולארגונים אחרים. מטרת החלוקה הייתה לבחון אם ארגונים שבהם יש רגולציה מתקדמת יותר, קיימת מודעות רבה יותר לנושא ההגנה על חושפי שחיתות.

כפועל יוצא, שאר הארגונים הם ארגונים מהמגזר הממשלתי, לרבות שלטון מקומי ותאגידים סטטוטוריים שחלה עליהם רגולציה ישראלית בלבד.

על פי ניתוח זה, 34% מהמשיבים נכללים תחת הגדרת "ארגונים בעלי רגולציה מתקדמת".

• מודעות בארגונים לנושא הגנת חושפי שחיתות

ביקשנו לבדוק אם קיימת בארגונים מודעוּת לעניין זה והאם נושא ההגנה על חושפי שחיתות מתוקשר לעובדים, לרבות אופן הגשת התלונות בנדון. להלן התפלגות תגובות המשיבים בהקשר זה:

בדומה לכך, מניתוח הנתונים עולה כי ב-60% מהארגונים שעליהם חלה רגולציה מתקדמת יש מודעות ותקשורת בדבר מעשי שחיתות. בארגונים אחרים שלא חלה עליהם רגולציה מתקדמת, 53% מהמשיבים דיווחו כי יש בארגונם מודעות ותקשורת בדבר מעשי שחיתות, בצורה מלאה או חלקית.

מהאמור לעיל עולה כי באשר למודעות בארגונים ותקשורת בדבר מעשי שחיתות, אין הבדל משמעותי בין ארגונים שחלה עליהם רגולציה מתקדמת לבין ארגונים אחרים.

לצורך העמקת הניתוח של מודעות הארגונים לנושא הגנת חושפי שחיתות, ערכנו ניתוח של התפלגות התשובות לפי ענפי הפעילות של הארגונים, כדלקמן:

מהנתונים שבגרף עולה שבענף הממשלתי ניתן לראות באופן מובהק כי במרבית הארגונים אין בכלל מודעות ותקשורת בנושא הגנת חושפי שחיתות. לעומת זאת, בענף הפיננסי, בענף התעשייה ובחברות עסקיות הרשומות למסחר בבורסות חיצוניות, מגזרים הכוללים ארגונים שחלה עליהם רגולציה מתקדמת, יש במרבית הארגונים מודעות ותקשורת בנושא.

• מדיניות בנושא הגנת חושפי שחיתות

מודעות ותקשורת היא תנאי הכרחי אך לא מספיק. נדבך חשוב לבחינת התייחסות ומודעות הארגונים לנושא הגנת חושפי שחיתות הוא קביעת מדיניות ארגונית בנדון. בהתאם, שאלנו את המבקרים הפנימיים אם נקבעה בארגונם מדיניות בנדון ומהם המרכיבים בה.

על פי מיטב הידע והפרקטיקה העולמית, מסמך מדיניות, קוד אתי או כל מסמך אחר המתווה את מדיניות הארגון, נדרש להכיל מספר מרכיבים הרלוונטיים לנושא הגנת חושפי שחיתות, כדלקמן:

• א. הצהרה על חשיבות תרומתם של חושפי השחיתות לארגון.
• ב. עידוד עובדים לחשוף שחיתות ארגונית.
• ג. התייחסות גם לספקים/ קבלנים/ נותני שירותים כחושפי מעשים לא תקינים.
• ד. הבטחת סודיות ואנונימיות לחושפי שחיתות.
• ה. הבטחת הגנה לחושפי שחיתות מפני מתנכלים.
• ו. הגדרת התנכלות לחושפי שחיתות כעבירת משמעת.
• ז. הגדרת תלונות שלא הוגשו בתום לב כעבירת משמעת.

21% בלבד מהמשיבים דיווחו כי קיים בארגונם מסמך מדיניות הכולל את כלל המרכיבים הנדרשים.

בהשוואה לנתונים אלה, 40% מהמשיבים מארגונים שחלה עליהם רגולציה מתקדמת, דיווחו כי יש בארגונם מסמך מדיניות בנדון הכולל את כלל הרכיבים. בארגונים שלא חלה עליהם רגולציה מתקדמת, רק 11% מהמשיבים דיווחו כי בארגונם מסמך מדיניות הכולל את כלל הרכיבים.

• מרכיבי המדיניות

כדי ללמוד על מהות ותוכן המדיניות בהקשר של הגנה על חושפי שחיתות בארגונים השונים, ביקשנו לדעת אילו פרמטרים נכללים במסגרת מסמכי המדיניות בכלל הארגונים. להלן התפלגות תשובות המשיבים בעניין זה:

במבט כללי על התרשים ניתן לראות שהמשיבים דיווחו שהרוב המוחלט של הפרמטרים המקובלים בעולם המערבי לא נכללו במסגרת מסמך המדיניות בארגונם. חריגים לכך הם הפרמטרים של התנהגות לא אתית/הולמת והתייחסות לניגודי עניינים. הפרמטרים שבהם שיעור המשיבים הנמוך ביותר שציינו כי הם נכללים במסמך המדיניות הם התייחסות לפגיעה באיכות הסביבה והתייחסות למעשי שחיתות אחרים.

לשם העמקה והשוואה, בחנו את התפלגות הפרמטרים במסמכי המדיניות בארגונים בעלי רגולציה מתקדמת לעומת הפרמטרים הנכללים במסמכי המדיניות בארגונים האחרים שלא חלה עליהם רגולציה מתקדמת:

מהתרשים ניתן ללמוד שברוב מוחלט של הפרמטרים שיעור המשיבים דיווחו כי הפרמטר שנכלל במסגרת מדיניות הארגון גבוה באופן משמעותי בארגונים שחלה עליהם רגולציה מתקדמת לעומת שיעור המשיבים בארגונים שלא חלה עליהם רגולציה מתקדמת. הפערים בין שיעורי המשיבים מגיעים בחלק מהמקרים לפי שלושה ואף פי ארבעה.

• עידוד עובדים להגיש תלונות על מעשי שחיתות בארגון

נדבך חשוב ובעל משמעות בהקשר של מדיניות הארגונים באשר להגנה על חושפי שחיתות, הוא עידוד של העובדים בארגון לחשוף שחיתויות ואף להגיש תלונות בעניין זה (גם תלונות אנונימיות).

ביקשנו לבדוק אם עוגנה בארגונים מדיניות להגנה על חושפי שחיתות. להלן התפלגות תשובות המשיבים:

בניתוח נוסף שערכנו לבחינת ההתפלגות בנדון בארגונים שבהם לא חלה רגולציה מתקדמת, התוצאה היא ש-32% בלבד מהמשיבים דיווחו כי במסגרת מדיניות הארגון נכלל גם עידוד לחשיפת שחיתות ארגונית. לעומת זאת, בארגונים שחלה עליהם רגולציה מתקדמת, 70% מהמשיבים דיווחו כי במסגרת מדיניות הארגון נכלל גם עידוד לחשיפת שחיתות ארגונית. נתונים אלה אינם מפתיעים מפני שרוב הארגונים שחלה בהם מדיניות בתחום הגנה על חושפי שחיתות הם בעלי רגולציה מתקדמת.

• תלונות אנונימיות

ביקשנו לבדוק מהו השיעור (הממוצע באחוזים) של התלונות האנונימיות באשר למעשי שחיתות לסוגיהם, ביחס לכלל התלונות שהתקבלו בארגון (כלומר השיעור של מספר התלונות האנונימיות מתוך כלל התלונות, כולל האנונימיות) בשלוש השנים האחרונות. אף אחד מהמשיבים לא השיב שבארגונו השיעור הממוצע של התלונות האנונימיות גבוה מ-10%.

50% מהמשיבים בארגונים בעלי רגולציה מתקדמת השיבו שהשיעור הממוצע של התלונות האנונימיות הוא עד 10%, ושאר המשיבים – 50% השיבו כי אינם יודעים. 42% מהמשיבים בארגונים שלא חלה עליהם רגולציה מתקדמת השיבו שהשיעור הממוצע של התלונות האנונימיות הוא עד 10%, ו-58% השיבו כי אינם יודעים.

את התשובות לעיל השווינו לסקר NAVEX משנת 2022 המתייחס לנתוני שנת 2021. הסקר העלה כי שיעור התלונות האנונימיות היה 50% מכלל התלונות – שיעור גבוה מהרבה מזה שנמצא כאן. שיעור נמוך של חושפי שחיתות המבקשים אנונימיות מלמד על חשש מהותי של חושפי שחיתות להתלונן, אפילו באופן אנונימי.

• דרכי הגשת התלונות

במסגרת הסקר התבקשו הנשאלים לסמן את דרכי הגשת התלונות בארגונם. הסקר כלל שמונה דרכים להגשת תלונות, המבוססות על החוקים והפרקטיקות המקובלים במדינות המערב, בדגש על שיטות מתקדמות לפי מיטב הטכנולוגיה.

להלן התפלגות דרכי הגשת התלונות בארגונים כפי שהמשיבים דיווחו (כל משיב יכול היה לסמן מספר דרכי הגשת תלונה):

ניתן לראות בתרשים כי למעלה מ-60% מהמשיבים דיווחו כי דרכי הגשת התלונות בארגונם כוללות שיחה פנים מול פנים עם גורם בקרה ארגוני, שיחה פנים אל פנים עם הממונה הישיר ודוא"ל לגורמי בקרה. כלומר, חלק לא מבוטל מהפרקטיקות בכלל לא מופעל בארגונים.

יתרה מזאת, 10% מהמשיבים דיווחו כי אינם יודעים מהן דרכי הגשת התלונות.

• קבלנים וספקים כחושפי שחיתות

מי שנחשפים לחשש למעשי שחיתות בתוך ארגון הם לא רק העובדים אלא גם ספקים, נותני שירותים וקבלנים שנמצאים במגע משמעותי עם החברה ונחשפים למעשי שחיתות ארגונית.

על פי דוח משנת 2022 של רשות ניירות הערך האמריקאית – SEC (המתורגם גם בגיליון זה), 40% מחושפי מעשי השחיתות בשנת 2021 היו גורמים חיצוניים, כגון רואי חשבון, אנליסטים פיננסיים, ספקים, משקיעים או אפילו אנשים עם קשרים עסקיים או חברתיים עם מישהו בתוך הארגון.

בדומה, הרגולציה המתקדמת של האיחוד האירופי כוללת הגנה גם על גורמים אלה.

לעומת זאת, בישראל התובנה הזאת טרם השתרשה. כך, אם נסתכל על המענה לשאלון נראה כי 30% בקרב המשיבים מארגונים שחלה עליהם רגולציה מתקדמת דיווחו שבמסגרת מדיניות ארגונם בנושא חושפי שחיתות נכללת התייחסות גם לקבלנים וספקים כחושפי שחיתות. לעומת זאת, שיעור של 21% בלבד התקבל בקרב המשיבים מארגונים שלא חלה עליהם רגולציה מתקדמת.

• התנכלות לחושפי שחיתות

21% מכלל המשיבים, ללא תלות באיכות הרגולציה, דיווחו שבארגונם היו מקרים של התנכלות לחושפי שחיתות.

לעומת זאת, בארגונים שחלה עליהם רגולציה מתקדמת, 60% מהמשיבים דיווחו שבארגונם לא היו מקרים של התנכלות לחושפי שחיתות, וה-40% הנותרים דיווחו כי אינם יודעים על מקרים כאלה. כלומר כל המשיבים שדיווחו שבארגונם היו מקרים של התנכלות לחושפי שחיתות הם מארגונים שלא חלה עליהם רגולציה מתקדמת.

הנתונים אינם מייצרים מסקנה חד-משמעית, אולם התובנה העיקרית שעולה מהם היא שיש לא מעט מקרים של התנכלות לחושפי שחיתות. עובדה זו מתקשרת באופן ישיר להיעדר מודעות ומדיניות בנדון בארגונים רבים, בעיקר כאלה שחלה עליהם הרגולציה הישראלית.

יתרה מכך, בשאלתנו לגבי מקרים שבהם עובדים או מנהלים נחשדו בהתנכלות לחושפי שחיתות, דיווחו 83% מהמשיבים כי כלל לא ידוע להם אופן הטיפול בהתנכלות לחושפי שחיתות בארגונם. 17% הנותרים דיווחו כי בארגונם לא ננקטים כלל אמצעים נגד התנכלות לחושפי שחיתות.

אף אחד מהמשיבים לא ציין כי בארגונו מבוצעות בפעולות אקטיביות נגד התנכלות לחושפי שחיתות, כדוגמת העמדה לדין פלילי, העמדה לדין משמעתי או אפילו נזיפה.

נתון זה מחדד את היעדר המודעות לנושא ולצורך בקביעת האמצעים ודרכי הפעולה במקרים של התנכלות לחושפי שחיתות ארגונית.

• ביקורת ובקרה בתחום חושפי שחיתות

לצד בחינת התייחסות הארגונים להגנה על חושפי שחיתות, בדקנו אם יחידות הביקורת הפנימית נמצאות באותה רמת התייחסות של הארגון בכללותו, או שמא הן יותר מתקדמות בתחום זה. בהתאם, ביקשנו לבדוק אם יחידות הביקורת הפנימית בארגונים ערכו ביקורות בתחום הגנת חושפי שחיתות בחמש השנים האחרונות 2022-2017:

מהתרשים נלמד כי במרבית הארגונים נושא ההגנה על חושפי שחיתות ארגונית לא נכלל במסגרת תוכנית הביקורת הפנימית. גם כאן הדבר עולה בקנה אחד עם מדיניות הארגונים בנדון והרגולציה הישראלית שעדיין לא מספיק מפותחת בהקשר הזה לעומת הרגולציה הבין-לאומית.

בהשוואה לפי רמת הרגולציה שחלה בארגונים, העלינו שבארגונים שחלה עליהם רגולציה מתקדמת, 50% מהמשיבים ציינו כי הנושא נבדק במסגרת תוכנית הביקורת פעם אחת או במסגרת מטלות אחרות, לעומת 26% בלבד בקרב המשיבים מארגונים שלא חלה עליהם רגולציה מתקדמת.

כאמור, אחת הבעיות הכבדות בעידוד עובדים לחשוף מעשי שחיתות לסוגיהם היא החשש של עובדים, ספקים ונותני שירותים מהתנכלות. לכן לצד עבודת הביקורת הפנימית, ביקשנו לבחון אם בארגונים ישנם גורמים אחרים בארגון, כדוגמת גורמי ניהול או בקרה, שערכו או עורכים אחת לתקופה סקר/שאלון מובנה או ראיונות מובנים שמבטיחים לעונים סודיות ומנסים לבחון את מידת החשש של עובדים לדווח על מעשים לא תקינים.

93% מהמשיבים מכלל הארגונים דיווחו כי לא נערך בארגונם סקר או שאלון כאמור. אי בדיקת החשש של העובדים פירושה שהמדיניות להגנה על חושפי שחיתות, גם אם היא מתקדמת בחלק מן הארגונים, עדיין נשארה ברמה הפורמלית-דקלרטיבית ולא חדרה לתודעת העובדים ולהפחתת חששות אלה.

תגובות דומות התקבלו גם מניתוח תשובות המשיבים בארגונים שחלה עליהם רגולציה מתקדמת.

• סוף דבר

מהניתוח לעיל עולה תמונת מצב מדאיגה באשר למודעות ולאופן הטיפול של ארגונים בארץ בהגנה על חושפי שחיתויות. תמונת מצב שונה מעט מתקבלת מארגונים שחלה עליהם רגולציה מתקדמת כמו רגולציה מחוץ לישראל או רגולציה ישראלית בתחומים הפיננסיים, אולם גם כאן יש עוד מקום רב לשיפור.

המסקנה העיקרית העולה מתגובות המשיבים לשאלון, מעלה תחומים רגולטוריים מהותיים שטרם הוסדרו או נעשים רק באופן חלקי.

הדבר מתחייב במיוחד באשר למכלול החברות הציבוריות, היות שהמחוקק קבע מפורשות בתיקון משנת 2011 שתפקיד ועדת הביקורת "לקבוע הסדרים לגבי אופן הטיפול בתלונות של עובדי החברה בקשר לליקויים בניהול עסקיה ולגבי ההגנה שתינתן לעובדים שהתלוננו". החוק חל גם על המגזר הפיננסי, ולנוכח הנתונים שהוצגו לעיל ניתן לומר כי ישנה עוד כברת דרך לפעולה מתקנת ומרחיבה בדומה לנעשה במדינות מערביות מתקדמות.

מעניין לציין שהביקורת הפנימית לא התייחסה באופן משמעותי לתחום זה במסגרת תוכנית העבודה, ולא השכילה לקדם את חשיבות הבדיקה בנדון, על מרכיביה החיוניים, לפחות בחמש השנים האחרונות.

הממצאים העולים כאן מהווים גם מסר חשוב לרגולטורים בדמות הצורך בעיגון רגולציה בתחום זה והסדרת רגולציה מתקדמת יותר, כמו גם להנהלות במגזר הממשלתי, בדגש על תאגידים סטטוטוריים והנהלות של משרדי ממשלה.

The post ממצאי שאלון בנושא הגנת חושפי שחיתות appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

כדי שהביקורת הפנימית תוכל לתת ערך רב יותר, עליה לאמץ טכנולוגיות משבשות כחלק מעבודתה.

טכנולוגיות משבשות כבר משנות את הדרך שבה צרכנים, תעשיות ועסקים פועלים. הן מחליפות שיטות מסורתיות ומאיצות תהליכים, ולכן ההתפשטות של טכנולוגיות פורצות דרך, כמו בינה מלאכותית, למידת מכונה ואנליטיקת נתונים, היא מהירה מאוד. גם אם הארגון עדיין לא משתמש בטכנולוגיות אלו, סביר להניח שמשתמשים בהן הלקוחות, הספקים והמתחרים שלו.

עם המעבר לחדשנות, אסטרטגיות עסקיות חדשות מסתמכות יותר מתמיד על יכולות IT חדשות, דבר שמגביר את סיכוני ה-IT ואת סיכוני הסייבר. אולם ממחקרים וסקרים בקרב מבקרים ראשיים עולה שמבקרים פנימיים רבים אולי לא מבינים איך הטכנולוגיות הללו עובדות ולכן אינם מסוגלים לבצע ביקורת נאותה בנושאים אלה. בנוסף, ייתכן שהם לא נהנים מפתרונות טכנולוגיים חדשניים בעבודת הביקורת עקב היעדר תקציבים והיעדר מיומנויות בתוך יחידת הביקורת.

פערי כישורים בביקורת

על פי סקר שנערך על ידי חברת המחקר והייעוץ הטכנולוגית גרטנר, Top Priorities for Audit" Leaders in 2022", גיוס ושימור מבקרים פנימיים בעלי מיומנויות גבוהות בתחום ה-IT הוא האתגר הגדול ביותר למבקרים פנימיים ראשיים השנה. אבל נראה שזו רק בעיה אחת מני רבות במאמציה של הביקורת הפנימית לעמוד בקצב הלמידה שלה בנושאי טכנולוגיות משבשות חדשות והסיכונים וההזדמנויות שבהן.

יותר ממחצית (56%) ממנהלי הביקורת הפנימית שהשתתפו בסקר של גרטנר אומרים שהמעבר ליישומי אנליטיקה מתקדמים יותר, כמו ניטור רציף, אוטומציה ובינה מלאכותית, הוא אתגר מרכזי לשנת 2022. באופן דומה, 53% מודאגים מכך ששיטות הביקורת בתחום ה-IT אינן עומדות בקצב הגידול בדרישות לעבודות ביקורת בתחום הטכנולוגיות החדשות ובתחום סיכוני ה-IT.

למעשה, יותר משליש ממנהלי הביקורת הפנימית אומרים שיש להם אמון נמוך בשיטות הביקורת שלהם בתחום ה-IT וביכולתם לספק ביקורת נאותה בתחום אבטחת הסייבר.

"מבקרים ראשיים ממשיכים לחוות פערים במיומנויות במחלקות שלהם ומבקשים באופן יזום לסגור את הפערים האלה על ידי גיוס עובדים בעלי מיומנויות בתחומי מדע הנתונים, ה-IT והסייבר", אומרת לסלי מקנייט, מנהלת מחקר בכירה בחברת גרטנר בתחום הביקורת והסיכונים. "יותר משליש מהמבקרים הראשיים מדווחים כי עובדים בעלי ביצועים גבוהים עוזבים את הארגון שלהם".

הסקר גם מצא שכמעט מחצית (45%) מהמבקרים הראשיים אומרים שמחלקות הביקורת הפנימית שלהם אינן מוכנות לאמץ יישומי אנליטיקה מתקדמים יותר, וגם בארגונים שבהם הביקורת הפנימית כן משתמשת בכלים אלה, הרבה מבקרים אומרים שהטכנולוגיה אינה מוסיפה ערך. כמעט רבע (23%) אומרים שהם אינם מקבלים מספיק תמורה להשקעה (ROI) בנושא, למשל בתחום האוטומציה הרובוטית של תהליכים, ו-44% אומרים שהשקעותיהם באנליטיקת נתונים "אינן אפקטיביות".

"החשש הזה לגבי עבודות ביקורת בנושא טכנולוגיה, עולה בתקופה שבה 60% ממחלקות הביקורת הפנימית מתכננות להגדיל את ההוצאה על טכנולוגיית ביקורת השנה", אומרת מקנייט. "הקושי בגיוס עובדים בעלי המיומנויות הנכונות למחלקות הביקורת הפנימית, יחד עם הצורך לחזק את היקף הכיסוי של הביקורת בתחום הסיכונים הטכנולוגיים ולקדם את מאמצי הטרנספורמציה הדיגיטלית של הביקורת, יוצרים סערה מושלמת סביב היכולות הנדרשות הללו".

ישנם מבקרים ראשיים האומרים שיש צוותי ביקורת שחוששים להראות עד כמה הם חסרי ידע בתחום ה-IT, ולכן הם אינם מבקשים מהארגון לממן כלים שהם לא יודעים איך להשתמש בהם ושלא התבקשו ללמוד.

אסור לביקורת להישאר מאחור

ליז סנדווית', יועצת ראשית בלשכת המבקרים הפנימיים בלונדון, אומרת שמבקרים פנימיים צריכים להשתמש בטכנולוגיות החדשות האלה, אך אומרת כי "באופן כללי, לעיתים קרובות נדרשת עבודה כדי לשפר את המיומנויות של צוותי הביקורת הפנימית כדי שידעו איך להשתמש בהן". היא מוסיפה כי ישנם שני חסמים משמעותיים לשימוש בטכנולוגיות חדשות על ידי צוותי הביקורת: הראשון הוא מחלקת הכספים, שאינה מעוניינת בהוצאות כספים שאינן הכרחיות, והחסם השני נובע "מחוסר רצונה של מחלקת הביקורת הפנימית עצמה לאמץ טכנולוגיה חדשה".

עם זאת, החשש שמחלקות ביקורת פנימית עלולות להישאר מאחור מציב סיכונים משמעותיים. סנדווית' אומרת שיש סכנה ממשית שארגונים משתמשים במידע ובנתונים ניהוליים שמבקרים פנימיים אינם מסוגלים להשתמש בהם או לאמת אותם. "טכנולוגיות חדשות מייצרות המון נתונים בקצב מהיר מאוד. אבל קשה לתחקר את הנתונים האלה אם הם לא בפורמט שאתה מבין ואם אתה לא יודע את מקורם ואיך נאספו", היא אומרת. "כתוצאה מכך, יכול להיות שההנהלה מבקשת מהביקורת הפנימית לספק הבטחה על נתונים שהיא אינה מסוגלת לאמת, וכן להשתמש בטכנולוגיות שבהן אין לה את המיומנויות הנדרשות. לגבי חסם העלויות, הביקורת צריכה לברר אם יש יחידות אחרות בארגון שמשתמשות באותה טכנולוגיה, ולבקש מהן לשתף את מחלקת הביקורת הפנימית ברישיון ובמספר המשתמשים. יש גם תוספים פשוטים שנותנים ערך בעלות נמוכה.

תרזה גרפנשטיין, מבקרת פנימית ראשית בתחום הטכנולוגיה והנתונים בחברת סיטי בניו יורק, אומרת שהטכנולוגיה חייבת להיות בראש מעייניו של כל צוות ביקורת פנימית. "סיכוני טכנולוגיה הם ללא ספק הסיכונים הגדולים ביותר עבור כל ארגון, ולכן קיימת בעיה רצינית אם הביקורת הפנימית אינה מאמצת את הטכנולוגיות העדכניות ביותר או אינה מבינה אותן".

חשוב שהביקורת הפנימית תשתמש בטכנולוגיות כמו RPA (אוטומציה רובוטית של תהליכים), למידת מכונה, עיבוד שפה ואנליטיקת נתונים, מכיוון שהרבה מעבודתה של הביקורת היא בחינת עסקאות וזרימת נתונים, והכלים האלה מאיצים את התהליך באופן ניכר בכך שהם מאפשרים לנו לעבוד על פני הרבה פלטפורמות, לבצע תחקורי נתונים טובים יותר בהרבה כדי לזהות מגמות ואנומליות. אין ספק שצוותי הביקורת הפנימית צריכים לאמץ את הטכנולוגיות הללו ולקדם את השימוש בהן".

סיכונים והזדמנויות בהטמעת טכנולוגיות חדשות בביקורת – צעד ראשון

"הבעיה היא לדעת מאיפה להתחיל", אומרת גרפנשטיין. "הבנת הסיכונים וההזדמנויות שהטכנולוגיות החדשות יכולות ליצור, הן עבור העסק והן עבור הביקורת הפנימית, יכולה להיות משימה כמעט בלתי אפשרית". לדעתה כדאי תחילה לשאול שאלות בסיסיות: מה עושה הטכנולוגיה? איך היא פועלת? אילו נתונים נדרשת לה? אילו נתונים היא מייצרת? כיצד ניתן לאמת את הנתונים? לאחר שיש תשובות לשאלות הבסיסיות האלה, ניתן להבין טוב יותר אילו יתרונות ניתן להשיג מהשימוש בהן, וכיצד צוות הביקורת הפנימית יכול להשתמש בכלים אלה באופן אפקטיבי.

גרפנשטיין גם ממליצה למבקרים פנימיים ראשיים להיות יצירתיים וגמישים יותר בגישתם. הביקורת הפנימית יכולה לשתף פעולה עם אחרים בארגון שיכולים לעזור, במיוחד צוות הטכנולוגיה. "יכול להיות שלמחלקת ה-IT יש פתרון בנוי מראש שהביקורת הפנימית יכולה לאמץ," היא מציינת. "ניתן לבקש הכשרה או לקבל עזרה ממומחה טכנולוגי פנימי באופן זמני כדי להעניק לצוות הביקורת ניסיון מעשי. אם מחלקת ה-IT לא משתמשת בטכנולוגיה, אפשר לבדוק אם הם מוכנים לנסות אותה עבור הביקורת, כדי לברר אם היא עובדת, אם היא הטובה ביותר בשוק, ואם היא שווה את הכסף".

פיט הנלון, ה-CTO בחברת Moneypenny, חברה שעונה לשיחות במיקור חוץ באמצעות צ'אטים מקוונים ותקשורת דיגיטלית, אומר שהצעד הראשון להוכחת הצורך של הביקורת בטכנולוגיה חדשנית כלשהי הוא ליצור "פיץ' מעלית" קצר שמסביר את הבעיה וגם איך פתרון טכנולוגי חדש יפתור אותה (וכן לציין את ההחזר הפוטנציאלי על ההשקעה). הפיץ', שאמור להשיג הסכמה לרכישת הטכנולוגיה לפני יצירת תוכנית מפורטת, "צריך להיות בשפה פשוטה וברורה לכל אחד ולא רק למומחה בתחום", הוא מוסיף.

קביעת הטכנולוגיות שנרצה להשתמש בהן

לאחר שקיבלנו את הסכמת הארגון לטכנולוגיה שרצינו, יש לבנות תוכנית עסקית המתמקדת בתוצאות העסקיות מהיישום. אם יש הצדקה עסקית, יהיה קל יותר לשכנע את הארגון להשקיע בה. אולם אם היתרון היחיד הוא שהמחלקה תשתמש בטכנולוגיה חדשה רק כי היא חדשה ונוצצת, יש לעצור מיד את הפרויקט.

כריס טוצ'י, פרופסור לאסטרטגיה דיגיטלית וחדשנות בבית הספר לעסקים, אימפריאל קולג' בלונדון, מסכים שאם הביקורת הפנימית רוצה גישה לטכנולוגיות אלה כחלק מעבודתה, היא צריכה לזהות את התחומים שבהם תוכל להשתמש בהן ולהציג את היתרונות לעבודת הביקורת.

הוא מציע לצוותי הביקורת הפנימית להציג טיעון עסקי פשוט והגיוני, העונה על השאלות הבאות:

Ÿ    אילו שיפורים יושגו ביעילות הביקורת בזכות השימוש בכלים?

Ÿ    באילו תחומים הכלים יסייעו לביקורת להגביר יעילות?

Ÿ    אילו משימות חדשות תוכל הביקורת הפנימית לבצע עם הטכנולוגיות הללו שהיא אינה מבצעת כיום?

Ÿ    אילו סוגים של משימות תוכל הביקורת הפנימית לספק בהיקף גדול יותר בזכות הטכנולוגיות הללו?

טוצ'י מוסיף כי על הביקורת הפנימית להראות אילו יתרונות פיננסיים ולא פיננסיים היא יכולה למנף באמצעות הטכנולוגיות האלה. "השגת חיסכון בעלויות היא כמובן טיעון טוב, אך חשוב גם להדגיש יתרונות פוטנציאליים אחרים, לדוגמה: ההשקעה בהכשרת הצוות תשפר מיומנויות, תעלה את מורל העובדים ואת שביעות רצונם, דבר שמסייע בשימור וגיוס עובדים כישרוניים. כל אלה הם שיקולים חשובים בתקופה שבה בעיה מרכזית עבור ארגונים היא שימור עובדים".

אם עדיין קשה לשכנע את הארגון להשקיע בטכנולוגיות חדשניות עבור הביקורת, ניתן לשקול אפשרויות נוספות: לנסות לשתף יחידות נוספות בארגון בתוכנית הפעולה וגם בעלויות, כגון יחידת הציות, המחלקה המשפטית או מחלקת ניהול הסיכונים. לחילופין, הביקורת הפנימית יכולה לחבור למחלקות אחרות בארגון שכבר יש להן גישה לטכנולוגיה, כגון מחלקת ה-IT ומחלקת אבטחת הסייבר, ולבקש מהן להעניק הכשרה או להשאיל עובדים באופן זמני לביקורת הפנימית עבור משימות או פרויקטים ספציפיים, או לבקש מהן להמליץ לתת לביקורת הפנימית גישה ישירה לכלים אלה.

גם כאן, חשוב להיות ספציפי לגבי צורכי ההכשרה, המיומנויות והמומחיות הנדרשים לביקורת הפנימית, אומר טוצ'י, שכן מאמצים להשיג עזרה ממקומות אחרים בעסק כדי לסגור פערים במיומנויות לא תמיד משתלמים. חברת גרטנר מצאה כי רק 15% ממנהלי הביקורת מצליחים לקבל מהעסק את המומחיות הנדרשת בנושאים השונים כדי לתמוך בעבודתם בעת הצורך.

הקפיצה הטכנולוגית

על הביקורת הפנימית להישאר מעודכנת בטכנולוגיות החדשניות ביותר, במיוחד כי היא תידרש לבצע משימות ביקורת בנושאי השימוש בטכנולוגיה ברחבי הארגון, ותצטרך להתייחס לבקרות הנדרשות כדי להפחית את סיכוני הטכנולוגיה. אולם כדי שהיקף הביקורת יגדל, צוותי הביקורת הפנימית צריכים להשתמש בטכנולוגיות אלה גם כחלק מעבודת הביקורת, כדי לעשות יותר, וכדי לתת לארגון ערך רב יותר.

"אי אפשר להשאיר את הביקורת הפנימית מאחור", אומרת סנדווית', "הטכנולוגיות החדשות משנות את הדרך שבה ארגונים פועלים, וכמקצוע אנחנו חייבים לאמץ אותן".

ניל הודג' הוא עיתונאי עצמאי המתגורר בנוטינגהאם באנגליה.

מבקרים משתפים ב-5 "החידושים המשבשים" עבור הביקורת הפנימית

אנליטיקת נתונים

תוכנות אנליטיקה משפרות את הערכות סיכונים, את עבודת הביקורת בשטח ואת תהליכי הדיווח. כיום כלים אלה מהווים חלק מרכזי בתהליכי התפעול של ארגונים.

אוטומציה רובוטית של תהליכים – RPA

מערכות מבוססות כללים, המחקות התנהגות אנושית כדי להפוך חלקים של תהליכים שחוזרים על עצמם לאוטומטיים. הן שימושיות מאוד לעבודת הביקורת מפני שהן מאפשרות בחינה מהירה של כמויות גדולות של נתונים על פני פלטפורמות מרובות, וגם הרחבת היקף הכיסוי של הביקורת.

יישומים של אינטליגנציה קוגניטיבית

בינה מלאכותית, למידת מכונה ויצירה/עיבוד של שפה טבעית, מספקים מבנה לנתונים ומשפרים את יכולת הניבוי. הם יכולים גם לזהות מגמות שכלי IT שגרתיים לא מסוגלים לזהות בדרך כלל.

מחשוב ענן

ככל שארגונים מייצרים יותר ויותר נתונים, כך הם עתידים להסתמך יותר ויותר על הענן כדי לאחסן נתונים. הענן מופעל בדרך כלל על ידי צד שלישי, ועל הביקורת הפנימית לוודא שנתונים אלה מוגנים ואינם בסכנה.

בלוקצ'יין

בלוקצ'יין הוא מסד נתונים משותף היוצר תיעוד קבוע של עסקאות המשותפות ברשת של מכשירים מחוברים מרובים, המכונים nodes (צמתים). היכולת לאחסן – ולא לשנות – נתונים טרנזקציונליים או היסטוריים, פירושה שהטכנולוגיה מציעה יישומים רבים במגוון תעשיות.

The post "המבקר המשבש" – The Disruptive Auditor appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

השאלות שעולות בחדרים אלה, רובן ככולן, נעות על הסקאלה המבקשת לבחון כיצד ניתן למדוד ולנטר סיכונים הקשורים לגילויים אלה.

שאלות נוספות שעולות כוללות תהייה בקשר לסטנדרטים המקובלים בתחומים אלה, וכן מהי מידת המיקוד הנדרשת בכל נושא ונושא. חשוב לציין כי גם בזמן כתיבת שורות אלה שחקני השוק, שכוללים חברות השקעה, גופי הלוואות וחברות דירוג, פועלים ללא לאות להטמעתם של שיקולי ESG. כל המנויים לעיל מצפים לשקיפות רבה יותר לגבי מדדים שאינם פיננסים נוכח "האקלים הרגולטורי", כפי שיפורט להלן.

בנוסף, ממשלות בעולם מפרסמות לעיתים קרובות תקנות חדשות הקשורות להפחתת פליטות פחמן, וכן החלטות על מיסים חדשים הנוגעים לשיקולים אלה.

מבלי לגרוע משיקולים של תאגידים שונים, צרכנים בעלי מודעות חברתית פועלים בצורה ישירה תוך שהם מעודדים עסקים לקחת בחשבון שיקולי ESG ולהטמיע אותם במוצריהם. כמובן שגם המגפה העולמית יצרה תנופה משמעותית בדרישה לשינוי.

במאמר נציג את תפיסת אופן ניהול תוכניות ה-ESG בחברות תאגידיות, מהם המרכיבים של תוכניות אלו, וכיצד ניתן להטמיע תוכניות אלו בצורה מיטבית.

מה זה ESG?

רבים חושבים כי השקעות שלוקחות בחשבון שיקולי ESG הם מושג חדש, אך לא כך הדבר. השקעות הקשורות ל-ESG קיימות בשיח הפיננסי מאז שנות השישים של המאה העשרים, כאשר הן היו מוכוונות להשקעות בעלות אחריות חברתית ובת-קיימא.

בשנים האחרונות, המילה "קיימות" התפתחה כמילה נרדפת ל-ESG והיא כוללת למעשה התאמה של ערכים חברתיים/סביבתיים לסיכונים מוחשיים יותר (אקלים, הון אנושי, מגוון ניהולי וכו'), וכן הזדמנויות שעלולות להשפיע על יכולת החברה ליצור ערך ארוך טווח.

האם מדובר בשינוי מגמה?

במרץ-אפריל 2021 ערכה פירמת PwC העולמית סקר בקרב מנהלים בחברות שונות בעולם לגבי רמת המודעות והתעדוף שלהם לנושאי ESG, המחויבות האישית שלהם, ואמונתם כי יש בכוחם של תאגידים להשפיע לטובה על החברה. בסקר התברר שרוב מנהלי החברות (כמעט שלושה רבעים) היו בשלבים הראשונים בלבד של הטמעת שיקולי ה-ESG. עם זאת, מהסקר עלה כי חלק מהחברות החלו "לכייל" את מטרותיהן מחדש לכיוון מערכת אקולוגית של יצירת ערכים של קיימות, מעורבותם של עובדים, ושיתוף פעולה עם צדדים שלישיים בנושא.

להלן תיאור שלושת הממדים של מהפכת ה-ESG:

מנתונים נוספים שנאספו על ידי PwC בספטמבר 2021, עלה כי 89% מהמשקיעים סבורים שהחברה שבה השקיעו שינתה את אופן ההצבעה או המדיניות, כך שאופן ניהולה של החברה החל להיות מודע יותר לסיכוני ESG. שני שלישים מן המשקיעים המוסדיים מאמינים כי ESG יהפוך לסטנדרט בתעשייה בתוך חמש שנים.

זאת ועוד, 67 חברות מתוך 100 המדורגות במדד S&P שפרסמו הצהרות לגבי שוויון, התבקשו להעביר מידע בקשר לגיוון והכלה על ידי הרגולטור הפיננסי בניו-יורק. לבסוף, חברת ^[1]Black rock מעריכה כי 20% מכל תעודות הסל תהיינה כרוכות בדירוגי ESG עד לשנת 2028.

התרשים הבא מציג את הגורמים המעכבים את הטמעת עקרונות ה-ESG.

ניתן לראות ששלושת החסמים שדורגו כמרכזיים משפיעים יותר על חברות שנמצאות בפיגור בהטמעת ESG.

אסטרטגיה מחודשת

במקרים מסוימים, דיווחים מהסוג חדש יגרמו לחברות להבין שכדי להציג התקדמות מול המדדים החדשים עליהן לחשוב שוב על שאלות אסטרטגיות בסיסיות לגבי היכן וכיצד להתחרות בחברות אחרות.

במקרים אחרים, חברות פועלות ביתר שאת על מנת להגדיר מחדש את האסטרטגיה שלהן כאשר שיקולי ESG מוטמעים עמוק בשיקולים שלהן. הנהלות של חברות בוחנות מחודש את הפשרות האסטרטגיות הקשות בתגובה הן להזדמנויות חדשות והן ללחצים חיצוניים, כגון חששות מפליטות פחמן כבדות (מאוד אקטואלי בחברות הפועלות בשוק האנרגיה למשל), וכן לגבי מגוון שיקולים חברתיים, כולל שיקולי בריאות, גזע, מגדר, הכלה ואי שוויון.

אם סדרי העדיפויות האסטרטגיים האלו מביאים לתוצאות הנתפסות יותר ויותר ככאלו הלוקחות בחשבון שיקולים אלה וכן מנצלות הזדמנויות שונות, בסופו של דבר החברה תגדיר מחדש לא רק "מה היא עושה", אלא איך היא עושה זאת.

שינויים עסקיים

חברה שתבקש להתחיל לדווח מול יעדים שאינם פיננסים תגלה במהרה שהיא נדרשת להגדיר יעדים מסוג זה כדי לנהלם. לכן עליה לפעול לשינוי עסקי – טרנספורמציה – לצורך השגת יעדים אלה.

• חברות תצטרכנה לנהל באופן אקטיבי את התוצאות העסקיות הקשורות ל-ESG על ידי הפנמת שיקולי ESG באסטרטגיה. למנהלי החברות יש תפקיד קריטי בהנעת האג'נדה הזו לשינוי, שאינה שונה משינויים דיגיטליים המוטמעים בחברות באופן תדיר.

כך לדוגמה, קביעת יעד פליטות פחמן שהוא יעד שאפתני לחברה ושיש בו כדי לקבוע אסטרטגיה מחודשת; ארגון מחדש של עסקים שאינם עסקים המוגדרים כעסקים ברי-קיימא; סדרי עדיפויות שאפתניים של גיוון, שוויון והכלה (DEI); או שינוי נדרש בשרשרת האספקה. במילים אחרות, סדר היום של ה-ESG שיתקבל יכלול בסופו של דבר יוזמות הקשורות לדיווח, לאסטרטגיות ולשינויים עסקיים.

• כל אלה יביאו למשוואה חדשה לעסקים: התנהגויות המבוססות על מטרה ואמון, ויוצרות ערך באמצעות מציאת פתרונות לאתגרים העומדים בפני החברה.

סטנדרטים חדשים

חלק מהאתגר שמציבה המהפכה הנדונה בפני החברות השונות והנהלותיהן הוא ריבויים של דירוגי ESG (לגבי חברות דירוג פרטיות), וכן שונות במדדי הערכות הסיכונים שפותחו על ידי חברות דירוג שונות. הניקוד המוענק על ידי חברות הדירוג אינו שקוף ואינו ניתן להשוואה מכיוון שהדירוגים מבוססים על קריטריונים שונים שנלקחו ממסגרות שנקבעו על ידי גופי דירוג רבים.

באופן לא מפתיע, מסקר שנערך לאחרונה עלה כי "היעדר דיווח על סטנדרטים" נחשב כאחד מן החסמים ליעילותם של שיקולי ESG על ידי מנהלים.
כל מי ששהה בישיבת הנהלה או בישיבות דירקטוריון בתקופה האחרונה נחשף בשלב מסוים לפירוט ארוך שקשור לסוגיות ESG, יוזמות ומדדים שמישהו מבצע מעקב אחריהם. למרבה הצער, רק לעיתים רחוקות המטרה של כל יוזמה ברורה, שלא לדבר על כמה רחוק הארגון מהמטרה הזו, או איך כל החלקים מסתכמים ליעדים שיש בהם יצירת ערך.

בנוסף, תקנים הקשורים ל-ESG הולכים ונערמים ככל שהוראות מנדטוריות הנוגעות לדוחות שאינם פיננסיים נכנסות לתוקפן. באיחוד האירופי מגמה זו מתרחשת גם כתוצאה ישירה של רגולציה "ירוקה", וה-SEC האמריקאי הולך בעקבותיו, מהלך שיעמוד בהלימה להוראתו הביצועית מחודש מאי 2021 של הנשיא הנבחר ביידן בנוגע לסיכונים פיננסים הקשורים לאקלים.

קביעת קווים מנחים

כל דרישת פיקוח חדשה לגבי דיווח קפדני נדרשת לקווים מנחים. למשל, אם מתחילים למדוד את טביעת הרגל הפחמנית של בניין משרדים או של שרשרת אספקה, את ביצועה של הערכה מקדמית בקשר להקמת מתקן ייצור, או את גידולם של יבולים חקלאיים פגיעים להצפות או לבצורות. ככל שהשיקולים רבים יותר, קשה יותר להגדיר מהם היעדים הרלוונטיים שסביר שהארגון יעמוד בהם.

שינוי עסקי

שינוי הקשור ל-ESG יכול לקרות כתוצאה מאסטרטגיה חדשה, משינויים בדרישות דיווח, או ממאמצים מתמשכים לניסוח מחדש של תהליכים או קבלת החלטות המתבססים על נתונים.  שינוי הקשור להטמעה של שיקולי ESG אינו שונה משינוי הקשור לדיגיטציה למשל, שמהווה מיקוד קריטי לחברות רבות בשנים האחרונות. כמובן שהשינוי העסקי יכול גם להתרחב מעבר ל"גבולות" החברה ולקבל ביטוי גם באקוסיסטם הרחב יותר שלה.

מובילים שינוי

ההשפעות מרחיקות הלכת של השינויים הקשורים ל-ESG תלויות במידה רבה במיקוד ובדחף של המנהלים הבכירים בחברות. בארגונים רבים המנהיגות הדרושה עדיין מתעוררת. הקריטריון "חוסר תשומת לב או אי תמיכה מההנהלה" דורג במקום גבוה ברשימת החסמים ליעילות ESG בסקר המנהלים האחרון של PwC.

עדיפות נוספת הנדרשת לפעילותם של מנהלי חברות היא לְגבות את יוזמות ה-ESG והשאיפות שלהן במשאבים אמיתיים. ברוב הארגונים קל יותר לומר מאשר לעשות, נוכח מגבלות תקציב, כאשר ישנה תחרות ניכרת על ההון ועל העובדים הטובים ביותר, ובסדר העדיפויות העכשווי קל להתעלם משיקולי ESG.

הרצון "לעשות עסקים"

סביר להניח שהדחף לבצע עסקאות משמעותיות ולטפל בנושאי ESG, כמו גם יצירתן של הזדמנויות חדשות, ימשיך להתגבר בעידוד משקיעים ובעלי מניות, ממשלות וקובעי מדיניות, עובדים, ספקים, לקוחות וכלל האוכלוסייה.

ישנה מודעות מוגברת לסיכונים שנדרשים לזיהוי וניהול, אבל ישנן גם הזדמנויות עצומות שמציע השינוי שהחברה מתמודדת איתו כעת.

בין אם מסע ה-ESG של הארגון מתחיל כתגובה לדרישת רגולטורית חדשה, ובין אם הוא משקף רענון של אסטרטגיה מלמעלה למטה, הדבר יוביל להערכה מחודשת של פעולות ופעילויות ולתוצאות משמעותיות בחברה.

נקודת מבט מקומית

המשק הישראלי והחברות שפועלות בארץ בלבד עדיין בתחילת הדרך, והנושא מתחיל לקבל תשומת לב מסוימת באמצעות חלק מהרגולטורים (רשות ניירות ערך, בנק ישראל, רשות שוק ההון, כנסת ישראל).

בצד של הצרכנים הנושא עדיין נחשב נישתי וכ"טרנד ירוק" ולא מקבל תשומת לב ראויה. מאידך, החברות הישראליות הגלובליות שפועלות בחו"ל כבר שם ברמת המוכנות, ובשנתיים האחרונות נערכות לכך, לרבות הקמה של יחידות ייעודיות וסקרי סיכונים לטובת קבלת הסמכות לדירוג ירוק שיאפשר להם בהמשך לקבל אשראי ולגייס אג"ח בריבית נמוכה.

בתחום ההשקעות האחראיות אנחנו רואים שגופים מוסדיים רבים כבר אימצו מדיניות של השקעה אחראית, אבל נכון לעכשיו עדיין לא מדובר בזרם משמעותי של השקעות לצד מסלולי ההשקעה הקלאסיים. בנוסף, תחומי ההשקעה האחראית אינם מתייחסים עדיין לכלל האספקטים של ה-ESG: הסביבתיים, החברתיים והממשל תאגידי.

לסיכום

כפי שעולה מקריאת שורות אלה, המהפכה כבר כאן. ההוראות הרגולטוריות, המדדים והדירוגים מעידים כי שלושת הנדבכים כאן כדי להישאר. במאמר זה הצגנו את הנקודות השונות לאורך המסע. בין אם מדובר בדיווחים חדשים, באסטרטגיות נדרשות, בסטנדרטים חדשים, בשינויים ברמת העסקית או ביישומים דיגיטליים, יש בכל אלה להעיד על השינוי שהחל. כוחות חיצוניים כדוגמת הוראות הרגולציה השונות, וכוחות פנימיים כדוגמת התוויית מדיניות על ידי חברי מועצות המנהלים של החברות, הם אלו שיקבעו את עוצמת המהפכה. שינויים תפיסתיים כאלה לוקחים זמן, אך ברור כי בזמן כתיבת שורות אלה כבר לא ניתן לסוב לאחור.

[1] חברת Black Rock היא חברת ניהול הנכסים הגדולה בעולם, המנהלת נכון לאוקטובר 2021 נכסים בשווי של כ-9.5 טריליון דולר.

The post האם אתם מוכנים למהפכת ה-ESG? appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

בשנים האחרונות הארגונים לסוגיהם מתמודדים עם "שיבושיות" – שינויים כבדי משקל המחייבים חדשנות ארגונית ניהולית נמשכת ומואצת. גם הביקורת הפנימית בארגונים מתמודדת ותמשיך להתמודד עם השינויים הרבים והמשתנים. שינויים והתפתחויות אלה הגבירו את הצורך של הביקורת הפנימית לאמץ שיטות ביקורת מ"הדור הבא" (כדוגמת גמישות ויכולות טכנולוגיות, יחד עם שיטות ביקורת חדשניות) ולרכוש מיומנויות בתחומים האלה.

ככל שהביקורת הפנימית תלך בדרך ההתחדשות יהיה בכך לבסס את מעמד הביקורת הפנימית כמערכת התורמת לארגון.

כדי לבחון את אופן ההתמודדות ואת מידת ההתאמה של הארגונים בישראל לשינויים, ובהתאמה, גם של יחידות הביקורת הפנימית, ערכנו בקרב מבקרים פנימיים ראשיים בארץ שאלון לדירוג הבשלות הדיגיטלית ושל ההתפתחות בהיבטי היזמות והחדשנות של הארגונים ובהתאמה גם של יחידות הביקורת.

השאלון נעשה בהלימה לשאלון בינלאומי שבוצע בתקופה דצמבר 2020 – פברואר 2021 על ידי חברת הייעוץ הבינלאומית Protivity שהקיף 870 מבקרים ראשיים ובעלי תפקידים מקבילים ואחרים בתחום הביקורת הפנימית.

ניתוח תוצאות השאלון, כפי שיובא להלן, בוצע תוך השוואה בין התוצאות השאלון בארץ לתוצאות השאלון הבינלאומי בחו"ל.

מתודולוגיית השאלון

כדי להבין את תוצאות השאלון, יש להבין ראשית מהי בשלות דיגיטלית ניהולית וכיצד היא מקבלת ביטוי בארגונים.

בשלות דיגיטלית וניהולית – משמעותן שינוי הדרך שבה הארגונים ובמיוחד יחידות הביקורת הפנימית מתכננים ופועלים בכל פעולה שהם מבצעים, כדי להתמודד טוב יותר מול המציאות המשתנה ומול מתחרים (ארגונים מובילים ויחידות ביקורת פנימית מובילות) מבחינה דיגיטלית וניהולית. תהליכים אלה כוללים גידול בשימוש במידע ובטכנולוגיה מתקדמת וחדשנית כדי לשפר את מערך הקשרים עם הלקוחות, דיגיטציה של שירותים ומוצרים, ביצוע טוב יותר של קבלת החלטות, שיפור הביצועים התפעוליים, בחינה ושינוי של האסטרטגיה, הטמעת שיטות בדיקה חדשות, הכשרה ושינויי כוח אדם נדרשים וכדומה.

השאלון כלל שני חלקים עיקריים:

1. דירוג הבשלות הדיגיטלית בארגון בכללותו לצד דירוג הבשלות הדיגיטלית והניהולית ביכולות שונות של יחידת הביקורת הפנימית בארגון.
2. היבטים שונים ביחידת הביקורת הפנימית בארגון הנוגעים ביזמות לשינוי ולחדשנות.

לצורך דירוג הבשלות הדיגיטלית והניהולית, הוגדרו 10 דרגות בשלות דיגיטלית:

1. ספקנות דיגיטלית שמשמעותה התנגדות לשינוי: אין תוכנית דיגיטלית פורמלית והחידושים מנוהלים "אד הוק" או בדרך של תגובה נקודתית.
2. ספקנות דיגיטלית (+)עדיין קיימת התנגדות לשינוי אך כבר עם נטייה לאימוץ השינוי.
3. התחלה דיגיטלית אימוץ השינוי: התוכנית הדיגיטלית עדיין לא מפותחת באופן מלא, למרות שיש כבר יוזמות דיגיטליות בעיצומן והמטרות של יוזמות אלה ידועות.
4. התחלה דיגיטלית (+) אימוץ השינוי כולל נטייה לפיתוח אסטרטגיית פעולה.
5. המשכיות דיגיטלית – פיתוח אסטרטגיית פעולה וגמישות: הארגון פיתח אסטרטגיה דיגיטלית ואישר אבני דרך של ביצוע יוזמות דיגיטליות. החדשנות הדיגיטלית מתמקדת בעיקר באספקטים של סודיות והגנת הפרטיות של הלקוחות.
6. המשכיות דיגיטלית (+)פיתוח אסטרטגיית פעולה וגמישות מתקדמים עם נטייה ליישום האסטרטגיות.
7. מומחיות דיגיטלית יישום אסטרטגיה דיגיטלית: היבטים טכנולוגיים נלקחים בחשבון בניהול בארגון בכללותו. הושגה רמה גבוהה של תהליכים אוטומטיים. הארגון אישר אבני דרך תוך אימוץ טכנולוגיות מתפתחות.
8. מומחיות דיגיטלית (+) יישום אסטרטגיה דיגיטלית מתקדמת עם נטייה ושאיפה לחדשנות.
9. עליונות דיגיטלית חדשנות ו"שיבוש"- יציאה ממודלים מסורתיים: הארגון אישר אבני דרך של יציאה מהמודלים העסקיים המסורתיים. היבטים טכנולוגים בתוכנית האסטרטגית ממשיכים להשתפר ומיושמים בכל הארגון בהתבסס על ניסיון שנלמד ועל מדדי ניבוי.
10. עליונות דיגיטלית (+) הארגון כבר מוכיח ומיישם, באופן משמעותי ולאורך זמן, תרבות ארגונית של יציאה ממודלים מסורתיים תוך חדשנות מתקדמת, יזמות לשינויים, שימוש במחקרים ומדדי ניבוי, שבירת המוסכמות ויציאה מהקופסה.

בנוסף חילקנו את הנשאלים לפי דירוג הארגון בכללותו כדלקמן:

• ארגונים מובילים דיגיטלית – ארגונים שדורגו בכללותם בדירוג בשלות דיגיטלית של 7 ומעלה (מומחיות דיגיטלית ועליונות דיגיטלית)
• ארגונים אחרים (שאינם מובילים דיגיטלית) ארגונים שדורגו בכללותם בדירוג בשלות דיגיטלית של 6 ומטה.

ניתוח הבשלות הדיגיטלית בארגון בכללותו

להלן התפלגות דירוג הבשלות הדיגיטלית בארגונים בארץ בהשוואה לדירוג הבשלות הדיגיטלית בארגונים בחו"ל על פי שיעור המשיבים:

ניתן לראות כי בעוד ש־70% מהמבקרים הראשיים בחו"ל דירגו את ארגונם ברמות בשלות דיגיטליות שעד דרגה 6 – בין התחלה דיגיטלית להמשכיות דיגיטלית, הרי ש-70% מהמבקרים הפנימיים בארץ דירגו את ארגונם ברמות בשלות דיגיטליות גבוהות יותר -דרגות 7 ומעלה שנעות בין מומחיות דיגיטלית לעליונות דיגיטלית.

53% מהמשיבים בארץ דירגו את הארגון בציונים 7-8 – מומחיות דיגיטלית, לעומת 13% מהמשיבים בחו"ל באותן קטגוריות.

אפשר שהפערים נובעים מהיותה של ישראל ""START UP NATION, או לחלופין שיש כאן הערכת־יתר של המבקרים הראשיים בישראל באשר לבשלות הדיגיטלית של הארגונים שלהם.

ניתוח הבשלות הדיגיטלית והניהולית-ארגונית של הביקורת הפנימית

המבקרים הפנימיים הראשיים נתבקשו לדרג כל אחת מתוך 12 יכולות של הביקורת הפנימית בדירוג הבשלות הדיגיטלית מ־1 עד 10.

לצורך ניתוח הנתונים, בכל אחת מיכולות הביקורות ערכנו ממוצע של הדירוג של כלל הנשאלים.

יכולות הביקורת הפנימית – הבשלות הדיגיטלית והארגונית־ניהולית – כלל המשיבים:

להלן התפלגות הציון הממוצע של דירוג הבשלות הדיגיטלית של כלל הארגונים בארץ בהשוואה לדירוג הציון הממוצע של הבשלות הדיגיטלית בארגונים בחו"ל:

ניתן לראות שממוצע דירוג יכולות הביקורת הפנימית דומה במרבית היכולות בארץ ובחו"ל. יחד עם זאת, נראה כי ביכולות "רכות" יותר, כדוגמת בניית חזון אסטרטגי, שינויים במבנה הארגוני של יחידות הביקורת, ניהול המשאבים וכוח האדם בדגש על איתור, גיוס והכשרת "טאלנטים", תחום ההבטחה – ASSURANCE ועוד, הדירוג הממוצע של הבשלות הדיגיטלית בארגונים בחו"ל גבוה יותר מאשר בארץ. יחד עם זאת יש להביא בחשבון כי הציונים בארץ ובחו"ל הם הערכות סובייקטיביות של העונים לשאלון.

כך או כך, ממוצע כלל הציונים נמוך מציון 6 וקרוב יותר לציון 5 ומטה. כלומר, בממוצע יש עוד דרך ארוכה בפני המבקרים הראשיים בארץ ובחו"ל, לשאוף לשיפור ניכר בכל המרכיבים לעיל ולשאוף לציונים של 7 ומעלה.

הצורך בשיפור הנתונים בישראל נכון שבעתיים מול הבשלות הדיגיטלית הגבוהה של הארגונים בישראל, כפי שהוצגה בתרשים 1 לעיל וכפי שתוצג גם בהמשך.

להלן נבחן את הבשלות הדיגיטלית והניהולית של יחידות הביקורת הפנימית יחסית למדד הבשלות של ארגונים מובילים דיגיטלית (ציון 7 ומעלה) לבין הארגונים האחרים (ציון 6 ומטה) :

ארגונים מובילים דיגיטלית – יכולות הביקורת הפנימית – (ארגונים בדירוג כולל של בשלות דיגיטלית 7 ומעלה):

להלן התפלגות הציון הממוצע של דירוג הבשלות הדיגיטלית של יכולות יחידות הביקורת בארץ בארגונים מובילים דיגיטלית בהשוואה לדירוג הציון הממוצע של הבשלות הדיגיטלית של יכולות יחידות הביקורת בחו"ל:

ניתן לראות כי בארגונים מובילים דיגיטלית בחו"ל ממוצע הבשלות של הביקורת הפנימית גבוה מממוצע דירוג הבשלות הדיגיטלית של הביקורת הפנימית בארגונים מובילים דיגיטלית בארץ. ההפרשים נעים בין חצי ציון לציון וחצי.

יתר על כן, ממוצע הבשלות הדיגיטלית של יכולות הביקורת בארץ נמוך אף מציון 6 ובדרך כלל הוא בדרגות של 5.5 -4.5 – דרוג נמוך מבחינה אובייקטיבית. לעומת זאת, ממוצע הבשלות של הביקורת הפנימית בחו"ל הוא בדרגות 7 עד 6.5.

בניתוח מעמיק של הנתונים עולה כי 43% מהמשיבים לשאלון בארץ דיווחו שהארגון שלהם מוביל דיגיטלית (7 ומעלה) אבל ממוצע יכולות יחידת הביקורת אינו עומד בקטגורית מוביל דיגיטלית (6 ומטה), לעומת 8% בלבד בחו"ל.

כלומר, הביקורת הפנימית בישראל, בדגש על הביקורת בארגונים מובילים דיגיטלית, צריכה להיערך להשתנות מהותית בכל ממדי הבשלות.

יודגש כי ההערה היא על רקע התוצאה הממוצעת ובכל ממוצע ישנן יחידות ביקורת פנימית בדרגת בשלות דיגיטלית וניהולית גבוהה ותואמת את צרכי הארגון וישנן גם יחידות ביקורת שנמצאות בפער ניכר מול הבשלות הדיגיטלית של הארגונים.

ארגונים שאינם מובילים דיגיטלית – יכולות הביקורת הפנימית – (ארגונים בדירוג כולל של בשלות דיגיטלית של 6 ומטה):

להלן התפלגות הציון הממוצע של דירוג הבשלות הדיגיטלית של יכולות יחידות הביקורת הפנימית בארגונים שאינם מובילים דיגיטלית בארץ, בהשוואה לדירוג הציון הממוצע של הבשלות הדיגיטלית של יכולות יחידות ביקורת פנימית בארגונים שאינם מובילים דיגיטלית בחו"ל:

ככלל, ניתן לראות מהטבלה שבארגונים שאינם מובילים דיגיטלית בחו"ל, גם היכולת של יחידות הביקורת נמוכה, פעמים עד מאוד, והיא נעה מציון 2.5 עד ציון 5, לעומת ציון של כ־2.5 עד ציון 4.5 בישראל. יתר על כן, בכל יכולות הביקורת (למעט שתיים), הבשלות בישראל נמוכה יותר מאשר בחו"ל ובשיעור ניכר.

בניתוח מעמיק של הנתונים עולה כי 39% מהמשיבים לשאלון בארץ דיווחו גם שהארגון שלהם אינו מוביל דיגיטלית (6 ומטה) וגם שממוצע יכולות יחידת הביקורת שלהם אינו עומד בקטגורית מוביל דיגיטלית (6 ומטה), לעומת 78% בחו"ל.

ובהרחבה, בעוד שיש יכולות ביקורת שבהן ממוצע הבשלות הדיגיטלית של יחידות הביקורת בארגונים שאינם מובילים דיגיטלית בארץ ובחו"ל דומה (בעיקר ביכולות טכניות הנוגעות לשיטות העבודה כדוגמת ניטור מתמשך, ביקורת אג'ילית ואנליטיקה מתקדמת) הרי שביכולות הנוגעות לניהול המשאבים וכוח האדם, תחום ההבטחה, הראיה האסטרטגית והמבנה הארגוני, הבשלות הדיגיטלית של יכולות הביקורת בארגונים בחו"ל גבוהה בממוצע עד כדי כ-2 ציונים מהבשלות של יכולות הביקורת בארץ.

בשורה התחתונה, בארגונים שאינם בשלים דיגיטלית, גם ממוצע יכולות יחידות הביקורת הפנימית בארץ ובחו"ל נמצא בבשלות דיגיטלית־ניהולית נמוכה עד נמוכה מאוד. ובדרך כלל, בשלות בישראל אף נמוכה מאשר בחו"ל.

בארץ – תמונת מצב כוללת

בשלות דיגיטלית של הארגונים בישראל מול הבשלות של יחידות הביקורת באותם ארגונים

לפי הערכת המבקרים הראשיים ממוצע הבשלות הדיגיטלית של הארגונים בארץ עומד על 6.3, בעוד שממוצע הבשלות הדיגיטלית של יחידות הביקורת באותם ארגונים בארץ עומד על 4.4 בלבד.

ובאחוזים: על פי דיווחי המבקרים הפנימיים הראשיים בארץ, 61% מהארגונים הינם מובילים דיגיטלית (בדירוג של 7 ומעלה), בעוד שרק 18% מיחידות הביקורת הן מובילות דיגיטליות (ממוצע יכולות הביקורת).

קרי, קיים פער משמעותי בדיווחי הנשאלים בארץ בין הבשלות הדיגיטלית של הארגונים בכללותם לבין הבשלות הדיגיטלית של יכולות הביקורת.

גודל יחידות הביקורת

ערכנו ניתוח ייחודי רק לישראל לבחינת ההשפעה של גודל יחידות הביקורת על ממוצע הבשלות הדיגיטלית של יחידות הביקורת הפנימית ולהלן תוצאותיו:

הערה: רוב רובן של יחידות הביקורת בקבוצה הראשונה שנעה בין עובד אחד ל-20־ עובדים הם בקטגוריה של עובד אחד עד 10 עובדים (71%)

מהנתונים בטבלה ניתן ללמוד כי ממוצע הבשלות הדיגיטלית של יכולות הביקורת בארגונים שבהם יחידת הביקורת מונה עד 20 עובדים הוא 4.1 – ממוצע הנמוך באופן משמעותי ממוצע הבשלות הדיגיטלית של יכולות הביקורת בארגונים שבהם יחידת הביקורת מונה מעל 20 עובדים – 5.6.

מכאן ניתן לומר (בזהירות הראויה לנוכח היקף המשיבים לשאלון בארץ) כי בשאלת הבשלות הדיגיטלית והניהולית של יכולות הביקורת הפנימית, יש יתרון לגודל ולמספר עובדי הביקורת ביחידת הביקורת.

היבטים שונים הנוגעים ליזמות באשר לשינוי ולחדשנות ביחידת הביקורת הפנימית

במסגרת השאלון נשאלו המבקרים הפנימיים הראשיים שאלות נוספות הנוגעות ליזמות לשינוי ולחדשנות בעבודת הביקורת הפנימית.

להלן יפורטו השאלות וניתוח המענה (התפלגות התשובות) של המבקרים הראשיים בארץ תוך השוואה למענה של המשיבים בחו"ל:

האם יחידת הביקורת הפנימית כבר השלימה עריכת שינוי או יוזמת חדשנות או לקחה על עצמה לערוך שינוי או ליזום חדשנות בעבודת הביקורת הפנימית?

ניתן לראות כי גם בארץ וגם בחו"ל שיעור הארגונים שבהם הביקורת הפנימית לקחה על עצמה לערוך שינוי או ליזום חדשנות הוא גבוה ועומד על 61%. לעומת זאת, בעוד ש־33% מהמשיבים בחו"ל דיווחו שהביקורת הפנימית לא לקחה על עצמה לערוך שינוי, כאמור, רק 18% מהמשיבים בארץ השיבו לשאלה זו בשלילה.

האם ליחידת הביקורת הפנימית יש כעת תכנון/תוכנית לעשות שינוי או ליזום חדשנות?

בשאלה זו נתבקשו לענות כל המבקרים הפנימיים שעדיין לא עשו איזשהם שינויים או יזמות וחדשנות באשר לתוכניותיהם לערוך שינויים בהווה הקרוב ובעתיד.

ניתן לראות שבעוד שבחו"ל 49% לא מתכננים לעשות שינויים או פעולות חדשניות בשנים הקרובות, בארץ נתון זה עומד על 30% בלבד.

איזו מהאמירות הבאות מגדירה הכי טוב את מידת הבשלות של יחידת הביקורת הפנימית לשינויים או לחדשנות?

על אף שקיימת שונות בהתפלגות בין התשובות בארץ לתשובות בחו"ל, נראה שמרבית יחידות הביקורת הפנימית מכירות בחשיבות של החדשנות והחשיבה היצירתית ומעלות רעיונות ופתרונות חדשניים. כן ניתן לראות כי הן בארץ והן בחו"ל שיעור הארגונים שבהם אין לביקורת הפנימית תכנית לעורר חשיבה חדשנית הוא נמוך בצורה משמעותית.

בהשוואה לשנה שעברה, איך השתנה הפוקוס (המיקוד) של יחידת הביקורת באשר לחדשנות ויזמות לשינויים?

ניתן לראות שהתפלגות התשובות בארץ ובחו"ל דומה במהותה וכי כמעט לא הייתה ירידה בהשוואה לשנה שעברה בפוקוס של יחידות הביקורת בארגונים באשר לחדשנות ויזמות לשינויים.

איך תדרג את ההחזר על ההשקעה (return on investment – ROI) ואת התרומה לארגון ולמעמד יחידת הביקורת עקב פעולות החדשנות והיזמות לשינוי של יחידת הביקורת בארגונך?

ניתן לראות כי עיקר המשיבים בארץ (54%) ובחו"ל (40%) השיבו כי לדעתם פעולות החדשנות והיזמות של יחידת הביקורת יביאו לתרומה בינונית לארגון. עם זאת, בארץ 30% מהמשיבים סבורים כי התרומה תהיה רבה, לעומת רק 15% מהמשיבים בחו"ל.

בכל מה שנוגע לאימוץ חדשנות ויזמות לשינוי, איך אתה רואה, באופן יחסי, את יחידת הביקורת בארגונך כיום ובעוד שנתיים בהשוואה ליחידות ביקורת פנימית בארגונים אחרים דומים באותו ענף/ תעשייה?

להלן שיעורי התפלגות התשובות בשאלון בארץ לעומת השאלון הבינלאומי בחו"ל:

ניתן לראות שקיים שוני משמעותי בין שיעורי המשיבים בחו"ל לעומת שיעורי המשיבים בארץ. בעוד ששיעור המשיבים בחו"ל שהעידו על עצמם כי הם הרבה לפני רוב המתחרים עמד על 4%-11% כיום ובעוד שנתיים, שיעור המשיבים בארץ שהעידו על עצמם כי הם הרבה לפני רוב המתחרים עמד על 29%. מנגד, 5%-11% מהמשיבים בחו"ל העידו כי כיום ובעוד שנתיים הם הרבה אחרי רוב המתחרים ולעומת זאת בארץ אף משיב לא העיד כי נמצא הרבה אחרי המתחרים.

סביר שהתפלגות התשובות באשר למצב כיום תהא התפלגות נורמלית. ואכן התפלגות התשובות בחו"ל באשר למצב כיום קרובות להתפלגות נורמלית: 24% לפני רוב המתחרים, 38% כמו יתר המתחרים והיתר – 34% בפיגור לעומת המתחרים.

לעומת זאת, בישראל יש הערכת־יתר של יכולות יחידות הביקורת הפנימית לעומת המתחרים באותו ענף: 79% מיחידות הביקורת סוברות שהן מקדימות יחידות מתחרות באותו ענף וכאמור, נתון זה מהיבט של התפלגות נורמלית (התפלגות פעמון) מעורר שאלות.

באיזו רמה ועדת הביקורת בארגונך מעורבת ומקבלת מידע על אודות תוכנית היזמות לשינוי והחדשנות שיחידת הביקורת לקחה על עצמה?

להלן שיעורי התפלגות התשובות בשאלון בארץ לעומת השאלון הבינלאומי בחו"ל:

ניתן לראות שבארץ כ-40% מהמשיבים סבורים כי ועדת הביקורת בארגונם אינה מעורבת בתכנית היזמות והחדשנות של הביקורת הפנימית, לעומת 25% בחו"ל. מנגד, כ-40% מהמשיבים בחו"ל סבורים כי ועדת הביקורת מעורבת בתוכנית היזמות והחדשנות של הביקורת בצורה בינונית, בעוד שבארץ כ־30% מהמשיבים סבורים כך.

כן ניתן לראות כי גם בארץ וגם בחו"ל כ־20% מהמשיבים סבורים שוועדת הביקורת מעורבת ברמה גבוהה בתוכנית היזמות והחדשנות של הביקורת הפנימית.

נדגיש כי המצב הראוי הוא שוועדות הביקורת אכן יהיו מעורבות ביזמות של יחידות הביקורת, אלא שכאן מתחייבים עוד ניתוחים (שלא נעשה אותם כאן ועכשיו). כמו כן, קיימות הגדרות משפטיות חוקיות שונות לתפקידי וועדות הביקורת, שיש להביאן בחשבון בארץ, ואין דין ועדת ביקורת בחברות ציבוריות לדין ועדות ביקורת במגזר הממשלתי, בשלטון המקומי ובארגונים ציבוריים אחרים ו/או מלכ"רים.

סיכום – תמונת המצב באשר לביקורת הפנימית בישראל

המבקרים הפנימיים הראשיים בישראל מעריכים כי הבשלות הדיגיטלית של הארגונים שלהם היא גבוהה ואף גבוהה יותר מאשר עולה בשאלון הבינלאומי.

אפשר שהפערים נובעים מהיותה של ישראל ""START UP NATION; גם אפשר שיש כאן הערכת־יתר של המבקרים הראשיים בישראל באשר לבשלות הדיגיטלית של הארגונים שלהם.

פער מהותי קיים בין הבשלות הדיגיטלית של הארגונים בארץ לבין הבשלות הדיגיטלית והניהולית של יחידות הביקורת בארץ: ממוצע הבשלות הדיגיטלית של הארגונים בארץ עומד על 6.3 בסקלה של 10-1, בעוד שממוצע הבשלות של יחידות הביקורת בארץ עומד על 4.4 בלבד באותה סקלה.

כך: על פי דיווחי המבקרים הפנימיים הראשיים בארץ, 61% מהארגונים הם ארגונים מובילים דיגיטלית (בדירוג של 7 ומעלה), בעוד שרק 18% מיחידות הביקורת הן מובילות דיגיטליות וניהולית

ממוצע הבשלות הדיגיטלית והניהולית של הביקורת הפנימית בארץ דומה למרבית תוצאות הבשלות של יחידות הביקורת הפנימית בחו"ל.

יחד עם זאת, נראה ביכולות "רכות" יותר, כדוגמת בניית חזון אסטרטגי, שינויים במבנה הארגוני של יחידות הביקורת, ניהול המשאבים וכוח האדם ועוד, הדירוג הממוצע של הבשלות הדיגיטלית והניהולית של המבקרים הפנימיים בחו"ל גבוה יותר מאשר בארץ.

זהו סימן קריאה וגם מפת דרכים לקידום יחידות הביקורת בארץ:  הדרך עוד ארוכה בפני המבקרים הראשיים בארץ, לשאוף להשתפרות ניכרת ולו רק במרכיבים דלעיל.

השוואה ייחודית שערכנו רק בישראל נוגעת למידת הבשלות הדיגיטלית והניהולית ביחידות הביקורת הפנימית בארץ בהתייחס למספר עובדי הביקורת בכל יחידה.

הממוצע המשוקלל של הקבוצה שכללה עד 20 עובדים מהווה כ־79% מכלל העונים לשאלון בארץ וממוצע הבשלות של אותה קבוצה עמד על 4.1. בקבוצה שכללה 20 עובדים ומעלה ממוצע הבשלות עמד על 5.6, ממוצע הגבוה ב־30% מהקבוצה הראשונה.

זאת תוצאה מעניינת וגם סבירה. נראה סביר כי באשר לשאלת הבשלות הדיגיטלית יש יתרון לגודל בהתייחס למספר עובדי הביקורת שביחידה.

נקודת אור עולה באשר לשאלה האם יחידת הביקורת הפנימית בארץ שנמצאות בפער בתחום החדשנות יש תכנון/תוכנית לעשות שינוי או ליזום חדשנות כבר כעת. התשובות בישראל העלו אופטימיות: 49% מהן הביעו נכונות לפעולה כבר כיום.

אופטימיות מרובה עולה בישראל גם באשר להערכת המצב היחסי כיום, באשר לאימוץ חדשנות ויזמות לשינוי של יחידת הביקורת בהשוואה ליחידות ביקורת פנימית שבארגונים אחרים דומים בישראל באותו ענף/תעשייה.

בעוד ששיעור המשיבים בחו"ל שהעידו על עצמם כי כיום הם הרבה או מעט לפני רוב המתחרים, עמד רק על 24%, שיעור המשיבים בארץ שהעידו על עצמם כי הם הרבה או מעט לפני רוב המתחרים עמד על 79%.

בארץ אף מבקר פנימי ראשי לא העיד כי יחידתו נמצאת כיום בפיגור ניכר אחרי המתחרים, לעומת 11% בשאלון הבינלאומי.

בשורה התחתונה: נראה שבישראל יש הערכת־יתר של יכולות יחידות הביקורת הפנימית לעומת יחידות ביקורת מתחרות באותו ענף. מנגד, הנתון אינו סביר במונחים של התפלגות נורמלית-"התפלגות פעמון"

הבהרה על חובת הזהירות :

• התוצאות לעיל מתבססות על ממוצעים של יחידות ביקורת מתחומים שונים מאוד ובהם: פיננסים, תעשייה כולל הייטק, משרדי ממשלה ורשויות מקומיות שיש ביניהן שונות רבה
• יש שונות רבה גם באשר למספר עובדי ביקורת בכל יחידת ביקורת: שונות שנעה בין עובד אחד לחמישה במספר רב של יחידות ביקורת פנימית לעומת 30-20 עובדי ביקורת ומעלה, ביחידות אחרות
• ייתכן שקיימות גם הטיות בתשובות עקב מורכבות השאלונים
• יחד עם זאת, יש במכלול הניתוחים לעיל מספר הדגשים המחייבים תשומת לב המבקרים הפנימיים הראשיים בארץ : בראייה צופה פני עתיד, יש להמשיך ואף להאיץ את כיווני החדשנות הדיגיטלית והניהולית בכל יחידות הביקורת הפנימית, כי העתיד וגם כבר ההווה מחייבים זאת.

The post ממצאי שאלון: ביקורת פנימית – הדור הבא appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

שרון ויטקובסקי טביב | רו"ח, MA, CIA, CRMA – שותפה, ראש מגזר ניהול סיכונים )RAS ,(BDO
סגנית נשיא, דירקטורית ועורכת כתב העת של לשכת המבקרים הפנימיים – Israel IIA
מלכה דרור | CRISC, CISA, CIA ניהול סיכונים, לשעבר מבקרת עיריית ירושלים ומבקרת חברת בזק
מרגלית שפרבר | רו"ח MBA, CIA ,מבקרת פנימית ראשית, תנובה

המגפה המשתוללת שפקדה אותנו בעשור החדש, ממשיכה רצף של אירועי קיצון שהופיעו בשלהי העשור הקודם, כגון שריפות ענק ברחבי העולם, מלחמת דת קיצונית וערעור הסדר הקיים.

"העולם השתגע" הוא מונח שגור בפינו, והוודאות היחידה הקיימת היא אי הוודאות. מי האמין לפני קצת יותר משנה שחיינו ישתנו כך ללא היכר? התופעות שאנו חווים מתקשרות בכללן לעידן ההאצה שבו אנו חיים, המתאפיין בטכנולוגיה שמתפתחת בקצב מהיר ממה שהאדם הסביר, המחובר והמרושת מסוגל לקלוט. הפובליציסט תומס פרידמן התייחס למגמה הזאת וניסח שלושה כיווני האצה מרכזיים – טכנולוגיה, גלובליזציה ושינויי אקלים, כאשר האחרון הוא תוצר של הניצול הפראי של האדם את משאבי הטבע.

השינוי התדיר והקיצוני במציאות כפי שהיא מתרחשת בשנים האחרונות, מצריך מאיתנו להיערך לעתיד כבר עתה, ומכאן כותרת המאמר, ציטוט של ההוגה פיטר דרוקר.

במאמר זה בחנו חמש מגמות שלדעתנו הן המשמעותיות ביותר לחיינו, כדי להבין כיצד אלה ישפיעו על עולם העבודה העתידי ועל האתגרים שנוצרו בעקבותיהן לארגונים גדולים שרוצים להמשיך ולשגשג בעידן כה משובש. מתוך כך ניסינו להעריך את מעמדו ותפקידו של המבקר הפנימי ולהעמיק בשאלה שמסקרנת את כולנו: כיצד ייראו החיים והמקצוע שלנו בעתיד הנראה לעין?

1. עידן השיבושים בצל שינויי אקלים ומגפות

העולם עוד רחוק מלהשתקם מהמגפה שפוקדת אותנו מזה כשנה, אך על אף השפעתה הרבה היא עדיין עומדת בצל המשבר האקולוגי שנחשב לאיום הגדול ביותר שמולו מתמודדת האנושות מאז ומעולם. שני המשברים הללו מסמנים את העידן שאליו אנחנו נכנסים, עידן של תופעות טבע הרסניות ואירועי קיצון המובילים לאסונות מקומיים, חלקם בעלי השפעה גלובלית, ולתהליכים ארוכי טווח כמו הידלדלות מקורות המים ומִדבור מחד, ועליית פני הים מאידך. במאתיים השנים האחרונות אנחנו צורכים את משאבי הטבע פי כמה ממה שכדור הארץ מסוגל לייצר, מגמה שרק הולכת ומחריפה.

למשברים אלה השלכות מרחיקות לכת, בין היתר על המגזר העסקי העולמי והמקומי. רגולציה מחמירה יותר לצד ציפיות הולכות וגדלות מצד בעלי עניין, מחייבות ארגונים לנהל את הסיכונים בצורה חכמה ולגלות אחריות רבה יותר כלפי האדם והסביבה. הדבר קשור בשורה ארוכה של פעילויות, החל משינויים בצריכת חומרי גלם, דרך הייצור של המוצר ודרכי השיווק והשימוש בו, ועד הפיכתו לפסולת בתום מעגל חיי המוצר. כבר היום אנחנו מזהים תאגידים שמשנים את האסטרטגיה הניהולית בהתאם, ומאמצים מודלים כלכליים מתקדמים כמו "כלכלה מעגלית" החותרת לאפס פסולת, על מנת להתאים עצמם לצרכים המשתנים של הסביבה העסקית. בנוסף, יותר ויותר חברות מזהות את ההזדמנויות העסקיות שבחשיבה "ירוקה", ומציעות מגוון של פתרונות בתחום ההתייעלות והחיסכון במשאבים. יוזמות אלה זוכות לרוח גבית מצד ממשלות, בורסות וחברות השקעה הנעזרות במדדים ייעודיים לניתוח חברות בהתאם לביצועיהן הסביבתיים.

המבקר הפנימי בצל השיבושים

כשם שארגונים מתחילים להפנים ששינויים תכופים בסביבה העסקית כתוצאה ממשברי ענק הופכים להיות הכלל, כך גם עלינו כמבקרים להבין כי השגרה המוכרת תהפוך לנדירה והקיצון ייהפך לשגרה החדשה. המשמעות היא שעלינו להיערך לפעילות בצל אירועים בלתי צפויים וללמוד לנהל את הביקורת שלנו לקראתם, תוך כדי התרחשותם ולאחריהם.

אבל מה המשמעות של ביקורת בשגרה של אי ודאות? חיפוש אחר תשובה אפשרית תגיע קרוב לוודאי לנחיצות שבהגמשת עמדות הביקורת, שכן פעילות הארגון באירועי קיצון לא יכולה להימדד בערכים דומים לפעילות בשגרה. אולי יהיו כאלה שדווקא ישימו דגש על החשיבות של תוכנית ביקורת גמישה המאפשרת התאמות רבות תוך כדי תנועה. אחרים יכולים לתת משקל למרכיב אי הוודאות בתהליך קבלת ההחלטות, או לחילופין להתמקד בבחינת המידה שבה הארגון מתאים את עצמו להתמודדות בשגרת מצבי הקיצון. אך דבר אחד בטוח: בשגרה רצופה אי ודאות, סימני שאלה עדיפים על סימני קריאה.

2. רשתיות, קריסת המרכזים והשטחת ההיררכיות

שני תהליכים מתחוללים בו-בזמן, קשורים זה בזה ומשפיעים על ארגונים ועלינו כמבקרים פנימיים.

הראשון, תהליך הרשתיות: הרשתות החברתיות החדירו לחיינו תופעה שבה כל חברי הרשת החברתית והעסקית מחוברים לכולם בטופולוגיית חיבור מלא (כל קצה ברשת מחובר ישירות לכל קצה אחר – 'Fully Mesh'), ויכולים לשתף את כל האחרים בדעות, ברעיונות וביוזמות. במקביל כל חברי הרשת שווים במעמדם: נשיא ארה"ב והאזרח הפשוט מחוברים לרשת באותו סוג חשבון.

התהליך השני הוא התעצמות כוחו של הפרט על חשבון קריסת מרכזי הידע והכוח, מגמה שהחלה עוד לפני הקורונה אך התגברה ביתר שאת בשנה האחרונה בעקבות הגבלות הניידות שהוטלו על אזרחים. אם בעבר הלא רחוק הלקוח נאלץ להגיע פיזית למרכזי הכוח (מרכז העיר, הקניון, מרכזי השירות, קופות החולים ועוד) על מנת לקבל שירותים, כיום הלקוח הוא המרכז החדש, והשירותים יחד עם הידע והכוח מגיעים אליו הביתה ישירות. לדוגמה, לקוח שנדרש בעבר להגיע פיזית לקופת חולים כדי לבדוק מדדים, לערוך בדיקות פיזיות או לקבל טיפול פיזי או נפשי, יכול היום לקבל את אבחון הרופא והטיפול הנדרש לו דרך אפליקציה ואמצעי טכנולוגי בבית. כך גם הסטודנט והתלמיד במערכת החינוך ובאוניברסיטה – היום המרצה והמורה מגיעים אליו הביתה באמצעות הזום. דוגמה נוספת היא הלקוח שיכול לרכוש ולקבל משלוח של עגבניות שרי ישירות מהחקלאי מבלי להזדקק לכל שרשרת האספקה שבדרך.

שני התהליכים הללו משפיעים על המודל המסורתי של הארגון הבנוי על היררכיה ברורה. ארגונים שמבקשים להגיב מהר לאירועים בשטח אצל הלקוח יאמצו מבנה ארגוני וכלים טכנולוגיים שיאפשרו זאת. בשנים האחרונות אנו עדים לארגונים שממנים אִישׁ קֶשֶׁר (point of contact – (POC שנמצא בקשר ישיר עם הלקוחות בשטח ומדייק את הדרישות והצרכים שלהם מול הארגון ובכך משפיע על כל תהליך הייצור. כך גם החיבור של כל העובדים לענן בנגישות מלאה למידע הארגוני, ושיטת הניהול המטריציוני. כל אלו הופכים את הפירמידה הארגונית ל"שטוחה" ולקיצור תהליכי קבלת החלטות והעברת מידע מהמטה לשטח. במבנה ארגוני כזה, העובד בשטח הופך להיות שלוחה של הארגון מול הלקוח והוא מועצם בכלים ובסמכויות. העובד הוא נציג המטה והוא מרכז אצלו את כל הפונקציות הדרושות: נתונים, מערכות מידע, כלים לשיווק, פרסום, הפצה, שירות לקוחות ועוד.

התקשורת הפנים ארגונית משתנה גם כן. כל העובדים מקבלים ומוסרים ידע באותו זמן, העדכונים משותפים לכולם וכך גם יכולת התגובה ומהירותה.

המבקר הפנימי בארגון שטוח ורשתי
בארגון היררכי, המבקר נמצא במעמד גבוה ושואב את כוחו מהסמכות של היו"ר או המנכ"ל. היחלשות ההיררכיות לטובת ארגון שטוח ורשתי, והתעצמותו של העובד על חשבון החלשת המטה, מעלות שאלות על אופי פעילות המבקר ומהיכן ישאב את כוחו וסמכותו. שאלות אלו מובילות להגדרה מחודשת של מהות התפקיד והערך המוסף של המבקר הפנימי לארגון.

לכן על המבקר הפנימי לפתח מיומנות לאיסוף המידע הנדרש לעבודתו ממקורות אחסון רבים, ובהם תחנות העבודה של העובדים וכן סוגים שונים של אחסון בענן.

המבקר הפנימי ינתח את מבנה הרשת כחלופה לניתוח תהליכים. באמצעות כלי עבודה חדשים הוא יאתר צווארי בקבוק, קשרים חסרים וחוסר בהירות בהגדרת הממשקים שימקדו את הליקויים על פי המבנה הרשתי. לבסוף, הדינמיקה, חלוקת התפקידים, תחומי האחריות והסמכות של העובדים בארגון החדש, יחייבו את המבקר להיעזר בעובדי השטח באמצעות כלי איסוף נתונים של חוכמת המונים.

3. גלובליזציה, חדשנות ועידן של שיתופי פעולה

הגלובליזציה של המאה ה-21 מאוימת הן על ידי ממשלים המעדיפים הסתגרות לאומית על פני שיתוף פעולה בינלאומי, והן בעקבות אסונות בעלי השפעה עולמית כמו הקורונה. אולם אין לטעות, הגלובליזציה חזקה מתמיד, ומה שקורה במקום אחד בעולם משפיע ישירות על שאר העולם. כולנו מחוברים ומרושתים זה לזה בצורה משמעותית. ברמה הארגונית – ארגון כבר לא יכול להשוות את עצמו לארגון מתחרה בזירה המקומית אלא לבחון את עצמו כל הזמן אל מול הזירה העולמית. ארגונים שרוצים לשמור על רלוונטיות ועל יתרון תחרותי צריכים לאמץ את ההבנה כי הם חיים במרחב 'גלוקאלי', שבו עליהם לבחון מה קיים ברמה הגלובאלית וליישם ברמה הלוקאלית. עליהם להפנות משאבים רבים לחדשנות ולייצור של ידע חדש, ולעשות זאת באופן רצוף ועקבי אם רצונם לשרוד ולהישאר בקדמת השוק בתחום שבו הם עוסקים.

המבקר הפנימי בעידן הגלובלי

הכפר הגלובלי מחייב את מבקרי הפנים להביט לצדדים, ללמוד ולתקשר עם גורמים ממחוזות רחוקים. הדבר מתחיל במשימות פשוטות כמו קביעת בנצ'מארק לארגון, שמעתה מחייבת התייחסות לא רק למה שנעשה בארץ הפעילות, אלא למה שנעשה בעולם בכלל, וממשיך בהשתייכות לרשתות של שיתופי פעולה המתחלקות לפי תחומים מקצועיים וחלוקה למיומנויות. מציאות זו תאפשר לארגון להתאים לעצמו את שירותי הביקורת הפנימית מתוך מבחר של נותני שירות בעלי התמחויות שונות, חלקם פנימיים לארגון וחלקם חיצוניים. טרנד הקלסיפיקציה המקצועית ישפיע על הגברת שיתופי פעולה בין מבקרים בעלי תחומי התמקצעות שונים.

4. האצה טכנולוגית – מהפכה דיגיטלית -– אוטומציה

המהפכה התעשייתית הרביעית, שאנחנו נמצאים בעיצומה, מסמנת את ההתלכדות של מרחב הסייבר עם האנושות, וטשטוש הגבולות בין המרחב הפיזי לווירטואלי. תהליכי אוטומציה, מחשוב ענן, נתוני עתק ((BIG DATA, ניתוח נתונים (Analytics) ובינה מלאכותית מתפתחים בקצב מהיר ומשפיעים על כל תחום בחיינו וגם על עולם העבודה. משרות רבות מתייתרות בתהליך זה, הראשונות שבהן הן משרות של "הצווארון הכחול", אך לא ירחק היום שבו כל עובד יהיה בסיכון להיות מוחלף על ידי מכונה.

טוב יעשו ארגונים אם ישכילו להפנים את ההשלכות של האצת הטכנולוגיות על העובדים שלהם, ויפעלו לשיפור הידע והמיומנות של העובדים כדי שיוכלו לשלב את הממד הטכנולוגי בפעילותם (Upskilling), ובמקרים אחרים להסב את עבודתם לתחומים אחרים הנדרשים בארגון.

המבקר הפנימי ברקע האצה טכנולוגית

ההתפתחות הטכנולוגית משפיעה על עבודת הביקורת הפנימית בשורה של היבטים.
המבקר הפנימי יצטרך לבצע ביקורות על אופן היישום של אמצעי טכנולוגיה חדשים בתהליכי העבודה בארגון ועל השפעת היישום על תהליכי העבודה והבקרות.

המבקר יצטרך להתמחות בביצוע ביקורת בעולם הסיכונים הנובעים מהשימוש בטכנולוגיות החדשות, ובכלל זה בתחומי סייבר, שמירת הפרטיות, המשכיות עסקית ואבטחת המידע. כמו כן, עליו לרכוש מיומנויות של ביקורת בפלטפורמות אחסון נתונים שונות (בשרתי הארגון, בענן הציבורי או בענן הפרטי של הארגון), ולהבין באמצעי ההגנה על נתונים בכל פלטפורמה.

בנוסף, המבקר הפנימי צריך להכניס לארסנל כלי העבודה שלו את השימוש בטכנולוגיות מתקדמות ובמערכות חכמות, כגון נתוני עתק ((BIG DATA, ניתוח נתונים (Analytics) ובינה מלאכותית. כלים אלו יאפשר למבקר הפנימי להשפיע על ייעול של תהליכי עבודה ארגוניים, ניטור של תהליכים עסקיים וזיהוי מהיר של תופעות בלתי רצויות. כל אלו יאפשרו למבקר לתת לארגון ערך מוסף בהמלצות איכותיות בזמן אמת.

5. עבודה היברידית

הקורונה שימשה זרז למודל עבודה מרחוק, שאומנם היה קיים עוד קודם לכן אך לא הגיע לכדי הטמעה. סביר להניח כי מהמצב הנוכחי אין דרך חזרה, ומיליוני בני אדם ברחבי העולם שהתנסו בעבודה מרחוק לא יחזרו במלואם למודל המסורתי.

תנאי להצלחה במודל זה הוא לדעת כיצד לנהל מרחוק. על מנהלים להתמקד בתוצאות ולא בזמני העבודה של העובד, ולשקף לעובדים באופן מלא את החזון והמשימה המשותפת. בנוסף, על הארגון למצוא זמן חפיפה שמאפשר תקשורת בו-זמנית עם כל הצוות, באמפתיה ובהבנה הדדית, ולהציב חזון ברור לפעילות הצוות.

מקום העבודה החדש – הבית – מעלה אתגרים לא פשוטים לארגונים, המאלצים אותם לנקוט מגוון דרכים כדי לסייע לעובדים להסתגל למציאות מתפתחת זו, כולל הגדלת התמיכה, קידום הפסקות בריאות הנפש במהלך יום העבודה, ועידוד העובדים לדון בגלוי באתגרי ההתמודדות.
סביר להניח כי מגמה זו תוביל להגדרה מחודשת של התנהגות מקצועית וחוקי העבודה, החל מלבוש עבודה מתאים ועד אינטראקציות עם ילדי העובדים, חבריהם ואף חיות המחמד.

המבקר הפנימי במודל הגמיש

עבודת הביקורת הפנימית צריכה ללמוד כיצד להתאים עצמה למודל העבודה הגמיש. ככל שמודל זה יצמח, כך למבקר הפנימי יהיו פחות אפשרויות להגיע לשטח, לחוש את הארגון, לראות את הלך הרוח, את אופי ההתנהלות וכו'.

גם המבקר הפנימי בעצמו יעבוד חלק גדול מהזמן מהבית, ויצטרך לבנות לעצמו כלים מותאמים לאופי כזה של עבודה.

כמו כן, עלינו להבין כי עבודה של ארגונים מהבית משנה את מערך הסיכונים בארגון, בעיקר בהיבטים טכנולוגיים, ובפרט בסיכונים של אבטחת מידע, חדירה לפרטיות ועוד. העבודה מהבית גם מצריכה התחשבות של עבודת הביקורת בתהליכי עבודה "רכים", כמו אופן ניהול העובדים מרחוק, מידת שיתוף הפעולה, התקשורת השוטפת ועוד.

לבסוף, סביר להניח שהמודל הגמיש יביא את המבקר להשתמש בכלים שיביאו את חוכמת ההמונים, כמו סקרי עובדים תכופים, שימוש ב-CSA ויצירת מעורבות מודעת ולא אקראית.

לסיכום

השאלה המרכזית היא לא האם עבודת הביקורת עתידה להשתנות – היא כבר השתנתה, ועודה משתנה בקצב מהיר. את ההוכחה לכך אנחנו רואים בגישות ובדרכי העבודה של חלק מהמבקרים הפנימיים שאימצו שינויים וחדשנות בעבודתם.

יש בכוחנו לשלוט בשינוי, ולכן מוטלת עלינו אחריות רבה בעיצוב פני המקצוע לעתיד.

אנחנו יכולים להתבונן במגמות המתחוללות ולהתכחש להן, או לנצל אותן כדי לשפר את עבודת הביקורת ולהעלות את ערכה בארגון.

עלינו לא רק להיערך לשינויים כחלק אורגני מהארגון המתאים עצמו למציאות החדשה, אלא לחפש תמיד את הצעד קדימה, את הקדמת המחר, את שינוי התפיסה. זו הדרך להזניק את המקצוע קדימה ולהפוך אותו לרלוונטי מתמיד בארגונים של המחר.

The post מגמות על וטרנדים בעולם הביקורת לעשור הבא appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

שלומי קוט | רו"ח, CIA, CRISC, CISA, MBA מנכל ובעלים של חברת ROI-EZ
אורי חננאל אהרון | רוח, MBA מנהל כספים של חברת ROI-E

יום א', 14.11.2028, בנק המזרח התיכון וישראל, השדרה החמישית רוטשילד, תל אביב, המזרח התיכון המאוחד

דוחות הביקורת נחתו על שולחנו של איזי, המבקר הפנימי, בקצב מהיר של דוח בכל מספר שעות. דרישות ההנהלה והמבוקרים לדוחות איכותיים, תמציתיים ופרקטיים רבים ככל האפשר, הפתיעו אותו בכל פעם מחדש. הביקורת הייתה זכאית לבקר הכול, אך זאת השנה השלישית בלבד שבה היא מצליחה לבקר את כל הפעילות במאות הישויות (פעם קראו להם סניפים) של הבנק בכלל המדינות שבהן הוא פועל ועל כלל הטרנזקציות.

אף שלא בוצעה תרמית בבנק מזה מספר שנים, מחלקות הביקורת בכלל, ובבנק בפרט, זכו לעדנה בשנים האחרונות. היכולת המוכחת של הביקורת לזהות באמצעות טכנולוגיה כל חריגה תוך שעות או ימים ספורים מביצועה ולתקנה באופן מיידי, גרמו לכלל המנהלים להילחם על משאבי הביקורת שיושקעו במחלקותיהם.

כדי להבין איך הגענו למצב הזה, כדאי לחזור כמה שנים אחורה.

שנת 2020 היתה שנה ייחודית בעולם. וירוס הקורונה שפשט בעולם הפיל כ-4 מיליון חללים ויותר מ-200 מיליון נדבקים, והשבית את כלכלת ישראל עם מספר סבבי סגר ועם יותר ממיליון מובטלים. במקביל, בשנה זו חתמה ישראל על כמה הסכמי שלום, כאשר המשפיעים בהם מבחינה כלכלית היו הסכמי השלום עם איחוד האמירויות, בחריין ובהמשך ערב הסעודית. הדבר יצר קשרי סחר ענפים, והשילוב של הכסף הקטארי-אמירתי-סעודי עם הטכנולוגיה הישראלית יצר את הבנק הגדול ביותר במזרח התיכון, הנפרש על כ-15 מדינות ומשרת מעל מאה מיליון לקוחות.

עם הקמתו של הבנק הציג המבקר הפנימי איזי את תפיסתו: "בעולם הקדום ימאים השתמשו בו כדי למצוא את דרכם באוקיינוסים ולנווט בדרכם לגילוי יבשות, נתיבי סחר נפתחו בזכותו – כוכב הצפון (פולאריס) היה נקודת העזר החשובה ביותר להתמצאות וניווט לילי בים. אך אם אנחנו נחפש את פולאריס בשמיים, נדגום כוכב כוכב ונחפש, נגלה שמדובר בסך הכול בעוד כוכב כמו אלפי כוכבים אחרים בשמיים. העולם הקדום הבין שיש לראות את התמונה הכוללת, לראות את הסיפור בכללותו, יש לדגום מערכת של כוכבים ולא כוכב בודד. רק כך נוכל למצוא את הסיפור האמיתי במערכת.

הבנק שלנו נועד לשמש לקוחות מהרבה מדינות, במגוון שפות ותחת ריבוי רגולציות, והוא לא יוכל להמשיך ולפעול תחת השיטות שבוצעו בעבר. אם לא נתקדם, לא תהיה לנו זכות קיום".

קצת היסטוריה

בעולם הביקורת הפנימית של תחילת המאה ה-21, ניתן בקלות ללכת לאיבוד בין כמות המידע האדיר שנוצר על ידי מערכות המידע. היכולת של המבקר הפנימי לדגום בצורה יעילה תוך התמודדות נאותה עם הסיכון, לנתח את הנתונים, להבין את הסיכונים, לתחקר את המבוקר ולהגיש זאת בדוח בלוחות זמנים רלוונטיים ובמסגרת מגבלות המשאבים, היא סיפור גבורה היאה לסיפורי המיתולוגיה. במסגרת הניסיון להתמודד עם קשיים אלו, נאלצו המבקרים לתכנן תוכניות ביקורת שהגדירו סדרי עדיפויות ולבצע את הביקורות לאור מגבלות תקציב. לכן נושאים מסוימים נדחקו לביקורת עיתית, אם בכלל, ונושאים חשובים לביקורת נבדקו אחת למספר שנים במקרה הטוב. לעיתים תהליכי הביקורת הארוכים גרמו לכך שדוחות טופלו רק חודשים רבים לאחר עבודת השטח, בשלב שהם כבר לא היו רלוונטיים. במיוחד היה מורכב מצבם של המבקרים בגופים הריאליים, שסבלו ממחסור תמידי של משאבים בהשוואה למבקרים בגופים הפיננסיים.

וחזרה להיום (שנת 2028)

דמיינו שבמקום לדגום כוכב אחר כוכב בשמיים ולבדוק אם זה פולאריס, או להתקדם ולחפש קבוצות של חמישה כוכבים ולנסות להבין אם זו הקסיופיאה המרמזת על מיקומו, יהיה רובוט שיעשה סדר ויבצע ביקורת מלאה של כלל הכוכבים הנראים ויחזור עם מענה ברור – מציאת כוכב הצפון.

בעולם החדש של המבקר הפנימי לא נסתפק בבדיקת נתונים, תהליכים, מערכת או בדיקות אפליקטיביות, אלא עלינו להשתמש ברובוט שיבדוק את כלל הטרנזקציות. זה לכשלעצמו עדיין לא יהיה השינוי המשמעותי. אותו רובוט יֵדע גם להכין את הדוחות ולנהל את תהליך הביקורת (כולל תגובת המבוקר והמלצה על ההמלצות). זה "GAME CHANGER" אמיתי – אך האם הוא אפשרי?

יכולת זו שפרצה לחיינו בעשור הקודם נקראת אוטומציה רובוטית של תהליכים "RPA – Robotic Process Automation". שימוש נכון בה צופן בחובו לא רק אתגר, אלא גם הזדמנות למצוא את הצפון.

הזדמנויות RPA למבקר הפנימי

כאשר אנו בוחנים את מעגל הביקורת, אנו יכולים לראות שישנן משימות שחוזרות על עצמן פעמים רבות. את המשימות הללו הרובוט יכול לבצע ובכך לשחרר כוח אדם מקצועי.

ניצול נכון של הרובוט יאפשר למבקר הפנימי להתמקד בשירותים ובעבודת ניתוח שבהם הוא ממקסם את הערך המוסף.

אוטומציה של תהליכי רובוטיקה כוללת שימוש בתוכנה (בוט או יישום תוכנה) שניתן לתכנת לבצע משימות אנושיות בסיסיות (בדרך כלל משימות חוזרות ומרובות פעולות). היתרון העיקרי של הטמעת בוטים בכל סביבת עבודה הוא בכך שבוט יכול לבצע משימות ידניות חוזרות גם בתהליכים מורכבים וגם כאלו הכוללות טיפול בעצי החלטות מורכבים, ולפנות לעובדים זמן לביצוע פעילויות נוספות (אישור הדוחות, קבלת ההמלצות ואינטראקציה אנושית) עם ערך מוסף.

בבחינה של ההזדמנויות יש להתייחס לשלבים השונים של תהליך הביקורת הפנימית, כגון סקר הסיכונים, תכנון הביקורת, דגימה, דיווח ועוד. שימוש נכון ביישום RPA מאפשר למבקר הפנימי את היכולת לעשות יותר מאותו דבר, תוך שיפור איכות ועקביות תהליכי הבקרה. אם נגדיר כי 10%-20% מזמן הביקורת הוא האינטראקציה האיכותית, הרי שבאותם משאבים ניתן להכפיל לפחות פי חמישה את הביקורת – הן בהיבט התפוקות והן בהיבט האיכות.

אז איך זה קורה אצלנו בבנק?

הרובוט שלנו שולף שאלונים מספרייה מוגדרת ובתאריך הרלוונטי, שולח למבוקרים ולגורמים מוגדרים לשם ביצוע ריאיון, קולט חזרה את התשובות, ובהמשך מנתח את הנתונים. יישום ה-RPA יבצע השוואות תקופתיות, כולל "גזירת נתונים" ממערכות שונות וביצוע בדיקות חריגים.

ניתוח נתונים מריבוי מערכות, מבני נתונים ובסיסי נתונים שונים, משיכתם עם הרשאות שונות, השוואתם, מציאת חריגים אל מול הנורמה או מה שנחזה כנורמה והצפתם, הוא הליך ביקורת שגרתי, טכני ומורכב. רובוט הוא המכונה המושלמת לבצעו.

אם בעבר, בשל כמות גדולה של שאלונים, היה קושי בניהול המשאבים להשלמת השלבים השונים הכוללים שליחה, מעקב, קבלה, ניתוח, מענה ותיעוד, כיום שימוש נכון ברובוט יסייע למבקר בכל השלבים ויאפשר לו לקבל את הנתונים הנדרשים בזמן ולהתמקד בניתוח הסיכון ומתן מענה ראוי. חשוב לציין שכל פעולה של הרובוט מתועדת, וביצוע הפעולות לא בא על חשבון התיעוד או להיפך.

כמובן שבדיקת המענה מול הנתונים מבוצעת באופן אוטומטי ומיידי על ידי הרובוט אל מול "בנק הסיכונים" הארגוני המוכר (והמתעדכן), ו"מחליקה" את העומסים הנוצרים עקב תזמון מענה המבוקר מחד והעומסים של המבקר מאידך.

יישום ה-RPA ישפר את יעילות התכנון, הבדיקות ופעילויות הדיווח, ובכך יאפשר למבקר לקיים פעילויות קריטיות הדורשות חשיבה בזמן נאות.

הגדלת כיסוי ותדירות הביקורת

בגלל מחסור במשאבים ועם המעבר לגישת ביקורת מבוססת סיכונים Risk-Based-Approach, צומצמו בצורה משמעותית תדירויות הביקורת בתחומים מסוימים. ביקורות מסוימות מבוצעות אחת למספר שנים, דבר המאפשר לסיכון להימשך זמן רב.

שימוש ב"עובדים וירטואליים" ביישום ה-RPA לביצוע משימות ביקורת בקצב מואץ ומסביב לשעון, מאפשר לביקורת כיסוי גדול יותר (יותר נתונים, יותר טרנזקציות, יותר סיכונים ויותר ישויות עסקיות), לחזור על ביצוע ביקורת בפרקי זמן קצרים יותר, להגדיל את היקף הביקורת ולהביא לצמצום הסיכונים תוך שיפור ביעילות וחיסכון. כיסוי מלא של האוכלוסייה מצמצם כמובן את הסיכון של "מזל" – הסיכוי שהסיכון לא יתגלה בגין בחירת המדגם. למעשה, הגדלת הכיסוי והתדירות משרתת את תפיסת הביקורת המתמשכת והופכת אותה לקלה ליישום, כמעט קלה יותר מביקורת קלאסית של המאה הקודמת.

סוף דבר

בכנס הביקורת הפנימית השנתי לשנת 2028, שאותו העביר איזי רק לפני ימים אחדים, הוא סיכם כך: למזלנו, החלטנו להיכנס לשימושים טכנולוגיים מוקדם ככל האפשר. המלחמה על משאבי הרובוטיקה הארגוניים הוכיחה את עצמה, וכיום, אנו יודעים באמצעות הטכנולוגיה לספק ביקורת זמינה, אפקטיבית ויעילה בעבודה משותפת עם המבוקר, כזאת שהמבוקר מבין את הערך שלה ומבקש את התממשותה.

היתרונות של השימוש ברובוטים בביקורת הפנימית אצלנו היו:

• הספקים: בוטים עובדים 24/7 ויכולים לעבוד גם כשהעובדים הולכים הביתה.
• איכות: הרובוטים לא עושים טעויות – מה שמביא לשיפור יעילות התהליך הכללית ואיכותם לעומת בני האדם.
• עלות: בוטים יכולים לבצע את אותן המשימות שבני אדם מבצעים או 60%-90% מהן. העלות הממוצעת של בוט היא 5% בתהליך תפעולי שחוזר על עצמו, ועד 35% בתהליכים היברידיים פחות חזרתיים ועם התערבות אנושית.

הבסיס להחלטה היה סקר של Protiviti משנת 2019, שציין כי 70% מהמבקרים הפנימיים בחנו או משתמשים בטכנולוגיות RPA לטובת ייעול פעילות הביקורת. עם זאת, באותה שנה רק לשליש מהמבקרים הייתה הבנה בטכנולוגיה וכי הטכנולוגיה נדרשת. מזלנו שאנו, בבנק המזרח התיכון וישראל, הגדרנו את ההבנה בטכנולוגיה כדרישת הסף לקבלה אצלנו בעבודה.

The post אוטומציה של תהליכי רובוטיקה בביקורת הפנימית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

(אלברט איינשטיין)

שיבוש מוגדר כ"קלקול, הפרעה, תקלה". לעיתים המונח מופיע כ"חדשנות משבשת" – המובילה ליצירת שוק חדש ובמקביל גורמת לשיבוש השוק הקיים (המסורתי) שלא נערך בהתאם.

לדוגמה: שיבוש הקורונה האיץ את הצורך בתקשורת מרחוק. למשל, טכנולוגיית ה-ZOOM מיושמת בכל עסק ובכל בית ואין ילד שהמילה הזאת אינה שגורה בפיו. השימוש הנרחב בכלי הזה, שלמעשה נכפה על הארגונים, תרם להמשכיות עסקית, לחיסכון ולהתייעלות. קיום ישיבות רבות משתתפים באמצעות ה-zoom מאפשר לצפות במצגות ובמקביל לנהל דיון פורה עם המשתתפים. הוא חוסך זמן ועלויות ניכרות של נסיעות בארץ ולחו"ל, ומאפשר למנהלים ולעובדים לנצל את הזמן הזה למשימות אחרות.

הקורונה החלה והעצימה שיבושים וסיכונים רפואיים-ויראליים, אך במהרה הפכה ל"סופה" של שיבושים. בין השאר היו שיבושים מדיניים, פוליטיים, טכנולוגיים, כלכליים, רגולטוריים, חברתיים, תעסוקתיים, תקשורתיים ועוד. במציאות של הכפר הגלובלי, "משק כנפי הפרפר" בסין אכן יצר טורנדו כלל עולמי.

המסקנה המערכתית: אנו בדור של שיבושים, לא חשוב מה שמם. יש להסתגל לכך ששיבושים ובהם שיבושים חיוביים (כמו פריצות דרך טכנולוגיות) הם מנת חלקנו השוטפת – היום, מחר, מחרתיים.

דוגמאות לשיבושים טכנולוגיים ולחדשנות בהווה ובעתיד הקרוב: מכוניות אוטונומיות, בינה מלאכותית, שימוש נרחב יותר בלוויינים וברחפנים, רפואה מרחוק, עבודה והוראה מרחוק, והגברת עוצמת הבינה המלאכותית, ומול כל זה עולים הסיכונים של אובדן פרטיות וכדומה.

פועל יוצא – אופן ניהול העסקים שהכרנו לא ישמש אותנו לאורך זמן. הארגונים השונים צריכים להדביק את קצב השינויים (ולא רק העסקיים) על מנת להישאר רלוונטיים. ארגונים שאינם מתחדשים עתידים לקרוס (כפי שקרה לקודאק), כאשר יזמים חדשים או קיימים יבינו איך לשפר ולפתח טכנולוגיות או עסקים יעילים יותר, המשרתים טווח רחב יותר של לקוחות. לפי מחקר שפרסם בית הספר למינהל עסקים אולין (,(Washington DC 40 חברות מרשימת ה-Fortune 500 ייעלמו בעשור הקרוב או יעברו טרנספורמציה משמעותית.

במאמר זה נציג את השפעת ה"שיבושים" על המבקר הפנימי, שצריך להמשיך לעשות את הביקורת בהתאם להוראות החוק והתקנים, אולם בפורמט חדשני, מהיר, זריז וגמיש, ובצורה ההולמת את המציאות של שיבושים חוזרים ונשנים. במילים אחרות: לשלב בין מודלים חדשים לביצוע ביקורת ואופן הצגתה, לבין הטכנולוגיה, המשאבים והמתודולוגיות, כדי לייצר ערך ולהישאר רלוונטיים בעולם משתנה.

שיבוש גורם לך להרגיש משותק, כאילו הקרקע מתחת לרגליך נשמטת, אתה מחפש פתרון מוכר מהארסנל שבתודעתך, אבל לא חושב באופן יצירתי איך להתמודד עם הסיטואציה שנוצרה בעקבות השיבוש. במצבים כאלו יש לנסות לאלתר, לצאת מהקיפאון ולהפוך את החיסרון ליתרון. אורית וולף בהרצאתה "להמציא את עצמנו מחדש" הציגה סרטון על כנר שבאמצע הקונצרט התמודד עם "שיבוש": צלצול טלפון מהקהל. ה"שיבוש" גרם לכָּנר לצאת מריכוז לכמה שניות ואז הוא החל לנגן את הנעימה של צלצול הטלפון. הקהל פרץ בצחוק, וכך הפך את השיבוש הרגעי ליתרון.

והנמשל בהקשר של ביקורת: מבקרים פנימיים צריכים להתעשת במהירות ולמצוא את הדרך להביא ערך מוסף: לערוך השוואות (BENCMARKING) ; להעמיק ב-BEST PRACTICES, לשוחח עם מקבלי החלטות ועם דרגים אחרים, ובאמצעות מידע זה לבחון את ההערכות הארגונית לשיבושים;

ו\או לנתח ולמפות באופן מזוקק סיכונים\שיבושים עתידיים ומהם לגזור מטלות לבדיקה;

ו\או להיכנס לבדיקות בתחום התרבות הארגונית – תחום חדשני הכולל סיכונים שארגונים רבים טרם העריכו את עוצמתם;

ו\או לעזור ולתמוך ולספק תובנה לארגון כיצד הוא יכול לרתום את הכוח המשבש ליתרון ולהביא ערך מוסף.

האתגר: להביא ערך – זווית ראייה שונה, לתת את "הקונטרה" הדרושה בדיונים בדירקטוריון, להעביר תובנות להנהלה דרך ניתוח שונה או ניתוח המוסיף בדבר השלכות הסיכון והמשאבים – תהליכים הדרושים לצמצמו. המטרה – שמקבלי ההחלטות בארגון יוכלו לבחור\לשקול טוב יותר אסטרטגיות להמשך הפעילות העסקית בצורה מושכלת.

מטרת העל מבחינת המבקר הפנימי – להיות מבקר חדשני העוסק לא רק בביקורת מקובלת, אלא לובש דמות של מבקר הצופה פני עתיד ופועל כיועץ באמצעות דוחותיו והמלצותיו.

בסביבת עסקים דינמית, סוגי הסיכונים, הסבירות להתרחשותם ומידת השפעתם, משתנים בתדירות גבוהה. כדי להוסיף ערך, על המבקר הפנימי לספק את תוצרי הביקורת במהירות, בדיוק ובחדות, תוך חדשנות רעיונית ותפעולית.

תובנות, הדגשים והמלצות לשינוי

• עידן הדבקוּת בתוכנית הביקורת השנתית הנוקשה – התערער. כעת הקו המוביל, תחת אישור של ועדת הביקורת, הוא זריזות ונכונות לשינויים מהירים בתוכנית ובביצועה.
• הביקורת המסורתית מפנה את מקומה לביקורת "רזה" (Lean Audit) או לביקורת זריזה-גמישה ((AGILE. זהו תהליך עבודה המאתגר את המבקר שצריך כל העת לשאול את עצמו אם הוא מספק את צורכי הלקוח ונוגע בליבת הבעיות (5-TOP), מתעלם מהטפל ומתמקד בעיקר, ונוקט את השיטה היעילה ביותר תוך חיסכון במשאבים. זהו עידן של התייעלות בלתי מתפשרת. כל עבודה שלא תומכת במדיניות זאת תתבטל מאליה.
• יש לקיים ישיבות, להפיץ שאלונים ולהתייעץ עם בעלי תפקידים האחראים על מעגל הבקרה הראשון (מנהלים ועובדי תפעול), ולאחר מכן עם בעלי התפקידים האחראים על המעגל השני (מנהל סיכונים, מנהל בקרה, מנהל ציות). יש לבצע סיעור מוחות עם כל הגורמים האלה בזמן קצר, דבר שיסייע לספק בהירות בהערכת הסיכונים ויתרום לאפקטיביות הבקרות הקיימות.
• כפועל יוצא, יש להתמקד בתחומים בעייתיים ובסיכונים מהותיים תוך צמצום הכניסה לביקורת באזורים שבהם קו ההגנה השני כבר מוליך לבקרה נאותה ולמציאות של סיכונים לא גבוהים לארגון.
• לבנות תוכנית ביקורת מוכוונת סיכונים ולא בקרות. באופן כזה ניתן לזהות סיכונים חדשים שטרם הוטמעו בגינם בקרות.
• לייעץ להפחתת הסיכונים באמצעות מתן המלצות אופרטיביות שהארגון יכול להכיל.
• להכין תוכנית ביקורת המבוססת על תחומים שבהם יש מקום להתייעלות וחיסכון.
• לדרג נושאים שעלו בסקר ובתוכנית הביקורת, להתמקד בעיקר (5-(TOP ולוותר על הטפל.
• לזהות ולנתח סיבות שורש לכל בעיה מהותית שעולה.

לשפר את אופן הצגת ממצאים בעידן של שיבושים

תמצית מנהלים קצרה וממוקדת היא שם המשחק. מדיניות Less is More"" נכונה לאמור לעיל ונכונה גם לאופן הצגת דוחות הביקורת. הקשב בעידן הזה הוא קצר, ולכן יש למקד את עיקרי הממצאים, סיבת השורש ומתן פתרונות לבעיות בדרך הקצרה והיעילה ביותר להבנה.

שימוש בכלים כמו תרשימי זרימה, גרפים, טבלאות, אלמנטים חזותיים, תמונות מהשטח (יעיל ביותר לכשלי בטיחות), הוא אפקטיבי מאוד להשגת המטרה.

חדשנות בשיטות בדיקה

1. רובוטיקה –Robotic Process Automation ((RPA

אנו חיים בעידן של שינוי. אין לחשוש מזה, אלא לראות בעבודה דיגיטלית כאמצעי עזר ולא איום.

RPA הוא קוד תוכנה המבצע אוטומציה של פעולות/משימות מובנות החוזרות על עצמן, ויודע להשתמש במערכות תוכנה קיימות כדי לנצל את הבקרות הקיימות בחברה.

שימוש מרכזי ב-RPA הוא איסוף ראיות ביקורת על ידי איסוף מידע מנתונים במערכות שונות שאינן משולבות. באמצעות מידע זה ניתן לנתח נתונים במהירות ובקנה מידה גדול כדי לשפר הערכות סיכון או לספק ראיות ביקורת. כמו כן, ניתן להשתמש בכלי זה לצורך ביצוע פעולות מובנות שלא מצריכות הפעלת שיקול דעת (כגון דרישות בסיסיות למתן אשראי ללקוח).

לשימוש ב-RPA לטובת הביקורת הפנימית יש יתרונות לא מעטים:

• ניצול נכון יותר של משאבים – הפניית פעולות פשוטות ל- RPA(כמו בדיקת עמידה בנהלים טכניים) מאפשרת לאנשי הצוות להתמקד בפעילויות מורכבות יותר המצריכות ניתוח וחשיבה מעמיקה, כגון ניתוח סיבות שורש לחריגות שנמצאו, שיפור תהליכים ואינטראקציות בין אישיות.
• הגדלת היקף הביקורת, יעילות וחיסכון – שימוש ב-RPA לביצוע משימות ביקורת בקצב מואץ ומסביב לשעון יכול להביא לחיסכון משמעותי בעלויות, וכן לבדיקת אוכלוסייה מלאה במקום מדגם.
• תוצאות הביקורת מדויקות יותר – עם סטנדרטיזציה מובנית של תהליכים, רמת הדיוק באיכות הנתונים הממוחשבים גבוהה יותר מאשר בתהליכים ידניים.
• הגברת תדירות הביקורת – תוכנית הביקורת הנבנית היא מבוססת סיכונים. אם בעבר במקומות שבהם הסיכון נמוך נהגנו לערוך ביקורת בתדירות של אחת לכמה שנים, שימוש ב-RPA יאפשר ביצוע ביקורת בפרקי זמן קצרים יותר, ללא ניצול משאב של זמן או עובד, שבדרך כלל חסר בצוותי ביקורת.

כמובן, יש לתת את הדעת לכך שגם הסיכונים משתנים עם הטמעת RPA   בתהליכי עבודה (כגון סיכונים טכנולוגיים, איבוד ידע, הפרדת תפקידים וכדומה).

1. כניסה משמעותית לתחום הביקורת הרכה –SOFT AUDIT ועימה כניסה לבדיקות בלב התרבות הארגונית.
2. בדיקות לפי מודלים (כמו מודל הבקרה – מודל COSO מודל הבשלות).

סיכום

אנו בפתחו של עידן שבו קצב הגורמים המשבשים רק יואץ. הדבר מחייב חדשנות, יצירתיות וחשיבה שונה בביקורת הפנימית. מַעבר לשימוש בטכנולוגיות מתקדמות כמו אנליטיקס ו-RPA, לצד מתודולוגיות חדשניות בתהליכי הביקורת, כמו ביקורת גמישה, זריזה ותמציתית – המנתחת טוב יותר גורמי סיבות השורש, נוגעת בעיקר ומגבשת המלצות פרגמטיות, קצרות וממוקדות ופתרון מעשי לבעיות – יביאו להעלאת הערך המוסף של המבקר לארגון. מבקר פנימי שיניע שינוי מהותי יחזק את מעמדו כמבקר-יועץ הפועל בזמן אמת ומייצרSECOND OPPINION – זווית ראייה נוספת, שונה וחדשנית.

The post המבקר הפנימי על רקע שיבושים appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

RPA תופס תנופה בעולם העסקי ככלי לאטמט משימות חזרתיות סטנדרטיות המחייבות מינימום של שיקול דעת או חשיבה אנושית. הטכנולוגיה משחררת לאנשים זמן משמעותי לבצע עבודה שהיא בעצם אנושית יותר – משימות המחייבות מידה רבה של מחשבה אינטלקטואלית ואנליטית.

טכנולוגיית RPA בסיסית קיימת כבר כמה עשורים. לדוגמה, סוגים שונים של "מאקרו" בגיליונות אלקטרוניים קיימים זמן רב ומאפשרים למשתמשים לאטמט משימות בסיסיות והקשות בקלידים באמצעות קליק בעכבר. היום, הפיתוחים של בוטים ל-RPA הרבה יותר מתוחכמים. בוטים אינם קשורים למערכת אחת או לבסיס נתונים אחד והם מסוגלים לשלוט בנתונים בלתי מובנים (unstructured data). למשל, בוט יכול "לגרד" מידע מצילום מסך על פי מילת מפתח, צירוף מילים או מיקום של מסך.

היכולות החזקות של טכנולוגיה זו מאפשרות שימוש ב-RPA עבור יישומים רבים, מאיטמוט של התאמות חשבון לביצוע של משימות ביקורת. בהתחשב ביכולות אלו, מחלקת הביקורת הפנימית ב-YRC Worldwide (YRCW), חברת הובלה המתמחה בהובלת מטענים ובשירותים לוגיסטיים עבור חברות שילוח בצפון אמריקה, השיקה תוכנית פיילוט ליישום טכנולוגיית ה-RPA. הפיילוט הצליח ונתן אור ירוק לתוכנית יישום פורמלית ולפריסה של RPA בעתיד.

התנופה לעבר RPA

מחלקת הביקורת הפנימית ב-YRCW מונה 17 עובדים ומחולקת לשתי קבוצות – קבוצה אחת מתמקדת בציות רגולטורי, במתן הבטחה מבוססת סיכון במוקד העורפי ובשירותי ייעוץ; הקבוצה השנייה מתמקדת בציות ובסקירות תפעוליות עבור יותר מ-300 הטרמינלים למטענים ברשת YRCW. פיילוט ה-RPA של מחלקת הביקורת הפנימית התמקד בתחום הביקורת הפנימית עבור הטרמינלים.

לכל אורך הדרך, הנהלת YRCW דרשה דבר אחד מצוות הביקורת הפנימית: לספק כיסוי ביקורת רחב יותר עם אותו מספר עובדים. בלקיחת האתגר הזה על עצמם, ראשי הביקורת, השואפים לחדשנות, יצאו למשימה אסטרטגית – ליצור את "הביקורת הפנימית של העתיד בנושא הטרמינלים". ביקורת פנימית בנושא טרמינל כוללת בדיקות הבטחת איכות (בדיקות ציות) ובדיקות תצפיתיות, במטרה להעניק הבטחת ציות רגולטורי ותפעולי תוך שימוש בתוכניות ביקורת סטנדרטיות כדי לספק מדידה עקבית של ביצועי הטרמינלים למטענים.

למחלקת הביקורת הפנימית של YRCW מוניטין מוכח של גידול שנתי בכיסוי של הביקורת הפנימית. אולם משנה לשנה נעשה קשה יותר לשמור על ההרחבות האלה. מטרת אסטרטגיית "הביקורת של העתיד" היא לא רק להרחיב את הכיסוי של הביקורת, אלא גם להגביר את תרומתה של הביקורת הפנימית על ידי הוספת תכולות לסל השירותים שלה. ראשי הביקורת ראו את הפוטנציאל של RPA בהקשר זה כרכיב חיוני באסטרטגיה של הביקורת הפנימית. איטמוט של חלקים של תוכנית הביקורת הסטנדרטית בנושא הטרמינלים יכול לשחרר משאבים יקרי ערך של צוות הביקורת ולאפשר לו להתמקד בשירותים בהם לביקורת ערך מוסף.

היערכות לאוטומציה

כהכנה ליוזמת "הביקורת של העתיד" ולרכיב ה-RPA שבה, בחנה הנהגת הביקורת הפנימית של YRCW מספר גורמים. בשלב הראשון הם בחנו את היכולות של הצוות, במיוחד המיומנויות הטכנולוגיות והאנליטיות שלו. על אף שכלים של RPA הופכים להיות יותר ויותר ידידותיים למשתמש, כישורים בפיתוח יישומים עשויים לשפר את היכולות של ה-RPA באופן משמעותי. אומנם המבקרים הפנימיים ב-YRCW השתתפו בהשתלמויות כדי לשדרג את הכישורים הטכנולוגיים שלהם במסגרת תוכניות הפיתוח האישיים שלהם, אך הם לא רכשו את הכישורים הרצויים בכתיבת קוד או כאנליסט עסקי כדי לסייע ביישום ה-RPA.

כדי להשיג את הכישורים האלה, הנהגת הביקורת הפנימית הגדירה מחדש משרת אנליסט אחת (שהייתה לא מאוישת באותה עת) והוסיפו לדרישות התפקיד כישורים ב-RPA, שליטה ב-SQL או כישורים אחרים בכתיבת קוד, וניסיון בשיפור תהליכים וכאנליסט עסקי – הכול בנוסף על הרקע הנדרש בביקורת פנימית. למועמד שהתקבל בסוף לתפקיד אומנם לא היה ניסיון ספציפי ב-RPA, אך הרקע והכישורים שלו העידו על עקומת למידה מהירה.

לפני השקת היוזמה, ראשי הביקורת הפנימית היו צריכים להגדיר תפקידים גם עבור חברי הצוות הקיימים. הם הטילו על ראש הפרויקט את המטלות של לימוד העקרונות הבסיסיים של RPA ושל הדרכת יתר חברי הצוות לגבי התכונות העיקריות, הכלים והדרישות. מאמץ זה הוביל ליצירת נייר עמדה שכלל הגדרות של המשימות המתאימות ביותר להעברה ל-RPA, זיהוי הדרישות למשאבים העיקריים, והקביעה אם החזון של ראשי הביקורת הפנימית הוא אכן ריאלי. בנוסף, נייר העמדה הציג תיאור כללי של RPA, מידע על היתרונות הצפויים, אופן הפעולה של RPA, תצורות אפשריות של בוטים, יכולות ושימושים נפוצים, סיכונים, ספקי RPA מובילים וכלים. המסמך תרם לידע הבסיסי של הצוות ולהבנה של היכולות והמגבלות של הטכנולוגיה. ההבנה המשותפת הזו אפשרה לצוות לשתף פעולה באופן אפקטיבי יותר בבניית הנימוקים בעד השימוש ב-RPA לצרכים עסקיים וכן את התוכנית ליישום היוזמה.

הוכחת היתכנות

מצויד במחקר המוצג בנייר העמדה, צוות הביקורת הפנימית החל לעבוד על הוכחת היתכנות כדי לקבוע את הערך הפוטנציאלי של ה-RPA בכל הנוגע לתוכנית הביקורת בנושא הטרמינלים. התהליך כלל את קביעת השלבים המתאימים להמרה ל-RPA והצגת תחומי ההתייעלות הפוטנציאליים. הצוות זיהה שלבים הכוללים בדיקות הבטחת איכות של המערכת ובדיקות אחרות הקשורות למערכת מול שלבים תצפיתיים שלא יהיו מתאימים לאוטומציה.

בנוסף, חברי הצוות בנו אומדן של רמת המאמץ הנוכחית הנדרשת כדי להשלים את שלבי הביקורת, ודירגו את השלבים בהתאם דרגות קושי – קל, ממוצע או קשה. שלבים שהוגדרו כממוצע או קשה לביצוע סומנו כמועמדים פוטנציאליים להעברה ל-RPA. שלבים הקשורים לעסקאות או שלבים המחייבים את המבקר להיכנס למספר מערכות סומנו כמועמדים האופטימליים להעברה ל-RPA. ככל שהשלב הוגדר כקשה יותר לביצוע וכצורך יותר זמן, כך הוא סומן כמועמד טוב יותר ל-RPA. הניתוח – שהציג תמונה של החיסכון בזמן הפוטנציאלי שניתן לכימות – אישר בסופו של דבר שיש ל-RPA את הפוטנציאל להגדיל באופן משמעותי את היעילות של ביקורת פנימית בנושא טרמינלים. הניתוחים והדיונים המשותפים בתהליך הוכחת ההיתכנות נתנו אור ירוק להמשיך לתוכנית קידום הפרויקט ולפיתוח תוכנית פיילוט.

קידום יוזמת ה-RPA

מצויד בהוכחת ההיתכנות, ראשי הביקורת התחילו לקדם את יוזמת ה-RPA בקרב בעלי העניין העיקריים. קידום היוזמה היה שלב חשוב, מאחר שמשאבי הזמן הנדרשים כדי ליישם RPA באופן מלא עלולים להשפיע על כיסוי הביקורת בטווח הקצר ולחייב השקעות פיננסיות בהמשך.

בעלי העניין העיקריים במאמץ קידום היוזמה כללו את היררכיית הדיווח של הביקורת הפנימית (כלומר ועדת הביקורת וסמנכ"ל הכספים). נוסף על כך, היה חשוב מאוד לקבל תמיכה ממחלקת מערכות המידע ב-YRCW, מפני שהתועלות הצפויות מהטרנספורמציה הזו מחייבות גישה ישירה לנתונים של החברה.

על מנת להשיג את הסכמת ותמיכת בעלי העניין, היה על צוות הביקורת הפנימית לגרום להם להבין הן את התועלות בטווח הארוך והן את השפעות יוזמת ה-RPA בטווח הקצר. מאמצי קידום היוזמה כללו פגישות קצרות כדי להסביר את ה-RPA ויתרונותיו לבעלי העניין. רוב בעלי העניין הכירו את RPA בהקשר של תהליכים עסקיים, אך לא העלו על דעתם את יתרונותיו בהקשר של תהליכי הביקורת הפנימית בנושא טרמינלים. במהלך הפגישות הציג צוות הביקורת הפנימית את התוצאות של הוכחות ההיתכנות ואת הצעת הערך הניתנת להשגה מיישום ה-RPA. מאחר שנייר העמדה והוכחת ההיתכנות הציגו את ערכה של היוזמה בצורה חותכת, קידום היוזמה היה בעצם פעולה פורמלית בלבד ויוזמת ה-RPA קיבלה תמיכה ואישור להתקדם ללא תנאים.

הפיילוט של הבוט

השלב האחרון בהוכחת ההיתכנות כלל פיתוח של בוט כפיילוט. הפיתוח כלל כמה שלבים:

• זיהוי כלי RPA מתאים.
• בחירת שלב בתוכנית הביקורת הפנימית בנושא הטרמינלים כמועמד מתאים ל-RPA.
• פירוט המשימות הנדרשות כדי להשלים את שלב הביקורת.
• פיתוח הלוגיקה של בוט ה-RPA.
• בדיקה, איתור וטיפול בבעיות ושכלול הבוט.
• הדגמת ביצועי הבוט.

המחסום הראשון העומד בפני מחלקות הביקורת הפנימית בבואן להפעיל פיילוט של RPA, הוא בחירת כלי ה-RPA. השכנוע לבצע השקעה פיננסית בכלי שייתכן שלא יוסיף ערך הוא לא דבר של מה בכך, במיוחד עבור מחלקות קטנות של ביקורת פנימית בעלות משאבים פחותים. למרבה המזל, כלי RPA מבוססי אינטרנט זמינים ממספר ספקים המציעים גרסה בסיסית המאפשרת למשתמשים לנסותם בחינם. מחלקת הביקורת הפנימית של YRCW בחרה באפשרות זו עבור הפיילוט שלה. לאחר בחינה והתנסות במספר כלים חינמיים, היא בחרה כלי אחד עם מוניטין מבוסס שנראה כמסוגל להתאים לפיילוט.

הצוות בחר שלב ביקורת בפיילוט שכלל מספר משימות ביקורת ידניות: כניסות למספר מערכות, ניווט למסכי אפליקציה שונים, ליקוט רשימות ושדות נתונים ספציפיים כדי לזהות מדגם של פריטים לבדיקה, וכן ניתוח הנתונים המדגמיים בגיליון אלקטרוני כדי לקבוע את תוצאות הבדיקה. נוסף על כך, בהתחשב בתחומי ההתייעלות המשופרת הצפויה מהבוט, המבקרים יכלו להחליף דגימה שיפוטית בבדיקות של כלל האוכלוסייה.

אחרי שהגדיר את גישת הבדיקה החדשה, צוות הביקורת החל בפיתוח הבוט. התהליך כלל רישום של כל אחת ממשימות הביקורת, שלב אחרי שלב, בכלי ה-RPA. במובנים רבים, הפיתוח היה דומה להגדרות של מאקרו בתוכנת גיליון אלקטרוני – המבקרים לכדו משימות, כגון קליקים בעכבר, הקשות בקלידים, שמות משתמשים וסיסמאות, ואטמטו אותן באמצעות הכלי.

תוצאות הפיילוט

פרויקט הפיילוט הפיק תובנות בעלות ערך רב אודות פיתוח בוטים, כגון המורכבויות בתהליכים שאנשים לוקחים כמובנות מאליהן בעת ביצוע בדיקות. לדוגמה: הצוות הכיר בערך שבגישה ישירה לנתונים לעומת גישה עקיפה המתבצעת באמצעות לכידת מסך. חלק מהשלבים בתהליך פיתוח הבוט כללו השגת גישה למסכי מעבד מרכזי ו"גירוד" הנתונים הנדרשים מהם. אולם מסכי אפליקציה מסוימים מכילים רק תמונות ואין בהם נתונים של ממש (כלומר גרפיקה עבור ממשק המשתמש).

אנשים מסוגלים "לקרוא" תמונות בקלות, אך לכלים של RPA יש יכולות קריאת תמונות ברמות שונות. הבוט של הפיילוט לא הצליח לזהות נתונים המוצגים כתמונה (אינפוגרפיקה), וזה גרם לבעיות בשלב זה של משימות הביקורת. בכל פעם שהבוט נתקל במשימה כזו (זיהוי נתונים בתוך אינפוגרפיקה) הוא נכשל או נתקע, והמצב חייב התערבות ידנית על מנת להשלים את המשימה. כאשר הבוט השיג גישה ישירה לנתונים, הוא הצליח להמשיך בעיבודים של משימות הביקורת עד לסיומם. אולם בעת הפיילוט גישה ישירה לחלק מהנתונים לא היתה אפשרית.

כתוצאה מכך, הפיילוט של הבוט הפיק תוצאות חיוביות אך לא שלמות. משימת הביקורת שנבחרה עבור הפיילוט היא משימה שמבקר יכול להשלים באופן ידני בתוך שעה-שעתיים בדרך כלל. הבוט של הפיילוט השלים את המשימה בערך בתוך דקה – עד לנקודה שבה הוא נתקל באינפוגרפיקה שעצרה את פעולתו. בנקודה זו נדרש המבקר לבצע עיבודים ידניים במשך 20 דקות נוספות.

למרות העבודה הידנית, האוטומציה סיפקה חיסכון משמעותי בזמן. לו קיבלה הביקורת גישה ישירה לנתונים, הבוט היה מצליח להשלים את מלוא שלב הביקורת ביעילות משופרת עוד יותר – בשתי דקות או פחות. גילוי זה הבליט את החיוניות של גישה ישירה לנתונים לצורך פיתוח בוטים לקראת יישום עתידי של ה-RPA. הודות לתמיכה הנוספת שהוענקה על ידי מחלקת מערכות המידע, צוות הביקורת הפנימית השיג בסופו של דבר גישה ישירה לנתונים הנדרשים והשלים את הפיילוט של הבוט.

צוות הביקורת הפנימית ביצע השוואה בין תוצאות העבודה של הבוט לבין תוצאות העבודה הידנית על מנת לוודא תוצאות עקביות. הצוות מצא שתוצאות הפיילוט היו באיכות גבוהה יותר (בדיקה מלאה של אוכלוסייה מול בדיקה מדגמית) וביעילות גבוהה יותר באופן משמעותי (כ-90 שניות מול שעה-שעתיים להשלמת משימת הביקורת).

הדרך קדימה

לאחר תיקוף הפוטנציאל בבוטים להגדלת יעילות הביקורת הפנימית, מחלקת הביקורת הפנימית של YRCW מוכנה להשיק תוכנית פורמלית ליישום ה-RPA. התוכנית מתעדפת משימות ביקורת עבור פיתוח בוטים ותשקול את השלכות ממשל ה-RPA. התוכנית תתייחס להרבה מהשיקולים הנדרשים בכל סביבת פיתוח IT, לרבות סטנדרטים של פיתוח, ניהול שינויים ובדיקות משתמש.

הנהגת הביקורת הפנימית גם תצטרך להחליט על כלי ה-RPA שיהיה מתאים לאחר הפיילוט, ובמידת הצורך לגבש נימוקים עסקיים שיצדיקו ויבטיחו מימון לפרויקט. כמו כן, עליה לשקול כיצד לפרוס מחדש את צוות הביקורת לאחר שהיעילות המשופרת של תהליך ה-RPA יתחיל להבשיל.

כלי שינוי

כמו רוב הכלים הטכנולוגיים, כלי ה-RPA אינו פתרון של one-size-fits-all. מודל היישום שלו ופוטנציאל הערך שלו יהיו שונים בכל ארגון וארגון. בסופו של דבר, הערך שב-RPA הוא באיטמוט של פעילויות סטנדרטיות המבוצעות בתדירות גבוהה. למחלקות ביקורת פנימית שתוכניות הביקורת שלהן מכילות התקשרויות משמעותיות שחוזרות על עצמן להבטחת ציות, תהיה הצדקה טובה יותר ליישום ה-RPA מאשר למחלקות שתוכניותיהן מכילות שיעור גבוה יותר של פרויקטים תפעוליים ושל שירותי ייעוץ. עבור מחלקות ביקורת פנימית שבהן יישום ה-RPA הוא הגיוני – זה יכול להיות game-changer.

מיומנויות בפיתוח בוטים

התחלת השימוש ב-RPA אינה מחייבת מיומנויות מיוחדות. רוב כלי ה-RPA כוללים סוגים של ממשק משתמש גרפי טיפוסיים עם פונקציות של point and click המסייעות למשתמשים מתחילים להתחיל מיד.

כל בעל ניסיון בתוכנות בסיסיות כמו אקסל יכול לפתח בוטים בסיסיים. אולם ידע טכני, כמו כתיבת קוד, יכול להיות שימושי מאוד כשמבקשים לפתח בוט מתוחכם יותר, במיוחד אם יוזמת ה-RPA צפויה להיות מורכבת יותר.

כלים מתקדמים יותר של RPA מאפשרים גם כתיבת קוד בהתאמה אישית באמצעות SQL או בשפות קוד אחרות. אנשים בעלי מומחיות כאנליסט עסקי או בכתיבת קוד יכולים להוסיף ערך משמעותי לפרויקטים לפיתוח בוטים מורכבים.

תחשבו לפני שאתם מבצעים אוטומציה

אין זה רצוי שמבקרים פנימיים יתחילו בפרויקטים לפיתוח בוטים בפזיזות או ללא תכנון ותמיכה ראויים. מחלקות ביקורת פנימית השוקלות יישום של RPA צריכות לקחת בחשבון את הנקודות הבאות:

• יש לבצע הוכחות היתכנות (לרבות פיילוט) כדי לוודא שהמהלך מציע ערך גבוה מספיק ומצדיק את יוזמת ה-RPA.
• אפשר להשתמש בכלים בסיסיים חינמיים ובמיומנות בסיסית כדי להתחיל את הפרויקט, אבל כלים מתקדמים יותר ויכולת כתיבת קוד עשויים להיות חיוניים כדי להשלים את הפרויקט.
• גישה ישירה לנתונים מוסיפה ערך מעריכי.
• שותפות עם מחלקת מערכות המידע או עם מחלקות אחרות המשתמשות ב-RPA מאפשרת לביקורת הפנימית למנף מומחיות בנושאים פנים-ארגוניים ולהקטין את הוצאות הפיתוח.
• האיכות והקיימות של התוכנית מחייבות פיקוח צמוד על ממשל ה-RPA.

“*This article was reprinted with permission from the April 09, 2020 issue of Internal Auditor magazine, published by The Institute of Internal Auditors, Inc., and has been translated from English to Hebrew.”

The post מבקרים פנימיים בחברת הובלת מטענים לוקחים RPA למבחן דרכים appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

בתקופה שבה אנו נדרשים יותר מהרגיל להתמקד רק בסיכונים המהותיים, ולצמצם ככל שניתן את מרכיב ההפרעה לפעילות השוטפת של המבוקרים, עלינו להמציא את עצמנו מחדש ולמצוא דרכים להשקיע את משאבי הביקורת בצורה יעילה, דיפרנציאלית, ובאזורים שיגדילו את ערכי התוצרים וההשפעה שלנו בארגון.

כולנו מכירים את הדרך ה"קלאסית" להערכת סביבת הבקרה ובחינת תהליכי עבודה, הנעשית באינטראקציה מול המבוקרים על ידי שימוש בטכניקה של תשאול (שיחות, פגישות ומיילים) ופעילות עצמאית של סקירת חומרים ונתונים. תהליך ביקורת המתבסס ברובו על טכניקה זו עלול לעיתים להקשות על קבלת תמונה מלאה המגובה בעובדות, ואף להסיק מסקנות והערכות העלולות להיתפס כסובייקטיביות.

אז מה אנחנו מציעים?

אחת הדרכים להתמודד עם אתגר זה היא "ירידה לשטח". לא מדובר בשיטה חדשה, אך המטרה היא להגביר את השימוש בטכניקה של "בדיקת ערנות" או בשמה הפחות ידידותי "בדיקת פתע".

אפשר לשלב בדיקת ערנות כמעט בכל ביקורת, ובהמשך המאמר נציג רעיונות ודוגמאות מניסיוננו.

מה נרוויח מזה?

קודם כל, נחזק את היכולת להגיע למסקנות אובייקטיביות. על הדרך, נוכל לאתגר את אפקטיביות הבקרות באופן בלתי ניתן לערעור, נפחית התנגדויות וויכוחים, נצמצם "הפרעה" על ידי הפחתת הבדיקות והאינטראקציה עם המבוקרים, ונקבל תחושת נוחות מתוצרי הבדיקות. אם באמצעות בדיקת ערנות נגיע למסקנה שבקרה מסוימת אינה פועלת כמצופה או אינה פועלת כלל, נוכל לקדם ביעילות את מטרת הביקורת מבחינת הערכת סביבת הבקרה, ולפנות משאבים לבדיקות נוספות. במקביל, ניתן להעביר באופן מיידי למבוקר את תוצאות הבדיקה על מנת שיוכל לטפל בהמלצות בהתאם לרמת החומרה. וכמובן איך אפשר בלי הנהלת הארגון וועדת הביקורת? גם הם מרוויחים מהתהליך, שכן נוכל להציג בפניהן תמונת מצב מוחשית של סביבת הבקרה בנושא הנבדק.

איך זה יתבצע בפועל?

על מנת לבצע את משימת הביקורת בצורה האפקטיבית ביותר ולהעריך את אופן התמודדות הארגון עם הסיכון "בזמן אמת", על המבקר לעבור מספר שלבים:

1. לסקור את הבקרות הקיימות בארגון בתהליך הנבדק.
2. לזהות בקרות חסרות.
3. להגדיר את התרחישים המהותיים שהוא ירצה לבדוק.
4. לבצע בדיקות ערנות לאתגור הבקרות בתרחישים שהוגדרו.

קצת המחשות?

בביקורת בנושא דלף מידע, מטרת הביקורת הייתה לבחון את תהליכי העבודה והבקרות לצמצום סיכוני דלף המידע. בהנחה שהארגון הגדיר סט של בקרות כמענה לתרחישי דלף שונים, משימתנו היא להעריך את אופן התמודדות הארגון עם סיכון זה. בתהליך הקלאסי יסקור המבקר את מדיניות הארגון בנושא, את נוהלי העבודה, תהליכי הגדרת בקרות, תהליכי טיפול בהתראות, תחזוקה שוטפת ועוד. סקירה זו בהחלט עשויה לתרום להסקת המסקנות בנוגע לתהליך בכללותו אך האם היא תספיק לקבלת מענה לשאלה: "האם הארגון אכן מוגן מתרחיש דלף מסוים?" – כנראה שלא.

לעומת זאת, באמצעות בדיקת ערנות המבקר יבצע אתגור מוחשי של הבקרות בכך שינסה לשלוח מידע רגיש אל מחוץ לארגון. ומה ניתן יהיה להסיק מכך?

• אם הוגדרו בקרות והמידע נחסם – הבקרות הקיימות אפקטיביות.
• אם הוגדרו בקרות והמידע יצא – הבקרות הקיימות אינן אפקטיביות והארגון לא מוגן בתרחיש זה.
• אם לא הוגדרו בקרות – לארגון קיימת חשיפה לדלף מידע ועליו לנהל את הסיכון בגינו.

דוגמה נוספת היא בביקורת סייבר שבמסגרתה נבקש לבצע ניסיונות חדירה למערכות הארגון מתוך חצרות הארגון. נתחבר באמצעות כלים שונים אל נקודות התקשורת או למצלמות הרשת הפזורות בארגון, וננסה לעקוף את מנגנוני הבקרה הקיימים. גם בבדיקה זו יש להגדיר מראש את המטרות שנרצה להשיג (מעבר בין סביבות עבודה בארגון, חדירה למערכת מסוימת וכו'), ולבחון את רמת ההקשחה (FireWall, מדיניות סיסמאות וכו') הקיימת בארגון.

כמובן שחוץ מלהסיק מסקנות על רמת ההגנה, נוכל גם לבחון בזמן אמת את אפקטיביות מערך הניטור בהקפצת התראות בתרחישים שונים. אם התגלו חוסרים – תוצאות הבדיקה יעזרו בעדכון ההתראות.

בדיקות ערנות רלוונטיות לרוב עולמות התוכן של המבקרים

• ניתן לאתגר בקרות עסקיות ולבצע פעולות יזומות מעל סף הבקרות שהוגדר.
• ניתן לאתגר בקרות טכנולוגיות על ידי התחברות לארגון מאתר של ספק מאושר ולבחון את שרשרת האבטחה, או לחילופין לבצע תרגיל יזום של אירוע חירום/סייבר ולבחון את המודעות העובדים המהווים, במרבית המקרים, את החוליה החלשה ביותר בשרשרת האבטחה בארגון.
• ניתן לאתגר בקרות תפעוליות או לזהות חשיפות בהיבטים רכים יותר, כמו נגישות, שירות וחוויית לקוח על ידי שליחת לקוח/עובד סמוי לארגון, ביצוע האזנות לשיחות מוקלטות, או צפייה בהקלטות מצלמות האבטחה על פעילות העובדים באתרים רגישים.

מרבית הבדיקות ניתנות לביצוע באופן עצמאי או בסיוע יועץ מומחה, אך לעיתים יידרש, ואפילו מומלץ, לפעול בשיתוף פעולה עם גורם נוסף מתוך הארגון שיתבקש להקפיד על דיסקרטיות לצורך שמירה על אפקטיביות הבדיקה.

לפני שרצים להעיר את כולם – בואו ננהל גם אנחנו את הסיכונים

בעת שימוש בבדיקות ערנות, חשוב מאוד ליישם תהליך של "ניהול סיכוני הבדיקה" ולהביאו לידיעת הנהלת הגוף המבקר ואישורו. תהליך זה נועד לצמצם את ההשלכות האפשריות של הצלחת הבדיקה (ומהצד השני כישלון הבקרה) והסיכונים שעלולים להיווצר. כך למשל, בדוגמה על אתגור בקרות דלף מידע, אם המידע יצא מחוץ לחצרות הארגון, נוצר מצב שבו מידע רגיש של הארגון "מסתובב" ברשת הציבורית או באמצעי נתיק (DOK) ששימש להוצאת המידע. בדוגמה של ניסיונות חדירה למערכות הארגון, בעת אתגור של בקרה המונעת/מנטרת חיבור רכיב זר לרשת, עלול להיגרם נזק על ידי "הדבקת" הרשת הארגונית או אף חסימתה.

מה חשוב לכלול בתהליך ניהול סיכוני הבדיקה? – זיהוי ומיפוי מראש של הסיכונים תוך בחינת כלל הנושאים שעלולים "להשתבש", הגדרת תוכנית הפחתה מתאימה ויצירת מנגנון של עצירה מיידית בעת הצורך. דרך נוספת לצמצם את הסיכונים היא באמצעות שיתוף רמה בכירה של היחידה המבוקרת. כך ניתן לרתום את המבוקר לתהליך שבו הוא מקבל הזדמנות להיות שותף בבדיקה, ואנו זוכים בשיתוף פעולה בקבלת תוצאות הבדיקה וביישום המלצות הביקורת.

והתיעוד – לנצח יישאר

היבט חשוב לא פחות בבדיקות מסוג זה הוא התיעוד. על מנת להציג למבוקר את תוצאות הבדיקות שביצענו (וכן – גם קצת להשוויץ J), חשוב לאסוף תיעוד מסודר לאורך כל אחד מהתרחישים הנבדקים. לדוגמה: ריכוז הקבצים שאנו מעוניינים להדליף מחוץ לארגון, צילומי מסך של הוצאת המידע וקבלתו מחוץ לארגון, הודעות שהתקבלו בגין תרחישים שנחסמו ו/או שנוטרו על ידי מרכז הבקרה, צילום תמונות/סרטונים של הציוד שאנחנו מחברים וכו'. כך נוכל להעביר למבוקר תמונה מדויקת ומבוססת עובדות של מצב סביבת הבקרה לגבי החשיפות והסיכונים הנבדקים באופן שיצמצם התנגדויות ויהפוך כמעט כל ויכוח להסכמה.

אז מה היה לנו?

גילינו שעל ידי שימוש מושכל בטכניקה של "בדיקות ערנות", הכולל הכנת תרחישי בדיקה, שיתוף גורמים רלוונטיים, ניהול סיכונים אפשריים ותיעוד מסודר – ניתן להגביר לאין ערוך את אפקטיביות הבדיקות המבוצעות במסגרת הביקורת. בשיטה זו ניתן לספק יתרון משמעותי על פני טכניקות בדיקה אחרות ולהציג הוכחות חד-משמעיות המקלות על קבלת הממצאים על ידי הגורם המבוקר.

The post על היתרונות שבבדיקת עירנות (בדיקת פתע) appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

סקר עבירות צווארון לבן שערכה מחלקת הביקורת החקירתית בפאהן קנה ניהול בקרה, בדק  מספר ארגונים שבחלקם התרחשו אירועי הונאות ומעילות במהלך השנים 2019-2018. הסקר בחן פרמטרים שונים כדוגמת ניתוח סוגי המעילות, מגזרי הפעילות שאליהם משתייכים הארגונים שבהם בוצעו המעילות, פרופיל מבצעי המעילות, הקשר בין הפרופיל לאופן הטיפול, וכימות הנזק שנגרם לארגון. הסקר הקיף חברות וארגונים מובילים במגזר העסקי, ובהם גופים ממשלתיים, רשויות מקומיות, מלכ"רים, וחברות ציבוריות ופרטיות מענפים שונים: מסחר, תעשייה, נדל"ן, פיננסים, היי-טק וכדומה. הסקר מעלה מסקנות ותחזיות לעתיד אודות ריבוי המעילות שעוד נכונות להיחשף במהלך 2020, בייחוד לנוכח השפעות משבר הקורונה המתמשך.

בעקבות אירועי הקורונה מובאים בסוף הניתוח עוד דגשים רלוונטיים.

להלן עיקרי הסקר:

סוג המעילה

מקרי המעילות שנבדקו סווגו לשלושה מאפיינים עיקריים:

• הונאות חשבונאיות – הונאות המבוצעות על ידי הנהלת הארגון כלפי גורמים חיצוניים. הונאות מסוג זה כוללות מצגים מעוותים בכוונת זדון על מצבו הכספי של הארגון, במטרה להונות את ציבור המשקיעים ו/או גורמים הנמצאים בקשר עסקי עם הארגון.
• מעילות עובדים – הונאות של גורמים פנימיים (לעיתים בשיתוף פעולה עם גורמים חיצוניים), הפוגעים בנכסיו ובמצבו הכספי של הארגון.

שוחד ושחיתות – שימוש לרעה של בעל תפקיד/מקבל החלטות בסמכויותיו על מנת להשיג טובות הנאה או רווח אישי.

הסקר מעלה כי מעילות עובדים מהוות 68% מהאירועים שנבדקו, כאשר מחציתן בוצעו בשילוב מעשי שחיתות והונאות חשבונאיות. ב-35% מכלל האירועים שנבדקו עלו חשדות למעשי שוחד ושחיתות.

התפלגות סוג המעילה לפי מגזר פעילות

• המגזרים שהובילו במקרי שוחד ושחיתות הם: המגזר הציבורי (נתח של 55%), מגזר נותני השירותים (13%) ומגזר התעשייה והמסחר (11%).
• המגזרים שבהם בלטו מעילות העובדים הם: המגזר הפיננסי (80% מהמעילות בוצעו על ידי עובדים), מגזר הנדל"ן (75%), מגזר ההיי-טק (67%) ומגזר התעשייה והמסחר (61%).
• המגזרים שהובילו בתחום הונאות חשבונאיות הם: נותני השירותים (נתח של 40%), היי-טק (33%) והתעשייה והמסחר (29%).

בשנים האחרונות חלה עלייה בשיעור המקרים שבהם עלו החשדות למעשי שוחד ושחיתות. נתון זה אינו מעיד בהכרח על עלייה במספר העבירות מסוג זה, אלא על עלייה במספר המקרים שנחקרו ונחשפו ביחס לשנים קודמות. ייתכן כי העיסוק התקשורתי הרב בעבירות מסוג זה גרם גם כן לעלייה במספר המקרים שנחקרו ונחשפו.

אופן איתור המעילה

הסקר התייחס לארבע קטגוריות שבהן נחשפו המעילות:

חשיפה על ידי מידע אנונימי או חשיפה על ידי עובד: מעילות/ הונאות ו/או שחיתויות שנחשפו על ידי עובד או בעקבות מידע אנונימי, כולל הקו החם.

חשיפה באמצעות בדיקות פנים ארגוניות יזומות של ההנהלה: ביקורות פנימיות ו/או בקרות פנימיות שוטפות/ יוזמה של ההנהלה.

ביקורת גוף חיצוני לארגון: מבקרים חיצונים, גורמים רגולטוריים, רשויות אכיפה וגורמי פיקוח ממשלתיים.

חשיפה בעקבות קריסת החברה ו/או בקשת הקפאת הליכים.

ניתן לזהות כי קיימת עלייה בשנים האחרונות בביצוע בקרות פנימיות ובדיקות שוטפות ביוזמת ההנהלה. ככל הנראה עלייה זו נובעת מההתפתחות הטכנולוגית המאפשרת שימוש בכלי בקרה פנים ארגוניים מתקדמים יותר. כיום נראה כי ארגונים רבים מחליטים להשקיע משאבים ביישום בקרות ממוחשבות, במטרה למנוע ולצמצם את הסיכון להתרחשותן של מעשי הונאות ומעילות העלולות להסב נזק משמעותי לארגון.

פרופיל מבצע המעילה

פרופיל המועל מגלה כי השנה, בדומה לשנים קודמות, את מרבית ההונאות והמעילות בישראל מבצעים מנהלים ובעלי חברות ו/או גורמים בכירים:72%  ממבצעי המעילות בשנים 2019-2018 הם עובדים בכירים בארגון ו/או בעלי מניות ושותפים בחברות (לעומת 73% בשנים 2017-2016).

הקשר שבין היקף הנזק לפרופיל מבצע המעילה

הסקר מגלה כי קיים מתאם בין פרופיל מבצע המעילה לבין היקף הנזק. במרבית המעילות שביצעו עובדים זוטרים היקף הנזק הכספי עומד על מתחת ל-500 אלפי ₪, ואילו ברובן המכריע של המעילות שביצעו  גורמים בכירים בארגון, היקף הנזק הכספי עומד על סכום של מעל מיליון ש"ח.

הקשר שבין פרופיל המבצע לאופן הטיפול במעילה

הסקר העלה כי מרבית המעילות שביצעו עובדים זוטרים טופלו בארגונים בהליך פנימי (42%). לעומת זאת, רוב המעילות שביצעו גורמים בכירים בארגון טופלו בהליך אזרחי (74%).

במרבית המעילות שביצעו גורמים בכירים בארגון, הארגונים פועלים על פי ההנחה כי ניתן יהיה להשיב את הכסף או את חלקו מאותם גורמים ולכן פונים להליך האזרחי. לעומת זאת, מעילות שביצעו גורמים זוטרים בארגון, מטופלות בדרך כלל בהליכים פנימיים בשל ההבנה כי הסיכוי להשיב את כל הסכום שנגנב אינו גבוה, קל וחומר אם ייפתחו הליכים משפטיים נגד מבצע המעילה.

בעולם מתקיימת מגמה הפוכה לישראל, כאשר חלק ניכר מאירועי המעילות (44%) שביצעו  גורמים זוטרים בארגון מטופלים בהליך הפלילי. הפנייה להליך הפלילי מבוצעת בדרך כלל כאשר קיים אינטרס ציבורי מובהק, והארגון סבור שיש ערך מוסף לפנייה לרשויות האכיפה ובחלק מהמקרים אף בסיוע לקידום התיק גם בהליך האזרחי.

שימוש באמצעים למניעת מעילות

ישראל היא אחת המדינות החברות בארגון ה- OECD, וחברות ישראליות נדרשות לעמוד ברגולציה מחייבת. לכן הן מטמיעות כלי בקרה הנפוצים כיום בעולם כולו. בעוד שבעבר ארגונים הסתפקו בביצוע סקר סיכוני הונאות ומעילות, הרי שכיום ארגונים מבינים כי הדרך הנכונה להתמודדות עם האיומים המשתנים היא באמצעות תוכנית עבודה מודולרית, המאפשרת למקד בקרות ובדיקות חכמות בתהליכי עבודה ובאזורים שזוהו כבעלי סיכון גבוה למעשי הונאות ומעילות.

מגפת הקורונה – השלכות עתידיות על חשיפת מעילות בארגונים

על רקע מגפת הקורונה והמשבר הכלכלי העמוק הפוקד את המשקים, ניתן לזהות עלייה במספר מקרי ההונאות והמעילות המתפרסמים באמצעי התקשורת הן בארץ והן בעולם. השאלה המתבקשת היא מדוע דווקא בתקופות קשות נחשפות יותר פרשיות מסוג זה, והאם קיים קשר בין מעילות לבין משבר כלכלי. נראה כי התשובה לכך נמצאת בכמה מישורים:

• התקופה הקשה מחייבת צעדים ארגוניים מהותיים ואגב כך גוברת ההסתברות לחשיפה. לדוגמה, לאחרונה התפרסמו ידיעות בדבר חשדות על מעילה בסך מיליוני שקלים שביצעה לכאורה מנהלת חשבונות ותיקה בחברת פרסום חוצות. לפי הפרסומים, בשל מגפת הקורונה נאלצה הנהלת החברה להוציא את מרבית עובדיה לחל"ת, ובהם גם את העובדת החשודה. בעקבות בדיקות פנימיות שערכה הנהלת החברה במהלך תקופת החל"ת, עלו החשדות כנגד העובדת בדבר מעילה שהתרחשה לכאורה במשך מספר שנים.
• בתקופות משבר נוטים מנהלי החברות לבדוק את התהליכים העסקיים בחברה כדי למזער נזקים. לעומת זאת, בתקופות שפע המנהלים נוטים לעסוק בעיקר בצמיחה וביצירת הזדמנויות עסקיות חדשות, ופחות מתמקדים באיתור ומניעת פרצות במערכי הבקרה. לדוגמה, אתי אלון מעלה בכספי הבנק למסחר במשך שנים ובהיקף של מאות מיליוני שקלים. המעילה נחשפה רק מספר חודשים לאחר המשבר הכלכלי של 2001 והביאה עם חשיפתה לקריסתו של הבנק. דוגמה נוספת היא ההונאה הפיננסית של ברנרד מיידוף, המהווה את אחת מהונאות הפונזי הגדולות בהיסטוריה. ההונאה נחשפה בעיצומו של המשבר הכלכלי העולמי אך התבצעה במשך מספר שנים קודם לכן. ההסבר לכך הוא שבתקופות שפל בורסאי מקורות המימון נעצרים, ובהונאות פירמידה מסוג פונזי, המתאפיינות בשימוש בכספי משקיעים חדשים על מנת לממן תשואות למשקיעים הוותיקים, הדבר גורם לקריסתה של הפירמידה שנבנתה.
• תקופות שפל ומשבר מתאפיינות גם במספר רב של סכסוכים עסקיים בין שותפים. במקרים כאלה הצדדים משתמשים בכל הכלים המשפטיים העומדים לרשותם, ולכן לא פעם גם מתעוררים חשדות לגבי טוהר המידות של השותפים. כל עוד העסקים שגשגו לא נשאלו שאלות ולא צפו חשדות, אך בתקופת משבר נשאלות השאלות הקשות ולעיתים גם מאותרות פעולות "חריגות" שבוצעו בעבר.

כאמור, ההיסטוריה מלמדת אותנו כי חלק ניכר ממעשי הונאות ומעילות נחשפים ביתר שאת בעיתות משבר, והתחקות אחר הפעולות "החריגות" מגלה שהן החלו דווקא בתקופות של צמיחה כלכלית. אין זה מן הנמנע כי בסיומו של ה"צונאמי הכלכלי" שהביא עימו משבר הקורונה, יתגבר קצב חשיפת הפרשיות של מעשי הונאות ומעילות מסוגים שונים, שייתכן שכלל לא היו נחשפות כל עוד השווקים היו בתקופת שפע וגאות.

בהקשר הזה ראוי לציין כי חברות שבהן מתקיים מערך ביקורת ומנגנוני בקרה ופיקוח שוטפים, צולחות תקופות של שפל ומשבר בצורה טובה יותר מאשר חברות אחרות.

The post הונאות ומעילות בישראל – תמונת מצב ומבט לעתיד על רקע משבר הקורונה appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.