מבוא

חוק החברות בישראל קובע כי "תפקיד ועדת הביקורת של הדירקטוריון לקבוע הסדרים לגבי אופן הטיפול בתלונות של עובדי החברה בקשר לליקויים בניהול עסקיה ולגבי ההגנה שתינתן לעובדים שהתלוננו". עד כה לא היו בישראל פרסומים רגולטוריים מיוחדים ומפורטים (אם בכלל) באשר למדיניות, לעקרונות ולהליכים הרצויים שראוי שוועדת הביקורת של הדירקטוריון תאמץ. לא כן המצב במדינות מערביות רבות.

מוצגת להלן, על בסיס השוואה רעיונית, התבנית הבריטית – המודל הבריטי הרצוי לטיפול בחושפי שחיתות ובמידע שהם העבירו. המודל הבריטי מבוסס על מערכת החוקים בבריטניה נכון ל-2021 והוא דומה מאוד להסדרה שכאמור קיימת גם במדינות מערביות אחרות, כגון ב-27 מדינות האיחוד האירופי ובארה"ב באשר לחברות הנסחרות בבורסה. כלומר, החקיקה והמודל הבריטי, בשינויים הנדרשים, עשויים לשמש את ועדת הביקורת של הדירקטוריון כסרגל רעיוני וקו מנחה. על בסיס המודל יכולות ועדות הביקורת של חברות בע"מ בישראל, ובמיוחד אלה הנסחרות בבורסה, לאמץ עקרונות ומדיניות הנדרשים לשם בניית תוכנית, מדיניות ונהלים להגנת חושפי שחיתות בישראל, ובאשר להליכים הארגוניים לטיפול במידע שנחשף.

המודל הבריטי המוצג להלן עשוי לשמש גם את יחידת הביקורת הפנימית בחברות בישראל, ולהוות מעין מודל לביקורת הפנימית בבואה לבחון בצורה השוואתית את המדיניות והנהלים שקבעה ועדת הביקורת של הדירקטוריון בישראל ולהציע שיפורים ותוספות.

המודל הבריטי Whistleblower Policy Template

מבוסס על פרסום של חברת הייעוץ CORE INTEGRITY מיוני 2021

1. הצהרת מדיניות

מטרת מדיניות ההגנה על חושפי שחיתות היא לעודד ולתמוך בדיווח על עבירות והתנהגות בלתי הולמת או התנהגות הנחזית לבלתי הולמת.

2. הצהרה

העובדים של הארגון הם הנכס הארגוני הגדול ביותר, וככאלה הארגון מחויב לספק להם תרבות דיבור בטוחה ותומכת –Speak Up Culture .

אנו כארגון מחויבים לשמור על הסטנדרטים הגבוהים ביותר של התנהלות והתנהגות אתית בכל עת.

3. תכולה – לא רק על עובדי הארגון

המדיניות מתייחסת לארגון ולכל החברות בנות שלו, והיא חלה על כל העובדים, הדירקטורים, המנהלים, הקבלנים, היועצים והצדדים השלישיים (ספקים) ועובדיהם בהווה ובעבר.

4. זכויות משפטיות

אדם שדיווח במסגרת מדיניות זו על עבירות או התנהגות בלתי הולמת, יש לו זכויות משפטיות לפי חוקי בריטניה. המדיניות של הארגון אינה גוברת על זכויות אלו אלא באה להוסיף בנדון.

5. הצהרת מדיניות בדבר הזכות למימוש תרבות ארגונית של Speak Up

אנו מעודדים אותך להשמיע את קולך ולדווח על כל בעיה אמיתית או נחזית כהתנהגות לא נכונה או התנהגות בלתי הולמת. אנו מחויבים לטפח תרבות דיבור בטוחה, תרבות של ,Speak Up ואנו נגן עליך כאשר אתה מדווח בנדון.

חשוב להדגיש כי חברת הייעוץ מציינת שזאת אחת מהצהרת המדיניות החשובות ביותר במודל.

6. הבטחת אנונימיות וסודיות

אתה יכול לבחור למסור את פרטיך או להישאר אנונימי, ובכל הנסיבות אנו נטפל בזהותך ובמידע שתמסור בסודיות מוחלטת. אנו נשתף את שמך ואת המידע שאתה מספק רק בהסכמתך או אם החוק מחייב זאת.

7. מיסוד "קו חם" חיצוני מוגן

אנו ממליצים לך לחשוף כל ביצוע פעולה פסולה או בלתי חוקית ישירות דרך מוקד הקו החם שלנו, המנוהל באופן עצמאי וביושרה מלאה על ידי גורם חיצוני לארגון.   שימוש בקו החם החיצוני מאפשר לארגון לספק לך את הליך הדיווח החשאי הטוב ביותר; וחשוב מכך, להבטיח שנוכל להגן עליך כפי שהבטחנו.

אם תרצה ערוצי דיווח נוספים, הרי שבארגון גם יש מספר גורמים ארגוניים שתוכל לדווח דרכם ואלה הם:

1. קצין הציות (מקובל גם בישראל בעיקר במגזר הפיננסי)
2. המבקר הפנימי הראשי (מקובל גם בישראל)
3. יו"ר ועדת הביקורת של הדירקטוריון (מקובל גם בישראל)

במקרי חירום או במקרים חריגים אתה יכול לחשוף התנהגות לא תקינה (על פי החקיקה הבריטית) דרך חבר פרלמנט או בתקשורת, אולם אנו ממליצים לך להגיש תחילה את הדיווח שלך לארגון.

8. כלים לדיווח

המודל נותן גם פירוט טכני של כלים לדיווח: פירוט מספר ערוצים שבהם ניתן לדווח באמצעות הקו החם לגורם החיצוני המוזכר לעיל, כגון דואר אלקטרוני, מכתב, טלפון או טופס מקוון.

9. הסבר מהו בסיס סביר לדיווח – על מה ניתן לדווח

אתה מוזמן להשמיע את קולך אם יש לך בסיס סביר לחשוד בכל התנהגות בלתי הולמת, עוול או התנהגות בלתי חוקית בארגון ובחברות בנות. האמור לעיל מתייחס לכל הפרה של החוק, קוד ההתנהגות הארגוני, או כל דבר אחר שאתה מרגיש שעשוי להשפיע על הארגון, העובדים, הלקוחות או "בעלי העניין".

רשימת נושאים הראויים לדיווח לפי התפיסה הבריטית:

• הונאה, גניבה או התנהגות לא ישרה (כולל זיוף רישומים);
• שוחד, שחיתות, הלבנת הון או מתן וקבלת עמלות סודיות לא ראויות;
• בריונות, הטרדה, התנכלות או אפליה;
• הפרת סדרי תעסוקה, עבודה או סדרי בריאות ובטיחות במקום העבודה או כל חוק אחר;
• התנהגות הפוגעת במוניטין או במותג של הארגון או ביחסים עם צדדים שלישיים;
• הפרה של מדיניות פנימית (כגון קוד התנהגות או ניגודי עניינים);
• הפרות של סודיות – חשיפת מידע סודי;
• יצירת סכנה לציבור או למערכת הפיננסית;
• כל התנהגות בלתי הולמת אחרת;
• עבירה נגד כל חוק אחר (של חבר העמים הבריטי – שדינה מאסר לתקופה של 12 חודשים ומעלה

הרחבה בדבר ההגנה הארגונית על חושפי שחיתות

הארגון מחויב להגן על כל מי שחושף שחיתות על ידי:

1. הגנה על זהותך

• לא נשתף את זהותך או מידע שסביר שיוביל לכך שזהותך תיחשף, אלא אם תיתן את הסכמתך או שזה מותר על פי חוק. אנו תמיד נבקש את הסכמתך לפני חשיפת זהותך או חשיפה של כל מידע שאתה מספק.

2. הבטחת הוגנות

• אנו מחויבים להבטיח שאתה תקבל יחס הוגן ושאינך מקופח או מופלה לרעה כתוצאה מפעולתך.
• אנו נעריך-ננתח את הדוח שלך וננקוט את כל הפעולות הסבירות והמתאימות כדי לשקול, לחקור ולפתור את הבעיות שהועלו.
• אנו נטפל בכל דיווח לגופו במונחים של הפעולה או התגובה המתאימה, אך בכל הנסיבות אנו מחויבים להבטיח הוגנות לכל הצדדים המעורבים.

3. מתן תמיכה

• אנו מבינים שחשיפת שחיתות היא תהליך קשה, ואנו מחויבים לספק תמיכה לך ולכל גורם אחר שנפגע לאורך כל התהליך.
• כחלק מהמחויבות הזו, תהיה לך גישה לקצין ההגנה על חושפי שחיתויות – עובד מיוחד של הארגון (משרה ארגונית במודל הבריטי -מעין קצין ציות בישראל; בבריטניה יש גם קצין חקירות מיוחד לחקירת המידע שנחשף). אותו גורם אחראי להבטיח שההגנות על פי מדיניות זו נאכפות.
• אם יש לך שאלות או חששות לגבי ההגנות החלות עליך והתמיכה הניתנת, אתה מוזמן ליצור קשר עם קצין הגנת חושפי שחיתות.

דרכי הטיפול במידע שחושף השחיתות העביר

• עם קבלת המידע שחשפת באמצעות הקו החם החיצוני והמוגן, מנהל הקו החם, החיצוני לארגון, יקצה את ניתוח המידע לאדם המתאים ביותר בהתבסס על הנושא שעלה. תוך כדי כך, המידע שהעברת יוערך כדי לקבוע אם הוא כשיר להיות בגדר חשיפת שחיתות מוגנת. כל המידע המוגן יועבר לקצין הגנת חושפי שחיתויות של הארגון.
• בהתאם לנושא שעלה ייתכן שתידרש חקירה. אם נדרשת חקירה, קצין הגנת חושפי שחיתות הארגוני יהיה אחראי לפיקוח על ביצוע החקירה, וגורם אחר מטעמו יהיה נקודת הקשר שלך כדי להבטיח שאתה מוגן ונתמך לאורך כל התהליך.
• במקרים מסוימים עשוי להתמנות חוקר חיצוני שיבצע חקירה מטעם הארגון. משך החקירה הרשמית יהיה תלוי בנסיבות, כולל מספר ההאשמות, העדים וגורמים נוספים.
• אתה, כחושף שחיתות, תוכל לקבל עדכונים, לספק מידע נוסף ולשאול שאלות בנוגע למידע שהעברת ולהתנהלות החקירה, זאת באמצעות פלטפורמת הדיווח המקוונת המאובטחת.

יש לציין כי במודל הבריטי המוצע אין הגדרת התנכלות לחושפי שחיתות כעבירה, זאת לעומת מדינות מערביות רבות.

סיכום ותובנות

בעולם המערבי ישנה הסכמה רחבה על חשיבותם ותרומתם של חושפי שחיתות. בהתאם חלו וחלות תמורות מהותיות המלוות בחקיקה מרחיבה להגנת חושפי שחיתות. לא כן המצב בישראל. אומנם חוק החברות בישראל קובע כי "תפקיד ועדת הביקורת של הדירקטוריון לקבוע הסדרים לגבי אופן הטיפול בתלונות של עובדי החברה בקשר לליקויים בניהול עסקיה ולגבי ההגנה שתינתן לעובדים שהתלוננו", אך עד כה לא היו בישראל פרסומים רגולטוריים מיוחדים ומפורטים (אם בכלל) באשר למדיניות, לעקרונות ולהליכים הרצויים שראוי שוועדת הביקורת של הדירקטוריון תאמץ.

זאת בראש וראשונה משימתם של הרגולטורים הרלוונטיים לחברות בע"מ להבהיר  בתקנות או בהנחיות את מיטב דרכי ההגנה על חושפי שחיתות. זאת גם משימתם של ועדות הביקורת על בסיס החוק בנדון. זאת גם משימתם של מבקרי הפנים בחברות בע"מ, כיועצים וסוכני שינוי ועל יסוד השוואה –BENCHMARKING   -להפנות את תשומת ליבן של ועדות הביקורת והדירקטוריון לצורך להגן היטב על חושפי השחיתות.

כפועל יוצא זהו אתגר גם לכנסת ישראל, הממשלה, משרד המשפטים, משרד הפנים ומבקר המדינה – לערוך רפורמה חקיקתית-תפיסתית בנדון גם באשר למגזר הממשלתי והמקומי. גם מבקרים פנימיים בשלטון המרכזי והמקומי יכולים לתרום בנדון.

The post המודל הבריטי – תבנית רעיונית להגנת חושפי שחיתות בחברות בישראל appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

התפתחות ברגולציה ובפעולות לעידוד חושפי שחיתות

לאחר שנת שפל ב-2019, התוכנית להגנה על חושפי מעשי שחיתות של ה-SEC (הרשות לניירות ערך בארה"ב) הגיעה לשנתיים שוברות שיאים (2020 ו-2021) שבהן חולקו פרסים בסך של כ-739 מיליון דולר, נתון שהביא את סך הפרסים לסכום מצטבר של כ-1.3 מיליארד דולר מאז הקמת התוכנית בשנת 2012. בשנת הכספים 2020, 39 אנשים קיבלו פרסים – כפול מאשר בכל שנה קודמת, והרצף שובר השיאים נמשך גם בשנת 2021 עם 108 פרסים לחושפי מעשי שחיתות. נכון לאוגוסט 2022 חולקו פרסים ל-39 אנשים, והסכום הכולל של הפרסים הגיע לקרוב ל-165 מיליון דולר.

במקביל כמה מדינות באיחוד האירופי חקקו חוקים התואמים את דירקטיבת האיחוד האירופי משנת 2018 לגבי הגנה על חושפי מעשי שחיתות, דירקטיבה שנועדה לקדם את מדינות האיחוד לסטנדרט אוניברסלי של דרישות והגנות בתוכניות להגנה על חושפי מעשי שחיתות. הדירקטיבה חייבה את כל המעסיקים במגזר הפרטי והציבורי המעסיקים 250 עובדים ומעלה ליישם תוכנית לחשיפת מעשי שחיתות עד דצמבר 2021. לארגונים קטנים יותר, המעסיקים 249-50 עובדים, ניתנו שנתיים נוספות כדי להשלים את התהליך. אומנם לא כל המדינות באיחוד האירופי אימצו את הדירקטיבה כחוק, אך 10 מדינות באיחוד האירופי אישרו חקיקה מקבילה, ו-15 מדינות באיחוד האירופי עובדות כעת על חקיקה כדי ליישם את הדירקטיבה. רק שתי מדינות באיחוד האירופי לא נקטו שום פעולה או נקטו פעולה מינימלית בלבד.

באסיה, תוכניות להגנה על חשיפת מעשי שחיתות כמעט שאינן קיימות. בשנת 2016 פרסמה סין מספר הוראות במטרה להגן על חושפי מעשי שחיתות ולהעניק להם פרסים, אולם ההוראות התמקדו בעיקר במלחמה בשחיתות מצד פקידי ממשל. גם אמריקה הלטינית לא עומדת בקצב של ארה"ב והאיחוד האירופי; ההתפתחויות המשפטיות בצ'ילה ובפרו בתקופה האחרונה אינן כוללות הגנות מקיפות על חושפי מעשי שחיתות.

תפקיד הביקורת הפנימית

לביקורת הפנימית יש תפקיד קריטי בהגנה על האינטרסים של חברות ומשקיעים מפני עוולות שזוהו באופן פנימי ומוקדם. בהתחשב במעמדה הייחודי כחלק בלתי נפרד מממשל תאגידי, הביקורת הפנימית היא לעיתים קרובות המקבלת והחוקרת הראשית של טענות ומידע שהגישו חושפי מעשי שחיתות. לעיתים קרובות המבקרים הפנימיים גם אחראים על שמירת התקינות של הקווים החמים הפנימיים -HOT LINES . על פי דוח ה-IIA לשנת 2022, "ביקורת פנימית: מבט גלובלי", 29% מהמבקרים הפנימיים הראשיים מדווחים שהם אחראים על הקו החם בתחום האתיקה ו/או חשיפת מעשי שחיתות. האחוז גבוה יותר באזורים מסוימים, כולל במזרח התיכון (39%) ובצפון אמריקה (35%).

מבט על תוכניות

יישום התוכנית להגנה על חושפי מעשי שחיתות בארה"ב הפך לחובה מתוקף חוק הרפורמה בוול-סטריט והגנת הצרכן – חוק דוד פרנק משנת 2010. התוכנית מציעה פרסים משמעותיים לאנשים המספקים מידע מקורי המוביל לפעולות אכיפה מוצלחות ולהטלת עיצומים כספיים העוברים את רף המיליון דולר. על פי דוח חושפי מעשי השחיתות של ה-SEC לשנת 2021, חושפי מעשי שחיתות שקיבלו פרסים בשנת 2021 תרמו לחשיפת מקרים הקשורים ב"מגוון הפרות בתחום ניירות ערך, לרבות מקרי הונאה, כגון הונאות פונזי; הצהרות כוזבות או מטעות בדוחות הכספיים; הפרות רגולציה בתחום החשבונאות, הפרות בתחום הבקרות הפנימיות, הפרות של חוק איסור מתן שוחד לגורמים זרים (חוק ה-FCPA – Foreign Corrupt Practices Act), וכן סוגים אחרים של התנהגות בלתי הולמת".

המיקוד של תוכנית האיחוד האירופי EU שונה מארה"ב בכך שהתוכנית אינה מוגבלת רק לפשעים פיננסיים ולהפרות רגולטוריות, אלא כוללת מטרה רחבה יותר – לחשוף פעולות המאיימות על האינטרס הציבורי ופעולות בניגוד לחוקי האיחוד האירופי. לדוגמה: דירקטיבת האיחוד האירופאי ה-EU מגינה על חושפי מעשי שחיתות המדווחים על ארגונים הפוגעים בסביבה, ארגונים המסכנים את בריאות ובטיחות הציבור, או ארגונים העושים שימוש לרעה במימון ציבורי.

בעוד התוכנית האמריקאית מיועדת לחשוף שחיתות בחברות ציבוריות בעיקר כדי להגן על משקיעים, הדירקטיבה של האיחוד האירופי מקיפה את כל סוגי הארגונים כדי לתקן ולסדר את מה שהיה עד אז תערובת מבולגנת של חוקים להגנת חושפי מעשי שחיתות ברחבי האיחוד האירופי.

שתי התוכניות, האירופית והאמריקאית, כוללות הוראות בנושא שמירת זהותם של חושפי מעשי שחיתות בסוד, ושתיהן כוללות איסור על התנכלות ומעשי נקם. עם זאת, התוכנית של האיחוד האירופי נועדה לסייע לארגונים לחשוף פעולות בלתי חוקיות בשלב מוקדם יותר כדי למנוע או למזער פגיעה בעסקים, בעובדים ובבעלי עניין, ואילו התוכנית האמריקאית היא סוג של תוכנית אל-כשל, הנועדה לעצור פעולות בלתי חוקיות שלא נעצרו ברמה הארגונית.

ההשלכות עבור מבקרים פנימיים

ההיקף הגבוה של מידע אנונימי שהתקבל ("טיפים" בשפה המקצועית) והמספר הגדל של הפרסים וסכומם בדולרים, מעידים על המשך התרחבות התוכנית של SEC לעידוד חושפי מעשי שחיתות. כך, תיקונים לתוכנית שאומצו לאחרונה נועדו לעודד אנשים להגיש תלונות באמצעות הגדלת הפרסים הכספיים, הגברת הצעדים שיינקטו נגד מתנכלים לחושפי שחיתות, והכנסת שיפורים בתהליך הבדיקה כדי שיהיה שקוף ויעיל יותר.

באופן דומה, האימוץ הנרחב של דירקטיבת ה-EU מצביע על הרחבה עולמית משמעותית של התוכניות להגנה על חושפי מעשי שחיתות, במיוחד תוכניות הכוללות התחייבויות לשמירת סודיות ולמניעת התנכלות ומעשי נקם.

הביקורת הפנימית ופונקציות פיקוח אחרות צריכות לשים לב ולהגיב. תוכניות לחשיפת מעשי שחיתות פנימיות מיועדות לפתור בעיות בתוך הארגון כדי לחסוך ממנו את הנזקים הנגרמים כשהתנהלות עסקית רעה נחשפת בכותרות העיתונים. בכוחם של מבקרים פנימיים להציע ייעוץ וביקורת בנוגע למספר אסטרטגיות למציאת פתרון לטיפול נאות בתלונות בתוך הארגון.

מקור: הודעות לעיתונות של ה-SEC ודוחות חושפי שחיתות שנתיים לקונגרס

מה אפשר לעשות?

לקיים בקרות פנימיות חזקות על התוכנית לחשיפת מעשי שחיתות. מבקרים פנימיים צריכים לפקח באופן שוטף על הבקרות הפנימיות הנכללות בתוכניות לעידוד חשיפת מעשי שחיתות. יש לדון בחולשות ובחששות עם ועדת הביקורת ועם ההנהלה כדי להבטיח שהתוכנית לעידוד חשיפת מעשי שחיתות מתפקדת כראוי וכדי ליצור אמון רב יותר בתוכנית בקרב העובדים. מבקרים פנימיים צריכים להפגין פתיחות לגבי הפעולות שבהן הם מיישמים ובודקים את הבקרות בתחום הגנת חושפי שחיתות. פעולות אלה יובילו להגברת הנכונות והפתיחות של העובדים להגנה על חושפי שחיתות.

להציע לארגונים מגוון של ערוצי דיווח. האיחוד האירופי ממליץ להציע ערוצים בכתב, פנים אל פנים ובעל פה (בדרך כלל באמצעות קו חם). כל הערוצים צריכים להיות מאובטחים ונגישים בקלות. בנוסף, דירקטיבת ה-EU ממליצה לארגונים לשמור רשומות הניתנות לביקורת על ידי הקמת מערכת המתעדת פעילויות ניהול של אירועים.

להשקיע בהדרכה ובתקשורת באופן שוטף. העובדים צריכים להיות מודעים לתוכנית לעידוד חשיפת מעשי שחיתות ולקבל הדרכה כיצד להשתמש בה. תקשורת עקבית באמצעות פוסטרים או דוא"ל יכולה להזכיר לעובדים שהתוכנית קיימת וחשובה. מבקרים פנימיים צריכים לעבוד עם מחלקת משאבי אנוש כדי לוודא שעובדים חדשים יקבלו הדרכה בתוכנית, במיוחד במהלך תקופת פיתוח האוריינטציה והמודעוּת אצל עובדים חדשים. 

לחקור תלונות באופן מקיף: יש לחקור את כל התלונות ביסודיות ומבעוד מועד ולמסור גילוי נאות להנהלה ולוועדת הביקורת. דירקטיבת ה-EU קובעת כי על ארגונים לאשר קבלת דוח או "טיפ" תוך שבעה ימים, דבר שניתן לעשות באמצעות דוא"ל מענה אוטומטי. בנוסף, הדירקטיבה קוראת לארגונים לבצע מעקב אחר הדוח ולספק משוב לחושפי מעשי שחיתות תוך שלושה חודשים.

כשמדובר בחברות ציבוריות בארה"ב, תגובה מהירה והולמת לתלונה עשויה למתן את נחישותו של חושף מעשי שחיתות לדווח ישירות ל-SEC. על פי דוח חושפי מעשי השחיתות של ה-SEC לשנת 2021, יותר מ-75% ממקבלי הפרס לשנת 2021 היו בעבר או בהווה עובדים של הארגון עליו דיווחו, והביעו את חששותיהם תחילה בתוך הארגון לממונים עליהם, לגורמים במחלקת הציות או באמצעות מנגנוני דיווח פנימיים, או "הבינו שהממונה עליהם או אנשי מחלקת הציות ידעו על ההפרות לפני שהם דיווחו ל-SEC על מעשים פסולים בארגונם".

לשמור על אנונימיות חושפי מעשי השחיתות ולהגן עליהם מפני התנכלות ומעשי נקם. הביקורת הפנימית צריכה לעבוד בשיתוף פעולה עם מחלקת משאבי אנוש כדי לשמור על האנונימיות של חושפי מעשי שחיתות. דירקטיבת הגנת חושפי מעשי השחיתות של ה-EU ממליצה לארגונים לבחון האם המדיניות, ההכשרה, הקוד האתי והבקרות הפנימיות הנוכחיים שלהם אכן מונעים התנכלות ומעשי נקם. מחקרים מצאו כי ההקפדה על אנונימיות היא הכרחית עבור רוב העובדים על מנת שהם ישקלו למסור דיווח על מעשי שחיתות. הפחד מהתנכלות ומעשי נקם עלול לגרום לעובדים להימנע משימוש בקו החם של החברה ובמקום זאת לבחור לדווח ישירות לרגולטורים. כאשר עובדים מפחדים ממעשי נקם, התוצאה עלולה להיות פגיעה בארגון או באינטרס הציבורי. ב-SEC שמו דגש על נושא האנונימיות, ורכיב מרכזי בתוכנית לחשיפת מעשי השחיתות שלה הוא מניעת התנכלות ומעשי נקם, וכך גם בדירקטיבת ה-EU לחשיפת מעשי שחיתות.

לשקול מתן פרס כספי למדווחים. רכיב מרכזי בתוכנית לחשיפת מעשי השחיתות של ה-SEC הוא הפרס הכספי שחושפי שחיתות מקבלים מתוך הקנסות שחברות משלמות. מחקרים מצאו כי תוכניות פנימיות הכוללות פרסים כספיים או אחרים הן יעילות יותר בהנעת עובדים להשתמש בקו החם הפנימי. עם זאת, על פי הדוח לשנת 2022 של איגוד בוחני ההונאה המוסמכים ACFE, רק 15% מהחברות מציעות פרסים לחושפי שחיתות. מבקרים פנימיים יכולים לעזור ולהמליץ על הקמת קו חם המציע פרסים כספיים.

לשמור על קווי תקשורת פתוחים עם ועדת הביקורת. לעיתים קרובות הביקורת הפנימית מקבלת תלונות או מזהה עברות תוך כדי ניטור שוטף אחר הבקרות הפנימיות, ולכן עליה לקבל גישה הן להנהלה והן לוועדת הביקורת. תקשורת פתוחה מהווה לא רק ממשל תקין, אלא גם תורמת לתוכנית פנימית יעילה יותר לחשיפת מעשי שחיתות. מבקרים פנימיים גם צריכים לשמור על ערוצי תקשורת יעילים עם בעלי עניין מרכזיים אחרים, לרבות עובדים בחזית הארגון, עובדי הנהלה בכל הרמות (ממנהלים זוטרים ועד למנהלים הבכירים) ורואי חשבון המשמשים מבקרים חיצוניים.

עובדי החברה אינם האנשים היחידים שיכולים לדווח על מעשים פסולים – גם אנשים מחוץ לארגון יכולים להיות חושפי שחיתות. על פי דוח חושפי מעשי השחיתות של ה-SEC לשנת 2021, כ-60% ממקבלי הפרס לשנת 2021 היו בעבר או בהווה עובדים של הארגון שעליו דיווחו. אולם 40% ממקבלי הפרס היו אנשים מחוץ לארגון, כגון רואי חשבון, אנליסטים פיננסיים, ספקים, משקיעים או אפילו אנשים עם קשרים עסקיים או חברתיים עם מישהו בתוך הארגון.

חושפי מעשי שחיתות יכולים להיות אנשים מחוץ למדינת הבסיס של הארגון. בשנת 2021, כ-20% מחושפי מעשי שחיתות שקיבלו פרסים מה-SEC התגוררו מחוץ לארה"ב. ארגונים צריכים לשקול יצירת ערוצי דיווח חיצוניים כדי לאפשר לאנשים מבחוץ לדווח ישירות לארגון, ולהציע מידע בשפות אחרות, לפי הצורך.

סיכום – הארגון כבית מאורגן ומוגן

טיפול במקרי חשיפת מעשי שחיתות מבעוד מועד בתוך הארגון יכול להגן על המוניטין של הארגון ואולי לחסוך ממנו את הנזקים הנגרמים כאשר מקרים כאלה מגיעים לידיעת הציבור, כגון קנסות, תביעות משפטיות, נזק למותג, ירידה בביצועי המניה ופגיעה באמון העובדים. לכן חברות צריכות לבחון ולשפר את התוכניות הפנימיות שלהן באופן שוטף.

בקרות פנימיות חזקות וערוצי חשיפת מעשי שחיתות יעילים הם רכיבים קריטיים במאבק נגד הונאה וסוגים אחרים של עוולות. ארגונים צריכים לעודד עובדים להשתמש בקווים חמים ובערוצים פנימיים אחרים כדי לחשוף בעיות פוטנציאליות עוד כשהן מתהוות בתוך הארגון, על מנת לתת לארגון הזדמנות מבעוד מועד לסכל ניסיון לבצע עבירה או לנקוט צעדים נגד מבצע העבירה. על מבקרים פנימיים לעודד בניית סביבה ארגונית היוצרת אמון ושומרת על נכסי הארגון ועל האינטרסים של בעלי עניין מרכזיים. אם לא יעשו זאת, הדבר עלול להוביל לנזק רב יותר לארגון בטווח הארוך.

***

The post חושפי האמת appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

אנו נמצאים בשיאו של עידן המאופיין בקצב שינויים אקספוננציאלי ומהיר המשפיע על כלל התחומים בארגונים, החל מטכנולוגיה ועד אסטרטגיה ושיווק. הביקורת פועלת מול כלל הארגון, ונדרשת לעשות התאמות על מנת להישאר רלוונטית ומשיאת ערך. לכן עולה הצורך בחשיבה מחדש על אופן ניהול פרויקט הביקורת וחוויית המבוקר (Audit Experience) תוך התאמתם למציאות העדכנית.

במאמר הנוכחי נסקור את מתודולוגיית Agile בניהול פרויקט ביקורת, תוך בחינת היתרונות, החסרונות וההתאמות הנדרשות, על בסיס הניסיון שהצטבר במימוש השיטה בחטיבת הביקורת הפנימית בבנק דיסקונט.

מה זה Agile?

שיטת ניהול הפרויקטים המסורתית Waterfall היא שיטת ניהול טורית, המתייחסת לפרויקט כאל סדרה של שלבים ארוכים, קשיחים יחסית, המתבצעים בזה אחר זה, בדרך כלל ללא אפשרות חזרה אחורה, ובסיומם מוגש ללקוח תוצר סופי.

פרק זמן ארוך למדי עובר מהרגע שבו הלקוח מגדיר את צרכיו וציפיותיו ועד הרגע שבו הוא פוגש בתוצר הסופי, וכאשר מדובר בפרויקטים בעלי מורכבות ודינמיות לא ניתן לאתר שינויים ולהגיב אליהם בצורה טובה. אפשר להסתכל על פרויקט Waterfall כעל ספינת משא ענקית שבה כל שינוי או עצירה מצריכים תכנון רב מראש, ולכן היא אינה מתאימה לתמרונים מהירים בזמן אמת.

החיסרון הזה עשוי להוביל לכשלים מהותיים בביצוע הפרויקט, כגון חריגות זמן ותקציב, ואספקת תוצרים לא מתאימים או שגויים שיכולים להוביל לחוסר שביעות רצון מצד הלקוח, ובמקרי קצה לסירוב להשתמש בתוצר.

בעולם פיתוח התוכנה, המאופיין בפרויקטים משמעותיים, מורכבים ודינמיים, פיתחה בתחילת שנות האלפיים קבוצת אנשים המכונה "The Agile Alliance" שיטת ניהול חדשנית בשם Agile (זמיש=זריז וגמיש). שיטה זאת מבוססת על תהליך ביצוע המתחלק למספר מאוצים (sprints) המוגדרים כ-timebox של מספר שבועות, ובסיומם הלקוח מקבל מוצר אמיתי עובד (demo) למשוב. במסגרת ספרינט, מתבצעים כל שלבי הפרויקט, לרבות איסוף דרישות, אפיון, פיתוח, בדיקות ועלייה לייצור. בבסיס השיטה עומד ה-Agile Manifesto שמציג את הערכים מעולם ה-Waterfall מול ערכים חדשים, נוספים ועדיפים בשיטת ה-Agile:

אנשים ואינטראקציות על פני תהליכים וכלים

תוכנה עובדת על פני תיעוד מקיף

שיתוף (Collaboration) הלקוח על פני התנהלות ומשא ומתן חוזי

תגובה לשינוי על פני עבודה על פי תוכנית

למניפסטו מצטרפים 12 עקרונות ובהם התמקדות בשביעות רצון הלקוח, נכונות וגמישות לשינויים, תוכנה עובדת כמדד מרכזי ועוד.

היתרון העיקרי של השיטה טמון בטווחי הזמן הקצרים בין הגדרת הצרכים והדרישות על ידי המשתמשים לקבלת תוצר אמיתי. לכך מצטרפת מעורבות משתמשים גבוהה לאורך כל תהליך הפרויקט, המתבטאת בין השאר בהיזון חוזר על התוצר, תוך שיתוף פעולה בלתי אמצעי וישיר המאפשר למידע ולידע הנכונים לזרום בזמן ולשמש לתיקון ולפיתוח התוצר המתאים והרלוונטי ביותר.

מה זה ביקורת Agile?

בפרויקט ביקורת המבוצע בשיטת Waterfall, המבוקרים בדרך כלל פוגשים בפעם הראשונה את תוצר הביקורת כפי שייראה בדוח הסופי, בשלב הטיוטה. אם מסיבה כלשהי מתגלים פערי הבנה, מידע או ידע, הם יתבטאו בפערים ואי הסכמות לגבי נוסח הדוח. בנוסף, פורום הגורמים השותף לטיוטת הדוח הוא רחב יחסית וכולל בדרך כלל גורמים בכירים, דבר שלעיתים משפיע על חופשיות וגמישות השיח. מצב זה עשוי לעכב את לוחות הזמנים, לפגוע באיכות ובאפקטיביות הדוח, ולחוסר שביעות רצון מהתהליך מצד המבוקרים.

שיטת הניהול Agile מגיעה מעולם התוכנה ומהווה פתרון לאתגר המתואר לעיל, אך מצריכה התאמות לאופי פרויקט הביקורת השונה מפיתוח תוכנה.

ראשית, הגדרנו כי הלקוח המרכזי (לעניין ה-Agile) הוא המבוקר, מאחר שעימו מתקיימת עיקר האינטראקציה לגבי דוח הביקורת.

את דוח הביקורת ניתן לבנות בצורה איטרטיבית על ידי חלוקה לספרינטים, למשל לפי פרקים, עד להשלמת דוח ביקורת שלם. פרקים שונים יכולים להתבצע מול גורמים שונים, ולעיתים כתיבת פרק כרוכה בעיכובים הנובעים מזמינות חומרים או גורמים. מכאן עולה שבניגוד לגישה האג'ילית הקלאסית, נוכל לבצע ספרינטים במקביל ולאו דווקא אחד אחרי השני.

נסתכל על שלושה שלבים מרכזיים בדוח הביקורת שעליהם נסמכת תוכנית הספרינטים האג'ילית הבסיסית:

1. Pre-game – היערכות לדוח הכוללת סקר מקדים, הכנת מפרט (שווה ערך ל-Backlog מעולם הAgile-), חלוקת המפרט לספרינטים לשלב ה-Game, שיחת פתיחה והכנת בסיס מסמך הביקורת – ספרינט בפני עצמו.
2. Game – ביצוע הדוח עצמו. שלב זה מחולק לשניים:
   • ביצוע כלל הספרינטים שהוגדרו על בסיס המפרט, כאשר בכל ספרינט יבוצע תהליך תכנון, למידה, ניתוח וכתיבת החלק/הפרק, הצגה למבוקרים (demo), קבלת היזון חוזר שלהם ועדכון החלק בהתאמה. חשוב לציין כי את ההצגה של התוצר בשלב זה עושים במסגרת פורום מצומצם של המבוקרים על מנת לאפשר שיח חופשי ואפקטיבי – n ספרינטים.
   • טיוטה – סגירת מסמך הטיוטה, תיקוף, פרסום למבוקרים, קבלת היזון חוזר שלהם ועדכון המסמך בהתאמה – ספרינט בפני עצמו.
3. Post-game – תהליך פרסום התוצר הסופי של הדוח, לרבות שיחת סיכום – ספרינט בפני עצמו.

כלומר בכל ביקורת יש n+3 ספרינטים.

בכל ספרינט אנו מקיימים מפגשים תכופים (daily) לבקרה על ביצוע הספרינט ותוכנית העבודה. את ה-daily מבצעים בדרך כלל צוות המבקרים, כאשר אחד מהם מוגדר כמוביל המפגש. בגלל האופי המיוחד של תחום הביקורת, את ה-daily לא חייבים לקיים בתדירות יומית, אך כדאי לבחון את הצורך בהתאם לאופי ותחום הביקורת המבוצע. לדוגמה, בביקורת אינטנסיבית מאוד בזמן אמת, ייתכן שנמצא ערך במפגשים יומיים. מומלץ להוסיף מפגש שבועי עם מנהל היחידה לבקרה נוספת.

בסיום כל אחד מהשלבים חשוב לקיים Sprint Review לבחינת הספרינט שהסתיים במסגרת צוות הביקורת, ו-Sprint Retrospective בשיתוף עם המבוקרים, תוך הסתכלות אחורה על התהליך והתוצר, במטרה להפיק לקחים ולהשתפר. בשלבים אלה ניתן לעדכן את תוכנית ההמשך לפי הצורך.

כאשר ספרינטים מתבצעים במקביל, חשוב לסנכרן את לוחות הזמנים כך שתוצרי הספרינטים לא יוצגו בבת אחת למבוקרים אלא באופן הדרגתי שיאפשר להם לתת תשומת לב מיטבית לכל תוצר.

למה זה טוב?

ביקורת Agile מאפשרת למבוקרים לפגוש תוצרי ביקורת כפי שייראו בדוח הסופי, ולהגיב עליהם באופן שוטף במהלך זמן הביקורת הן מבחינת דיוק התוכן והן מבחינת ביצוע פעולות תיקון באופן מיידי לפי הצורך. ההיזון החוזר מאפשר למבקרים לזהות בזמן מוקדם וקרוב יותר לשיח עם המבוקרים: טעויות, פערים, נושאים חשובים או לא חשובים, ופעולות המשך נדרשות. בשיטת ה-Waterfall כל זה היה קורה בדרך כלל בשלב הטיוטה ולאחריו.

המבוקרים מקבלים סמוך לזמן השיח עימם תוצר קצר יחסית ובפורום מצומצם. כך הם יכולים להקדיש לכך תשומת לב רבה יותר, ולהרגיש בנוח להוסיף חומרים חסרים ולגשר על פערים.

המעורבות השוטפת של המבוקרים בתהליך בניית הדוח, תוך מפגש בלתי אמצעי עם התוצר האמיתי, מגבירה את השקיפות ומייצרת מחויבות גבוהה יותר אצל המבוקרים.

ביצוע בקרה על כל ספרינט בנפרד, תוך טיפול בזמן אמת בצווארי בקבוק, מאפשרים מיצוי אופטימלי של זמן הביקורת, כך שבאופן כולל השיטה צפויה לצמצם את לוחות הזמנים ולהפוך את הביקורות ליעילות יותר.

חשוב לציין כי בשל אופייה המתגלגל, ביקורת Agile מתאימה מאוד לביקורות זמן אמת המבקשות להציף פערים במקום.

אתגרים, טיפים וסיכום

מעבר לשיטת ביצוע, ביקורת Agile היא אתגר גם למבקרים וגם למבוקרים. המבקרים נדרשים לניהול ברזולוציה מדויקת יותר תוך ביצוע פעולות במקביל. המבוקרים נדרשים למעורבות גבוהה יותר לאורך כל שלבי הביקורת ולא רק בשלבי הטיוטה הסופית, תוך הבנה שבשלבי הספרינט יש אפשרות לדייק ולגשר על פערים הנובעים למשל מחוסר במסמכים או מפערי הבנה. חשוב לקיים למידה והיכרות עם תהליך ה-Agile עוד לפני ביצוע הדוח, לתאם ציפיות ולאפשר לשני הצדדים להעלות את הקשיים והחששות ממנו, תוך צמצום התנגדויות והגברת שיתוף הפעולה.

מודלי בגרות כגון ה-[1] AMM (Agile Maturity Model) מחדדים כי הטמעת Agile היא תהליך מדורג, ארוך ובעל מורכבות. לכן חשוב לשים לב ל:

1. תיאום ציפיות לגבי המועד שבו יחל להתקבל ערך מהשיטה (לפי הספרות הגעה לשלב הבגרות השלישי– – Defined צפויה לקחת שנתיים-שלוש).
2. מניעת תפיסה מוטעית כי את פרויקט הטמעת ה-Agile מנהלים ב-Waterfall.

על מנת לאפשר הטמעה אפקטיבית תוך התאמה לסביבה הארגונית, קיימת חשיבות לבצע את תהליך המעבר לAgile- בצורה אג'ילית, תוך הוספת נדבכים באופן מצטבר עד לתהליך שלם ובוגר.

ל-Agile יש שיטות רבות למימוש (גם בעולם התוכנה), חלקן רשמיות וחלקן בהתאמה אישית של הארגון. מאחר שה-Agile מגיע במקור מעולם פיתוח התוכנה, ייתכנו פרקטיקות שעלולות ליצור דיסוננס עם המהלך הטבעי של תהליך הביקורת. על מנת לבצע התאמה מיטבית לעולם הביקורת, חשוב במהלך ההטמעה האג'ילי של השיטה לקיים רטרוספקטיבה בכל שלב, ולעדכן את שיטת הביצוע תוך התייחסות למאפיינים הייחודיים של הארגון, לקחים שנלמדו ואופי הפעילות.

לסיכום, שימוש בשיטה האג'ילית יכול להיות כלי רב עוצמה ביכולת לבצע ביקורות אפקטיביות ומשמעותיות, תוך חיסכון בזמן, מיקוד יעיל בנושאים החשובים ביותר, ופרסום תוצרים רלוונטיים ואפקטיביים, וכל זה תוך חוויית מבוקר חיובית ובעלת ערך.­

[1] Patel, C., & Ramachandran, M. (2009). Agile maturity model (AMM): a software process improvement framework for agile software development practices. International Journal of Software Engineering, IJSE, 2(1), 3-28.‏

The post ביקורת Agile – Buzzword או העתיד? appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

לכאורה אין שני עולמות שונים זה מזה בטבעם כמו ביקורת פנימית ואסטרטגיה עסקית: הביקורת הפנימית המקובלת עדיין מתמקדת בבחינת העבר, בעוד שאסטרטגיה עוסקת בעיצוב העתיד הארגוני על רקע אי ודאות. ביקורת פנימית מקובלת פועלת באופן שיטתי במסגרת של ציות לתקנים והנחיות מקצועיות, ואילו אסטרטגיה דורשת יצירתיות, פיתוח וחשיבה חדשנית "מחוץ לקופסה". ואולי הנקודה החשובה ביותר לעניין מאמר זה היא שביקורת פנימית מבוססת על עובדות וראיות, ואילו אסטרטגיה פועלת על בסיס הנחות, תחזיות ואף אינטואיציה ניהולית.

התקנים המקצועיים אינם חד-משמעיים באשר לתפקיד הביקורת הפנימית בביקורת על אסטרטגיית הארגון. ניתן להבין מהם שהביקורת נדרשת להתקיים בהתאם לאסטרטגיית הארגון, אך לא נאמר במפורש שעל הביקורת לבחון את עצם האסטרטגיה. לדוגמה, בתקן 2000 מבואר: "פעילות הביקורת הפנימית מוסיפה ערך לארגון ולבעלי עניין בו כאשר היא מתחשבת באסטרטגיות…".

אם כך, עולה השאלה האם על הביקורת הפנימית לבחון את עיצוב האסטרטגיות בארגון עד כדי הצעת אסטרטגיה אלטרנטיבית? ואם התשובה חיובית, באילו כלים של ביקורת פנימית ניתן לבחון אסטרטגיה שנקבעה בארגון?

האם נכון לבקר את אסטרטגיית הארגון ומדוע – בעיות יסוד:

כאמור, בחירה ועיצוב אסטרטגיה לארגון הם אחד התהליכים המהותיים ביותר בארגון, כדי לאפשר בחירה של החלופות הטובות ביותר להשגת יעדי הארגון. מתפקידה של ההנהלה לבחון, לנתח חלופות ולהציע אסטרטגיה, ומתפקידו של הדירקטוריון לבחון את הצעות ההנהלה ולאשרן בשינויים המתבקשים תוך דגש על נאותות האסטרטגיה, בין היתר באמצעות בחינת התאמתה ל"תיאבון לסיכון" ולערכים המוצהרים של הארגון. עם אישור האסטרטגיה, תפקיד הדירקטוריון הוא לפקח על ההטמעה ועל הביצוע, תוך דיון תקופתי, לרבות דיון על הצורך בהתאמות ושינויים נדרשים באסטרטגיה ואף על הצורך בביטול האסטרטגיה (על פי הנסיבות).

הביקורת הפנימית נושאת באחריות כלפי הדירקטוריון ולעיתים אף מתוארת כ"עיניים ואוזניים" של הדירקטוריון (מודל שלושת הקווים של IIA, עמ' 10). הדירקטוריון מחפש אשרור (ASSURANCE), באמצעות הביקורת הפנימית, לכך שמבנה הממשל, ניהול הסיכונים והבקרה הארגונית, כמו גם התהליכים בארגון, מעוצבים כראוי ופועלים כמתוכנן.

על רקע האמור לעיל עולות כאן שלוש שאלות מהותיות באשר לביקורת הפנימית בבואה לבחון את האסטרטגיה של הארגון:

1. האם לבחון את תהליך עיצוב האסטרטגיה – את תהליך קבלת ההחלטות?
2. האם לבחון את עצם ההטמעה והביצוע של האסטרטגיה?
3. האם לבחון את עצם האסטרטגיה ולהעלות בפני מקבלי ההחלטות סוגיות העולות מהשטח ומהמציאות כפי שהביקורת מפרשת אותה, המצביעות על הצורך בהכנסת שינויים מהותיים באסטרטגיה?

התשובות לשאלות 2-1 הן די ברורות, אם כי גם הן מורכבות ומחייבות העמקה ומִשנה זהירות: זאת מהותה ותפקידה של הביקורת הפנימית, בוודאי ביקורת פנימית מתקדמת של המאה ה-21.

השאלה השלישית, הנוגעת למהותה של האסטרטגיה, מציבה כמה בעיות יסוד:

לכאורה, בביקורת על מהות האסטרטגיה עשויה הביקורת להוות, בזהירות הראויה,SECOND OPINION עבור הדירקטוריון ואף ההנהלה, באמצעות הצגת עמדתה (האובייקטיבית) כלפי האסטרטגיה, עמדה הכוללת דילמות ושאלות אודות האסטרטגיה. בכך התרומה של הביקורת היא עצם הדיון וההפריה של מקבלי ההחלטות. בכך יש לכאורה מימוש תכלית הביקורת הפנימית: שיפור הארגון ותרומת ערך שעשויים לנבוע משיפור האסטרטגיה של הארגון.

מנגד עולות שאלות מהותיות וסימני שאלה לא מעטים:

1. כדי לבחון את עיצוב האסטרטגיה של הארגון, ראוי להערות הביקורת להיות קרובות ככל שניתן לזמן אמת. כלומר הביקורת צריכה להיות מיוצגת כמשקיפה בעת עיצוב האסטרטגיה. אך האם הארגון ומקבלי ההחלטות פתוחים לכך? האם הביקורת כבר פעלה בנידון במטלות אחרות פחות מורכבות? והאם הביקורת כבר ביססה את יכולתה ומעמדה בארגון כדי לעמוד במשימה? לטווח הארוך זאת משימה ראויה לביקורת, אך נכון להיום בארגונים רבים בישראל הן מקבלי ההחלטות והן הביקורת הפנימית עדיין לא הבשילו לכך.
2. הביקורת נדרשת להשוות בין מצב נדרש ("נורמה") לבין מצב בפועל, ולאור זאת להצביע על פערים וממצאים שהטיפול בהם יביא ל"תקינות". אך לאסטרטגיה מטבעה אין נורמה והיא תוצר סובייקטיבי.

יודגש כי ייתכן שלדרכי עיצובה של האסטרטגיה ולאופני מימושה בפועל קיימות נורמות מסוימות, ולו כאלו המושאלות מארגונים אחרים וממיטב הפרקטיקה בעולם, ולאורן ניתן לקיים ביקורת "קלאסית" על תהליכי בנייתה ומימושה של האסטרטגיה. אולם בהתייחס לתוכנה המהותי של אסטרטגיה, לגיטימי כי יתקיימו דעות שונות, ועצם קיומן אינו מצביע על פער או ליקוי באסטרטגיה שאושרה. בקיצור, ייתכן שדעתו של המבקר לא טובה יותר מדעתו של המבוקר. עובדה זו מחדדת את השאלה האם ראוי לקיים פעילות ביקורת שתוצאתה היא "המלצה" בלבד, ללא שהמלצה זו נסמכת על ליקויים או פערים.

ביקורת על אסטרטגיה – דרכי התמודדות של מבקר מערכת הביטחון

בשנתיים האחרונות התנסינו ביחידת הביקורת של מערכת הביטחון בביקורת העוסקות בתחומים "רכים", ובהם תפיסות ואסטרטגיות. על סמך הניסיון הזה גיבשנו מספר תובנות לדרכים שבהן נכון להתמודד עם האתגר, להלן עיקרן:

ראשית, יש לזהות את התרבות הארגונית והתייחסותה לביקורת. אם המבקר הפנימי עדיין נתפס "לעומתי" וחיצוני להנהלה, הוא יתקשה להביע דעה שאינה מבוססת "ראיות". לעומת זאת, בתרבות ארגונית שכבר רואה במבקר שותף ומקור מידע המאפשר שיפור, יקל על המבקר להביע דעה מנומקת שתישקל בכובד ראש.

שנית, העיסוק בתחום ליבה (אסטרטגיה) מצריך אומץ מצד המבקר, היות שהוא נוגע באופן ישיר בליבת העיסוק של הדרג הגבוה של הנהלת הארגון ואף של הדירקטוריון.

שלישית, על מנת לבחון את האסטרטגיה הארגונית, נדרשת הבנה רחבה ועמוקה של המציאות על רבדיה השונים והקשריה, הבנת הלבטים והחלופות, ואת דרך קבלת ההחלטות. לכך נדרשים צוותי ביקורת מיומנים, יסודיים, בעלי הבנה מערכתית, וכמובן עם קשב רב לאורך הביקורת לעמדות ולתשובות של מקבלי ההחלטות ודרגי הניהול והביצוע.

ולבסוף, ניסוח הדוח על ממצאיו נדרש להיות "צנוע", כלומר הצעת שינויים באסטרטגיה או הצעת אסטרטגיה חלופית נדרשות להיות מנומקות היטב ובלי לפסול דעות אחרות.

כלי עזר מסייעים להצלחת ביקורת על אסטרטגיה

שיתוף ההנהלה: על צוות הביקורת לשתף באופן תכוף את ההנהלה הבכירה של יחידת הביקורת בתובנות המצטברות בידיו. על ההנהלה לפעול באופן שאינו היררכי ולהקשיב בפתיחות להערות.

שיתוף המבוקר: על צוות הביקורת, ולעיתים יחד עם מנהליו הבכירים, ליזום מפגשים עם בכירי הארגון בשלבים שונים של הביקורת, כדי לדון בתובנות המתגבשות ולנצל את המפגש להבנה אם בעיני בכירי הארגון יש היבטים נוספים או תובנות אחרות. כך, מחד תגדל נכונות המבוקר לקבל את דוח הביקורת, ומאידך ישופרו תובנות הביקורת.

גיוון וראייה מערכתית של צוות הביקורת: כפי שבנייתה של האסטרטגיה הארגונית מצריכה חשיבה כוללת המתחשבת במספר רב של היבטים, רבדים ולבטים, כך בהתאם נדרש גם צוות הביקורת לכישורים דומים.

The post ביקורת על האסטרטגיה של הארגון appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מחקרי בנצ'מרק כאמצעי להעצמת המבקר הפנימי

דנה גוטסמן-ארליך, רו"ח, MA, CIA, CRMA  שותפה בחטיבת ממשל תאגידי ורגולציה, BDO.

ד"ר עופר גוטרמן PhD ראש קבוצת מודיעין עסקי חטיבת ממשל תאגידי ורגולציה, BDO.

המבקר הפנימי נדרש לא פעם להיות "נושא הבשורות הרעות" מול הנהלת הארגון, זה שאמון על חשיפת כשלים בעשייה הארגונית, עמידה על פערי עמידה ברגולציה ובנהלים מחייבים, והצבעה על בקרות שנקבעו אך אינן מיושמות. במילים אחרות, המבקר הפנימי ניצב, ונתפס בראי ההנהלה, בעמדה של מי שתפקידו לחשוף בעיות.

במאמר הנוכחי אנו מבקשים להעלות למודעות את היכולת לעשות שימוש חדש בכלי ותיק – מחקרי בנצ'מרק – כדי לספק ערך מוסף לארגון, ולחזק את תפקידם של המבקרים הפנימיים לא רק כ"חושפי בעיות", אלא גם כ"ספקי פתרונות".

מהו בנצ'מרק? "בנצ'מרק (Benchmark) הוא מדד, תקן או סדרה של תקנים המשמשים נקודת התייחסות להערכת ביצועים ורמות איכות. המונח משמש במשמעות זו במגוון תחומים, הגם שכל תחום משתמש בו בהקשר שלו.

השימוש במונח נפוץ במיוחד בעולם העסקים כתיאור מדדי ביצועים שונים הכרוכים בפעילות העסקית (שיווק, מכירה, ייצור, תפעול, ניהול ועוד). בכלל זה, הבנצ'מרק משמש כמדד להערכת פעילות קיימת, לבחינת פתרונות חדשים ואף להגדרת יעדים… קביעת או מדידת בנצ'מרק יכולה להיעשות באמצעות מחקר וניתוח של מגמות שוק וניסיונם של אחרים…; על בסיס ניסיון קודם של החברה עצמה (למשל, מדידת כמות המכירות בשנים קודמות כדי להעריך את ביצועי המכירות בשנה הנוכחית); או על בסיס דרישות משפטיות".

בהקשר לשימוש בבנצ'מרק בביקורת הפנימית, אנו ממליצים להתייחס לבנצ'מרק ככלי ללמידת הפרקטיקות המיטביות (Best Practices) הנהוגות בתחום מסוים, כדי לאפשר לארגון המבוקר לאמץ ולהטמיע פרקטיקות אלו (כמובן עם ההתאמות הנדרשות במקרה הפרטי שלו).

מחקרי בנצ'מארק יכולים להיעשות במנעד רחב, החל מניתוחים נקודתיים ומקומיים, באמצעות התייעצות עם קולגות או מומחי תוכן, ועד מחקרי בנצ'מרק ייעודיים ומעמיקים שניתן לבצע בסיוע חוקרים ואנליסטים המתמחים באיסוף מידע וניתוחו.

אנו מבקשים לטעון כי מחקרי בנצ'מרק רלוונטיים מאוד לעבודת הביקורת הפנימית, ויכולים לספק כר בלתי נדלה של המלצות ופתרונות לארגון המבוקר, ובכך להעשיר את הארגון ומנהליו. יתרה מזו, להערכתנו מבקרים פנימיים שישכילו לראות בבנצ'מרק כלי חשוב בקידום עבודת הארגון ותהליכיו ייתפסו כגורם התורם לניהול הארגון ולתפעולו השוטף. להלן כמה דוגמאות להמחשה:

1. מבקר פנימי במוסד אקדמי המאבחן פער באופן רישום ההכנסות הנגרם מתהליך שאינו סגור עקב הגבלה במערכות המידע, יכול להביא בנצ'מרק ממוסדות אקדמיים מובילים בארץ ובעולם ולהצביע על אופן התנהלותם בתהליך זה.
2. מבקר פנימי במשרד ממשלתי המצביע על חוסר יעילות בפעילות מוקד שירות לקוחות המתופעל על ידי גורם חיצוני, יכול לברר עם גופי ממשלה אחרים כיצד הם מתנהלים מול מוקדי שירות לקוחות חיצוניים, ואולי אף להביא מידע מגופים ממשלתיים במדינות אחרות.
3. מבקר פנימי בחברה ציבורית המאתר פערים במסגרת ביקורת אבטחת מידע וסייבר ישכיל לתת פתרונות ישימים מחברות אחרות על אופן יישום פתרונות אבטחה באמצעות שימוש במומחה תוכן חיצוני שיסייע בהבנת תהליכי העבודה בנושא, אמצעי ההגנה שבהם משתמשת החברה, אמצעי הגנה קיימים בשוק, ואף יסביר על מגמות רווחות בעולם מהן ניתן לגזור החלטות על הטיפול בנושא לשנים הקרובות.
4. מבקר פנימי בחברת טכנולוגיה הבוחן את "מפת הדרכים" של החברה לשנים הקרובות, ומזהה חשש להתיישנות של הטכנולוגיות שנמצאות בפיתוח על ידי החברה והפיכתן ללא רלוונטיות, יכול להזמין מחקר שיסרוק את הטכנולוגיות העדכניות שבהן נעשה שימוש בחברות דומות, ואף להצביע על כיווני פיתוח חדשים לעתיד.
5. מבקר פנימי שבוחן תהליכים אסטרטגיים ארוכי טווח בארגון יכול להזמין מחקר בנצ'מרק שיבחן את היתכנות התוכניות הללו לאור המגמות הידועות והרווחות בארגונים אחרים בעלי קווי דמיון לארגון המבוקר.

אם כן, מחקרי הבנ'צמרק רלוונטיים לכל ארגון מבוקר, וכמעט לכל היבט שעומד לבחינה במסגרת הביקורת הפנימית – נהלים, תהליכים, תשתיות, מערכות, טכנולוגיות, הון אנושי, אסטרטגיות.

מחקרי הבנצ'מרק גם כדאיים מאוד לארגון בהיבטי עלות-תועלת – תחת ההנחה כי בוצעו כהלכה, מחקרים אלו מנגישים לארגון את הידע והפרקטיקות הטובות ביותר בתחום המעניין אותו, וכל זאת תוך השקעה נמוכה של משאבי זמן, כוח אדם וקשב ארגוני, ודאי בהשוואה לעלויות שכרוכות בניסיון של הארגון לפתח לבד את הפתרון לכל בעיה.

הלכה למעשה – כיצד נבצע מחקרי בנצ'מרק?

היופי שבשיטה הוא הקלות והפשטות היחסיים של ביצועה:

• ראשית, עלינו לאתר ארגונים דומים לארגון המבוקר ומובילים בשוק ("דומים-מובילים")
• שנית, נבחן את הפרקטיקות הנהוגות בכל אחד מהם, בתחום שאנו מעוניינים לבדוק
• לאחר מכן, נבצע ניתוח השוואתי של השונה והדומה ביניהם;
• באמצעות הניתוח ההשוואתי נגבש הכללה של הפארטו המשותף לכל הארגונים שנבחנו, לצד ניואנסים ראויים לציון של כל אחד מהם
• ולבסוף, נציג את המסקנות, ובמידת האפשר נעשה זאת בליווי המלצות ליישום בארגון המבוקר, המתחשבות בהתאמות הנדרשות ליישום במקרה הייחודי שלו.

ככל שהסוגיה העומדת לבחינה פשוטה ומצומצמת, המבקר הפנימי יכול לבצע את הבנצ'מרק לבדו, באמצעות מחקר זריז שיכול להתבסס על מידע נגיש באינטרנט, ועל התקשרות עם קולגות או מומחי תוכן בעלי גישה לנעשה בארגונים אחרים הדומים באופיים ובמבנה שלהם לפעילות הארגון הנבחן.

אולם, לפעמים נכון ללמוד את הבנצ'מרק באמצעות מחקר מקיף ומעמיק, אשר יעמוד בסטנדרטים גבוהים, הן מבחינת שלמות המידע ומהימנותו, והן מבחינת איכות הניתוח וההצגה שלו. הפנייה למחקר שכזה רלוונטית יותר ככל שהסוגיה המבוקרת אסטרטגית יותר ונושאת משמעויות כבדות משקל עבור הארגון, בהיבטי רגישות ארגונית, עלויות כספיות, מגע עם הלקוחות, מוניטין וכדומה, שהרי מחיר הטעות בניתוח הבנצ'מרק יהיה גדול יותר.

כך או כך, קיימים כמה "כללי ברזל" שעליהם ראוי להקפיד אם ברצוננו לשמור על רמתו המקצועית של מחקר הבנצ'מרק, ולהימנע מכשלים שיפגעו באיכותו או בסיכוי שהמלצותיו יתקבלו וייושמו:

• להקפיד על ניתוח "דומים-מובילים" – על מנת שהמחקר יהיה תקף, רלוונטי וישים עבור הארגון המבוקר, עליו להתבסס על ניתוח ארגונים דומים לו ומובילים בשוק המקומי, ולעיתים גם בשווקים דומים בחו"ל (אם אין בנמצא ארגונים רלוונטיים בשוק המקומי או אם הוא סובל מפערים משמעותיים לעומת שווקים מובילים בחו"ל.שיקול נוסף הוא מידת היכולת להשקיע משאבים במחקר מקיף שיתבונן גם בנעשה בחו"ל).
• לא למהר להסתפק בחיפוש באינטרנט – אומנם רשת האינטרנט כוללת היקפי מידע עצומים, אך לא הכול נמצא בה. לכל מחקר יש לגשת בגישת Data-agnostic, כלומר לא לצמצם מראש את מאגר מקורות המידע העומדים לרשותנו, אלא לחשוב באופן יצירתי באילו מקומות עשוי להימצא מידע רלוונטי, למשל ראיונות עומק עם מומחים, או מידע שכבר קיים בנושא בתוך הארגון המבוקר.
• כשמחפשים באינטרנט, לא להסתפק ב"דוקטור גוגל" – מנועי חיפוש שונים יניבו תוצאות שונות, חיפושים ממוקדים במאגרי מידע רלוונטיים יכולים לספק מידע ייחודי ובעל ערך רב, חיפושים מתקדמים יכולים לאתר תשובות שלא נמצא באמצעות חיפוש פשוט של מילת מפתח. אם בוחרים להיעזר באנשי מקצוע בתחום מידענות הרשת (WEBINT – Web Intelligence) אפשר להגיע ביתר קלות אל המידע החשוב שנמצא ברשת ולמצות אותו.
• ניתוח הממצאים והסקת המסקנות בלי לאבד "קשר עין" עם צורכי ומאפייני הארגון המבוקר – הוספת ממצאים ומסקנות, מעניינים ובעלי ערך כשלעצמם אך לא בהלימה לשאלת המחקר או למאפייני הארגון המבוקר, רק תסרבל את העבודה ותקהה את חדות המסרים שלה. עומס המידע יגרום לפגיעה ביכולת של המחקר לזכות בקשב מצד מנהלי ה הארגון המבוקר, ולפגיעה בסיכוי להוביל להטמעת ההמלצות שיעלו מהמחקר.
• הצגת הממצאים והמסקנות באופן תמציתי ומושך – אומרים שלעיתים תמונה אחת שווה אלף מילים. אכן, שימוש בגרפים, תמונות, ויזואליזציות ואינפוגרפיקה יכולים להמחיש את המסרים בצורה קלה להבנה, בנוסף למלל, ולעיתים אף במקומו. עם זאת, יש להקפיד שההמחשות הוויזואליות לא יהפכו מנכס לנטל, ומאמצעי עזר להמחשת המסרים יהפכו לעניין עצמו, על חשבון חדות הממצאים ומסקנות העבודה.

האתגר המרכזי ליישום של המלצות מחקרי הבנצ'מרק הוא בנטייה שמגלים לעיתים ארגונים לדחות את גישת ה־Best Practices שהבנצ'מרק מגלם, בשל הנטייה לדבוק בדפוסי החשיבה וההתנהלות הקיימים, ולהקל ראש ביכולת ללמוד מאחרים (גישה שמגולמת בביטוי "Not invented here"). גישה זו סותרת את עקרונות הארגון הלומד ובולמת תהליכי שינוי והתחדשות חיוניים עבור כל ארגון באשר הוא. ייתכן שדווקא למבקר הפנימי, עם הפוזיציה הייחודית שלו ביחס לארגון, יש יכולת לסייע להתגבר על מכשול ה ־NIE ולהביא להטמעה של ההמלצות העולות ממחקרי הבנצ'מרק שקיים.

לסיכום, הבנצ'מרק מעניק לארגון המבוקר את האפשרות להיעזר בביקורת הפנימית לא רק כדי לסגור פרצות ולתקן ליקויים, אלא למנף את הביקורת לתהליכי התייעלות, לשפר ביצועים, להעלות את רמת המשילות התאגידית שלו ואף לקדם תהליכי חדשנות. כל זאת, באמצעות "התגלחות על זקנם של אחרים", לעיתים אף מתחרים.

עבור המבקר הפנימי, שימוש במחקרי בנצ'מרק מרחיב את "סל השירותים" לארגון. אולם יתרה מכך, שימוש תכוף במחקרים אלו יכול לסייע במיצובו של המבקר הפנימי מול הנהלת הארגון המבוקר, כמי שאינו חי רק ב"עולם הבעיה", אלא גם ב"עולם הפתרונות" (או בפרפרזה מעולם הכדורגל, "בועט מהקרן ורץ לנגוח לשער"). מבקר פנימי שיקפיד להציג להנהלה המלצות מקצועיות, מעמיקות ומנומקות באופן שיסייע לה ליישר קו עם המובילים בשוק, יגדיל באופן מהותי את הצעת הערך שלו לארגון.

The post מחקרי בנצ'מרק כאמצעי להעצמת המבקר הפנימי appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

רו"ח ניצה ויקטוריה רוגוזינסקי – סמנכ"לית, מבקרת חברה ונציבת תלונות הציבור בחברת החשמל

 עו"ד עינב דובב – עובדת יחידת הביקורת הפנימית בחברת החשמל

אם נערוך סקר באוכלוסייה, סביר להניח שרוב האנשים יסכימו שנעים וחשוב לחיות בבית נקי. כדי לעשות זאת, נדרש לנקות באופן תדיר וקבוע את המטבח, השירותים, הסלון והחדרים. אם נשאל אותם האם זה חשוב כבר מעתה להכין תוכנית רב-שנתית לניקיון האזורים העיקריים בתוך החדרים, כזו המפרטת מראש באיזה חלק של האזורים יתמקד הניקיון, סביר להניח שרובם ישיבו כי הגדרת מוקדי הניקיון מראש אינה נחוצה, וכי יש להגדירם בתחילת כל ניקיון.

אם נתמקד בדוגמת המטבח, הרי שמרבית האנשים יסכימו כי אין זה נחוץ לצפות מראש ולהגדיר בתוכנית רב-שנתית באיזה חלק במטבח יתמקד הניקיון (ארונות המטבח, הרצפה, השולחן, התריסים, הכיריים, המקרר) ובאיזו שנה, אלא עדיף לעשות זאת בתחילת הניקיון ובהתאם לצורך באותה העת. אם נקשר את האמור לעולם הביקורת, הרי שהבית כולו מייצג את החברה או הארגון, המטבח מייצג את ישות הביקורת – ההליך העיקרי/הראשי הנכלל בתוכנית העבודה, וכל אחד מהאזורים במטבח שנדרש לנקות מייצג את תהליך המשנה/תת-תהליך. כפי שנציג להלן, אנו סבורות כי נכון יהיה להגדיר בתוכנית עבודה שנתית את ניקיון המטבח (התהליך הראשי – ישות הביקורת), וטרם ניקיון המטבח לערוך בדיקה מקדימה (סקר מוקדם) ולהגדיר את החלקים במטבח שיש למקד בהם את הניקיון – מקומות שהסיכון שלהם להתלכלך גבוה יותר (מוקדי סיכון), כגון הכיריים, ארונות המטבח והתנור (תהליכי המשנה/תתי-תהליכים שבהם תתמקד הביקורת).

כפי שנציג במאמר זה, אנו סבורות כי בעידן המודרני שבו השינוי הוא המצב הקבוע, הכנת תוכנית עבודה רב-שנתית ליחידת הביקורת הופכת פחות ופחות רלוונטית. יתרה מכך, מדובר באקט שאינו בהכרח מתכתב עם הצרכים האמתיים של הארגון. על כן, לדעתנו, נכון יותר לפעול בהתאם לתוכנית עבודה שנתית (ולא רב-שנתית), להגדיר בה את התהליכים העיקריים שייבדקו (ולא את תתי-התהליכים), ורק לאחר ביצוע סקר מוקדם להערכת הסיכונים בתהליך העיקרי, לקבוע את המיקוד בביקורת ואת תהליכי המשנה שייבדקו באותה שנה.

האם תוכנית רב-שנתית אכן נחוצה?

הכנת תוכנית עבודה רב-שנתית אינה עניין שבשיקול דעת עבור הביקורת הפנימית של חברת החשמל, שכן הדבר מחויב מכוח הוראות הדין. עם זאת, בעולם דינמי ומשתנה כמו זה שאנו חיים בו כיום, אנו סבורות כי אין משמעות אמיתית לתוכנית עבודה רב-שנתית, וכי מדובר באקט שנעשה בעיקר מכוח החובות החוקיות המוטלות על הביקורת, ושעלול בנסיבות מסוימות גם שלא להיטיב עם הגוף המבוקר.

נסביר: תוכנית עבודה רב-שנתית שנקבעת שנים מראש, אינה יכולה לצפות את מצב הארגון שנים קדימה ו/או את המוקדים והסיכונים שיחייבו את בדיקת הביקורת. לכן הכנת תוכנית כאמור אינה פוטרת את יחידת הביקורת מלבחון מחדש, מדי שנה, את הנושאים שייבדקו בתוכנית העבודה השנתית. בפועל, הנושאים שייבדקו בשנה ספציפית נקבעים בזמן אמת, בהתאם למציאות ותוך חיבור לסיכונים, ליעדים ולצרכים העדכניים של הארגון. לפיכך, הלכה למעשה, לתוכנית העבודה הרב-שנתית יש משקל מופחת, ולדעתנו כך גם ראוי שיהיה.

בנוסף, התוכנית הרב-שנתית של הביקורת נסמכת לרוב על סקר סיכונים ייעודי שמפרט את התהליכים העיקריים והמשניים בכל חטיבה בגוף המבוקר. מטבע הדברים, ביסוס התוכנית הרב-שנתית על סקר המחולק לתהליכים רבים מחייב בחירה בנושאי ביקורת ממוקדים יותר, ומאפשר פחות גמישות בהמשך. בנוסף, על מנת לכסות את כל תתי-התהליכים שהוגדרו בתוכנית הרב-שנתית בארגון גדול, אכן נדרש פרק זמן של כמה שנים.

בביקורת הפנימית בחברת החשמל, התחלנו בשנה הנוכחית (2021) להשתית את תוכנית העבודה השנתית על סקר הסיכונים הארגוני ולא על הסקר הייעודי לקביעת תוכנית עבודה של הביקורת (שכמובן התכתב עם הסקר הארגוני). בסקר הארגוני מפורטים סיכוני אב וסיכוני בסיס עיקריים בארגון, ללא חלוקה לתתי-תהליכים מרובים כמו אלו המופיעים בסקר הייעודי לביקורת. הדבר מאפשר לנו לבחור נושאי ביקורת (הליכים עיקריים/ישויות) רחבים יחסית, ונותן לנו גמישות לגבי מיקוד הבדיקה בהמשך (בעת הנעת הביקורת ולאחר עריכת הסקר המוקדם). בנוסף, הדבר מאפשר לנו כיסוי של הנושאים העיקריים כמדי שנה (ולא מדי כמה שנים), כך שלמעשה אנו משיגים מהר יותר את אחת המטרות העיקריות שעומדת בבסיס התכנון הרב-שנתי: כיסוי של תהליכי העבודה המרכזיים בארגון בתדירות של אחת לשנה (ולא אחת לשלוש שנים). לשון אחר, הבחירה בנושאי ביקורת רחבים יחסית, מובילה לכך שבמקום לכסות את כל הנושאים העיקריים מדי כמה שנים, אנו מכסים אותם מדי שנה בשנה. הדבר משול לעמידה בתוכנית הרב-שנתית כל שנה.

רציונל נוסף בבניית תוכנית עבודה רב-שנתית הוא ליצור מורא ביקורת במובן החיובי, וגם הוא מתקיים בשיטה של תוכנית עבודה שנתית והגדרת הישויות באופן רחב, שכן כל העוסקים בנושאי הליבה בארגון יודעים כי עבודתם צפויה להיות נתונה לביקורת, מבלי לדעת מה יהיה המיקוד באותה השנה, דבר המייצר דריכות.

בשולי הדברים, אך לא בשולי חשיבותם, נדגיש כי קיימת חשיבות גבוהה בהכנת תוכנית עבודה שנתית ליחידת הביקורת, ובהכללת פרטים על לוחות זמנים, תקציבים ומשאבים בתוכנית זו. תוכנית העבודה השנתית קובעת הלכה למעשה את יעדי הביקורת השנתיים ומייצרת שקיפות כלפי הארגון. יתרה מכך, התוכנית מאפשרת מדידה בזמן אמת ובדיעבד של יחידת הביקורת, ובכלל זה בדיקת עמידתה ביעדים ובתקציבים שהוגדרו. בהקשר הזה נדגיש כי הגישה של יחידת הביקורת בחברת החשמל היא שכפי שכל היחידות בארגון נבדקות ונמדדות, כך גם היחידה שלנו צריכה להיבדק ולהימדד ("נאה דורש, נאה מקיים"). עם זאת, כאמור אנו תוהות על הנחיצות בתוכנית עבודה רב-שנתית בימינו.

מספר נקודות בהרחבה

• הבסיס – מתודולוגיה לעריכת תוכנית עבודה: המתודולוגיה בבניית תוכנית העבודה השנתית בחברת החשמל מושתת על כמה אדנים. בבניית התוכנית נלקח בחשבון סקר הסיכונים של החברה, יעדי המנכ"ל/הארגון, נושאים שחובה לכסותם מכוח הוראות דין, תוצרי SOX, ממצאים מדוחות קודמים, אירועי טוהר מידות, שיחות עם מנהלים, וכמובן שיקול דעת מבקרת החברה. כחלק מהמתודולוגיה אנו לוקחים בחשבון כי נדרשת גמישות לבדיקת נושאים דחופים ו/או בלתי מתכוננים במהלך השנה, וכי ככלל יש מקום לשינויים ולתוספות על פי שיקול דעת המבקרת.

• העדפת מהות על פני רגולציה וציות: העלייה שחלה ברגולציה בשנים האחרונות גרמה למבקרים פנימיים רבים למקד את הביקורות שהם עורכים בבדיקת ציות הארגון לחוקים ותקנות, ולהקצות לכך משאבים רבים.

בהקשר הזה נציין כי הגישה של הביקורת הפנימית בחברת החשמל היא שהביקורת אינה מחליפה את קו ההגנה הראשון (המנהלים) ו/או את שומרי סף (מחלקת SOX, יחידת ניהול סיכונים, בקר מעילות והונאות, רו"ח מבקר, ממונה אתיקה, יחידה משפטית, יחידת החקירות ועוד). למעשה, בחברת החשמל תוכנית העבודה השנתית מושפעת, בין היתר, מתוכניות העבודה של שומרי הסף הנ"ל ומתוצאות בדיקותיהם (ולהיפך, גם תוכנית העבודה של הביקורת הפנימית ותוצאות בדיקותיה משפיעות על פעילותם של שומרי הסף האחרים).

לאור האמור, ובהינתן ששומרי הסף מתמקדים בין השאר בבדיקת סיכוני רגולציה וציות, גישתנו היא כי על הביקורת להתפנות ולשים דגש רב יותר על בדיקת סיכונים מהותיים, כגון מעילות והונאות, סיכונים פיננסיים, ואבטחת מידע, סייבר וטכנולוגיה. יודגש: אין משמעות הדבר כי יחידת הביקורת שלנו אינה בודקת סיכוני רגולציה וציות – להיפך, אנו בודקים סיכונים אלו כמעט בכל ביקורת, ותוכנית העבודה שלנו גם כוללת נושאים ייעודיים בתחום זה (לרוב מכוח חובות רגולטוריות). עם זאת, אנחנו לא מתמקדים רק בסיכוני ציות, אלא גם (ולעיתים בעיקר) בסיכונים אחרים.

• יישום המלצות: קטגוריה זו היא אחד הביטויים ל"שיניים" של הביקורת, ובין היתר מטרתה לוודא כי יש משמעות וערך מוסף לעבודת הביקורת ולהמלצותיה, באופן שהיא מובילה לשינויים רצויים בארגון. מדובר בפעילות שאנו בחברת החשמל שמים עליה דגש וקשב רב.

1. נושאים בלתי נצפים מראש: נקודת המוצא שלנו היא שאת תוכנית העבודה חובה ליישם, ולא מדובר בהמלצה. לכן בתוכנית העבודה השנתית נדרש להקצות שעות גם לנושאים לא מתוכננים, דבר המאפשר גמישות לאורך השנה באופן שלא בא על חשבון נושאי ביקורת מתוכננים. מכיוון שהביקורת בחברת החשמל היא פרואקטיבית ומעורבת בנעשה בארגון, היא חייבת להיות גמישה, ותוכנית העבודה שלנו מאפשרת תגובה ובדיקה בזמן אמת של סיכונים שעומדים להתממש ו/או התממשו.

סוף דבר – וגם הרכיב הסודי להכנת תוכנית עבודה (שבדרך כלל לא מגלים במתכון)

גילוי נאות, אני רו"ח ומבקרת פנימית ראשית לא מעט שנים, אך אני לא אוהבת אקסלים, ובטח לא ארוכים ומייגעים כגון האקסל של סקר הסיכונים הייעודי לקביעת תוכנית העבודה הרב-שנתית של הביקורת. כפי שציינו לעיל, בקביעת תוכנית העבודה של שנת 2021 לא נסמכנו עליו, כי אם על סקר הסיכונים הארגוני.

אחרי ימים של נבירה באקסל של סקר הסיכונים הייעודי בניסיון לבחור את הנושאים שייבדקו על ידי הביקורת, החלטנו לזנוח אותו ולהכין רשימת נושאים לבדיקה מתוך היכרותי העמוקה את חברת החשמל. ברגע של השראה נכתבה הרשימה, ומאוחר יותר תיקפנו את הנושאים שבה אל מול סקר הסיכונים הארגוני. במקרה או שלא במקרה, נוכחנו כי מרבית הנושאים שנכללו ברשימה שלנו מדורגים בסקר הנ"ל ברמת סיכון גבוהה או גבוהה מאוד.

הסיבה שאנו מספרות לכם את זה היא שאומנם כל הפרמטרים שצוינו לעיל כבסיס לבניית תוכנית עבודה שנתית מוצלחת הם חשובים, אך ישנו פרמטר נוסף ומהותי לבניית תוכנית איכותית – פרמטר שנוגע להיכרות עם הארגון וחיבור לפעילותו. כמובן שניתן להכין תוכנית עבודה מוצלחת גם ללא פרמטר זה, אך לדעתנו לחוש את הדופק של הארגון הוא הרכיב הסודי שהופך את תוכנית העבודה למנצחת.

הגישה שלנו היא כי הביקורת היא חלק אורגני מהארגון, ומטרתה לשפר ולייעל אותו. לדעתנו אחד מתפקידי הביקורת הוא לחיות את ההווה ולצפות את העתיד, במובן של איתור סיכונים וחשיפות עוד לפני שהם מתממשים, לא כל שכן לפני שהם מגיעים לבחינה של גורמי חוץ ובהם רגולטורים ו/או בתי המשפט.

על מנת להגשים תכליות אלו, נדרש לדעתנו הפרמטר הנוסף, החיבור האמיתי לארגון, לפעילותו וליעדיו, וזהו הסוד האמיתי של ביקורת פנימית שמממשת את מטרתה.

אנו מקוות כי הארנו את עיניכם ולו במעט, ומאחלות לכולם הצלחה בהכנת תוכנית העבודה הבאה של ארגונכם.

The post תכנית עבודה רב שנתית- האם צריך זאת בכלל? appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

בתקופה שבה אנו נדרשים יותר מהרגיל להתמקד רק בסיכונים המהותיים, ולצמצם ככל שניתן את מרכיב ההפרעה לפעילות השוטפת של המבוקרים, עלינו להמציא את עצמנו מחדש ולמצוא דרכים להשקיע את משאבי הביקורת בצורה יעילה, דיפרנציאלית, ובאזורים שיגדילו את ערכי התוצרים וההשפעה שלנו בארגון.

כולנו מכירים את הדרך ה"קלאסית" להערכת סביבת הבקרה ובחינת תהליכי עבודה, הנעשית באינטראקציה מול המבוקרים על ידי שימוש בטכניקה של תשאול (שיחות, פגישות ומיילים) ופעילות עצמאית של סקירת חומרים ונתונים. תהליך ביקורת המתבסס ברובו על טכניקה זו עלול לעיתים להקשות על קבלת תמונה מלאה המגובה בעובדות, ואף להסיק מסקנות והערכות העלולות להיתפס כסובייקטיביות.

אז מה אנחנו מציעים?

אחת הדרכים להתמודד עם אתגר זה היא "ירידה לשטח". לא מדובר בשיטה חדשה, אך המטרה היא להגביר את השימוש בטכניקה של "בדיקת ערנות" או בשמה הפחות ידידותי "בדיקת פתע".

אפשר לשלב בדיקת ערנות כמעט בכל ביקורת, ובהמשך המאמר נציג רעיונות ודוגמאות מניסיוננו.

מה נרוויח מזה?

קודם כל, נחזק את היכולת להגיע למסקנות אובייקטיביות. על הדרך, נוכל לאתגר את אפקטיביות הבקרות באופן בלתי ניתן לערעור, נפחית התנגדויות וויכוחים, נצמצם "הפרעה" על ידי הפחתת הבדיקות והאינטראקציה עם המבוקרים, ונקבל תחושת נוחות מתוצרי הבדיקות. אם באמצעות בדיקת ערנות נגיע למסקנה שבקרה מסוימת אינה פועלת כמצופה או אינה פועלת כלל, נוכל לקדם ביעילות את מטרת הביקורת מבחינת הערכת סביבת הבקרה, ולפנות משאבים לבדיקות נוספות. במקביל, ניתן להעביר באופן מיידי למבוקר את תוצאות הבדיקה על מנת שיוכל לטפל בהמלצות בהתאם לרמת החומרה. וכמובן איך אפשר בלי הנהלת הארגון וועדת הביקורת? גם הם מרוויחים מהתהליך, שכן נוכל להציג בפניהן תמונת מצב מוחשית של סביבת הבקרה בנושא הנבדק.

איך זה יתבצע בפועל?

על מנת לבצע את משימת הביקורת בצורה האפקטיבית ביותר ולהעריך את אופן התמודדות הארגון עם הסיכון "בזמן אמת", על המבקר לעבור מספר שלבים:

1. לסקור את הבקרות הקיימות בארגון בתהליך הנבדק.
2. לזהות בקרות חסרות.
3. להגדיר את התרחישים המהותיים שהוא ירצה לבדוק.
4. לבצע בדיקות ערנות לאתגור הבקרות בתרחישים שהוגדרו.

קצת המחשות?

בביקורת בנושא דלף מידע, מטרת הביקורת הייתה לבחון את תהליכי העבודה והבקרות לצמצום סיכוני דלף המידע. בהנחה שהארגון הגדיר סט של בקרות כמענה לתרחישי דלף שונים, משימתנו היא להעריך את אופן התמודדות הארגון עם סיכון זה. בתהליך הקלאסי יסקור המבקר את מדיניות הארגון בנושא, את נוהלי העבודה, תהליכי הגדרת בקרות, תהליכי טיפול בהתראות, תחזוקה שוטפת ועוד. סקירה זו בהחלט עשויה לתרום להסקת המסקנות בנוגע לתהליך בכללותו אך האם היא תספיק לקבלת מענה לשאלה: "האם הארגון אכן מוגן מתרחיש דלף מסוים?" – כנראה שלא.

לעומת זאת, באמצעות בדיקת ערנות המבקר יבצע אתגור מוחשי של הבקרות בכך שינסה לשלוח מידע רגיש אל מחוץ לארגון. ומה ניתן יהיה להסיק מכך?

• אם הוגדרו בקרות והמידע נחסם – הבקרות הקיימות אפקטיביות.
• אם הוגדרו בקרות והמידע יצא – הבקרות הקיימות אינן אפקטיביות והארגון לא מוגן בתרחיש זה.
• אם לא הוגדרו בקרות – לארגון קיימת חשיפה לדלף מידע ועליו לנהל את הסיכון בגינו.

דוגמה נוספת היא בביקורת סייבר שבמסגרתה נבקש לבצע ניסיונות חדירה למערכות הארגון מתוך חצרות הארגון. נתחבר באמצעות כלים שונים אל נקודות התקשורת או למצלמות הרשת הפזורות בארגון, וננסה לעקוף את מנגנוני הבקרה הקיימים. גם בבדיקה זו יש להגדיר מראש את המטרות שנרצה להשיג (מעבר בין סביבות עבודה בארגון, חדירה למערכת מסוימת וכו'), ולבחון את רמת ההקשחה (FireWall, מדיניות סיסמאות וכו') הקיימת בארגון.

כמובן שחוץ מלהסיק מסקנות על רמת ההגנה, נוכל גם לבחון בזמן אמת את אפקטיביות מערך הניטור בהקפצת התראות בתרחישים שונים. אם התגלו חוסרים – תוצאות הבדיקה יעזרו בעדכון ההתראות.

בדיקות ערנות רלוונטיות לרוב עולמות התוכן של המבקרים

• ניתן לאתגר בקרות עסקיות ולבצע פעולות יזומות מעל סף הבקרות שהוגדר.
• ניתן לאתגר בקרות טכנולוגיות על ידי התחברות לארגון מאתר של ספק מאושר ולבחון את שרשרת האבטחה, או לחילופין לבצע תרגיל יזום של אירוע חירום/סייבר ולבחון את המודעות העובדים המהווים, במרבית המקרים, את החוליה החלשה ביותר בשרשרת האבטחה בארגון.
• ניתן לאתגר בקרות תפעוליות או לזהות חשיפות בהיבטים רכים יותר, כמו נגישות, שירות וחוויית לקוח על ידי שליחת לקוח/עובד סמוי לארגון, ביצוע האזנות לשיחות מוקלטות, או צפייה בהקלטות מצלמות האבטחה על פעילות העובדים באתרים רגישים.

מרבית הבדיקות ניתנות לביצוע באופן עצמאי או בסיוע יועץ מומחה, אך לעיתים יידרש, ואפילו מומלץ, לפעול בשיתוף פעולה עם גורם נוסף מתוך הארגון שיתבקש להקפיד על דיסקרטיות לצורך שמירה על אפקטיביות הבדיקה.

לפני שרצים להעיר את כולם – בואו ננהל גם אנחנו את הסיכונים

בעת שימוש בבדיקות ערנות, חשוב מאוד ליישם תהליך של "ניהול סיכוני הבדיקה" ולהביאו לידיעת הנהלת הגוף המבקר ואישורו. תהליך זה נועד לצמצם את ההשלכות האפשריות של הצלחת הבדיקה (ומהצד השני כישלון הבקרה) והסיכונים שעלולים להיווצר. כך למשל, בדוגמה על אתגור בקרות דלף מידע, אם המידע יצא מחוץ לחצרות הארגון, נוצר מצב שבו מידע רגיש של הארגון "מסתובב" ברשת הציבורית או באמצעי נתיק (DOK) ששימש להוצאת המידע. בדוגמה של ניסיונות חדירה למערכות הארגון, בעת אתגור של בקרה המונעת/מנטרת חיבור רכיב זר לרשת, עלול להיגרם נזק על ידי "הדבקת" הרשת הארגונית או אף חסימתה.

מה חשוב לכלול בתהליך ניהול סיכוני הבדיקה? – זיהוי ומיפוי מראש של הסיכונים תוך בחינת כלל הנושאים שעלולים "להשתבש", הגדרת תוכנית הפחתה מתאימה ויצירת מנגנון של עצירה מיידית בעת הצורך. דרך נוספת לצמצם את הסיכונים היא באמצעות שיתוף רמה בכירה של היחידה המבוקרת. כך ניתן לרתום את המבוקר לתהליך שבו הוא מקבל הזדמנות להיות שותף בבדיקה, ואנו זוכים בשיתוף פעולה בקבלת תוצאות הבדיקה וביישום המלצות הביקורת.

והתיעוד – לנצח יישאר

היבט חשוב לא פחות בבדיקות מסוג זה הוא התיעוד. על מנת להציג למבוקר את תוצאות הבדיקות שביצענו (וכן – גם קצת להשוויץ J), חשוב לאסוף תיעוד מסודר לאורך כל אחד מהתרחישים הנבדקים. לדוגמה: ריכוז הקבצים שאנו מעוניינים להדליף מחוץ לארגון, צילומי מסך של הוצאת המידע וקבלתו מחוץ לארגון, הודעות שהתקבלו בגין תרחישים שנחסמו ו/או שנוטרו על ידי מרכז הבקרה, צילום תמונות/סרטונים של הציוד שאנחנו מחברים וכו'. כך נוכל להעביר למבוקר תמונה מדויקת ומבוססת עובדות של מצב סביבת הבקרה לגבי החשיפות והסיכונים הנבדקים באופן שיצמצם התנגדויות ויהפוך כמעט כל ויכוח להסכמה.

אז מה היה לנו?

גילינו שעל ידי שימוש מושכל בטכניקה של "בדיקות ערנות", הכולל הכנת תרחישי בדיקה, שיתוף גורמים רלוונטיים, ניהול סיכונים אפשריים ותיעוד מסודר – ניתן להגביר לאין ערוך את אפקטיביות הבדיקות המבוצעות במסגרת הביקורת. בשיטה זו ניתן לספק יתרון משמעותי על פני טכניקות בדיקה אחרות ולהציג הוכחות חד-משמעיות המקלות על קבלת הממצאים על ידי הגורם המבוקר.

The post על היתרונות שבבדיקת עירנות (בדיקת פתע) appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

החשש היה דווקא מסטגנציה וחוסר מוטיבציה לבצע שינויים ושיפורים, ומחוסר רצון לצאת מאזור הנוחות שעלול לפגוע באפקטיביות הביקורת. המאמר נועד לקדם יוזמה לשינוי, גם אם הוא לא נכפה עלינו.

כולנו ידענו שהיכולת להתאים את עצמנו לשינויים וגמישות הביקורת הן חשובות. ידענו, אבל לא הבנו עד הסוף. שום דבר לא הכין אותנו למשבר הקורונה, שבה כלל העסקים במשק נקלעו למצב חירום. מרבית תשומת הלב הופנתה לשימור רציפות תפקודית, ובבנקים ניתן דגש על מתן שירות ללקוחות במוקדי שירות, בחדרי העסקאות ובסניפים. בתקופה זו נדרשה הביקורת להתאים את עצמה במהירות למצב החדש ולבחון את מקומה בעת חירום.

בתקופה זו עלו שאלות כמו האם הביקורת צריכה להמשיך בפעילותה הקלאסית, הכוללת הפקת דוחות ביקורת וניהול מעקב אחר יישום המלצותיה, או שמא היא נדרשת להתאים את פעילותה ולעבור לפעולות חשובות יותר לארגון, כגון סקירת הבקרות והאפקטיביות שלהן על רקע השינויים בתהליכי העבודה ובפעילות בתקופת המשבר.

על פי התיאוריה של המדען דניאל וולפרט, המוח דרוש אך ורק כדי לאפשר תנועה, כלומר שינוי. במחקר שבו בדק את האיצטלן, ייצור תת-ימי המנווט את דרכו באוקיינוס הגדול, הוא מצא שכאשר האיצטלן בוחר בסביבה המיטבית עבורו, הוא קובע בה את מושבו עד סוף חייו, ומוחו נעלם.

הביקורת היא אורגן חי. תפקידה הוא לספק מענה לצרכים משתנים בסביבה חיצונית משתנה ולפי דרישות של בעלי עניין שונים. היא נדרשת להיות בתנועה ולהתאים את עצמה תוך שמירה על מטרותיה ועקרונותיה. בעת משבר הקורונה נדרשה הביקורת להקפיא את פעילותה לרגע, כדי לאפשר לבנק להתמודד ולהתאושש ולחזור לפעילות באופן מותאם אחר למגבלות הקורונה.

השינויים בביקורת הפנימית לא התחילו עכשיו. במהלך עשרות שנים חוותה הביקורת שינויים רבים בסביבתה הארגונית, העסקית, הרגולטורית והטכנולוגית, כמו גם שינוי בצרכים של בעלי העניין, ובהם ההנהלה והדירקטוריון.

למרות זאת, ביצוע שינויים כחלק משגרת החיים של הביקורת בימים כתיקונם נותר אתגר, בין היתר בשל התשומות שנדרש להשקיע בשינוי, הסיכון לפגוע בקיים, והיציאה מאזור הנוחות הכרוכה בכך. לעומת זאת, השינויים בתקופת הקורונה שתוארו לעיל אומנם לא היו פשוטים, אך היו כרוכים בפחות היסוסים והתחבטויות מפני שהם נכפו מחוסר ברירה.

כדי להביא ערך אמיתי, הביקורת חייבת ללמוד את השינויים באופן מתמיד ולפעול בין היתר כ"סוכן שינוי", הן לגבי עצמה והן לגבי הארגון בכל "תנאי מזג אוויר".

במאמר זה נציין את ההיבטים העיקריים שבהם חל שינוי בביקורת הפנימית ושהביאו להתפתחותה במהלך העשורים האחרונים. הדברים נכונים לכלל הארגונים ולבנקים בפרט.

אילו שינויים חלו בביקורת בשנים האחרונות?

בעשורים האחרונים חלו שינויים מהותיים בפעילות הארגונים בענפים השונים, שינויים שמקורם בהתפתחויות רגולציה ובתקנים חדשים שפורסמו על ידי גופים מקצועיים מובילים בעולם.

בעקבות המשבר העולמי במהלך 2009-2008 חוזקו הבקרות, ובענפים מסוימים (לרבות ענף הבנקאות) ניתנה הנחיה לגיבוש מסגרת לניהול סיכונים הכוללת שלושה קווי הגנה ולהקמת מעגל בקרה שני. בנוסף נדרשה הביקורת להעריך את אפקטיביות הבקרות וניהול הסיכונים בארגון ולהתייחס לנושאים ולידע שלא נדרשה להם בעבר.

אם כן, הביקורת נאלצה להגדיר את מקומה מחדש בארגון, לחדד את גבולות הגזרה, ולקבוע ממשקי עבודה עם יחידת ניהול הסיכונים.

תקופת המשבר הנוכחי חידדה את חשיבות תפקיד הביקורת בעת הזו. לאור החשיפה ההולכת וגוברת של סיכונים שאליהם חשוף הארגון בעת משבר, כאשר יחידות עסוקות בהישרדות תוך נוכחות מצומצמת של עובדים ותחת מגבלות הקורונה, קיים צורך אמיתי בהפניית משאבים לניהול הסיכונים. לפיכך החלטנו להגביר את מעורבות הביקורת בניהול הסיכונים, בדגש על סיכוני מעילות והונאות וסיכוני סייבר. המטרה היא לוודא כי אפקטיביות הבקרות נשמרת גם במקרים שבהם חל שינוי מהותי בתהליכי העבודה או בסביבה העסקית.

המשברים שאירעו וההתפתחויות הרגולטוריות שהגיעו בעקבותיהם הביאו את הביקורת הפנימית למספר התפתחויות משמעותיות.

תפיסת הביקורת בארגון

לאורך שנות קיומה של הביקורת חל שינוי בתפיסת הביקורת בארגון ממצב של קיום ביקורת כחובה חוקית לתפיסת הביקורת כגורם חיוני המצמצם סיכונים לארגון ולגורמי הנהלה החשופים לדרישות רגולציה ולאחריות אישית.

לפיכך, קיימת חשיבות רבה לתפיסת הביקורת בארגון ולמיצובה כפונקציה משמעותית וחיונית עבור ההנהלה והדירקטוריון.

ביקורת שנתפסת כעניינית, אובייקטיבית ובלתי תלויה על ידי המבוקרים, תוכל לקיים את תפקידה טוב יותר ולהביא ערך משמעותי יותר לארגון. לצורך כך, הביקורת נדרשת להציג תמונה מאוזנת של הפעילות הנבדקת ולציין נקודות לשיפור, תוך התייחסות לפעולות מהותיות שנמצאו תקינות.

מגמה זו מתחזקת בשל הצורך במתן ציון והערכה כוללת (כפי שנדרש מהביקורת הפנימית בבנקים בהתאם להוראת ניהול בנקאי תקין 307), המחייבים הסתכלות כוללת על פעילות היחידה או הישות הנבדקת.

על מנת לספק מענה לשינויים אלה, נדרשת אבולוציה בתחומים הבאים:

פרופיל המבקר

כבר היום, על מנת לתת מענה לצורכי הביקורת, המבקר הפנימי נדרש לקשת יכולות ולכישורים רבים ומגוונים, כמו יכולת למידה וניתוח לוגי ותהליכי, תקשורת בין-אישית, יכולות כתיבה והבחנה בין עיקר לטפל, וכן ידע וניסיון בתחומים המבוקרים, כגון כספים, מערכות מידע, פעילויות מטה תומכות ועוד.

בעקבות שינויים שחלו בשנים האחרונות, מלבד סט הכישורים והיכולות הללו, המבקר נדרש גם לכישורי שליפה וניתוח נתונים, לרבות יכולות שליפה וניתוח נתונים ממספר מקורות מידע, חשיבת BI ושליטה בכלים טכנולוגיים מתקדמים לביצוע תחקורים. מגמה זו צפויה להתעצם בשנים הקרובות.

אתגרים אלה יחייבו את הביקורת לשים דגש על קליטת מבקרים המשלבים יכולות בין-אישיות המאפשרות תקשורת פתוחה ועניינית עם הגורמים בארגון, ראייה מאוזנת וחסרת משוא פנים, וידע מקצועי. בו-בזמן נדרשת הכשרת כלל המבקרים לידע בנושאים טכנולוגיים, והנגשת השימוש בכלי תחקור לכלל המבקרים ביחידה.

שיטת ביצוע הביקורת

1. ביקורות בין צוותיות

יחידות הביקורת מחולקות בהתאם להתמחותן בסיכונים השונים או על פי סוג הפעילות (כגון ביקרות סניפים, מערכות מידע). על מנת לייצר תמונה כוללת של ניהול הסיכונים בנושא, עולה בשנים האחרונות הצורך בעבודה צוותית המשלבת מספר מיומנויות שונות לתוצר אחד.

מדברים יותר ויותר על עבודה בתצורת Agile. שינוי זה דורש שיתוף פעולה ותיאום תוך כדי תנועה, ויוצר אתגרים הנוגעים לתיאום זמנים, לתיאום הבדיקות, לכתיבת הדוח ועוד. כדי להתמודד עם השינוי הזה נדרשת הגדרה של שיטת עבודה עדכנית לתהליך הביקורת, והדרכת המבקרים והמנהלים לעבודה משותפת.

2. כלים טכנולוגיים

סקר מוקדם שכולל איסוף חומרים לפגישה ראשונית, יהווה התחלה טובה לביקורת. אז למה צריך לשנות? אנו חיים בסביבה עתירת נתונים, ולרוב יש לנו גישה ישירה ועצמאית לנתונים שמאפשרים לנו לקבל מידע רב באמצעות זיהוי חריגים וניתוח אנומליות שיכולים להוות לידים כבר בשלב הראשון לביקורת. לשימוש בכלים טכנולוגיים יש מגוון יתרונות, ובהם:

• כיסוי רחב יותר.
• מעבר מבדיקות מדגמיות לבדיקות אוטומטיות, המאפשרות לבחון היקף גדול יותר של נתונים ואף אוכלוסייה שלמה.
• ביצוע בדיקות נתונים בכלים ממוכנים המותאמים לצורכי הביקורת, עשוי לייעל את עבודת הביקורת ולהפחית את היקף המשאבים הנדרש.
• זיהוי קשרים או אנומליות יכול לחשוף ליקויים שגם המבוקר אינו מודע להם, ושלא יעלו בשיחות או בבדיקות מדגמיות.

עם זאת, קיימות גם מגבלות לשיטה זו:

• זמן ומומחיות בביצוע שליפות ממוקדות ומדויקות לצורך הבדיקה.
• תלות בגורמי BI.
• סיכון שלא נגלה בדרך זו ליקויים שהיינו מגלים בבדיקות תיקים ובשיחות.

לפיכך, ההתמודדות עם השינוי תחייב אותנו לבצע התאמות:

• גיוס אנליסטים מומחים לשליפות נתונים. צפוי כי מספר העובדים בתחום זה יגדל משמעותית בשנים הבאות.
• כאמור, נדרשת הכשרת מבקרים לתחומי ה-BI, SQL, ו-SAS, על מנת להפחית את התלות בגורמים השולפים את הנתונים, ולשם יצירת מבקרים בעלי ידע מקצועי הכולל ידע בשליפת נתונים.

חשוב להדגיש שלצד ההיערכות לשינויים, יש לשמר את היתרונות של הביקורת המסורתית ולזכור שתקני הביקורת שלא השתנו במהותם, מהווים בסיס טוב ורלוונטי גם היום. לאור זאת, שילוב של ביקורות חדשניות באמצעות שליפות נתונים, לצד הביקורות המסורתיות לצורך קבלת מידע שלם על סיכונים בפעילות, עשוי להביא לביקורת אפקטיבית התורמת לארגון.

עם החזרה לפעילות ביקורת מסורתית בשגרת קורונה, שבה פעלו ארגונים תחת עומס, אילוצי כ"א מצומצם ומגבלות על התקהלות ושמירת מרחק, מגובשים בימים אלה עקרונות לפעילות הביקורת הפנימית בתקופת הקורונה.

מטרת הביקורת היא להמשיך בפעילות הביקורת תחת המגבלות והקשיים הקיימים, תוך נקיטת זהירות מיוחדת הנוגעת לסיכוני בריאות והשבתת יחידות.

בהתאם לזאת, תהליך הביקורת והיקף הנושאים הנבדק התחדד ודויק, ושיטת הביקורת הותאמה למציאות שבה פגישות פיזיות נדירות. ההתאמות שאליהן נדרשנו, בתחילה כאילוץ, התגלו כהזדמנות להתייעלות וחידוד דוחות הביקורת ולשדרוג היכולות ושיטות העבודה.

לסיכום, אנחנו המבקרים עוסקים בשינויים של אחרים באופן שוטף, אך האם נוכל לבחון ולהחיל את אותם עקרונות גם על עצמנו?

לאור ההתבוננות בשינויים שחווינו בתקופת הקורונה אל מול השינויים שביצענו בתקופות קודמות – הן מבחינת קצב והן מבחינת עוצמה – עולות מספר שאלות שמן הראוי לשאול את עצמנו. נזכיר שהביקורת עושה זאת באופן מובנה ופנימי כחלק מתהליך מתמשך ושוטף של שיפור איכות הביקורת, וכן באמצעות סקירה חיצונית אחת לתקופה.

The post הדחף לשינויים בביקורת הפנימית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

הכלכלה העולמית נפגעה בצורה קשה ממגפת הקורונה שהתפשטה במהירות מפתיעה בעולם. המומחים מסכימים שלא מדובר אירוע חולף, ושעסקים ימשיכו לסבול מההשפעות השליליות של המגפה עוד הרבה זמן. הצורך החיוני "לשטח את העקומה" כדי להכיל את התפשטות הנגיף גרם לשיבושים משמעותיים, המלווים בירידות חדות בהיקפי העסקים ובהכנסות. ירידות נוספות צפויות לכל אורך שנת 2020 וגם ב-2021. כבר עכשיו ארגונים חווים אובדן לקוחות, משברי נזילות, שיבושים בשרשרת האספקה, צמצומים ופיטורים של כוח אדם.

בתגובה לאתגרים אלה, ארגונים בכל רחבי העולם נקטו יוזמות וביצעו צעדים מהירים. לדוגמה, ארגונים רבים הקימו צוותים ייעודיים לניהול המשבר תוך התמקדות בטיפול בצרכים המיידיים של לקוחות ועובדים. כמו כן, צוותי מנהלים בכירים מבצעים מבחני לחץ על תרחישים אסטרטגיים, פיננסיים ותפעוליים, ויש ארגונים שכבר התחילו להיערך לחידוש הפעילות העסקית לאחר המשבר. בהינתן הירידות הצפויות בתזרימי ההכנסות העיקריים, סביר להניח שמנהלים יתמקדו בצעדים ספציפיים במטרה להקטין את אובדן ההכנסות. במקביל, מנהלים ינסו לשפר רווחיות על ידי שמירה על מבנה עלויות תפעוליות רזה ככל האפשר, הרחבת היכולות הדיגיטליות, הקצאת משאבים באופן משתנה והגברת החוסן הארגוני.

סביר להניח שצמצומי כוח האדם (בין פיטורין ובין חל"ת) יפגעו בתהליכים עסקיים באופן מהותי ויחלישו בצורה ניכרת מנגנונים של בקרות פנימיות. אין ספק שמצב שבו כוח אדם מצומצם עובד מהבית במשך תקופה ארוכה ומקיים קשר פרונטלי מינימלי יגרום לארגונים להיות פגיעים. בנסיבות אלו, ארגונים צפויים לראות גידול חד ומתמשך במעילות ובהונאות, בפשעים פיננסיים ובמתקפות סייבר, ורמאים רבים ינסו לנצל את האוכלוסייה הפגיעה והלחוצה מאוד עקב המשבר.

אתגרים אלה מחייבים תגובה חדשנית מצד הביקורת הפנימית ומהווים הזדמנות ייחודית עבור מבקרים פנימיים להמציא מחדש את תפקידם בשרשרת הערך בארגון. שאלנו מספר מבקרים פנימיים ראשיים (CAEs) במוסדות פיננסיים לגבי דרכי ההתנהלות במחלקותיהם מאז פרוץ המשבר. מספר גישות חדשניות, לרבות כאלה שמציעים מבקרים אלה, יכולות להוסיף ערך עבור הארגון ולעזור ללקוחות להבין את החשיבות של הביקורת הפנימית במהלך הימים הקשים האלה.

יישום פתרונות ניהול משבר

ועדות ביקורת ובעלי עניין מרכזיים סומכים על כך שהביקורת הפנימית תספק שירותי הבטחה רחבים וממוקדים ושירותי ייעוץ כדי להתגבר על האתגרים בעתיד הקרוב. מבקרים פנימיים ראשיים צריכים לעבוד בשיתוף פעולה עם ועדות הביקורת ועם חברי ההנהלה הבכירה בתכנון סדרה של פעולות אפשריות להפחתת סיכונים באופן מחושב, אבל גם גמיש בהתאם להתפתחויות. מבקרים פנימיים ראשיים שעימם שוחחנו ציינו שתפקידם כיום כולל השתתפות ישירה בוועדות ניהול משבר הקורונה ובצוותי ניהול משבר בארגוניהם. הם סייעו בגיבוש התגובות הארגוניות כדי לוודא שההודעות בנושא המשבר אכן נמסרות ללקוחות, לבעלי העניין ולציבור הרחב בצורה מתאימה ושקופה.

גורם מרכזי בקבלת החלטות אצל בעלי העניין הוא קצב החרפת הסיכונים ואיכות הניתוח של השפעותיהם. לכן מבקרים בעלי ניסיון בזיהוי סיכונים ובביצוע הערכות הוליסטיות יכולים לבצע הערכות טובות יותר של ההשלכות הטווח הקצר והטווח הארוך של החלטות בעת משבר.

בנוסף, מבקרים פנימיים ראשיים ציינו שהם הוסיפו לתוכנית העבודה בחינה של נושאים הקשורים בקורונה, לרבות לגבי בחינת פעילויות המבוצעות מרחוק ובחינת שינויים בתהליכים עסקיים. חלק מהבדיקות האלה בוצעו במהירות רבה – לפעמים תוך כמה ימים – על מנת לדווח ולהציף סוגיות מבעוד מועד.

תמיכה בעובדים, בבעלי עניין ובלקוחות

המשבר מציף הזדמנויות רבות עבור מבקרים פנימיים לפעול כיועצים מהימנים ולסייע לארגון לשמור על פונקציות הליבה, לתמוך בלקוחות, לנהל את הסיכונים העיקריים ולשמור על חוסן. אחד המבקרים הפנימיים הראשיים ציין כי המשימה הראשונה של מחלקת הביקורת הפנימית שלו הייתה להתמקד בשמירה על בטיחות ושלום עובדי המחלקה, וכי הם יישמו במהירות נוהלי עבודה מהבית, אפשרו הסדרי שעות עבודה גמישות על מנת לאפשר חינוך ביתי, ותמכו בעובדים השוהים בבידוד עצמי. במטרה לתעדף את צורכי הלקוחות, מחלקות ביקורת פנימית רבות צמצמו משימות הבטחה מסורתיות והקלו על לוחות הזמנים להשלמת תיקונים לסוגיות שעלו בביקורת הפנימית, במטרה לתת למרחב תמרון בתחומים עסקיים כדי לשרת את הלקוחות. מחלקות ביקורת פנימית אחרות עשו הרבה מעבר, והפגינו גמישות ומחויבות לבעלי העניין שלהן, ונתנו כתף בצורות שונות, כגון ביצוע בדיקות טרומיות של תהליכי סגירת הדוחות הכספיים הרבעוניים, מתן דחיפה למאמצי תיקוף ולמאמצי תיקון אחרים, וסיפקו פעולות ניטור משופרות. בעוד שעבודות ביקורת חשובות ומוגבלות בזמן המשיכו להתקדם, ההיקף של ביקורות אלה נבחן על מנת להתמקד בסיכונים העיקריים.

מחלקות מסוימות בארגונים מבצעות רמות פעילות חסרות תקדים ומתמודדות עם אתגרים מבחינת משאבים, כגון מחלקות מערכות המידע הנדרשות לעמוד בדרישות תשתית גבוהות, לרבות הגברת יכולות עבודה מרחוק ויכולות דיגיטליות, שירות לקוחות ותמיכה תפעולית. ככל שעולה מספר העובדים הנעדרים עקב מחלות ומצבי חירום – או כאלה העובדים תחת הסדרי עבודה גמישים – או כאלה המאבדים ניידות עקב המגבלות על נסיעה ותחבורה ציבורית – כך גובר המחסור במשאבים

לאחר מגפה עולמית, ארגונים יהיו זקוקים לתמיכה בגיבוש מחדש של תוכניות עסקיות ושל תחזיות דרישה, הכנסות, עלויות ורווחיות, בהערכת סיכונים מרכזיים ובבחינה מחדש של הנחות יסוד. מתן שירותי מומחים באופן זמני לעסק, יחד עם אמצעי הגנה ראויים, יגביר את הערך של הביקורת הפנימית. פעילויות מסוג זה עלולות לגרום לניגודי עניינים בעתיד ויש לבחון אותן בזהירות ולנהל אותן בהתאם.

ניתן להשיג חיסכון משמעותי במשאבים באמצעות שיתוף פעולה מוגבר עם קווי ההגנה הראשון והשני – מבקרים חיצוניים ורגולטורים. יש בידי הביקורת הפנימית היכולת לסייע במתן ביטוי מדויק של הערכות סיכונים מקיפות, תוך דאגה לפעולות מתואמות כדי למנוע כיסוי כפול.

מציאת דרכי עבודה חדשות

הביקורת הפנימית תצטרך להבין כיצד המגפה משפיעה על גישות עבודה, על שיתופי פעולה ועל יחסי הגומלין עם בעלי העניין. "הקורונה הבליטה את היתרונות של עבודה מרחוק ושל הפרודוקטיביות שאפשר להשיג בסביבת עבודה מרחוק", אמר אחד מהמבקרים הפנימיים הראשיים. "בה בעת, היא גם מבליטה את היתרונות של אינטראקציה פנים אל פנים, לא משנה כמה איתנה הסביבה הווירטואלית".

חשיבה על האתגרים וההצלחות של עבודה מרחוק תעזור בגיבוש יוזמות אסטרטגיות לטווח הארוך או אפילו באופן קבוע. מודל העבודה החדש הזה יחייב שימוש מוגבר בכלי אוטומציה, ומגעים תכופים עם צוותי הביקורת, עם לקוחות ועם בעלי העניין. בתרחיש הזה, הביקורת הפנימית צריכה להעריך את השפעת העבודה מרחוק על משימות ביקורת של ישויות ויחידות עסקיות הנמצאות במקומות שונים ועם יכולת מוגבלת לנהל אינטראקציות פנים אל פנים, ראיונות, סיורים וכו'. סביר להניח שתהיה הישענות מוגברת על תשתיות IT מבוססות ענן בסביבת העבודה הדיגיטלית והמרוחקת הזו. כבר היום אנו רואים עלייה בשימוש בשיחות וידאו, כמו זום, ווב-אקס וסקייפ, אולם פלטפורמות אלו גם עלולות להיות חשופות לסיכוני אבטחה. אם נתונים ורשומות המיועדים לבדיקה אינם מסופרתים או זמינים באופן אלקטרוני, מבקרים פנימיים יצטרכו לבחון אם ניתן לבצע נוהלי אימות אלטרנטיביים מרחוק, בהתחשב בהיעדר הגישה למסמכים או לנתונים הפיזיים. עליהם גם לבדוק אם הדבר גורם לירידה בכיסוי או בהיקף הביקורת וכתוצאה מכך לירידה ברמת ההבטחה שהיא מספקת.

מודלים גמישים של תכנון וביצוע ביקורות

משבר הקורונה נותן הזדמנות לחשיבה מחודשת לגבי תהליכי תכנון הביקורת הפנימית. הוכח כי המודל המסורתי של כיסוי על פני מספר שנים ושל מחזורי ביצוע ארוכים הוא נוקשה מדי כדי להגיב לסביבה בלתי יציבה. לכן בעלי העניין ידרשו גמישות לגבי ההיקף, הכיסוי ואופן הביצוע, וכן לגבי העיתוי ושיטות אסקלציה. יישום גישה גמישה במודל תכנון וביצוע הביקורת יסייע בשמירה על ההתמקדות בסוגיות המרכזיות, כאשר התנאים משתנים בכל עת ובביצוע מהיר של תעדוף מחדש של משימות. תהליכי גילוי גמישים יכולים לסייע בהתייחסות מהירה להתפתחויות ולסיכונים חדשים. מטלות ביקורת קצרות בגישה שיתופית יותר, יאפשרו הסקה מהירה יותר של תובנות ברות ביצוע ופעולות תיקון מהירות. אחד מהמבקרים הפנימיים הראשיים בארגון גלובלי ציין שהוא משתמש בגישת ביקורת גמישה לכל אורך מחזור החיים של מטלות הביקורת על מנת לספק את אותה רמה של הבטחה בפחות זמן. ה-CAE הוסיף כי "ההשפעה של שיבושים במצבת כוח האדם על התרבות ועל סביבת הציות היא סיכון מהותי חדש העומד בפני הארגון."

מבקרים פנימיים יצטרכו להגדיר מחדש את המתודולוגיה ואת תהליכי העבודה שלהם כדי להפוך אותם לגמישים יותר ומותאמים לתרחישים בלתי צפויים. מתפתח קונצנזוס לגבי תעדוף מספר תחומים ראשונים לטיפול על ידי הביקורת הפנימית בסביבה שלאחר המגפה, לרבות:

• חוסן עסקי ותכנון המשכיות, במיוחד בכל הקשור לשילוב לקחים שנלמדו.
• גילויים והתחייבויות לציבור הנוגעים למשבר הקורונה.
• שיקולי בטיחות ובריאות העובדים, הלקוחות ובעלי העניין.
• בקרות על פשעי סייבר ואבטחת סייבר.
• אבטחת מידע בתנאי עבודה מרחוק.
• גילוי ומניעת הונאות ופשיעה פיננסית.
• כיול מחדש של תוכניות ויעדים עסקיים.
• אספקת מוצרים ושירותים דיגיטליים.
• תכנון תרחישים ומבחני לחץ.
• תחזיות הון, תזרים מזומנים ונזילות.
• ביטול הדרגתי של ויתורים והנחות שניתנו במהלך משבר הקורונה.
• הקטנת סיכונים גיאוגרפיים, סיכוני ערוצי אספקה וסיכוני ריכוזיות ספקים.
• סיכונים משפטיים וחוזיים וסכסוכים מסחריים.
• תביעות משפטיות עקב ההשפעות הכלכליות של המגפה.
• אינטגרציה של חוסן עסקי, היערכות למגפה עולמית, ומדדי ייחוס בניהול משברים בתוכניות תגמול לבכירים.
• כיול מחדש של מדדי תגמול מבוסס ביצועי העובדים.

מבקר פנימי ראשי סיפר איך הוא משתמש בדוחות בזק כדי לספק תובנות מהירות יותר להנהלה בתגובה לציפיות ולתיאבון גדול יותר של בעלי העניין לגמישות. מבקר ראשי אחר מיישם פתרונות חדשניים של פעילויות ביקורת מתמשכת – הבוחנות ומנטרות תהליכים הקשורים לקורונה בנוגע לשלמות, נכונות ודייקנות. מבקרים פנימיים ראשיים אחרים ציינו שהם החלו ליישם תהליכי ניטור פעילויות עסקיות משופרים על מנת לספק משוב על סיכונים בזמן אמת.

שימוש נרחב של ניתוח נתונים – תוך מינוף בינה מלאכותית, לימוד מכונה ואוטומציה רובוטית של תהליכים – יהיה המפתח לתמיכה בגישה הגמישה של הביקורת הפנימית. "מבקרים פנימיים חייבים לקבל גישה לנתונים של ארגוניהם כדי לתפקד ברמה הגבוהה ביותר, וחלק מתוכנית הביקורת צריך להתמקד בהבטחת השלמות של אותם נתונים", אמר מנהל לשעבר של הביקורת הפנימית והציות בחברת ייעוץ גלובלית. "ניטור תמידי של נתונים יכול להניע שיחות עם המנהלים וההנהלה הבכירה במידה ומתגלות חריגות, וכך לקדם דו-שיח ומערכות יחסים טובות יותר".

מבקר פנימי ראשי אחר ציין את הערך שבנקיטת גישה גמישה יותר ומגיבה יותר. "החיוניות של הביקורת הפנימית מעולם לא הייתה גדולה יותר, לכן פיתחנו תהליך המאפשר דיווחים בתדירות גבוהה יותר לגבי הסטטוסים של משימות הביקורת וכדי להציף מחסומים פוטנציאליים לצוות ההנהלה הבכירה. בנוסף, ביצענו בדיקות בריאות הבקרות בזמן אמת, ושמנו את הדגש על אזורים בחברה בעלי סיכון גבוה, על מנת לספק הבטחה במועד שהתהליכים פועלים כמתוכנן. בדיקות בריאות אלו לוקחות בחשבון סיכונים במגמת עלייה – למשל, הן לוקחות בחשבון שעבודה מהבית עלולה להשפיע על סביבת הבקרה".

הסביבה תיצור מגמות חדשות מבחינת היקפים עסקיים, הכנסות, עלויות ומדדי סיכונים פיננסיים ותפעוליים אחרים. כתוצאה מכך, נוהלי ניתוח הנשענים על השוואות מול נתונים היסטוריים, וכן ניתוחי מגמות מבוססי תקציב או נתוני שנה קודמת, עלולים להיות לא מהימנים. כמו כן כדאי לשקול קיום "בקרות מינימליות" המקובלות בסביבות בקרה הנמצאות תחת לחץ אדיר ובתהליכים עסקיים הנמצאים בתהליך פיתוח וניטור.

מבט קדימה

מספר חידושים ושיפורים מבוססי-צורך לטווח הקצר, המיושמים על ידי מבקרים פנימיים כתוצאה ישירה של המשבר, עשויים להישאר על כנם ולהפוך ל"מצב הנורמלי החדש". הסדרים גמישים לעבודה מרחוק עם פחות יחסי גומלין פנים אל פנים עשויים להמשיך, ומאגר הרבה יותר גדול של כישרונות יהיה זמין ללא המגבלה הגיאוגרפית של "נוכחות פיזית". צוותי הביקורת הפנימית יצטרכו לקחת בחשבון בתהליכי הערכות סיכונים את הפוטנציאל – נמוך ככל שיהיה – לאירועי "ברבור שחור" בעלי השפעה גדולה. באופן ספציפי, במספר מוסדות פיננסיים גלובליים יש התמקדות מוגברת בסיכונים פורצים או באיומים חיצוניים (כגון שינוי אקלים), שבדומה למגפת הקורונה מתפתחים כל הזמן והם קשים למדידה. כיום, יותר מתמיד, חשוב להתעדכן לגבי סיכונים אלה ולשקול איך לספק כיסוי ביקורת עבורם.

מחלקות הביקורת הפנימית יכולות לסייע לארגונים לשפר את היכולות שלהם לחוש סיכונים ולזהות איתותים מהשוק בצורה טובה יותר, במיוחד תזוזות קריטיות בסביבה העסקית העלולות להשפיע על סיכונים. מבקרים פנימיים ראשיים אומרים שבעלי העניין ימשיכו לצפות למנהיגות חשיבתית וליוזמות מצד הביקורת הפנימית כדי לעזור לארגון להישאר בטוח אבל עדיין תחרותי. התמיכה והשותפות מצד הביקורת הפנימית, יחד עם בעלי תפקידים אחרים במהלך המשבר, עשויות להגביר את ההוקרה ההדדית על תפקידיהם של שני הצדדים ואת האמפתיה ביניהם, לצמצם מחלוקות ולהגביר את שיתוף הפעולה. כפי שאמר אחד המבקרים, "המצב יוצר הזדמנות ללחוץ, לפחות חלקית, על כפתור האיפוס של היבטים של התפקיד שכרגע אינם מתיישבים באופן מעשי עם הכינוי יועץ ושותף מהימן".

The post חדשנות בעת משבר appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מודל בשלות הוא כלי עסקי המשמש להערכת אנשים/תרבות, תהליכים/מבנים וטכנולוגיה.

מדוע כדאי לעשות שימוש במודל בשלות?

• שימוש בכלי אחיד, שיטתי ורציף להערכת רמת הממשל התאגידי, ניהול הסיכונים ומערך הבקרות בתהליכים וביחידות עסקיות.
• יכולת להשוות את רמת הבשלות בין תהליכים עסקיים שונים ובין יחידות עסקיות שונות.
• יכולת לקבוע את רמת הבשלות הקיימת והרצויה, לתכנן את צעדי השיפור, ולעקוב אחר התקדמות ביישום השיפורים.
• מאפשר ביצוע הערכה עצמאית ליחידות הארגון.
• הערכה אובייקטיבית ומקובלת על הארגון תוך שימוש בפרקטיקה מקובלת ו-benchmark.

הערכת בשלות על ידי מבקרים פנימיים

לצורך מתן הערכה לתהליך מבוקר, מבקרים פנימיים משתמשים לעיתים קרובות בהערכות איכותיות "סובייקטיבית" ולא שיטתיות, העלולות להיתפס אצל המבוקר כמוטות ולא מייצגות בשל היעדר מתודה ושיטתיות שתגבה את תוצאות ההערכה.

הערכה שניתנת על בסיס מודל בשלות מובנה, באופן אובייקטיבי, מקצועי ושיטתי, תזכה להסכמה רחבה של ההנהלה, המבוקרים, ועדת הביקורת, וכמובן של הביקורת הפנימית.

לאורך ההיסטוריה של הביקורת הפנימית פותחו מודלים רבים להערכת בשלות, כאשר רובם התבססו על מדדי "הסיכון" שטמון בכל אחד מהממצאים המוצגים בדוח הביקורת. לדעתנו גישה זו היא פשטנית למדי ואינה מאפשרת לקבל תמונה רחבה וכוללת על אופן ניהול הסיכונים, על ההתנהלות, ועל הממשל התאגידי ביחידה המבוקרת.

מאמר זה מציג מודל ייחודי המבוסס על COSO 2013 (בקרה פנימית), ומושתת על הרכיבים הבאים: סביבת הבקרה, הערכת סיכונים, פעולות בקרה, מידע ותקשורת ופעולות ניטור.

מסגרת ה-COSO

חלק זה מבוסס על מודל “Internal Control — Integrated Framework, Committee of Sponsoring Organizations of the Treadway Commission (COSO), 2013.

מודל COSO הוא מסגרת שיטתית להערכת הסיכונים והממשל התאגידי. אנו מניחים כי קוראי המאמר מכירים את מודל ה-COSO ולכן נתאר אותו בקצרה בלבד:

מודל COSO מספק שלוש קטגוריות של יעדים המאפשרים לארגונים להתמקד בהיבטים שונים של בקרה פנימית: יעדים תפעוליים, יעדי דיווח ויעדי ציות. בכל אחד מאלו נבדקת ומוערכת סביבת הבקרה, ניהול הסיכונים, פעילויות בקרה, מידע ותקשורת, ומערכות ניטור.

בנוסף על העקרונות, נקבעו נקודות מיקוד לכל עיקרון שנועדו להבהיר את דרכי היישום המצופים של כל עיקרון.

יישום מודל בשלות מבוסס COSO

כאמור, הרעיון הכללי הוא לקחת את מודל COSO המפורט ולהפוך אותו לבסיס שלדי להערכת הבשלות של תהליך הנבדק במסגרת משימת הביקורת הספציפית. לצורך כך, נפרוס את מרכיבי ה-COSO ונצמיד לכל אחד מהם משקל לפי החשיבות שניתנת בארגון לכל רכיב. בשלב השני נקבע מדרג של ציונים מ-0 ועד 5 כדי להעריך כל סעיף וסעיף במודל בהתאם לממצאים ולמסקנות של בדיקת הביקורת.

משקל רכיב בקרה פנימית

על מנת להמיר את מסגרת COSO לתוך מודל בשלות, נוסיף משקל לכל רכיב.

כברירת מחדל, משקל כל רכיב הוגדר באופן שווה.

דירוג רמת הבשלות (מבוסס על COBIT)

לצורך דירוג רמת הבשלות נעשה שימוש במודל הדירוג שנקבע ב-COBIT. דירוג זה מבוסס על סולם בין 0 (לא קיים) ל-5 (אופטימלי).

רמת הבשלות עקרונות ומשקל

הטבלה שלהלן מפרטת את עקרונות ה-COSO עבור כל אחד מחמשת המרכיבים, מגדירה את המשקל הניתן לכל עיקרון (וניתן לשינוי) ואת הדירוג:

הצעדים המומלצים

על מנת להבטיח יישום מוצלח של מודל בשלות מבוסס COSO:

• הדריכו את צוות הביקורת הפנימית על מסגרת COSO 2013 ועל מודל הבשלות המבוסס על COSO.
• הציגו את המודל ודונו בו עם בעלי העניין העיקריים (הדירקטוריון וההנהלה).
• השתמשו בעקרונות ובנקודות למיקוד בעת הכנת תוכנית הביקורת.
• הגדירו את המשקל של כל עיקרון.
• ודאו את קיומו ותפקודו של כל עיקרון (ואת נקודות המיקוד).
• הקצו דרגת בשלות לכל אחד מהעקרונות, בהתבסס על ממצאי הביקורת ועל עמידה בנקודות המיקוד.
• דונו עם המבוקרים על ממצאי הביקורת ומסקנותיה, וכיצד היא משתקפת בפועל במודל הבשלות.

יישום מודל הבשלות בביקורת פנימית

היתרונות של אימוץ COSO 2013

היתרון העיקרי של שימוש במודל בשלות המבוסס על COSO – הוא משרת את משימת הביקורת הפנימית ואת הגדרת הביקורת הפנימית.

בנוסף, מודל בשלות המבוסס על COSO יכול לסייע ביישום ושיפור סביבת בקרה פנימית ארגונית על בסיס יעדי החברה, תוך מתן הנחיות להבטחת תהליכים ובקרות יציבים ובשלים.

המודל יכול לשמש בכל דוחות הביקורת הפנימית (ללא שינויים בעקרונות המוערכים), דבר שמקל על יישומו.

ראוי להדגיש כי מסגרת COSO מוכרת היטב ומאומצת על ידי ה-IIA העולמי. כמו כן המסגרת מאומצת על ידי רוב החברות לצורך יישום דרישות SOX.

יתרונות השימוש במודל הבשלות בביקורת הפנימית

עם תחילת משימת ביקורת, עומדים בפני הביקורת הפנימית מספר אתגרים הקשורים באופן הגדרת היקף הביקורת ותוכנית הביקורת, על מנת להבטיח שאלה יכסו את הסיכונים העיקריים לארגון. עם השלמת הביקורת קיים אתגר נוסף – דירוג ההערכה הכוללת של התהליך המבוקר.

שימוש במודל בשלות יכול לסייע בהגדרת היקף הביקורת ותוכנית הביקורת. מודל בשלות מבוסס COSO "מכריח" את המבקר לסקור את 17 עקרונות COSO.

בנוסף, רמת הבשלות יכולה לספק להנהלה מידע לגבי הפונקציות המבוקרות, ולעזור להשוות לביקורות קודמות אחרות שבוצעו בפונקציות אלו או בפונקציות מבוקרות אחרות.

המודל גם מספק לפונקציות המבוקרות מנגנון מדידה לשיפור של תהליך עסקי לאורך זמן.

סיכום

מודל בשלות מבוסס COSO נמצא בשימוש על ידי מחברי מאמר זה למעלה משלוש שנים בהצלחה רבה. רמת הבשלות המוגדרת עבור כל תהליך ביקורת מסייעת לדירקטוריון ולהנהלת החברה לתעדף את המלצות הביקורת.

ערך נוסף לחברה הוא צמצום הקונפליקטים בין הביקורת הפנימית לבין המבוקר כתוצאה מהתבססות על מודל מקיף, מוכר ומקובל.

מסגרת COSO 2013 מסייעת בהערכת אפקטיביות הבקרה הפנימית, שמטרתה להבטיח את הישגי הארגון. מבקרים פנימיים שישתמשו במודל הבשלות על בסיס מסגרת זו יכולים להפיק ממנה תועלת לאורך כל תהליך הביקורת, ולהבטיח גישה שיטתית להערכת הבקרה הפנימית וחיזוקה בארגון.

The post מודל בשלות מבוסס COSO בשירות הביקורת הפנימית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.