עד לפני זמן לא רב, אם הייתם שואלים מנהלים כיצד הם משלבים התפתחויות גיאופוליטיות בתוך הערכת המצב העסקית שלהם, סביר להניח שרבים מהם היו מזכים אתכם במבטי תמיהה. מלבד חברות בין-לאומיות גדולות שיש להן פעילות במדינות שונות, התפתחויות גיאופוליטיות כמו עימותים צבאים, משברים חברתיים או שינויים פוליטיים במדינות אחרות, נתפסו כאירועים שחורגים מגבולות הניתוח של הסביבה העסקית המיידית והחשובה.

העולם השתנה, וכיום סיכונים גיאופוליטיים הפכו מ-Non-issue ל-Issue גדול. סין, שמחזיקה רבות משרשראות האספקה העולמיות, מתעקשת לאכוף מדיניות של "אפס קורונה", מה שמוביל לפגיעה קשה בתהליכי הייצור במדינה ולפגיעה באספקת חומרים לשאר העולם. אוקראינה ורוסיה, מדינות מוצא חשובות של מספר חומרי גלם קריטיים לתעשיות רבות, מצויות כרגע במלחמה שסופה אינו נראה לעין, וגם היא משליכה על זמינות של חומרים ומחירם. השימוש הרוסי במנוף האנרגיה כדי להגיב על התמיכה המערבית באוקראינה, מעורר טלטלה בשוּקי הנפט והגז ומוביל לעליות מחירים חדות ברחבי העולם ולהשפעות על הכלכלות המקומיות, לרבות סגירה של מפעלים. במקביל, המלחמה פוגעת באספקה של חיטה מאוקראינה למדינות מתפתחות, כולל שכנותיה של ישראל, מה שיכול להוביל להתערערות המצב הפנימי במדינות הללו, ולהקרין גם על מצבה הביטחוני של ישראל ולפגוע ביציבות הדרושה לעסקים.

זהו רק תיאור חלקי של הטלטלות החריפות בסדר העולמי שמתרחשות בימים אלו. אף חברה עסקית, קטנה כגדולה, אינה יכולה לחמוק מהשפעות ישירות או עקיפות של ההתפתחויות העולמיות הדרמטיות, והמנהלים החלו להפנים זאת. דוח סקר הסיכונים הגלובלי של BDO לשנת 2022 שנערך בקרב 500 מנהלים מרחבי העולם והתפרסם בחודש יולי האחרון, מצביע באופן מובהק על השינוי החד בחשיבות שמנהלים החלו לתת לסיכונים גיאופוליטיים. הסקר עסק בסיכוני שרשרת אספקה, והמנהלים דירגו את הסיכונים הגיאופוליטיים במקום הראשון מבין הסיכונים החמורים ביותר שמשפיעים לרעה על ארגוניהם.

הסקר גם חושף פער ניכר בין ההבנה של רבים מהמנהלים באשר לסיכונים הגיאופוליטיים שהם חווים, לבין המענה הבלתי מספק של יכולת ההתמודדות עם סיכונים אלו. לפי כל האינדיקציות, הסיכונים הללו צפויים להמשיך ולהשפיע בחריפות על הסביבה העסקית גם בשנים הבאות – החרפה במלחמות הסחר בין ארצות הברית לסין, לצד המתיחות הנמשכת בין המערב לרוסיה; משבר האנרגיה העולמי והאתגרים הכרוכים בתהליכי מעבר לאנרגיות נקיות יותר; משבר האקלים והעלייה בהיקפים ובעוצמות של פגעי מזג אוויר קיצוני שנגרמים כתוצאה ממנו.

בנסיבות הללו אין לארגונים עסקיים את הפריבילגיה להמשיך להתמודד עם ההתפתחויות הגיאופוליטיות הדרמטיות של השנים האחרונות באמצעות צעדים נקודתיים ותגובתיים. צורת המענה הזו אינה מותאמת למציאות החדשה שתלווה אותנו גם בעתיד הנראה לעין, וארגונים תאבי חיים צריכים להתחיל לנהל את הסיכונים הגיאופוליטיים כחלק בלתי נפרד מהאסטרטגיה העסקית שלהם. ניהול הסיכונים הגיאופוליטיים צריך להתחיל בעיסוק אסטרטגי של ההנהלה הבכירה באיתור הסיכונים הללו, ולהמשיך בעיסוק שיטתי ורציף בניהול שלהם – זיהויים, ניתוחם, וגיבוש ויישום צעדי התמודדות.

עם זאת, ניהול הסיכונים הגיאופוליטיים שונה ומורכב יותר מניהול סיכונים תפעוליים ואחרים שנכללים במסגרת ניהול הסיכונים התאגידי (ERM – Enterprise Risk Management). סיכוני ERM נכללים ברשימה סגורה ומוכרת למדי, והאתגר המרכזי של המבקר הפנימי ומנהל הסיכונים הוא להצליח להעמיק חקור אל תוך הארגון המבוקר, כדי לזהות אלו מבין הסיכונים המוכרים מתקיים בארגון. לעומת זאת, הסיכונים הגיאופוליטיים הם סיכונים חיצוניים לארגון, שמשליכים עליו מבלי שיש לו יכולת להשפיע על עצם התרחשותם. חמור מכך, סיכונים אלו אינם ידועים מראש וקשה לצפות אותם מכיוון שפעמים רבות הם באים לידי ביטוי בשל התלכדות גורמים שמשפיעים זה על זה[1].

בהתאם למורכבות ולייחודיות של הסיכונים הגיאופוליטיים, אנו מציעים לנהל אותם באמצעות תפיסה אסטרטגית כוללת, כזו שתעזור להעריך את הסיכונים לארגון בתהליך שיטתי ומתמשך, ולסייע לארגון להיערך להתמודדות מושכלת עימם. אסטרטגיה זו כוללת שלוש "שכבות" המשלימות זו את זו: "סריקת אופק" שתסייע לזהות סיכונים מתפתחים, מנגנוני מוכנות אל מול הסיכונים הללו, ופיתוח תרבות חוסן שתסייע להתמודד גם עם סיכונים שהארגון לא צפה ולא נערך אליהם.

סריקת אופק (Horizon scanning) – בדומה לפעולתו של מכ"מ, מנסה לאתר סיכונים בשלבי התפתחותם המוקדמים, במטרה לספק מרחב זמן להיערך אליהם. זו אינה שיטת חקירה ספציפית, אלא מסגרת-על שניתן ליישם בדרכים שונות, והיא רלוונטית במיוחד לאיתור וניתוח של סיכונים גיאופוליטיים. אנו מציעים ליישם את סריקת האופק באמצעות שילוב בין שני סוגי פעילויות:

• ניטור סיכונים – מעקב שוטף בגישת Bottom-Up אחר אירועים והתפתחויות בסביבה העסקית הישירה של הארגון ובסביבה הגלובלית. מטרת הניטור והמעקב השוטפים היא להגביר מודעות מצבית של ההנהלה הבכירה לשינויים בסביבה החיצונית, להתריע על התפתחות סיכונים (והזדמנויות) חדשים, ולאתר סימנים למגמות חדשות המחייבות התייחסות ומענה. תוצרי המעקב השוטף יכולים לבוא לידי ביטוי באמצעות דוחות עיתיים המוגשים להנהלת הארגון.
• ניתוח תרחישי עתיד – מחקר בגישת Top-Down של סיכונים מתהווים או סיכונים אפשריים שיכולים להתפתח בעתיד. ניתוח תרחישי העתיד יכול להיעשות באמצעות מגוון מתודולוגיות כגון סקירות ספרות, תשאול מומחים, או מתודולוגיות דינמיות דוגמת Scenario planning, סימולציות ומשחקי מלחמה עסקיים, ובסיוע כלים טכנולוגיים מתקדמים. התפתחויות בתחום למידת המכונה, ובמיוחד בעולמות ה-NLP (Natural Language Processing), מוסיפות היום לארסנל הכלים גם את האפשרות להשתמש בפלטפורמות אנליטיות מתקדמות, שמזהות דפוסים ומגמות אפשריות מתוך נתוני העתק (Big Data) שברשת האינטרנט ובמאגרי המידע השונים.

מנגנוני מוכנות – מיועדים לסייע לארגון להיערך מבעוד מועד לקדם את פני הרעה ולשפר את יכולת ההתמודדות עם איומים מהותיים פוטנציאליים. כאמור, סיכונים גיאופוליטיים הם סיכונים מורכבים להבנה ולזיהוי מבעוד מועד. תהליכי סריקת האופק, ובמיוחד ניתוח תרחישי העתיד במתודולוגיות שונות, הם הכלים הטובים ביותר לשפר את הסיכויים של הארגון לאתר את "העתידים האפשריים" (Possible futures) הרלוונטיים אליו ומסכנים אותו. על בסיס מפת סיכונים זו, הארגון יכול לגבש את אסטרטגיית ההתמודדות שלו בשני שלבים:

• הגדרת תרחישי ייחוס – בשלב זה מגדירים רשימה מצומצמת של סיכונים מהותיים שהארגון אינו ערוך להתמודד עימם כיום (אירועי קיצון או תהליכים מתפתחים), ומגבשים את התרחיש החמור-סביר שיכול להתפתח כתוצאה מכל אחד מהם.
• פיתוח ויישום של תוכניות היערכות – על בסיס תרחישי הייחוס, מפתחים תוכניות פעולה כוללות ופרטניות של מענה, כולל הגדרה של תהליכי בקרה ופיקוח על היישום שלהן.

תרבות חוסן – המושג מתייחס לתפיסה המשלבת ערכים ומנגנונים שונים, שכולם יחדיו נועדו לפתח את היכולת הבסיסית של הארגון להתמודד עם הפתעות ומצבי משבר שלא זוהו מראש, ולהתאושש מהם. מנגנוני סריקת האופק ותוכניות המוכנות יכולים לשפר באופן אמיתי ומשמעותי את היכולת של ארגון להתמודד עם סיכונים גיאופוליטיים ולצמצם את השפעתם המזיקה. עם זאת, אין בנמצא ולא יכול להימצא, מנגנון שיחזה באופן הרמטי את הסיכונים הגיאופוליטיים שיכולים להתפתח, ולכן על הארגון לסגל לעצמו DNA של חוסן. ניתן להשיג זאת באמצעות שילוב של פרקטיקות שונות, הקשורות כולן בליבת התרבות הארגונית והאסטרטגיה של הארגון:

• מנגנוני אג'יליות – טיפוח תרבות ארגונית המאפשרת תפקוד מיטבי במצבי משבר והשתנות מהירה תחת לחץ. הדבר נעשה באמצעות ערכים ומנגנונים דוגמת ביזוריות של תהליכי קבלת ההחלטות, מבנה ארגוני רשתי, פתיחות ושקיפות בתקשורת הפנימית, ועוד.
• רשתות ביטחון – בחינה וארגון מחדש של נכסי הארגון ומשאביו, כדי ליצור עתודות וגיבויים שיבטיחו שרידות של הארגון במצבי חירום ותקופות משבר. כך למשל, בסקר הסיכונים הגלובלי העדכני של BDO העידו מנהלים שונים כי שינו את האסטרטגיה התפעולית שלהם באופן שמתעדף שיקולים של חוסן על פני שיקולי יעילות (למשל, גיוון מקורות האספקה למרות מורכבות תפעולית ועלויות תפעוליות גבוהים יותר).

לסיכום, הסביבה הגיאופוליטית צפויה להמשיך ולהתאפיין בשנים הקרובות באי ודאות קיצונית וחריפה, ואין חברה עסקית או ארגון שיוכלו להתחמק מהשפעותיה השליליות. מציאות "משובשת" זו מציבה סיכונים חריפים למי שהופתע ונתפס לא מוכן, אך גם הזדמנויות חדשות למי שישכיל לעסוק בתרחישי העתיד ולהיערך אליהם. לכן ארגונים חייבים להתחיל לנהל אסטרטגיה שיטתית של ניהול הסיכונים הגיאופוליטיים שלהם באמצעות פרקטיקות של ארגון הלומד את הסיכונים המתפתחים בסביבה החיצונית הרחבה שלו, מתכונן להיערך למרכזיים שבהם, ובונה את חוסנו להתמודד גם עם אלו שלא צפה מבעוד מועד.

[1] להרחבה על סיכונים חיצוניים וניהולם, ראו במאמרנו "ברבורים שחורים וחיות אחרות: על סיכונים מתפתחים, איומים חיצוניים ואסטרטגיות לניהולן", גיליון 15 של לשכת המבקרים הפנימיים, אפריל 2022, עמ' 42-38.

The post לנווט בסערה appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

PwC הזהירה לאחרונה שכמעט שלושה רבעים מהארגונים עדיין נמצאים בשלבים המוקדמים ב"מסע ה-"ESG שלהם, ושדירקטוריונים רבים מתקשים לענות על שאלות העוסקות בסוגי הסיכונים שבהם עליהם להתמקד, ובדרכים שבהן כדאי לנצל הזדמנויות לעשות דברים באופן שונה.

בנקודה זו הביקורת הפנימית יכולה להשתלב. ה-ESG עוסק במגוון בעיות רחב, החל משינוי אקלים וקיימות, דרך סטנדרטים של עבודה, גיוון והתנהלות אתית, ועד לפעילות נגד שוחד, לגיוון ניהולי ולאסטרטגיות שכר. עם זאת, בזמן שארגונים מנסים לנסח את התייחסותם לנושא, למבקרים פנימיים כבר ישנם כישורים וכלים שיכולים לסייע בכך.

עתיד בר-קיימא

עוד ועוד משקיעים ובעלי עניין מבקשים אישור לכך שהארגון הוא "בר-קיימא". האם זה חייב להיות חזון אסטרטגי לטווח ארוך ומהן העדויות התומכות בכך? במסגרת עבודתם, המבקרים הפנימיים נפגשים עם עובדים מכל רחבי הארגון, החל מהדירקטוריון ועד ל"רצפת הייצור", לומדים את תפעול העסק מהבסיס כלפי מעלה, ושואפים להבין כיצד כל זה מתיישב עם אסטרטגיית הארגון והתיאבון שלו לנטילת סיכונים. למבקרים ישנה נגישות לנתוני הביצועים והסיכונים של הפעילויות השונות, והם יכולים לדווח למקבלי ההחלטות על סיכונים פוטנציאליים ועל חולשות בסביבת הבקרה. מבקרי הארגון חייבים לוודא שסיכוני ESG הם חלק מסדר היום שלו.

מחקר של McKinsey שיקף את השינוי בעקבות השילוב של נושא ה-ESG, והראה כיצד עסקים ברי-קיימא נהנים מצמיחה טובה יותר, מעלויות וסיכונים פחותים, ומקבלת החלטות מוצלחת יותר ממגוון סיבות, כולל ביטחון מוגבר של המשקיעים והגדלת הגיוון של חברי ההנהלה. אין ספק שממשלות המחויבות להפחתת פליטות פחמן ירחיבו את החקיקה והתקינה במגוון מגזרים, וגם בעלי עניין – מהעובדים והלקוחות ועד למשקיעים והספקים – דוחפים את נושא ה-ESG לחזית כשמדובר במוניטין של החברה וביכולתה למשוך עובדים ומימון.

ברמה המעשית, מבקרים פנימיים צריכים לוודא שההנהלה עוקבת אחר סיכונים ומטפלת בהם, החל מאבטחת שרשרת האספקה ועד לעלייה במחירים, שינוי בהשקעות ושינוי בדרישות הביטוחיות. על הביקורת הפנימית מוטלת גם האחריות לוודא שניתן לעקוב ולמדוד באופן שיטתי כל התחייבות שהארגון לקח על עצמו. הביקורת יכולה להציע בקרות או דרכים חדשות להתאמת הממשל התאגידי בארגון לאסטרטגיות ESG הצפויות.

ומה מכיל ארגז הכלים של המבקר הפנימי?

כבר קיימים מגוון סטנדרטים ויוזמות בנושא ,ESG וארגונים רבים ודאי ישתמשו בכלים שונים למטרות שונות. כלי מרכזי הוא יוזמות דיווח, כגון מסגרות Global Reporting Initiative) ‏GRI) ו-TCFD, שהופכות להכרחיות במדינות רבות. לאחרונה הוקם ארגון בשם International Sustainability Standards Board (‏ISSB) במטרה ליצור קו התחלה גלובלי מקיף של סטנדרטים עבור משקיעים בנושא גילוי ודיווח בהקשר של קיימות, ואילו ארגון התקינה הבינלאומי (ISO) שילב יעדי קיימות של האו"ם ברבים מהתקנים שלו. כלים אחרים רלוונטיים לחברות שנסחרות בבורסה או לארגונים הפועלים במגזרים ספציפיים.

עם זאת, דיווח הוא רק אלמנט אחד של תגובות הארגונים לסיכונים הנובעים מ-ESG. באותה מידה חשוב להתמקד בפוטנציאל של ESG לשיפור ביצועי הארגון. מהמחקר של McKinsey עלה שארגונים שנמצאים ברבעון העליון מבחינת גיוון בהנהלה, הפגינו ביצועים טובים יותר ב-36% מבחינת תוצאותיהם הפיננסיות.

ביקורת פנימית כבר רגילה לקחת בחשבון את קורי העכביש המפותלים של סיכונים הקשורים זה בזה, החל בתרבות הארגונית ועד לשרשרת האספקה, וכל אלה גם כוללים היבטים של סיכוני ESG. לביקורת הפנימית יש תהליכים ברורים וסדורים לניטור פעילות החברה, כגון התקשרויות עם ספקים, הכשרת עובדים, תגמול מנהלים ועוד. לכן ברור שיהיה לביקורת ערך כשהחברה תצטרך לבחון עניינים אלה דרך עדשת ה-ESG.

על מנהלי הביקורת הפנימית להשמיע את קולם יותר ויותר בוועדת הביקורת וברמות הניהוליות כדי להצביע על סיכונים אפשריים. דוגמאות לשאלות שהביקורת צריכה להעלות: האם תיאבון החברה לסיכונים מנוסח באופן ברור? איך הדירקטוריון משלב היבטי ESG בקבלת ההחלטות ובאסטרטגיה? האם הדירקטוריון מוּדע לבעיות ESG פוטנציאליות, והאם מקבלי ההחלטות מבינים את השלכותיהם של סיכוני ESG? לשכת המבקרים הפנימיים הבריטית (Chartered Institute of Internal Auditors) פרסמה לאחרונה הנחיות לוועדות ביקורת ולדירקטוריונים בנושא השאלות האפשריות שעליהם לשאול לגבי סיכוני שינוי האקלים.

ידע הוא כוח

נתונים הם כלי חיוני כשמדובר בסיכוני ESG. ארגונים זקוקים לנתונים מקיפים ומהימנים כדי לנטר את ביצועי ה-ESG שלהם ולדווח עליהם. מבקרים פנימיים יצטרכו לתקף את מידת הדיוק של הדיווחים האלה.

במקביל יש לבחון באופן שוטף אם יש צורך בשינוי תקנות בכל תחום אפשרי. רוב הארגונים מחזיקים את הנתונים שלהם ביחידות עסקיות רבות, החל ממשאבי אנוש ומכירות ועד לכספים ולרכש. אלה נתונים שניתן להשתמש בהם לצורך ביקורות ESG חדשות, או להיעזר בהם על מנת לשלב היבטי ESG בביקורות הקיימות. ייתכן שיהיה צורך לזהות נתונים אלה ולהעריך את איכותם לפני שישולבו בעבודת הביקורת הפנימית, אך הם אמורים לסייע למבקרים למפות את האזורים שבהם קיימים נתוני ESG שניתן להסתמך עליהם ולפתח אותם בעתיד. בנוסף, ארגונים יידרשו להצהיר על נושאי ESG בארגון. הביקורת הפנימית תוכל לסייע בתיקוף ההצהרות האלו לפני פרסומן בציבור מכיוון שקל לאבד אמון וקשה לשחזר אותו…

משימה זו נראית מפחידה, אך למבקרים פנימיים כבר יש כישורים רבים הדרושים לצורך התמודדות עם נושאי ESG. רוב המבקרים יצטרכו לשפר את הידע שלהם בנושאי ESG, וייתכן שיהיה צורך בתמיכה בתחומי התמחות ספציפיים או מורכבים, כגון הערכת טביעת הרגל הפחמנית של החברה. חלקם יזדקקו לעדכון או רכישה של כלים ומערכות ניהול ביקורת פנימית שיסייעו להם לאסוף מידע, לקשר נתונים ממקורות שונים, ולהפיק דוחות ממוקדים בזמן עבור מקבלי ההחלטות. מערכות ניהול ביקורת פנימית משפרות את היעילות הכוללת ויכולות לסייע לצוותי ביקורת לנהל את הסיכונים השוטפים, וכך לפנות להם זמן כדי להוסיף ערך לארגון.

לסיכום, הנושא של ESG מהווה הזדמנות לארגונים להפוך ליותר ברי-קיימא. ממשל תאגידי הוא רכיב מרכזי של סיכוני ESG, ונותן לביקורת הפנימית הזדמנות להדגיש את יכולותיה ולהגדיל את השפעתה. מעולם לא היה צורך רב יותר בכישורי הביקורת, וכעת עליה להשמיע את קולה – ולוודא שיש לה דברים משמעותיים לומר.

למידע נוסף על TeamMate, חברה של Wolters Kluwer, היכנסו לכתובת: https://www.wolterskluwer.com/en/solutions/teammate

המחבר:

Kevin Gould, יו"ר ועדת ביקורת | יועץ לביקורת פנימית

קווין הוא רואה חשבון מוסמך עם רקע רחב בביקורת פנימית ועניין מיוחד לאחרונה ב-ESG. קווין מתעניין זה זמן רב בנושא הקיימות, ומחזיק בתואר שני בניהול קיימות וסביבה. כיום הוא יועץ עצמאי, וגם דירקטור לא תפעולי ויו"ר ועדת ביקורת במספר דירקטוריונים.

Wolters Kluwer TeamMate: כלי שנועד לסייע למבקרי פנימיים לשפר את תפוקת הביקורת בארגון וגם לדווח על תובנות אסטרטגיות. TeamMate מציעה פתרונות מתמחים דרך שירותי פרימיום מקצועיים למבקרים בכל ענף וענף ברחבי העולם.

The post תפקיד מבקר הפנים בהקשר של טיפול בסיכוני ESG appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

סדרת ספרי הפנטזיה "שיר של אש ושל קרח", שעובדה לסדרה הטלוויזיונית המפורסמת משחקי הכס, היא אלגוריה לסכנה שמציב משבר האקלים לעתיד האנושות. "החורף מגיע" עם צבא המתים שמאיים להחריב את עולם בני האדם, בעוד אלו עסוקים ביריבויות פנימיות בין מנהיגים ומשפחות על יוקרה, ממון, שליטה וטריטוריה. יותר מהצגת הסכנה של משבר האקלים, הסדרה מבליטה את הקושי של בני האדם לעשות את הדרוש כדי להתמודד עם הסכנה הקיומית הזו, גם כשהיא מידפקת על דלתם.

מטאפורה זו מתאימה גם לתיאור המצב הכללי של אופן ההתמודדות של ארגונים עם איומים חיצוניים המאיימים עליהם. עבור ניהול סיכונים פנימיים (כגון סיכונים תפעוליים, מעילות והונאות, או אי ציות לרגולציה), עומדים כיום לרשותם של ארגונים כלים טובים תחת המסגרת של ניהול סיכונים ארגונִי (ERM). לעומת זאת, אין כיום הנחיות רגולטוריות מחייבות ואין מנגנונים מסודרים לניהול איומים חיצוניים. במידה רבה, הפער הזה קשור באופי המתעתע והמורכב של איומים חיצוניים, שמקשה להבינם ולטפל בהם.

הפער הופך למשמעותי יותר בשנים האחרונות, מכיוון שתכיפות הופעתם של איומים חיצוניים הולכת ועולה. תהליכי הגלובליזציה בעשורים האחרונים הובילו לכך ש"הכול קשור בהכול" – חסמים ובידולים בין מדינות ושווקים פחתו ואף נעלמו, מה שמוביל לאפקט "משק כנפי הפרפר", שבו אירוע באזור גאוגרפי ובשוק מסוים מקרין ומשליך על אזורים ושווקים אחרים. בנוסף, הגידול האקספוננציאלי בכמויות המידע ובקצב החדשנות הטכנולוגית יוצר 'שיבושים' (Disruptions) המערערים את הסדר הקיים בכל תחומי החיים ובקצבים גבוהים מבעבר.

במאמר הנוכחי נבקש לשפוך אור על האיומים החיצוניים – אילו סוגי סיכונים הם כוללים, מהן הטעויות הנפוצות באופן ההתמודדות עימם, ואילו אסטרטגיות יכולות לשפר את החוסן הארגוני מולם.

איומים חיצוניים – חיה מסוג אחר

איומים חיצוניים הם סיכונים הנמצאים מחוץ לשליטתו של הארגון והוא אינו יכול להשפיע על עצם התרחשותם. זהו הבדל מהותי מסיכונים פנימיים, ולכן בשונה מהם, לא ניתן לטפל באיומים חיצוניים במסגרת הקלאסית של מנגנון ה-ERM. כך למשל, ארגון יכול לנקוט צעדים לצמצום הסבירות להתרחשותה של מעילה בשורותיו (סיכון פנימי), אך הוא אינו יכול למנוע את הסבירות להתממשותה של רעידת אדמה (איום חיצוני).

איומים חיצוניים יכולים להופיע בדמות אירועי קיצון או כתהליכים מתפתחים. למשל, משבר האקלים מייצר איומים מתפתחים כמו תהליכי מִדבּוּר (התפשטות של מדבריות) או עליית פני הים, לצד אירועי קיצון דוגמת הצפות ושריפות.

אחת הדרכים הנוחות והיעילות לסווג ולזהות איומים חיצוניים (איומי קיצון ואיומים מתפתחים), היא באמצעות החלוקה המקובלת לשש משפחות של תופעות ומגמות גאו-אסטרטגיות, הידועות בראשי התיבות PESTEL:

• Political: איומים פוליטיים יכולים לנבוע משינויי מדיניות כלכלית (דוגמת מיסוי או חוקי עבודה), משינויים במצב היציבות הפוליטית (ברמה הלאומית, האזורית והבינלאומית), משינויים במדיניות סחר החוץ (דוגמת מכסים, ניתוק יחסים בין מדינות), או כתוצאה ממשברים ביטחוניים וצבאיים.
• Economic: איומים כלכליים יכולים לנבוע מתמורות מקרו-כלכליות דוגמת שינויים בשיעורי צמיחה, אינפלציה, אבטלה, ריבית, וכדומה (לדוגמה, משבר הסאב-פריים של 2008).
• Social: איומים חברתיים יכולים לנבוע ממגמות בחברה, דוגמת העדפות תרבותיות חדשות, הִשתנות של שוק העבודה, או שינויים בהרגלי הצריכה. מחאת הקוטג' ב-2011 היא דוגמה בולטת למגמה כלכלית-חברתית שהתפתחה לכדי איום על חברות בתעשיית המזון.
• Technological: באיומים טכנולוגיים הכוונה אינה רק לאיומי סייבר ופגיעה בתשתיות דיגיטליות, אלא גם לחדשנות משבשת (Disruptive innovation), כלומר חידושים טכנולוגיים שיכולים להוליד מוצרים, שירותים ומודלים עסקיים חדשים שמשנים את השוק (השפעות המדיה החברתית על עולם הפרסום, השפעת Ebay ואמאזון על דפוסי הקנייה, השפעת המודל העסקי של Uber על שוק המוניות, ועוד).
• Environmental: אסונות טבע, אסונות בריאותיים (דוגמת מגפות) ונזקי משבר האקלים יכולים להסב פגיעה חמורה לארגונים, כפי שנוכחנו לדעת בשנתיים האחרונות בעקבות התפשטותה של מגפת הקורונה ושורה של אסונות טבע שתדירותם גוברת בעקבות ההתחממות העולמית.
• Legal: שינויים ומגמות ברגולציה ובחקיקה יכולים לחשוף ארגונים לאיומים משפטיים של אי ציות וחשיפה לתביעות, אם לא ייערכו אליהן בזמן. אין הכוונה להנחיות מחייבות קיימות (שכן אלו מטופלות במסגרת תהליכי בקרה וציות שהארגון אמור להכיר וליישם), אלא לטרנדים, רעיונות והתפתחויות שניתן להעריך כי יתורגמו בהמשך להנחיות מחייבות. למשל, סביר להניח כי האיום הגובר של תקיפות סייבר יעמיק רגולציות והנחיות המחייבות בתחומי ההגנה בסייבר, אבטחת המידע והגנת הפרטיות.

תרנגול ההודו ובת היענה – אסטרטגיות כושלות לטיפול בברבורים שחורים

מאז פרסום ספרו רב המכר ורב ההשפעה של נסים טאלב, "הברבור השחור", הפך המושג לשם נרדף לאיומים חיצוניים מפתיעים ודרמטיים בהשפעתם. טאלב מסביר כי עוצמת ההפתעה והנזק של הברבורים השחורים נובעת מהאשליה כי אנו יכולים לחזות את הופעתם. אנו בונים נרטיב של סיבתיות שהובילה כביכול להתרחשותם, אך אין זו אלא רציונליזציה בדיעבד, והיא גורמת לנו לדבוק באשליה שנוכל לחזות את הסתברות הופעתם של הברבורים השחורים בעתיד אם רק נלמד מהעבר ונשפר את יכולות החיזוי שלנו.

טאלב המחיש את אשליית החיזוי באמצעות משל תרנגול ההודו. התרנגול נהנה מחיים נוחים בחווה ומקבל מדי יום אוכל מידיו של החוואי. ככל שעוברים הימים עולה מידת ביטחונו בכוונותיו הטובות של החוואי, שכן הוא מקבל עוד ועוד עדויות ליחסו החיובי כלפיו. אולם כעבור מספר חודשים מגיע חג ההודיה, והתרנגול נשחט ומוגש בארוחת החג. הטעות של תרנגול ההודו נבעה מכך שניתח את מצבו באמצעות חשיבה לינארית וסטטיסטית המסתמכת על עדויות מן העבר, אך אלו אינם רלוונטיים לחיזוי האירוע שהוביל למותו. איומי העתיד מתרחשים כתוצאה מאקראיות וצירופי נסיבות שבאופן מעשי איננו יכולים לחזות מראש או להעניק סבירויות להתרחשותן.

מקור אחר לכשלי התמודדות עם איומים חיצוניים נובע ממה שניתן לכנות גישת בת היענה, המתאפיינת בהתעלמות מהאיומים ומהצורך לטפל בהם. ארגונים רבים אינם מקפידים לקיים מנגנונים מסודרים ושיטתיים למעקב וניתוח של אירועים, התפתחויות ומגמות בסביבתם החיצונית, אף שביכולתם לסרוק ולאתר איומים מתקרבים (כמו גם הזדמנויות חדשות). לעיתים, איומים משמעותיים אינם מטופלים בשל קושי מנטלי להכיל אותם או חוסר אמונה ביכולת להתמודד עימם, מה שמפעיל מנגנוני הדחקה דוגמת האמונה כי "לי זה לא יקרה". במקרים אחרים, איומים אינם מטופלים בשל גישה של אחריות מצמצמת ("זה לא באחריותי"), במיוחד בתרבות ארגונית שמודדת רק הצלחות בטווח הזמן הקצר.

לעומת הגישות הבעייתיות הללו להתמודדות עם איומים חיצוניים, ניתן להציע מסגרת התמודדות אחרת ויעילה, המשלבת בין שתי אסטרטגיות משלימות:

• בניית תוכניות חוסן מול איומים חיצוניים ראשיים שהארגון מזהה ומגדיר.
• במקביל, פיתוח תרבות אג'ילית וחסינה, שתסייע לארגון להתכונן מבעוד מועד להתאושש מברבורים שחורים שיפתיעו אותו.

טיפול בקרנפים האפורים של הארגון – תוכניות חוסן כמענה לאיומי ייחוס

אומנם, כפי שהסביר טאלב, איננו יכולים לחזות באופן מלא ומדויק את כל האיומים העתידיים ואת אופי ומועד התרחשותם, אך אנו בהחלט יכולים לסמן ולהגדיר חלק חשוב מתוכם. אלו הם "הקרנפים האפורים" (מושג שטבעה מישל ווקר) – איומים מהותיים שאם לא נסיט את מבטנו מהם כיום, נוכל לזהות על נקלה כי הם שועטים לעברנו כמו קרנפים.

את "הקרנפים האפורים" ניתן לנהל באמצעות תוכניות חוסן, הכוללות חמישה שלבים של גיבוש והוצאה לפועל:

• מיפוי: יצירה של רשימת איומים רחבה. הרשימה צריכה לכלול ולפרוס את כל האיומים שיש סבירות ממשית להתרחשותם, אך ללא צורך לדרג את האיומים לפי מידת ההסתברות של התרחשותם.
• סינון: ננפה מהרשימה איומים מרכזיים שהארגון כבר ערוך ומוכן להתמודד עימם כיום. בנוסף, ננפה את האיומים השוליים יותר (בין אם הארגון ערוך אליהם או אינו ערוך כיום להתמודד עימם). רשימת האיומים המצומצמת שעימה נותרנו מהווה את "איומי הייחוס" של הארגון – האיומים המהותיים שאליהם צריך הארגון להיערך ולהתכונן.
• אפיון: בניית תמונה מפורטת על כל אחד מאיומי הייחוס – תיאור של המצב הנוכחי, של מגמות מסתמנות, של כיווני התפתחות אפשריים, ושל דרכים שבהן האיומים יכולים לבוא לידי מימוש. למשל, תרחיש של רעידת אדמה יכלול בין היתר מִנעד של הערכות בנוגע לממדי הנזק בגוף ובנפש.
• תכנון: לאחר שיש בידינו אפיון מפורט של כל איום ייחוס, נגזור ממנו תרחיש ייחוס – זוהי מעין קביעה ארגונית "שרירותית" של מתאר חמור-סביר של התממשות האיום, במטרה לספק מצפן להיערכות. למשל, בדוגמת רעידת האדמה, תרחיש הייחוס יגדיר כמות ספציפית של נפגעים בגוף והיקף ספציפי של נזק לתשתיות. על בסיס תרחיש הייחוס, הארגון יגבש תוכנית חוסן שתטפל באופן מערכתי בכל ההיבטים הדרושים לבניית המוכנות (הגדרת נהלים, תרגולים, הגדרת רף מינימלי של גיבויים לחירום, רזרבות כספיות, ועוד).
• ביצוע: הוצאת תוכניות החוסן לפועל – אין הכוונה למימוש תוכניות בזמן חירום, אלא ליישום של צעדי מוכנות שנדרש לבצע בזמן שגרה ובמסגרת תוכנית עבודה מסודרת כחלק מבניית המוכנות לתרחישי המשבר. זהו החלק החשוב ביותר אך גם הקשה בתהליך, והוא נוטה להיתקל בקשיים רבים דוגמת אילוצים כספיים, העדפת הדחוף על פני החשוב, או קושי לגייס משמעת ארגונית לתהליכים חוצי-יחידות וארוכי טווח.

טבלה להמחשה ופישוט של ההסבר על שלבי בניית תוכניות החוסן. צריך להפוך אותה לאמצעי אינפוגרפי מושך יותר

פיתוח תרבות ארגונית אג'ילית שיודעת להתאושש מברבורים שחורים מפתיעים

טיפול בקרנפים האפורים של הארגון עדיין משאיר את הארגון חשוף לפגיעתם של איומים אחרים שהוא לא זיהה ואליהם לא נערך. ארגונים צריכים לפעול תחת הנחת עבודה בסיסית שלפיה הם יופתעו מברבורים שחורים. אולם כיצד עליהם להיערך למה שהם לא יודעים שהם לא יודעים?

כיוון המענה אינו יכול להגיע מתוכנית חוסן ספציפית, אלא מפיתוח אג'יליות ארגונית בסיסית. מדובר במסע ארוך ומורכב שחוצה את הארגון לאורכו ולרוחבו, ונוגע בתרבות, בקודים ובתהליכי העבודה. זהו מסע לא פשוט, אך בכוחו להכין את הארגון להתמודד באופן טוב יותר עם אסונות מפתיעים שפוקדים אותו, ולהקנות לו את הכלים להתאושש במהירות ואף למנף את המשבר כהזדמנות לצמיחה.

פיתוח יכולות בסיסיות להתאוששות מהפתעות ברבור שחור, מחייב להטמיע מספר ערכים, מנגנונים ואסטרטגיות פעולה בארגון:

• למידה חיצונית ("סריקת האופק"): כדי לזהות איומים (וגם הזדמנויות) בהקדם האפשרי, על ארגונים לדאוג להפנות את מבטם גם כלפי חוץ, ולעסוק באופן שיטתי בסריקה של הענף והשוק שבו הם פועלים, של הסביבה העסקית הרחבה יותר, ואף של מגמות גאו-אסטרטגיות רחבות.
• התנסויות בחדשנות: עיסוק בחדשנות, שמנביט כיווני פעולה חדשים של הארגון, מבטיח לא רק יצירה של מנועי צמיחה עבור הארגון, אלא גם פותח עבורו אופציות חדשות במקרה שתהליכי העבודה והמודלים העסקיים הנוכחיים שלו נפגעים באירוע קיצון או מאבדים רלוונטיות כתוצאה מאיום מתפתח. התנסות בחדשנות מחייבת הקצאת משאבים של זמן, כסף וכוח אדם, אך לא פחות חשוב מכך – ההנהלה נדרשת להעביר מסר ברור שמעודד רוח של יזמות תוך נכונות לשלם על כך מחירים, ולהתייחס לטעויות ולכישלונות כמקורות ללמידה ולא כסיבות לענישה.
• העצמת עובדים: רגעי משבר מתאפיינים בצורך לקבל החלטות מהירות ורבות בתנאי אי ודאות חריפה. במצבים כאלו שליטה ריכוזית בכל תהליכי קבלת ההחלטות אינה מספיקה ולעיתים אף תהיה בעוכריו של הארגון. מי שיכול לא פעם "להציל את המצב" הם דרגי ניהול נמוכים ודרג העובדים בארגון, שיפעלו מעבר לתחומי אחריותם הישירה, יגלו תושייה ויפגינו יוזמה גם תוך חריגה מהנהלים ומתהליכי העבודה המקובלים. כדי לצפות להתנהגות שכזו מעובדי הארגון במצבי משבר, צריך להנהיג גם בשגרה תרבות ארגונית פתוחה ומעצימה, שמעניקה לעובדים סמכויות, משתפת אותם במידע, מאפשרת להם להשמיע ביקורת כלפי מעלה, ומעודדת אותם ליטול אחריות ולגלות עצמאות ויוזמה, תוך סובלנות לטעויות שנעשו בתום לב ומתוך חתירה לקידום טובתו של הארגון.
• הטמעת מנגנוני יתירות ופיזור סיכונים: ארגונים מקדשים תהליכי ייעול ואופטימיזציה, כעקרונות חשובים לשיפור ביצועים, אך ברגעי משבר הם עלולים לחשוף את הארגון לפערים במשאבים הדרושים לצלוח את המשבר. שמירה על עתודות (פיננסיות ואחרות), הקפדה על גיבויים (לא רק של מאגרי מידע) ואף יצירת כפילויות בתשתיות מסוימות, הן דוגמאות לרשתות ביטחון ליום סגריר, ועל הארגון למצוא את שביל הזהב בינן לבין שיקולי היעילות.

לסיכום, בפרפרזה על אמרתו של רבי עקיבא: הכול לא צפוי, והרשות נתונה. העתיד צפוי לזמן לנו אירועי קיצון ואיומים מתפתחים שונים ומשונים, אך בידינו הבחירה לפעול מבעוד מועד כדי לצמצם את נזקיהם, ולעיתים אף למנף אותם כהזדמנויות לצמיחה. ארגון שחרד לשרידותו ולשגשוגו חייב להתחיל לנהל את האיומים החיצוניים שלו באופן שיטתי, כחלק מאסטרטגיה ארגונית כוללת.

The post איומים חיצוניים ואסטרטגיות לניהולם appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

לכן, מתוך ראייה צופה פני עתיד, בחרנו לבחון את מסגרת ניהול סיכוני סביבה ואקלים ואת ניהול הסיכון בהיבטים שונים – פעילות תפעולית, אשראי והשקעות.

האם לא מוקדם מדי לביקורת סיכוני סביבה ואקלים?

בשנה האחרונה השיח על סיכוני הסביבה והאקלים נמצא כמעט בכל מקום, כאחד מהאתגרים המשמעותיים שעימם מתמודדת האנושות בימינו (אפילו אצל הבן שלי בבית ספר יסודי לומדים על הנושא). התחממות גלובלית, אירועי מזג אוויר קיצוניים, ועידת גלזגו, מס פחמן, אנרגיה מתחדשת ועוד, כל אלו מושגים שמשתלבים בלקסיקון של כולנו.

נכון, עדיין כמעט שאין רגולציה מחייבת לתאגידים הבנקאים[1]. עד כה התפרסמו מכתבי ציפיות ובקשות להערכות, נאומים, וחובת גילוי בדוחות ESG (סביבה, חברה וממשל) שנכנסה לתוקף החל מהדוחות לשנת 2021. גם בעולם מרבית הרגולטורים מציגים את הציפיות הפיקוחיות ומגבשים עמדות בנושא, בין היתר בהתייחס לשילוב סיכוני סביבה ואקלים באסטרטגיה עסקית ובניהול סיכונים, גיבוש תרחישי קיצון, וקביעת תהליכי פיקוח ובקרה ודיווחים רלוונטיים. ובכל זאת, כבר בסוף שנת 2020 חשבנו שהעיתוי נכון לבצע ביקורת בנושא ניהול סיכוני סביבה ואקלים בתאגיד הבנקאי. זאת כסיכון מתפתח שמופה בחמישייה הראשונה על ידי ה-IIA, מתוך ראייה צופה פני עתיד ועל בסיס תפיסת תפקיד הביקורת כסוכן שינוי ומובילה הנעת מהלכים בארגון, בפרט בהתייחס לסיכונים מתפתחים ולפעילויות חדשות.

בהיעדר רגולציה, השתמשנו בטכניקות של בנצ'מרק והשוואה לפעולות המבוצעות על ידי תאגידים בנקאיים בעולם, וכן במודל בשלות לבחינת רמת ההערכות והמוכנות של הבנק לניהול והתמודדות עם סיכוני סביבה ואקלים מחד, ועם ההזדמנויות הכלכליות הנלוות לתהליכי השינוי מאידך.

סיכון סביבה כסיכון פיננסי, או: למה סיכוני סביבה בכל זאת רלוונטיים לתאגיד בנקאי?

סיכונים סביבתיים הופכים בשנים האחרונות, מעבר להיבטים ערכיים, לסיכונים בעלי מאפיינים כלכליים מובהקים, בחלוקה לסיכונים ישירים פיזיים (Physical Risk) וסיכוני מעבר (Transitional Risk):

Physical Risk – סיכון ישיר כתוצאה מאירועים פיזיים המשפיעים ישירות על המשק, על הכלכלה ועל פעילות המוסדות הפיננסיים, לדוגמה: עליית מפלס המים בערי חוף, הצפות, שריפות, זיהום אוויר ומגפה, הגורמים לנזקים לנפש ולרכוש, פגיעה בערך נכסים ובשרשרת אספקה, ועלייה בהוצאות ובעלויות ביטוח.

Transitional Risk – סיכון תקופת המעבר כתוצאה משינויי תפיסה של רגולטורים ובעלי עניין נוספים, התהוות רגולציה בנושא ותהליכי מעבר לכלכלה ירוקה, המשפיעים בין היתר על ערך נכסים ושווי בטוחות, פגיעה בלווים ושינויים בתעשיות, קנסות, שינוי במחירי ני"ע, והצורך בהתאמת פעילות הבנק מול בעלי עניין.

סיכוני סביבה משליכים הן על סיכונים פיננסיים כגון אשראי ושוק, והן על סיכונים שאינם פיננסיים כגון סיכונים תפעוליים, סיכוני צד שלישי וסיכון מוניטין. גם משבר הקורונה כמגפה עולמית מהווה התממשות של סיכון סביבתי בעל השפעה משמעותית על הכלכלה, באופן המחדד את חשיבות ניהול הסיכון.

לצד הסיכונים טמונות גם הזדמנויות, שכן בתהליך המעבר יידרשו מימון והשקעות רבות בטכנולוגיות חדשות והתאמות של תעשיות לעידן החדש, לדוגמה בגין הצורך בהפחתת פליטות פחמן.

ועכשיו מתחיל הכיף

לאור היותו סיכון מתפתח וללא הנחיות רגולטוריות סדורות לניהול ומדידה, בחנו את רמת בשלות ניהול הסיכון בארגון באמצעות שימוש במודל בשלות ובחינת פרמטרים כגון אסטרטגיה ויעדים, ממשל תאגידי, מסמכי מדיניות ונהלים, תהליכי עבודה בקרה וניטור, והכשרות ודיווחים. רמת הבשלות של ניהול פרמטרים אלו נבחנה אל מול פרקטיקה נהוגה בארגונים דומים בעולם.

עוד לפני מיפוי ותיחום הביקורת התחלנו ללמוד את הנושא (כי מה לנו כעובדי תאגיד בנקאי ולסיכוני סביבה ואקלים….). נעזרנו במיקור חוץ ושוחחנו עם גורמים מקצועיים העוסקים בתחום כגון עמותת "אדם טבע ודין" ויועצת מקצועית המתמחה בסיכוני סביבה באשראי. לאחר מכן מיפינו את תחומי הפעילות המרכזיים בארגון הרלוונטיים לביקורת, נוכח השלכות סיכוני סביבה ואקלים על הסיכונים השונים כמפורט מעלה: תפעול ותשתיות, אשראי והשקעות.

בהיבטי תפעול ותשתיות התייחסנו להיבטי בשלות הבאה לידי ביטוי במודעות, הבנה ופעילות יזומה של הארגון, בין היתר נוכח רגולציה קיימת (כגון תקני איכות סביבה, זיהום אוויר וקרקע, מִחזור, בנייה ירוקה ועוד), וגם נוכח הבנת התועלת הכלכלית הנגזרת מפעולות התורמות לצמצום טביעת הרגל הפחמנית של הארגון כגון טיפול בפסולת, צעדי חיסכון בנייר, מים, חשמל ודלק. בהיבטים אלו גם מתקיימים תהליכי הכשרות והגברת מודעות עובדים לנושא. במהלך הביקורת בדקנו את מסגרת ניהול הנושא, התהליכים, הנהלים והבקרות אל מול רגולציה קיימת.

נציין כי בארגונים עתירי תהליכים תפעוליים ישנו כר נרחב יותר לבדיקות דומות בנושא סיכוני סביבה ואקלים.

בעולמות האשראי וההשקעות בדקנו את העמידה ברגולציה הקיימת, המבוססת על חוזר בנק ישראל מ-2009, וכן הצגנו בנצ'מרק מול נתונים ציבוריים, כגון מדד חברות של המשרד להגנת הסביבה.

בהיבטי ממשל תאגידי ומסגרת ניהול הסיכון בדקנו את רמת בשלות הארגון במספר היבטים: גיבוש אסטרטגיה, תוכנית עבודה רב-שנתית ותיאבון סיכון, קיומו של גורם אחראי מתכלל לניהול הסיכון, התייחסות לסיכון במדיניות אשראי והשקעות, הדרכות וחיזוק מודעות העובדים, הכללת הסיכון בתרחישי קיצון ותכנון ההון.

סיכון מתפתח – אתגר לפיצוח!

קיים אתגר משמעותי בביקורת סיכון מתפתח שבגינו נדרשות הן קבלת החלטות אסטרטגיות באשר למיצוב הארגון בטיפול בתחום והן השקעת משאבים לא מבוטלת, וכל זאת בסביבה שבה טרם נקבעה רגולציה סופית ומחייבת. ההתמודדות שלנו כמבקרים הייתה באמצעות שימוש בבנצ'מרק, הצגת מתודולוגיה ותהליכים שכבר מבוצעים בתאגידים בנקאיים בעולם, והצפת רגולציה שהתגבשה בעולם (תחת הנחה מבוססת שהרגולטורים בארץ לומדים גם מהעולם). בנוסף הצגנו ניתוח נתונים, לדוגמה חברות שמקבלות מימון אל מול רשימת החברות המזהמות שמפרסם המשרד להגנת הסביבה וניתוח מודל. כמו כן חידדנו את חשיבות ההיערכות של הארגון לעולם העתידי.

בנוסף, מיפינו נושאים שלא נכללו בתיחום הביקורת הייעודית בנושא ניהול סיכוני סביבה ואקלים אך רלוונטיים לבדיקה במסגרת ביקורות אחרות, כגון רכש, ספקים וצדדים שלישיים, המשכיות עסקית, מדגם תיקי לווים, נוסטרו ועוד.

יש לציין כי תיחום ומטלות הביקורת בכל אחד מרכיבי הסיכון תלויים ברמת הבשלות של הארגון. ברכיבים שבהם רמת הבשלות נמוכה, על הביקורת לבחון את הסיכון בכלים של בדיקת סיכון מתפתח כגון מודל בשלות ובנצ'מרק. לגבי רכיבי סיכון שכבר נכללים במפת הסיכונים, ניתן לגבש תוכנית ומטלות ביקורת מבוססת סיכונים, כמו בשאר הסיכונים שמעריכה הביקורת הפנימית.

אז בשורה התחתונה

בחרנו לבצע ביקורת סיכוני סביבה ואקלים ולהמחיש את הצורך בהיערכות עוד לפני גיבוש רגולציה סופית ומחייבת, תוך שימוש בכלי השוואה לנעשה בעולם ובמודל בשלות. לדעתנו אחד מתפקידיה המרכזיים של ביקורת דינמית ומשפיעה, בעולם שמשתנה כל הזמן ובקצב מהיר, הוא להציף סיכונים מתפתחים ולקדם הנעת תהליכים בארגון. ללא ספק השפענו – אם באמצעות הגברת תשומת הלב הארגונית לסיכון, ואם באמצעות הנעת תהליכי חשיבה ארגוניים לקראת קפיצת המדרגה הבאה בנושא. אבל לא נעצור כאן, נמשיך ונבחן נושא מרתק זה במגוון כלים ובשיתוף קווי ההגנה השונים, במקביל להתגבשות מסגרת האסדרה.

[1] רגולציה מחייבת: מכתב בנק ישראל לניהול סיכוני אשראי הנובעים מסיכוני סביבה מ-2009, חוזר מדצמבר 2021 המתייחס לחובת גילוי בדוחות, רגולציה שמחייבת עסקים במדינת ישראל כגון תקני איכות סביבה, זיהום מים, אוויר וקרקע.

The post ביקורת סיכון מתפתח – סיכוני סביבה ואקלים appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

בעז ענר | רו"ח, MA ,CIA ,מרצה, יועץ, מנהל סדנאות ביקורת, לשעבר משנה למנכ"ל – משרד מבקר המדינה

רקע כללי

במחצית הראשונה של שנת 2020 (בתקופת התפרצות מגפת הקורונה) בוצע על ידי ה-ECIIA (הקונפדרציה האירופאית למבקרים פנימיים) סקר ב-11 מדינות ברחבי אירופה – אוסטריה, בלגיה, צרפת, גרמניה, איטליה, לוקסמבורג, הולנד, ספרד, שוודיה, אנגליה ואירלנד (להלן: "הסקר האירופאי"). לסקר השיבו 579 נשאלים, לצד ראיונות שבוצעו עם 42 מבקרים פנימיים ראשיים ויושבי ראש ועדות ביקורת ו-51 מומחים.

הסקר פורסם בספטמבר 2020 במסגרת 'Risk in Focus' הנערך מדי שנה במהלך 5 השנים האחרונות, ומטרתו לסייע למקצוע הביקורת הפנימית לבצע את עבודת הערכת הסיכונים, את התכנון השנתי ואף את סקירת הביקורת על ידי שיתוף התובנות והלמידות מהמחקר.

במהלך חודש ינואר 2021 ערכנו אנחנו בישראל סקר בקרב מבקרים פנימיים ראשיים. בסקר השתתפו 57 משיבים.

מטרת הסקר הייתה לבחון את השינויים שחלו בעבודת הביקורת הפנימית ובסיכונים שאליהם חשופים הארגונים בשנים האחרונות, והשינויים שצפויים לחול בשנים הבאות. השאלון בנוי בסגנון 'TOP 5', כלומר בכל שאלה נדרשו העונים לסמן 5 תשובות  בלבד, המתאימות ביותר לדעתם.

הסקר בישראל כלל 8 שאלות הנוגעות בעיקרן להערכת הסיכונים בארגון ולמיקוד הביקורת הפנימית בתחום הסיכונים, לפי תקופות כדלקמן:

1. הערכת סיכונים בארגונים בשנת 2020.
2. מיקוד/ השקעת הביקורת הפנימית בשנת 2020.
3. הערכת סיכונים בארגונים בשנת 2021.
4. הערכת סיכונים בארגונים בשנת 2024.
5. המשאבים להתמודד עם השינויים.

בכל אחת מהתקופות לעיל יוצגו להלן התוצאות על פי החתכים הבאים:

• הצגת שיעורי המשיבים בכל אחד מהסיכונים.
• השוואה בין תוצאות המשיבים בארץ בתקופה המוצגת לבין תוצאות המשיבים בארץ בתקופות אחרות רלוונטיות.
• השוואה בין תוצאות המשיבים בארץ לתוצאות המשיבים בסקר האירופאי בגין אותה תקופה.

להלן עיקרי הנתונים והניתוחים (כאמור, במרבית השאלות הנשאלים התבקשו לסמן את 5 התשובות המתאימות ביתר, כך שהנתונים לא מצטברים ל-100%).

1. הערכת סיכונים בארגונים בשנת 2020

להלן תרשים לתיאור התפלגות הערכת 5 הסיכונים העיקריים של הארגונים בישראל בשנת 2020:

חמשת הסיכונים העיקריים של הארגונים השונים בישראל בשנת 2020 – לפי שיטת TOP 5 – היו: סייבר ואבטחת מידע (79%), רגולציה וציות (67%), הון אנושי וניהול (58%), ניהול משברים (46%) ואיכות השירות ללקוח (39%).

ניתן לקשר סיכונים אלה באופן ישיר למשבר הקורונה שהיה משמעותי מאוד בשנת 2020, בין אם בהקשר של ניהול משברים (ברור כי בתקופה זו ארגונים נקלעו למשברים מסוגים שונים), ובין אם בהקשרים של סייבר ואבטחת מידע והון אנושי וניהול (לאור היבטי העבודה שהשתנו, לרבות עבודה מרחוק, שימוש באמצעי טכנולוגיה חדשים, העברת מידע באופן ממוחשב ועוד).

בהתאם, ערכנו השוואה בין תוצאות הסקר האירופאי לתוצאות הסקר בישראל, בדבר הסיכונים שהעריכו הארגונים אודות התפלגות הסיכונים העיקריים בשנת 2020. להלן תוצאות ההשוואה:

הפערים המשמעותיים בהערכת הסיכונים של הארגונים בארץ לעומת הארגונים באירופה היו בסיכוני טכנולוגיה מצד אחד (26% מהמשיבים בארץ לעומת 58% מהמשיבים באירופה), ומנגד בסיכוני הון אנושי וניהול (58% מהמשיבים בארץ לעומת 27% מהמשיבים באירופה). כמו כן, הסיכונים שלא קיבלו ביטוי בסקר האירופאי בגין שנת 2020 וסומנו על ידי המשיבים בסקר בארץ כסיכונים עיקריים ומשמעותיים: סיכוני ניהול משברים (46%) וסיכוני איכות השירות ללקוח (39%).

1. מיקוד/ השקעת משאבי הביקורת בשנת 2020

לצד הערכת הסיכונים בארגונים, בדקנו את התחומים שבהם המבקרים הפנימיים השקיעו את רוב משאבי הביקורת הפנימית, הזמן והמאמץ. להלן תרשים לתיאור התפלגות 5 התחומים העיקריים שבהם הושקעו בישראל בשנת 2020 רוב משאבי הביקורת בארגונים שבהם ממונים המשיבים כמבקרים פנימיים:

חמשת התחומים העיקריים בשנת 2020 שבהם הביקורת השקיעה את עיקר משאביה – לפי שיטת TOP 5 – היו: סייבר ואבטחת מידע (79%), רגולציה וציות (67%), הון אנושי וניהול (58%), ניהול משברים (46%) ואיכות השירות ללקוח (39%).

כמו כן, ערכנו השוואה בגין שנת 2020 בישראל בין הערכת 5 הסיכונים העיקריים של הארגונים לבין 5 התחומים העיקריים שבהם המבקרים הפנימיים השקיעו את רוב משאבי הביקורת. להלן התוצאות:

נראה כי במרבית המקרים, המבקרים הפנימיים בארץ התמקדו במסגרת הביקורת הפנימית בתחומים דומים לסיכונים המהותיים בארגונים, כדוגמת סייבר ואבטחת מידע, רגולציה וציות, שרשרת אספקה ובריאות, בטיחות וביטחון. כלומר הם השקיעו את משאביהם בהלימה לסיכונים של הארגונים. עם זאת, ישנם תחומים שהביקורת התמקדה בהם, בעוד שהערכת הסיכונים הארגוניים בתחומים אלה הייתה נמוכה יותר, כדוגמת מעילות והונאות, תרבות ארגונית, ממשל תאגידי ודיווח, ואיכות השירות ללקוח.

בתחומי ניהול משאבים והון אנושי וניהול, הערכת הסיכונים של הארגונים הייתה גבוהה ביחס למיקוד הביקורת, אולם מדובר בהפרשים שאינם עולים על 10%.

כמו כן, ערכנו השוואה בין תוצאות הסקר האירופאי לתוצאות הסקר בישראל באשר להתפלגות התחומים שבהם הושקעו רוב משאבי הביקורת בשנת 2020. להלן תוצאות ההשוואה:

הן המשיבים בארץ והן המשיבים באירופה התמקדו בשיעורים גבוהים ודומים של כ-70% בתחומי הסייבר ואבטחת מידע והרגולציה וציות. הפערים המשמעותיים בשנת 2020 בהערכת הסיכונים של המבקרים הפנימיים  בארץ לעומת אירופה היו בסיכוני ממשל תאגידי ודיווח, מעילות והונאות וסיכונים פיננסיים. בתחומים אלה המבקרים הפנימיים בארץ התמקדו בהיקף משמעותי (למעלה מ-50% מהמשיבים), לעומת המשיבים באירופה שהתמקדו בהם בשיעורים נמוכים בהרבה (סיכוני ממשל תאגידי ודיווח וסיכומי מעילות והונאות – 26% וסיכונים פיננסיים 39%).

1. הערכת סיכונים בשנת 2021

להלן תרשים לתיאור התפלגות הערכת 5 הסיכונים העיקריים של הארגונים בישראל בשנת 2021:

חמשת הסיכונים העיקריים בארגונים השונים בארץ בשנת 2021 – לפי שיטת TOP 5 – יהיו: סייבר ואבטחת מידע (82%), רגולציה וציות (63%), הון אנושי וניהול (54%), איכות השירות ללקוח (47%) וסיכונים פיננסיים (39%). בהשוואה לחמשת הסיכונים העיקריים בשנת 2020 ניתן לראות שסיכוני ניהול משברים ירדו בשיעורם לעומת הסיכונים הפיננסיים שעלו בשיעורם.

ערכנו השוואה בין הערכת 5 הסיכונים העיקריים של הארגונים בישראל בשנת 2020 לעומת הערכת 5 הסיכונים העיקריים של הארגונים בישראל בשנת 2021. להלן תוצאות ההשוואה:

על פי ההשוואה, הפערים בין השנים 2021 ו-2020 לא עלו על 10% ברוב המוחלט של הסיכונים. הפער המשמעותי ביותר בהשוואה בין הערכת הסיכונים בשנת 2021 לעומת שנת 2020 היה בסיכוני ניהול משברים (הערכתו בשנת 2021 קטנה בכ-15%). ניתן להסביר את הירידה בהערכת הסיכון לאור העובדה שמשבר הקורונה נמשך, והארגונים למדו לחיות בשגרת קורונה מסוימת, כך שהערכת הסיכון קטנה לעומת שנת 2020.

בהתאם, ערכנו גם השוואה בין תוצאות הסקר האירופאי לתוצאות הסקר בישראל, בדבר הסיכונים שהעריכו הארגונים להתפלגות הסיכונים העיקריים בשנת 2021. להלן תוצאות ההשוואה:

הפערים המשמעותיים בהערכת הסיכונים של הארגונים בארץ לעומת הארגונים באירופה בשנת 2021 היו בסיכוני הון אנושי וניהול, כאשר 54% מהמשיבים בארץ סימנו אותם כסיכונים עיקריים לעומת 35% מהמשיבים באירופה. פערים משמעותיים נוספים ניתן לראות בסיכוני שינויי אקלים וקיימות סביבתית וסיכוני טכנולוגיה, שאותם המשיבים באירופה סימנו כסיכונים עיקריים בשיעורים גבוהים משמעותית מהמשיבים בארץ (פערים של כ-20%).

1. הערכת סיכונים בשנת 2024

להלן תרשים לתיאור התפלגות הערכת 5 הסיכונים העיקריים של הארגונים בישראל בשנת 2024:

על פי ההערכות, חמשת הסיכונים העיקריים בארגונים השונים בארץ בשנת 2024 – לפי שיטת TOP 5 – יהיו: סייבר ואבטחת מידע (89%), רגולציה וציות (56%), הון אנושי וניהול (53%), טכנולוגיה ודיגיטציה (47%) וסיכונים פיננסיים (39%).

בהשוואה לחמשת הסיכונים העיקריים בשנת 2021, ניתן לראות שסיכוני איכות השירות ללקוח עתידים לרדת בשיעורם לעומת סיכוני טכנולוגיה ודיגיטציה שעתידים לעלות בשיעורם. כלומר, בארגונים בישראל בשנת 2024 צפויה להיות מודעות גבוהה יותר לסיכונים הטכנולוגיים.

ערכנו השוואה נוספת של הערכת 5 הסיכונים העיקריים של הארגונים בישראל בשנת 2024 לעומת הערכת 5 הסיכונים העיקריים של הארגונים  בשנת 2021. להלן תוצאות ההשוואה:

ניתן לראות כי הערכת הסיכונים לשנת 2024 בישראל דומה במהותה להערכת הסיכונים בשנת 2021. בכל הסיכונים הפערים בין השנים 2024 ו-2021 לא עלו על 10%, למעט תחום הטכנולוגיה והדיגיטציה שבו יחול שינוי גדול יותר – גידול של 12%. המסקנה היא שהערכת הסיכונים העתידית של הארגונים מבוססת על הסיכונים כפי שמוכרים להם כיום.

כמו כן, ערכנו השוואה בין תוצאות הסקר האירופאי לתוצאות הסקר בישראל, בדבר הסיכונים שהעריכו הארגונים להתפלגות הסיכונים העיקריים הצפויים בשנת 2024. להלן תוצאות ההשוואה:

הפערים המשמעותיים בהערכת הסיכונים שיהיו בשנת 2024 של הארגונים בארץ לעומת הארגונים באירופה המשיכו להיות דומים לפערים שהיו בשנת 2021. עיקר הפערים היו בסיכוני הון אנושי וניהול, כאשר 53% מהמשיבים בארץ סימנו אותם כסיכונים עיקריים לעומת 37% מהמשיבים באירופה. פערים משמעותיים נוספים ניתן לראות בסיכוני שינויי אקלים וקיימות סביבתית וסיכוני טכנולוגיה, שאותם המשיבים באירופה סימנו כסיכונים עיקריים בשיעורים גבוהים משמעותית מהמשיבים בארץ (בשינויי אקלים הפער מגיע לכ-30%). לעניין ההשוואה והחיזוי לשנת 2024 בארץ ובאירופה, יש להביא בחשבון שיש קושי בחיזוי סיכונים לעוד שלוש שנים וכולם נאחזים במיטב המידע שבידיהם כיום ומשליכים ממנו לשנת 2024.

1. המשאבים להתמודד עם השינויים

שאלנו את המבקרים הפנימיים בארץ אם הם סבורים שיהיו להם המשאבים הנדרשים כדי להתמודד עם הסיכונים והשינויים הצפויים בשנים הבאות. להלן תרשים המתאר את התפלגות התשובות:

ניתן לראות כי מרבית העונים (76%) סבורים כי יהיו בידם המשאבים להתמודד עם השינויים הצפויים, לפחות באופן חלקי. עם זאת, ניתן לראות שחלק לא מבוטל מהמשיבים (33%) סבורים כי לא יהיו בידם המשאבים או שיהיו להם רק משאבים חלקיים להתמודד עם השינויים, ועוד 12% אינם יודעים אם יהיו בידיהם המשאבים המתאימים. כלומר, 45% מהמשיבים מבטאים ספקות, רבים או חלקיים, לגבי יכולתם להתמודד בעתיד עם הסיכונים והשינויים הצפויים.

סיכום

ככלל, נראה כי רשימת ה-TOP 5 של הסיכונים העיקריים בשנת 2020 נשארה במהותה דומה גם בצפי לשנים הבאות.

גם בהשוואת כלל הסיכונים בין השנים נראה כי בארץ סבורים שהערכת הסיכונים בארגונים לא תשתנה באופן מהותי לאורך השנים, אם כי באשר לשנת 2024 יהיה גידול של 12% בסיכון הטכנולוגי.

הסיכון העיקרי של הארגונים, שכ-80% ומעלה מהמשיבים סימנו לאורך השנים כחלק מרשימת ה-TOP 5, הוא סיכון הסייבר ואבטחת מידע, שגם בסקר האירופאי סומן על ידי מרבית המשיבים כסיכון עיקרי.

בהשוואה בין תוצאות הסקר בארץ לתוצאות הסקר האירופאי, עולה כי ישנם סיכונים שבאירופה קיבלו ביטוי משמעותי אולם בארץ נראה כי סיכונים אלה עדיין לא מהווים סיכונים עיקריים, כדוגמת סיכוני שינויי אקלים וקיימות סביבתית ושינויי טכנולוגיה. לעומת זאת, ישנם סיכונים שקיבלו ביטוי משמעותי בסקר בארץ, אולם נראה כי באירופה אינם מהווים סיכונים עיקריים, כדוגמת הון אנושי וניהול וסיכון איכות השירות ללקוח (שלא קיבל כלל ביטוי בסקר האירופאי).

את הפער באשר לסיכוני אקלים וקיימות סביבתית ניתן להסביר במונחי תרבות חברתית ופוליטית: באירופה המודעות והרגישות לסיכוני אקלים, הן של הממשלות והן של הציבור וכנגזרת מכך של הארגונים, היא גבוהה בהרבה מאשר בישראל. באשר לשינויים טכנולוגיים יש לזקוף זאת לזכות הארגונים האירופאים שמודעים יותר מאשר בישראל לגודל ועומק השינוי הטכנולוגי, וגם להשפעותיו על התעסוקה העתידית – שינוי שכבר מתרחש ומחייב התייחסות מעמיקה. בטווח הקרוב, סביר שהנושא הזה יעלה על פני השטח גם בישראל.

באשר לחיזוי סיכונים לשנת 2024, בארץ ובאירופה יש קושי בחיזוי סיכונים לעוד שלוש שנים, וכולם נאחזים במיטב המידע שבידיהם כיום ומשליכים ממנו לגבי הסיכונים בשנת 2024.

The post תוצאות סקר הערכת הסיכונים היום ובעתיד – ישראל VS אירופה appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

ככל שמגפת נגיף הקורונה משנה את העולם, כך נאלצים מבקרים פנימיים להתמודד עם אותו עולם בדרכים שונות. אם לפני ההתפרצות עבדו המבקרים הפנימיים בהתאם לאותם כללי התנהגות ואותם תקנים והשתמשו בכלים דומים, כיום יש למבקרים עוד דבר במשותף: הצורך להתאים את עצמם לתנאי סיכון המשתנים בתכיפות.

הקורונה שינתה מן היסוד את פרופילי הסיכון של ארגונים רבים. הביקורת הפנימית צריכה להתאים את עבודתה לשגרה החדשה, ובו-בזמן גם לכייל את תוכנית הביקורת שלה מנקודת מבט על סיכון שונה לחלוטין.

תוכנית העבודה בסכנה

בואו נבדוק את השתלשלות האירועים. לקראת סוף שנת 2019 מבקרים פנימיים רבים כבר התחילו את תהליכי תכנון הביקורות והערכות סיכונים. עד החודשים הראשונים של שנת 2020, רוב מחלקות הביקורת הפנימית ברחבי העולם כבר בנו לפחות את השלד של תוכניות העבודה השנתית שלהם וחלקם כבר הגישו תוכניות פורמליות לוועדות הביקורת ולחברי ההנהלה. בחודשים הראשונים של שנת 2020, חלק מהמבקרים כבר התחילו לבצע את מטלות הביקורת.

הכול השתנה בחודש מרץ, כאשר נגיף הקורונה התחיל להתפשט ברחבי העולם ועסקים חוו את ההשלכות הראשוניות של צעדי הריחוק החברתי. מבחינה תפעולית, ארגונים רבים שינו את אופן התנהלותם העסקית. מבחינת ציות, במהלך ההתפרצות תעשיות שלמות קיבלו הקלות בדרישות הרגולטוריות ודרישות אחרות הושהו.

ככל שצעדים אלה התגברו, מבקרים רבים שינו באופן דרסטי את תוכנית העבודה שלהם. ארגונים נתקלו בשיבושים רבים כל כך עד שכמעט היה בלתי אפשרי לבצע חלק ממטלות הביקורת או שפשוט לא היה טעם לבצען. במסגרת סקר בזק שערך ה-IIA בחודש אפריל 2020, רוב המשיבים דיווחו שעצרו או צמצמו את ההיקף של חלק ממטלות הביקורת, וכמעט מחציתם ביטלו כליל חלק מהמטלות.

ארבעה מתוך עשרה משיבים דיווחו שנאלצו להטיל על צוותי הביקורת משימות שאינן קשורות לביקורת. משיבים אחרים דיווחו על הוצאת צוותי ביקורת לחל"ת, על צמצומי תקציבים שהובילו לעצירת עבודת הביקורת, ועל צוותי ביקורת שמבצעים רק עבודות אדמיניסטרטיביות.

תוכנית עבודת הביקורת הפנימית לאחר מגפה עולמית

תוכנית העבודה לפני המגפה הייתה מבוססת על פרדיגמת הסיכון הישנה. בעולם שלאחר המגפה, על מבקרים פנימיים ראשיים לחשוב אחרת לגבי הסיכונים העומדים בפני ארגוניהם ולבחון איך להקצות מחדש את משאבי הביקורת. להלן מספר שאלות שכדאי שמבקרים פנימיים ראשיים ישאלו במסגרת חשיבה מחדש על תוכניות הביקורת שלהם.

איך נראה המצב הנורמלי החדש בארגון? אפילו ארגונים שנפגעו בצורה מינימלית מהקורונה עוברים שינויים מערכתיים בסביבת הסיכון שלהם (ראו "שאלות למבקרים פנימיים ראשיים" בסוף כתבה זו). נזקים כבדים עלולים להיגרם למוסדות ולמערכות שעליהם נשענים ארגונים רבים, ורגולטורים, מוסדות פיננסיים ושרשראות אספקה עלולים לחוות שיבושים במשך זמן רב. לא מן הנמנע שחלקם לא ישרדו את המשבר.

האם תהליך הערכת הסיכונים שלי מספיק גמיש? השאלה הזו קריטית כאשר מבקרים פנימיים ראשיים מתחילים לקבוע סדרי עדיפויות בעניין הקצאה מחדש של משאבים כדי לטפל ברמות סיכון גבוהות יותר, הן בתחומי סיכון המסורתיים והן בתחומי סיכון חדשים ולא ידועים. הערכות סיכונים חייבות להיות גמישות ומסוגלות לנתח מצבים תוך כדי תנועה, מפני שהדינמיקה של הסיכונים עשויה להשתנות בכל עת בטווח הקרוב. על מבקרים פנימיים ראשיים לבחון תהליכי הערכות סיכונים מסורתיים ולייעל אותם.

האם לצוות שלי עדיין יש את המיומנויות הנדרשות כדי לבצע הערכות סיכונים ותוכניות ביקורת? סביר להניח שבעולם שלאחר המגפה העולמית פרופילי הסיכון ישתנו, ובחלק מהארגונים – באופן דרמטי. מבקרים פנימיים ראשיים צריכים להעריך את כישורי הצוותים שלהם ואת היכולת של מחלקת הביקורת הפנימית לזהות סיכונים ולבצע משימות ביקורת שמתמקדות בסוגים חדשים של סיכונים. עליהם להתייחס לשאלות כגון:

• איך השתנה הצוות במחלקת הביקורת הפנימית?
• האם רמת המקצועיות בקרב העובדים השתנתה והאם חלו שינויים בכישורים?
• האם נדרשים כישורים חדשים כתוצאה מהשינויים בפרופיל הסיכון של הארגון?

האם לצוות שלי עדיין יש דפוס חשיבה אובייקטיבי? זמנים חסרי תקדים דורשים אמצעים חסרי תקדים, ובמהלך מצב החירום מבקרים פנימיים רבים נקראו לבצע מטלות שלעולם לא העלו על דעתם שיבצעו. מבקרים פנימיים ראשיים צריכים לבחון את האובייקטיביות של צוותיהם, ולבדוק אם מבקרים עסקו בפעילויות שלא קשורות לביקורת פנימית בתוך העסק, או שביצעו פעילויות שבמצב נורמלי היו נחשבות כמנוגדות לסטנדרטים המקצועיים.

עולם חדש של סיכונים

העולם שונה עכשיו והסיכונים שונים. על מבקרים פנימיים לכייל את נקודת המבט שלהם על הסיכונים הטבועים העומדים בפני ארגוניהם עכשיו, כשתקופת ההתאוששות מתחילה.

מעבר חד מתקופה לתקופה אינו תופעה חדשה, אך הקורונה מנחיתה פגיעה בקנה מידה גלובלי ובעוצמה חזקה יותר מכל אירוע אחר שחוו רוב המבקרים אי פעם. יכולת התגובה של הביקורת הפנימית היא חיונית לא רק למידת התאוששות הארגונים שמשרתת הביקורת, אלא גם לאופן שבו הביקורת הפנימית מתאימה את עצמה מחדש לצרכים של בעלי העניין שלה.

שאלות למבקרים פנימיים ראשיים

על מנת להעריך את המצב בארגונם במהלך משבר הקורונה, כדאי שמבקרים פנימיים ראשיים ישאלו את השאלות הבאות:

• איך נראית מצבת כוח האדם בארגון כעת? האם בוצעו צמצומים או ארגון מחדש?
• האם בעלי העניין העיקריים השתנו? האם צפויים להיות לנו מבוקרים חדשים?
• האם צמצומים בכוח האדם או ארגון מחדש השפיעו על אופן הביצוע של בקרות פנימיות? האם יש צורך לבחון בעיות חדשות של הפרדת תפקידים או של בקרות שכבר אין מישהו שאחראי עליהן?
• אילו תהליכים השתנו באופן זמני או קבוע?
• אילו מערכות עברו התאמות זמניות או שונו באופן קבוע? האם במהלך ביצוע שינוים אלה בוצעו בקרות IT ראויות? אם לא, מהן ההשלכות לכך?
• אילו בקרות שונו כדי להתאימן למצבים עסקיים או לסיכונים יוצאי דופן?
• האם חלו שינויים בתפקידי מפתח, כגון אובדן של מומחיות בתחום ספציפי או אובדן של מנהלים המובילים תחומים אסטרטגיים?
• האם הארגון שינה את המיקוד האסטרטגי שלו בטווח הקצר או הארוך?
• האם השתנו מבני העלויות?
• האם התרחשו שינויים יסודיים במבני החוב וההון של הארגון? האם חלות אמות מידה פיננסיות חדשות או שונות?
• אילו אתגרים משפטיים או אתגרי ציות עומדים בפני הארגון (חשיפות לתביעות או שינויים בתשתית הציות)?
• האם צמחו הזדמנויות עסקיות חדשות? אם כן, האם זוהו הסיכונים הנלווים?
• האם השתנו יסודות הפעילות של היחידות עסקיות או האסטרטגיה שלהן?
• איך השתנתה הדינמיקה של ההמשכיות העסקית (שינויים בתשתיות מרכזיות, שינויים בלקוחות עיקריים)?
• איך השתנתה הדינמיקה של ניהול סיכונים עסקיים (סיכונים מרכזיים, מדדי סיכונים מרכזיים, תוכניות תגובה, תיאבון סיכון)?
• איך השתנתה הדינמיקה של החוק האמריקאי סרבנס-אוקסלי משנת 2002, לרבות שינויים מול מבקרים חיצוניים, הדינמיקה הרגולטורית, ושינויים בגורמים האחראים על בקרות?

The post הערכת סיכונים בעולם שלאחר מגפה עולמית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

(הודעה שפרסם מערך הסייבר הלאומי של ישראל בתאריך 23.04.2020)

תקיפת תשתיות מים וביוב, כפי שתוארה בפרסום, בוצעה על מנת לשבש את הספקת המים לצרכנים ואת הקליטה והעיבוד של השפכים. כלומר, התקיפה כוונה כנגד מה שמכונה בשפה המקצועית "טכנולוגיה תפעולית" (TECHNOLOGY OPERATIONAL – OT).

מטרת מאמר זה היא לספק למבקר הפנימי, למנהלי הסיכונים ולהנהלה בארגון, אשנב לסיכונים האפשריים הנובעים מהשימוש ב"טכנולוגיה תפעולית" (OT) בארגונים, וכן להמליץ על כיווני ביקורת כדי לוודא שהרציפות התפקודית של הארגון לא נפגעת.

בהתאם להגדרה שמציע מכון המחקר GARTNER, "טכנולוגיה תפעולית" היא "חומרה ותוכנה אשר מזהות או גורמות לשינוי באמצעות ניטור ו/ או בקרה ישירים על ציוד תעשייתי, נכסים, תהליכים ואירועים".

טכנולוגיה תפעולית כוללת שתי קבוצות משנה עיקריות:

1. מערכות בקרה תעשייתיות (ICS – INDUSTRIAL CONTROL SYSTEMS) מסוגים שונים, שתהליכי הייצור במפעלים תעשייתיים מושתתים עליהם. מערכות אלו משמשות לניטור ובקרה וכן בגופי תשתיות: תחנות כוח, מתקני מים וביוב, תשתיות גז ודלק, מערכות תחבורה, נמלים ועוד.
2. מערכות ניהול לבניין (BMS – BUILDING MANAGEMENT SYSTEMS). מדובר במשפחה רחבה של רשתות ומערכות, כגון מיזוג, תאורה, ביטחון ובטיחות, מעליות ועוד.

משמעות התממשות איומי הסייבר בסביבת ה-OT

ההבדל המהותי בין מערכות ה-IT (Informational Technology) לבין OT הוא בכך שבעוד שהמערכות מהסוג הראשון מאחסנות, מעבדות ומפיצות מידע ברמת ערכיות שונה, מערכות ה-OT מנהלות תהליכים פיזיים.

אירוע סייבר בסביבת ה-IT בדרך כלל עלול לפגוע בסודיות, בשלמות ובזמינות המידע הארגוני ולגרום לנזק כלכלי, תדמיתי ורגולטורי. לעומת זאת, אירוע סייבר בסביבת ה-OT עלול להביא להשלכות חמורות בהרבה. המונחים שבהם נהוג להשתמש בסביבת ה-OT הם יציבות התהליך (RELIABILITY), איכות הייצור, בטיחות העובדים (SAFETY) ונזק סביבתי (מומלץ לעיין במסמך "ניהול סיכוני סייבר בסביבת OT – מדריך לדירקטוריון" שפורסם בחודש מרץ 2020 על ידי מערך הסייבר הלאומי).

פגיעה ביציבות התהליך עלולה לשבש או אפילו להפסיק לחלוטין שירות חיוני, כגון הספקת החשמל (לדוגמה, התקיפה הרוסית בתחנת כוח אוקראינית בשנת 2015). כמו כן, אירוע סייבר בסביבת ה-OT עלול להביא להשלכות בטיחותיות וסביבתיות מחרידות. כך למשל, פקודה לפרוק מכל אמוניה עלולה לגרום למאות הרוגים.

תקיפת סייבר במערכות ניהול של בניין עלולה לגרום לשיבושים תפעוליים משמעותיים. כך לדוגמה, השבתת מערכת מעליות במגדל משרדים תקשה על עובדים ולקוחות להגיע ליעדם. השתלטות על מערכת בקרת כניסה תאפשר לתוקף להכניס גורמים לא מורשים למתחם לצורך פעילות זדונית.

כתוצאה מכך, אם הארגון עושה שימוש בטכנולוגיה תפעולית, המבקר הפנימי בארגון מחויב לוודא שתהליך ניהול הסיכונים בהקשר הזה מתנהל בצורה נאותה.

חולשות הגנת סייבר אופייניות בתחום ה-OT

מערכות בקרה תעשייתית רבות סובלות מחולשות הגנת סייבר חמורות. המשמעותיות שבהן:

1. חלקן פותחו והוטמעו לפני תחילת "עידן הסייבר" ולכן עושות שימוש ברכיבים, בתוכנות ובפרוטוקולי תקשורת שיש בהם חולשות הגנת סייבר מובנות. לדוגמה, פרוטוקול תקשורת נפוץ בסביבת ה-OT הוא MODBUS שפותח בשנת 1979. ניצול החולשות המובנות בפרוטוקול זה מאפשר לתוקף לבצע תקיפה מסוג man-in-the-middle לצורך שיבוש תהליכי הייצור, בעוד שמפעיל המערכת יוזן במידע כוזב בנוגע לתקינות התהליך (לדוגמה: “Man-In-The-Middle Attack Against Modbus TCP illustrated with Wireshark” ,Gabriel Sanchez    SANS Institute).
2. בחלק מרשתות הבקרה חסרה סגמנטציה, כלומר לנוזקה או לתוקף שיצליח לחדור בנקודה כלשהי לרשת יהיה קל להגיע לכל יעד בתוכה (לדוגמה: Top 10 Cybersecurity Vulnerabilities and Threats for Critical Infrastructure and SCADA/ICS).
3. עמדות מפעיל רבות (HMI – Human Machine Interface) עדיין מריצות מערכות הפעלה מיושנות מסוג XP WINDOWS ששדרוגן יגרום לשיבוש פעילות תוכנת הבקרה.
4. מערכות בקרה תעשייתית נועדו במקור לשמש ישויות המופרדות הן מרשת המחשוב הארגונית והן מרשת האינטרנט. במהלך השנים, כתוצאה מצרכים עסקיים ותפעוליים וכחלק מתפיסת המהפכה התעשייתית הרביעית, INDUSTRY 4.0, חוברו רשתות בקרה תעשייתית רבות הן לרשת הארגונית (IT) והן לרשת האינטרנט. עם זאת, לעיתים במערכות בקרה תעשייתיות לא בוצעה הקשחת רכיבים כנדרש (בקרים, מתגים, עמדות מפעיל), וכן לא קיימות יכולות ניטור הרשת (IDS – Intrusion Detection System) או בקרת הגישה לרשת (NOC או NAC).
5. היעדר ממשל OT נאות בארגון. במפעלים רבים, בשונה מהנורמה הקיימת באשר ל-IT, לא קיים מיפוי תהליכי עבודה ונכסים מפורט באשר לסביבת ה-OT, תפעולה ואחזקתה. למשל, לא ברור באילו בקרים ופרוטוקולי תקשורת נעשה שימוש, או לא ידועה הקישוריות הקיימת בין רשתות הבקרה לרשת הארגונית ולאינטרנט. יותר מזה, ייתכן כי הארגון לא מודע לחיבור הספקים לרשתות הייצור שלו לצורך תמיכה וניטור.
6. מודעות הסגל התפעולי וגורמי שרשרת האספקה לסיכוני הסייבר הנלווים לשימוש בטכנולוגיה תפעולית יכולה להיות נמוכה מאוד, מפני שגם אנשי אבטחת המידע בארגון מגבילים את תחום עיסוקם בסביבת ה-IT בלבד.

הבסיס הנורמטיבי להגנת סייבר על מערכות ה-OT

בשנים האחרונות בישראל (ובעולם) חל גידול משמעותי בנפח מעורבות הרגולטור בנושא הגנת הסייבר בתחום ה-OT בארגון. כך, לדוגמה, אגף שוק ההון, ביטוח וחיסכון במשרד האוצר פרסם בשנת 2016 חוזר בנושא ניהול סיכוני סייבר בגופים מוסדיים שבו נכתב: "הערכת הסיכונים תתייחס בין היתר למערכות OT ולסביבות פיתוח ובדיקות, העשויות להכיל מידע רגיש או לגלם חשיפות למערכות הגוף המוסדי כולו".

המשרד לאיכות הסביבה פרסם בינואר 2020 מדריך סייבר בנושא "עמידה בתנאים של היתר רעלים בתחום הסייבר בתעשייה". מדריך זה כולל דרישה לניהול נאות של סיכוני הסייבר בסביבת ה-OT ברשימת התנאים לקבלה ותיקוף מחדש של היתר הרעלים.

למשרד האנרגיה ולרשות הממשלתית למים ולביוב קיימים נהלים מחייבים שקובעים סטנדרט הגנה נדרש בנוגע לרשתות הבקרה של יצרני החשמל וספקי המים והביוב.

המלצות לביקורת ניהול סיכוני ה-OT בארגון

כצעד ראשון, יש לקבל הבנה בסיסית בנוגע לשימוש בטכנולוגיות תפעוליות בארגון, ובכלל זה:

1. הכרת היקף השימוש של הארגון המבוקר ב-ICS ) Industrial Control Systems) וב-BMS (Building Management Systems).
2. הבנת רמת הקריטיות של התהליכים המנוהלים על ידי המערכות הללו ורמת הסיכון השורשי הגלומה בתהליכים הללו.
3. מיפוי בעלי התפקידים הרלוונטיים לתפעול מערכות אלו ולמנגנוני הגנת הסייבר המוטמעים בהן. מומלץ לברר ולבחון האם קיים ניהול נכסים נאות: מיפוי רכבים ותרשימי רשתות, פירוט קישורים הדדיים וחיצוניים, רשימת גורמי שרשרת אספקה רלוונטיים, רשימת מורשים לגישה מרחוק, נהלים לעדכון רכיבים, הקשחה ועוד.
4. בחינה האם מתקיים תהליך סדור לניהול סיכוני סייבר בסביבת ה-OT, ובחינה האם קיימת תפיסה לניהול אירוע סייבר ברשתות ה-OT ולהתאוששות ממנו. חשוב מאוד לוודא כי תפיסה זו עולה בקנה אחד עם התפיסה הארגונית הכללית להמשכיות עסקית.
5. בחינה האם נערך סקר סיכוני סייבר בסביבת ה-OT, ואם בוצע – נדרש לבדוק מהו סטטוס יישום ההמלצות שעלו בו לשיפור רמת הגנת הסייבר הכוללת בארגון (בדגש על התחומים המשותפים לסביבת ה-IT).
6. בחינה האם סגל התפעול מודע לסיכוני הסייבר האפשריים.

לאחר שלמבקר הפנימי ישנה הבנה בסיסית בנוגע לשימוש בטכנולוגיות תפעוליות בארגונו, מומלץ לתכנן ביקורת ייעודית מקיפה בנושא, בדגש על העמידה ברגולציה הרלוונטית. מומלץ להיעזר במתודולוגיות ייעודיות (הנגזרות לרוב מהנחיות המפורטות במדריךNIST Special Publication 800-82 Revision 2"Guide to Industrial Control Systems (ICS) Security") ותשתמש בכלים טכנולוגיים תואמים שחלקם שונים מסביבת ה-IT. כך למשל, בסביבת ה-OT לא מקובל לבצע סריקות רשת אקטיביות, ולכן מנתחים לרוב את הקלטת התעבורה במצב "offline".

לסיכום, מתקפות הסייבר הולכות ומתפתחות גם לטכנולוגיות תפעוליות שמשמשות לניטור ובקרה של תהליכים תפעוליים, תעשייתיים, יצרניים ופיזיים בארגון. לכן על הארגון והמבקר הפנימי להכיר ולזהות את השוני ואת ההשפעות של איומי סייבר על הסביבה הפיזית לעומת סביבות אחרות, לדעת מהם הסיכונים ולהבין איך לנהל אותם ולהתגונן מפניהם.

The post מהם סיכוני OT בארגון, ואיך נדרש לבקר אותם? appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

מאת: הועדה המקצועית

דורון רונן, רו"ח, MA, LLM, CIA, CRMA, QAR, CRISC, CSX-F, CFE, יו"ר הוועדה המקצועית, סגן וממלא מקום נשיא לשכת המבקרים הפנימיים-IIA ישראל

וצוות מיוחד של הוועדה המקצועית:

רחלי פלג לאור, רו"ח, CIA, CISA, CRMA, קרסטון ישראל

ליאור סגל, רו"ח, עו"ד, MBA, גזבר ומזכיר ודירקטור לשכת המבקרים הפנימיים IIA ישראל, המבקר הפנימי הראשי – בזק החברה הישראלית לתקשורת

מאיה ויסמן, הביקורת הפנימית – קופת חולים מאוחדת

יעל רונן, רו"ח, דירקטורית לשכת המבקרים הפנימיים IIA ישראל, מבקרת פנימית ראשית – הבנק הבינלאומי

אנחנו, המבקרים הפנימיים, מדברים רבות עם לקוחותינו – הארגון, יחידותיו העסקיות, מנהלי הסיכונים, ההנהלה, לקוחות חיצוניים – על ניהול סיכונים, על מקרי כשל, על משברים.

אנחנו משוחחים רבות אודות תרחישי קיצון שיכולים לשבש את פעילות הארגון, ובמקרים לא מועטים במהלך שיחות אלה, המבוקרים מרימים גבה. אנחנו שומעים תכופות כי "נכון שצריך תוכנית מגירה, ואכן נדרשת תוכנית המשכיות עסקית", אולם לרוב, דברים אלה מתמקדים, מתחילים ומסתיימים בגיבויים של מערכות המידע ו/או פעולות נקודתיות כאלה ואחרות. בתרבות הישראלית, תרחיש תיאורטי של משבר אמיתי מוערך לפי גורמים רבים כבעל הסתברות נמוכה.

ואז אנחנו שולפים דוגמאות – "קודאק" שלא התקדמה עם השינויים העולמיים ונמחקה, 9-11 בארה"ב, מדברים על מחלות מסוגים שונים, כמו האנטרקס, קדחת הנילוס, הסארס, שפעת העופות, שפעת החזירים, האבולה, ומזכירים מעת לעת שיש גם "ברבורים שחורים".

מספר רגולטורים בישראל קבעו, כי על הארגון, המפוקח על ידם, להכין תוכניות להמשכיות עסקית והתאוששות מאסון, הקובעות, בין היתר, חובת תרגולים ודיווח על ביצועם.

אבל אז באה הקורונה, "ברבור שחור" של ממש. לא רבים מאתנו העלו על דעתם משהו בקנה מידה שכזה. נראה שהנושא תפס את כל העולם בהפתעה די גמורה, והוגדר מגרש משחקים חדש, שבו כל אחד נדרש לנהל את עצמו ואת ארגונו תוך כדי תנועה, כאשר כללי המשחק משתנים כל העת. סיכון זה שייך לקבוצת "הסיכונים הפורצים" (emerging risks).

אירוע זה מהווה אתגר משמעותי לכלל הארגונים, ורק ימים יגידו אלו מהארגונים צלחו אותו בהצלחה, אלו ניזוקו בצורה משמעותית, ואלו לא צלחו את המשבר.

בכל הכאוס ואי הבהירות, כאשר הנהלות הארגונים ממוקדות בניהול המשבר המתגלגל, עלינו לחדד ולהגדיר מחדש את תפקידנו, תוך מתן משקל גם לנושא ה"חיוניות" של המבקר הפנימי בעת הזו.

ברור לכולנו שאין בכוונתנו להפריע, בעת מצוקה זו, להתנהלות העסקית השוטפת. היחידות העסקיות עובדות ב-היקף מוגבל, בצוותים מצומצמים ותחת משתנים רבים של אי וודאות.

במקרה מסוג זה – יש לנו הזדמנות נדירה לחזות באיכות תפקוד הארגון בזמן אמת. ככל הנראה, כל התרגולים בעולם לא יצליחו לקחת בחשבון מכלול כה רחב של אילוצים, שינויים, התאמות, מגבלות, שיש להגיב להם בזמן אמת. באזעקת אמת זו, אין לארגון אפשרויות רבות, אם בכלל, לחזור אל ה-drawing board, אלא לתקן תוך כדי תנועה. נדרש מערך אמיץ של קבלת החלטות.

בקרב המבקרים הפנימיים, מתעוררות שאלות רבות לגבי תפקידנו בשעה מאתגרת זו. אנו ננסה להשיב על חלק מהשאלות במסמך זה, ולספק קווים מנחים להתנהלות הביקורת הפנימית בעת הזו.

תחת מטריית "ניהול הסיכונים", התקנים המקצועיים הבינלאומיים של ה- IIA מתייחסים במספר מקומות להיבטים אלה:  ב"משימת הביקורת הפנימית", ב"עקרונות הליבה", ב"הגדרת מקצוע הביקורת הפנימית", ובתקן 2120 שקובע כי עלינו "להעריך את האפקטיביות, ולתרום לשיפור תהליכי ניהול הסיכונים". קיים גם מדריך משלים בנושא Business Continuity Management, המתייחס לכללים מנחים לבדיקת עולם סיכונים זה, אשר הינו העולם בתוכו מוכלת מגיפת הקורונה. חוק הביקורת הפנימית קובע, כי על המבקר הפנימי לבדוק, בין היתר, את תקינותן של פעולות הארגון "מבחינת השמירה על החוק" ו"על הניהול התקין", וקיימות הוראות נוספות. לכאורה, אין מניעה שנפשיל את שרוולינו ונחֵל בבדיקת הנושא.

האמנם?

סוגיית העיתוי ומידת המעורבות של המבקר הפנימי לא הוגדרה בתקנים ובדיונים שהוזכרו, אם כי צוין שעליו לבצע בדיקות אלה.

ככל הנראה, רק בדיעבד (לאחר סיום המשבר), ניתן יהיה לאמוד (במדויק) היבטים מסוימים ובכללם- את המוכנות, את הנזק, ואת היכולת האמִתית להשתקם. תפקידנו יהיה לבחון את תהליכי הפקת הלקחים ואת הגדרות תוכניות הטיפול והמוכנות הארגונית למשבר הבא. בהמשך, נוכל לאתגר, להעיר ולהפנות זרקורים למכלול ההשלכות.

אז מה עלינו לעשות עכשיו?

להלן מספר קווים מנחים עבור הביקורת הפנימית, לאור נקודות ודילמות שהועלו בימים האחרונים. קווים מנחים אלה אינם מחייבים, ומוצע כי כל מבקר ישקול, לפי שיקול דעתו, ובהתייחס לנסיבותיו של הארגון בו הוא מכהן, את התנהלות יחידתו במצב המורכב שבו ניצבים כולנו:

• תצפיות על ניהול המשבר ועל ההתנהלות הארגונית – השתתפות בוועדות ניהול המשבר כמשקיפים, סקירת מסמכים, סיוע במבט כולל על היבטי ניהול הסיכונים הכרוכים בכך, בחינה שדברים אינם נופלים בין הכיסאות בהיבט של נטילת אחריות ו-ownership על התהליך. מתפקידנו להבין ולהעריך את המגוון הרחב של הסיכונים המיידיים, ובתוך כך להסיק- האם הנהלת הארגון זיהתה את הסיכונים הישירים והעקיפים והחליטה באשר לטיפול הנדרש בסיכונים אלה.
• בד בבד, צמצום עבודת השטח – בתקופה זו, בה הקֶשֶב הארגוני לביקורת נמוך עד אפסי, ראוי לבחון את היקף עבודת השטח שניתן לבצע, ולשקול להתמקד בהיבטים הבאים, "עד יעבור זעם":
  • התמקדות בעבודת כתיבת טיוטת הדוחות, גיבוש תוכניות ביקורת, שליפות וניתוחי נתונים ונושאים שאינם מצריכים תשומות מבוקרים.
  • קיום הכשרות, הסמכות והדרכות מקצועיות (מקוונות) ליחידת הביקורת בנושאי ביקורת ובנושאים נוספים שיכולים לתרום לשיפור רמת המקצועיות שלהם (כגון: סייבר, מערכות מידע, מעילות והונאות, המשכיות עסקית, ועוד).
  • קידום נושאי האיכות בעבודת הביקורת הפנימית, כולל תזמון Self-assessment.
• ככלל ובשגרה, יש להימנע מכניסה לנעלי בעלי תפקידים המבצעים בקרה, בשם כוונה טובה לסיוע לארגון. זאת לאור היעדר אפשרות לכך בחקיקה ובתקנים, ומכיוון שהמבקר עלול להימצא במצב של ניגוד עניינים עתידי, העלול לפגום באי תלותו. עם זאת, במצב חירום כגון זה, יהיו מבקרים שייאותו לבצע זאת, ולכן עליהם לקבל אישור מראש של ועדת ביקורת/ הדירקטוריון, לפי העניין.
• בנוגע להתאמה של תכנית העבודה – מומלץ שהמבקר הפנימי יבחן את התכנית שאושרה וישקול לערוך שינויים והתאמות לנוכח הסיטואציה שנוצרה. להלן מספר דוגמאות:
  • הגברת החשיפה לסיכוני מעילות – עלולים להיווצר או להעמיק קשיים כלכליים של עובדים (למשל עקב הפסקת עבודה של בן/בת הזוג, שחיקה מהותית של תיקי השקעות וכיו"ב) ולהגביר את החשיפה למעילות. המבקר הפנימי יכול לבצע בדיקות ממוקדות לסיכונים אלה, למשל בנקודות כניסת הכספים ויציאתם מהארגון (בנושאי תשלומים, שכר, חישובי הכנסות, ועוד).
  • התאמת הבקרות לשינויים בתהליכי העבודה – ההתמודדות עם המשבר כרוכה במקרים רבים בביצוע שינויים בתהליכי העבודה. שינויים אלה עשויים לחייב התאמה של הבקרות ואמצעי הבקרה. יש מקום שהמבקר הפנימי יסיט משאבים לטובת ליווי השינויים ומתן יעוץ בנושאי בקרה, ו/או ביצוע ביקורות מלוות תוך מתן משוב מהיר לארגון בנוגע לחשיפות והמלצות לגידורן.
  • התרשלות בביצוע בקרות מהותיות – למשל כתוצאה מהיעדרות כוח אדם (בידוד, הוצאה לחופשה וכיו"ב) או הסטת תשומת הלב לפעילויות אחרות. יש מקום שהמבקר יבחן שבקרות המפתח המהותיות ממשיכות לפעול כסדרן, ויתריע במקרים בהם איתר חשיפות משמעותיות.
  • סיכוני אבטחת מידע וסייבר – כחלק מהתמודדות עם מניעת התקהלות וצמצום החשיפה לקורונה, ארגונים רבים עוברים לעבודה מהבית. בחלק מהמקרים מדובר בשגרות קיימות ובאמצעים טכנולוגיים קיימים בהם מוגבר השימוש, ובחלק מהמקרים מדובר ביצירת שגרות חדשות ויישום לראשונה של אמצעים טכנולוגיים לעבודה מרחוק. אלה ואלה עשויים להגביר את החשיפה לסיכוני אבטחת מידע וסייבר. המבקר הפנימי עשוי להשתלב בתהליכים אלה כיועץ לבקרה, או לבצע (זמן קצר לאחר יישומם) ביקורות לבחינת טיפול בחשיפות ואפקטיביות אמצעי ההגנה.
• להניח לארגון, אולם לא לאבד קשר ותקשורת עם מחזיקי העניין המרכזיים, כולל יו"ר הדירקטוריון, יו"ר ועדת הביקורת והמנכ"ל, בדגש על הנושאים הבאים:
  • קבלת עמדתם בנוגע למטלות שהם מעוניינים שהביקורת תשים עליהן דגש.
  • אישור, במידת הצורך, של ביצוע התאמות בתוכנית העבודה.
  • התאמה/ שינוי, במידת הצורך, של כתב ההאמנה (צ'רטר הביקורת הפנימית), לצורך ביצוע פעילויות ייעוץ והגדלת טווח הפעולה ורמת שיתוף הפעולה עם הביקורת בהווה ובעתיד.
  • עדכון בנוגע לחשיפה לאי-עמידה בתוכניות העבודה. ככלל, נראה שבנקודת זמן זו, מוקדם מדי לקבוע מה תהיינה ההשלכות של אי-עמידה בתוכנית העבודה השנתית, ויתכן שניתן יהיה להתגבר על פיגורים בהמשך השנה (במאמץ מוגבר). בכל מקרה, ראוי לשקול ולהתריע באופן מסויג, ולעשות הערכת מצב טובה יותר לקראת אמצע השנה.
• לא להלאות, אולם כן להפנות את תשומת הלב לסיכונים שעשויים להתפתח כתוצאה ישירה או עקיפה של מגפת הקורונה– לדוגמה:
  • מקרי הדיוג (phishing) ופעילות סייבר שמתגברים – לוודא שמנהל אבטחת המידע מודע, מטפל ומתקשר. הנושא מקבל משנה חשיבות בד בבד עם העברת עובדים לעבודה מהבית (או פיזורם בין מספר אתרים של הארגון), יצירת התקשרות מרחוק, וכאשר אין לארגון מספיק מחשבים ניידים לספק לעובדים- ולכן עובדים נדרשים לעבודה ממחשבם האישי (שאינו מאובטח בהכרח לפי מדיניות האבטחה של הארגון). בנוסף, יש לשים לב גם לפיקוח, בקרה ורישום באשר לרכש חדש של מחשבים ניידים והשאלת מחשבים לעובדים לצורך עבודה מרחוק.
  • פגיעה אפשרית באיכות התקשורת הדו-כיוונית והדיווח בין העובדים להנהלה.
  • הפרעות לאחסון חיצוני של מידע.
  • מפרי בידוד – הארגון לא בהכרח מודע וערוך לאכוף מקרי עבודת שטח של עובדים המפרים בידוד.
  • הפניית תשומת הלב לַצורך בעמידה ברגולציות החלות על הארגון והחשיפות המשפטיות – גם בעת הזו.
  • סיכון תדמיתי לארגון, כתוצאה מתפקוד ומתגובה לקויים בעת משבר, עלול להחריף את הנזק הפוטנציאלי לאחר סיום המשבר: לקוחות שמדירים רגליים, גופים פיננסיים שמסרבים לתת מימון וכד'.
  • האם הנהלת הארגון מתייחסת להשפעות אפשריות לטווח ארוך- השפעת משבר הקורונה על הכלכלה יכולה להימשך חודשים ואף שנים. ראוי לחשוב על תחזיות צמיחה עסקית, תזרים מזומנים ועוד.
  • היערכות הארגון ל"יום שאחרי": חזרה מהירה לייצור או מתן שירותים, מענה לביקוש. הארגון שחוזר ראשון "לרכב על הסוס" הינו ארגון שעשוי לשרוד באופן מיטבי לטווח ארוך.
• בנוגע לביצוע עבודת הביקורת עצמה – לאור דלוּת הקֶשֶב הארגוני וכדי להמשיך להיות רלבנטיים, ראוי במיוחד בעת הזו – לשקול המלצות באשר לצעדי תיקון נחוצים לאזורים המהותיים ביותר, אף מעבר לתקופה "רגילה".
• מעקב תיקון ליקויים – מוצע שהביקורת הפנימית תשקול לעקוב אחר יישום ההמלצות המרכזיות, כך שהארגון לא ישקיע את משאביו בתיקון ליקויים באזורים שלא נדרש לטפל בהם כעת. כמובן שניתן לדחות לעתיד את מעקב היישום לגבי ההמלצות שהינן פחות מהותיות.
• מה עושים ב"יום שאחרי"?
  • ברמת הארגון- מומלץ לבחון שהארגון מבצע בחינה והפקת לקחים מהתנהלותו בעת המשבר, בין אם הכין מראש תוכנית המשכיות עסקית והיערכות לתרחישי קיצון, ובין אם לא הכין תוכנית כזו.
  • ברמת הביקורת הפנימית-
    • מומלץ שהביקורת עצמה תבצע הפקת לקחים, כפי שאנו דורשים מלקוחותינו (המבוקרים), ותבחן האם היו ברשותה תוכניות מגירה מתאימות להתנהלות בעִתות משבר, ובמידת הצורך- תכין/ תשפר/ תעדכן תוכניות אלה.
    • בחינת תוכנית העבודה של הביקורת והתאמתה ל"יום שאחרי"- נוהלי חזרה לשגרת עבודה והכנת תוכנית לתיעדוף משימות הביקורת. חלקן של היחידות העסקיות יתמקד, ללא ספק, ב"ליקוק הפצעים" ובשיקום, ולא יהיה זמין.

*חלק מהקווים המנחים נשען על הבלוג של Richard Chambers, נשיא ומנכ"ל ה- IIA העולמי.

The post קורונה. לבקר או לא לבקר, זו השאלה… appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

The post ערב עיון- מבקרים פנימיים מנהלים סיכונים 06.05.18 appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

המורכבות של התרבות – תרבות ארגונית מוגדרת כ"ערכים המשפיעים בפועל על ההתנהגות היומיומית בארגון". אין הכוונה לערכים המוצהרים של הארגון או לערכים שאליו שואף הארגון, אלא לערכים שעל פיהם חיים האנשים במקום העבודה. תרבות מעוצבת בראש ובראשונה באמצעות הטון שבצמרת, אך גם מושפעת מגורמים אחרים כגון אסטרטגיה עסקית, מבנה ארגוני, תמריצים, ערכים אישיים של העובדים והתנהלות משאבי האנוש. כל אחד מהגורמים פועל ומגיב לגורמים האחרים לכדי רשת סבוכה.

תתי תרבויות – לעיתים מנהלים יוצרים תתי תרבויות במעגלי ההשפעה שלהם, העשויות שלא להיות תואמות לתרבות הכללית. האתגר שמייצרים מנהלים אלו הוא הזדמנות עבור הביקורת הפנימית, מכיוון שמצב כזה ניתן לזיהוי במהלך הביקורת ויש בו כדי לספק מידע בעל ערך להנהלה בדרגות הגבוהות יותר.

תרבויות שונות – אין "תרבות נכונה" כפי שאין מאזן נכון של סיכון/סיכוי. כך למשל ייתכן שחטיבת הכספים בארגון תהיה בעלת תרבות שמרנית יותר, ואילו לחטיבת המכירות תהיה תרבות אגרסיבית יותר, שיכולה להיות הולמת בגבולות מסוימים. כדי להתמודד עם האתגר, למבקרים פנימיים צריך להיות כושר שיפוט טוב, הבנה עסקית ותקשורת פתוחה, על מנת להציב את השוני בין התרבויות בפרספקטיבה נכונה ולקבוע מתי התרבות הולמת ומתי לא.

אין קריטריונים מוגדרים – באופן אידיאלי, ההנהלה והדירקטוריון אמורים להגדיר את הציפייה שלהם עבור כל אחד מחלקי הארגון, כמו גם את ההתנהגויות שנצפו וזוהו ככאלו שמדגימות התאמה או חריגה מהציפיות. זה כמעט שלא נעשה. היעדר קריטריונים ברורים וספציפיים לבקר לאורם, מגבירים את האתגר שבעריכת ביקורת בנושא. בהתייחס לאתגר הנ"ל, מספר יחידות ביקורת פנימית פיתחו מודל תרבות – בדרך כלל מקורו במודל שפותח על ידי חברה חיצונית. כך למשל, חברת פרודנשל משתמשת במודל שפותח על ידה בשיתוף עם חברת EY. לאחר שהדירקטוריון וההנהלה מאמצים את המודל, הביקורת הפנימית יכולה לבנות תוכנית ביקורת וכלי ביקורת מוכוונים לציפיות הספציפיות ולהתנהגויות באותה המסגרת.

הארגון הרחב – קיים קושי לזהות חוסר עקביות תרבותית בפעילות גלובלית. פונקציות מיקור חוץ, ספקים ושותפים למיזם משותף, עלולים להזיק לארגון. מבקרים פנימיים חייבים להתאים את גישתם, את כלי הביקורת, ואת כושר שיפוטם בהתחשב בשוני התרבותי של המדינות השונות. ארגונים מסוימים דורשים מהספקים שלהם ומספקים של צדדים שלישיים להגיש דוח שנתי המציג את האופן שבו הם מצייתים לערכי הארגון, ולאחר מכן נפגשים עמם כדי לדון בדוח. הדיון יכול להיות משמעותי יותר מהדוח עצמו.

תרבות היא תפיסה – בטרם ניגש לטכניקות המשמשות מבקרים פנימיים בביקורת על התרבות, ישנו עיקרון בסיסי ואתגרים המיוחסים לו הראויים לדיון. התרבות הארגונית לא קיימת במסמכים פורמליים, כגון קוד אתי או הצהרת ערכים, שרק משקפים את מה שמציג הארגון ביחס לתרבות הרצויה. התרבות גם לא קיימת במה שהדירקטוריון וההנהלה אומרים למבקרים על התרבות, אלה יכולים לתאר את מה שהם מחשיבים כתרבות הארגון. אך תפיסתם את התרבות מסוננת על ידי חוסר נכונותם של העובדים לומר להם שיש בעיות בתרבות הארגונית.

התרבות קיימת בתפיסות העובדים. אם עובדים מאמינים שהתרבות הארגונית היא "לנצח בכל מחיר ויש לעשות כל מה שנחוץ לשם כך", זו הדרך שבה הם יתנהגו. אם העובדים מאמינים שהתרבות היא כי "הלקוח בראש סדר העדיפויות", זאת הדרך שבה הם ינהגו. זאת גם הסיבה שההגדרה הנפוצה לתרבות היא "הדרך שבה נעשים כאן הדברים". העובדים הם המקור הטוב ביותר של מידע על התרבות, אך השגת המידע מהם מציבה מספר אתגרים עבור מבקרים פנימיים.

• עובדים עשויים להיות לא גלויים לחלוטין, במיוחד אם הם חוששים מהתנכלות עקב מסירת מידע שלילי למבקר.
• עובדים עלולים ללקות בכתמי עיוורון תרבותי, הגורמים להם שלא לראות חולשות בתרבות הארגונית.
• חלק מהעובדים עלולים להיות מתלוננים סדרתיים.
• סקרים, ראיונות וסדנאות הנערכים על ידי מבקרים פנימיים עשויים גם הם לכלול אותם "כתמי עיוורון".
• התגובות לתוצאות הביקורת עשויות גם הן להיות מושפעות מהתרבות.

מבקרים פנימיים חייבים להיות מודעים לאתגרים אלו, ולהשתמש בידע של הארגון שלהם, בשיקול דעתם ובכישוריהם הבין-אישיים על מנת להתמודד עמם. כל זאת במקביל לפיתוח טכניקות להערכה. ישנם מספר מפתחות לעריכת ביקורת תרבות ארגונית מוצלחת.

גורמי הצלחה

מנהלים ודירקטורים מודעים, לפחות באופן אינטואיטיבי, לאתגרים שבביקורת התרבות, ועשויים להיות ספקנים באשר ליכולתה של הביקורת הפנימית להתמודד עמם. על מנת שהביקורת תצליח הם צריכים להיות מוכנים לקבל ראיות פחות מוצקות מאשר אלו שהם רגילים לקבל, וכן את קיומם של תחומים אפורים.

מבקרים פנימיים ראשיים צריכים לשכנע את המנהלים והדירקטורים כי לצוות הביקורת יש את הכישורים, את שיקול הדעת ואת הכלים הנחוצים על מנת לספק תובנות בעלות ערך על התרבות. כמובן שצוות הביקורת צריך להיות בעל יכולות אלו. אם אכן כך, ואם התקבלה הסכמת ההנהלה, מיסוד ביקורת בנושא תרבות ארגונית כחלק מהצ'ארטר (כתב האמנה) של הביקורת הפנימית יכול להועיל.

אם לצוות אין את היכולות הנדרשות, מוטב להתקדם עקב בצד אגודל על מנת להעריך בקרות רכות, תוך כדי בניית והכשרת הצוות לקראת מיקוד חזק יותר בתרבות.

כישורי ביקורת – בהתאם לדוח של לשכת המבקרים הפנימיים בבריטניה (משנת 2016), מבקרים פנימיים בבריטניה ובאירלנד סבורים כי הכישורים הנדרשים ממבקרים לעריכת ביקורת תרבות הם:

• שיקול דעת מקצועי (84%).
• מבקרים מנוסים או בכירים להובלת הביקורת (71%).
• מיומנויות תקשורת משופרות להעברת ממצאים לא נעימים (60%).
• כושר השפעה ומיומנות ניהול משא ומתן (48%).
• הכשרת מומחים לשיטות איכותיות ועיצוב שאלוני סקר (33%).

על פי הסקר, רק 21% מהנשאלים השיבו כי למבקרים יש כבר את הכישורים הדרושים להערכת תרבות ארגונית והבקרות הרכות.

ארגונים יכולים להשלים את כישורי צוות הביקורת על ידי שותפות עם שומרי סף אחרים, דוגמת אלו שבקו ההגנה השני. שיתוף פעולה עם יועצים חיצוניים יכול להיות אופציה טובה נוספת.

יחסי הביקורת והארגון

תמיכה מלמעלה היא חיונית אך לא מספיקה. הביקורת הפנימית חייבת לזכות באמונה של הנהלת הארגון בדבר יכולתה להתמודד עם נושאים רגישים באופן נאות. אם זה לא קורה, על המבקרים הפנימיים להישען תחילה על כלים כגון סקר עובדים אנונימי ולהתמקד בבניית מערכת יחסים נאותה. תשומת לב מיוחדת צריכה להינתן לכתיבת ממצאי הביקורת, באופן שסביר להניח שיוביל לפעולות מתקנות ולא לתגובות שלילות בלתי רצויות.

המבקר הפנימי הראשי ומנהלי הביקורת יצטרכו לעבוד באופן הדוק יותר עם צוות הביקורת, כדי להבטיח שהם מפעילים שיקול דעת ותקשורת הולמת עם לקוחות הביקורת.

 מיקוד וטכניקות

ביקורות התרבות המקיפות ביותר משלבות בדיקות של בקרות קשות ורכות במגוון רמות. לדוגמה:

• ביקורת בקרות על ממשל תאגידי, מבנה ופעילות של ניהול הסיכונים.
• ביקורת על תהליך המושפע באופן מהותי מהתרבות הארגונית, כגון הכשרות בנושא אתיקה, תמריצים ותהליכים משאבי אנוש.
• ביקורת חוצה ארגון על היבטים של תרבות, של ציות ושל יוזמות ניהוליות.
• שילוב ביקורת בהיבטים הקשורים לתרבות הארגונית בכל מטלת ביקורת.

תוצאות הביקורות צריכות לכלול ראיות מוצקות, ככל שניתן, כמו גם תוצאות של ראיונות וטכניקות אחרות של הערכה עצמית. יש לקשר ולנתח את כל ראיות הביקורת עד שיתקבלו ממצאים סבירים ומשכנעים לגבי התרבות הארגונית. בטרם מגיעים למסקנות סופיות יש לדון בהן עם כל רמות הארגון.
טכניקות ביקורת פנימית שהוכיחו את עצמן כאפקטיביות בביקורת תרבות הן: ניתוח סיבות שורש, ראיונות מובנים, סקר עובדים וסדנאות הערכה עצמית.

• ניתוח סיבות שורש מהווה בסיס לכל ביקורת פנימית טובה. אם נחפור לעומק נגלה כי לעיתים קרובות סיבות שורש של נושאי ביקורת הן תרבותיות. ייתכן ניתוק בין התרבות הכללית הרצויה לבין תת תרבות שנוצרה על ידי מנהל מסוים. תופעה כזאת עלולה להיות נפוצה, ראייה רוחבית על סמך מספר ביקורות יכולה ליצור ראיה משכנעת לתרבות הכללית.
• ריאיון מובנה מאפשר למבקרים פנימיים לשאול קבוצת עובדים את אותן השאלות. כך למשל על מנת לבדוק אם קיימת בארגון תרבות של ציות, המבקר הפנימי הראשי ראיין באופן אישי מדגם של 65 עובדים מתוך 1,000. הוא החל בשאלות פשוטות על מנת לייצר תחושה נוחה, ולאחר מכן עבר בהדרגה לשאלות הרגישות יותר, כגון "האם אי פעם נדרשת לבצע פעולה המנוגדת לקוד ההתנהגות העסקית או למדיניות החברה?".

טכניקה זאת אובייקטיבית יותר בריאיון שאינו מובנה, היות שסט אחד של שאלות ומראיין מיומן אחד מבטיחים עקביות בתהליך. כמובן שהדבר דורש רמה גבוהה של מיומנות עריכת ריאיון, על מנת לאתר מתי תשובה חיובית של מרואיין אינה מייצגת את מה שהוא באמת חושב, וכן יכולת לשאול את השאלה העוקבת הנכונה. טכניקה זאת גם נשענת על הבנת המראיין את מה שנאמר, ועל נכונותה של ההנהלה להאמין שהשיטה מדויקת.

• לעריכת סקרים בקרב העובדים יש יתרון באיסוף ראיות ממדגם גדול של עובדים ובהפקת נתונים אובייקטיביים. הטכניקה הנפוצה ביותר עבור מבקרים פנימיים היא לבקש מעובדים להתייחס לסדרה של הצהרות ולציין אם הם מסכימים מאוד, מסכימים, לא מסכימים, או מאוד לא מסכימים לכל הצהרה. לצד זאת יש אפשרות לציין "לא ישים" או "לא יודע", ואז לא לוקחים בחשבון תשובה זאת בתוצאות הסקר. המבקר יכול לציין לדוגמה בדוח הביקורת כי 46% מהעובדים שהשיבו לסקר "לא מסכימים או מאוד לא מסכימים עם ההצהרה…", זאת עובדה אובייקטיבית והמבקר צריך לאתר ראיות תומכות ולחקור את סיבות השורש.

סקר מובנה וטוב, המספק לעובדים ביטחון באנונימיות שלו ואמונה כי יינקטו פעולות לטיפול בחששותיהם, יכול להפיק נתונים המשקפים את תפיסת העובדים את התרבות. כמובן שייתכן שתוצאות הסקר ישקפו תפיסות מוטעות, וזאת הסיבה שעל המבקרים לאתר ראיות תומכות. אם תוצאות הסקר יציגו תפיסות מוטעות של העובדים, גם אז מדובר במידע בעל ערך שיש לדווח עליו למנהלים על מנת שיוכלו לתקן תפיסות שגויות שעלו בסקר.

ניתן להשתמש בסקרי עובדים בשתי רמות: בפרויקט ביקורת או בארגון. לחלק ממחלקות הביקורת הפנימית יש סקרים סטנדרטיים לכל נושא ביקורת, עם סעיף בדוח הביקורת הכולל תוכניות לפעולות מתקנות. אחרים מתחים סקר לביקורת אחת בלבד, כאשר המצב ורמת הסיכון מצדיקים את משאבי הזמן הדרושים לכך. חלק ממחלקות הביקורת פתחו וניהלו סקר ארגוני רחב, אך מצב זה פחות נפוץ.

ברבים מהארגונים הגדולים קיים סקר עובדים רחב. מרבית הסקרים הללו אינם כוללים (או כוללים מעט מאוד) נושאי אתיקה או סיכונים הקשורים בתרבות. כמה מבקרים פנימיים שבחנו את תוכנו של הסקר פיתחו הצהרות שעוסקות בנושאים אלו ושכנעו את ההנהלה להוסיף אותן לסקר. לאחר מכן הם יכולים להשתמש בתוצאות הסקר הארגוני לאיתור גורמי סיכון לצורך הכנת תוכנית ביקורת תקופתית. כאשר הסקר כולל סוגיות תרבותיות בישות הניתנת לביקורת, ניתן להשתמש בתוצאות הסקר גם כדי לסייע בתכנון ובהיקף הביקורת באותה הישות. כאשר מתגלים ליקויים בתהליך, ניתן להסתייע בתוצאות הסקר כדי לזהות את סיבות השורש. הקישור בין הליקוי  האובייקטיבי המובהק לתוצאות הסקר יכול לשכנע  את ההנהלה כי קיימת בעיה תרבותית.

• סדנאות היו בין הכלים הראשונים ששימשו מבקרים פנימיים להערכת בקרות רכות. בטכניקה זאת קבוצה של עובדים מונחית בדרך כלל תוך שימוש באותו סוג של הצהרות שמשמשות בסקרים, יחד עם שימוש בטכנולוגיית הצבעה המבטיחה כי תוצאות ההצבעה יהיו חשאיות. דיון בסוגיות שעלו עם העובדים יכול להיות חוויה עוצמתית. כיום שימוש בטכניקה של סדנאות משמשת יותר את מחלקות ניהול הסיכונים, בעוד מבקרים פנימיים משתמשים לעיתים קרובות יותר בסקרים.

מדדים

מלבד טכניקות אלו, מבקרים פנימיים יכולים להשתמש במדדים שמשקפים את התרבות כדי לפתח תוכנית ביקורת תקופתית, תכנון ומיקוד בפרויקט ביקורת, וכדי לתמוך בתוצאות הביקורת. נתונים מדידים יכולים להיות משכנעים. לוח מחוונים חודשי יכול לספק להנהלה ולדירקטוריון נקודת מבט רבת משמעות על התרבות. לוח המחוונים יכול להציג מדדים, כגון:

• תוצאות סקר שביעות רצון לקוחות.
• מספרים ומגמות בתלונות לקוחות.
• נתונים סטטיסטיים של המחזור.
• נתונים סטטיסטיים של חופשות מחלה.
• תביעות אחריות.
• תדירות וביצועים של יעדים שלא הושגו.
• תדירות כישלונות בפרויקטים גדולים.
• נתונים סטטיסטיים של הקו החם.
• השפעת מידע סביבתי.

המדדים הטובים ביותר לשימוש מבקרים פנימיים תלויים בארגון. מספר מדדים יהיו ספציפיים לארגון או לתעשייה.

מודל הבשלות

תרבות אינה נתונה למתן ציוני עבר /נכשל לפי דעתו של המבקר הפנימי. הנחיות לשכת  המבקרים הפנימיים העולמית ה-IIA כוללים המלצה לשקול שימוש במודל הבשלות לדיווח על תוצאות הביקורת בנושאים רגישים. באמצעות מודל הבשלות, ההנהלה והדירקטוריון יכולים להחליט עד כמה הם רוצים שהארגון יהיה בשל כל אחד מהפרמטרים שמנינו.

תוצאות הביקורת הפנימית יוצגו במונחים של המודל ויסייעו למדוד את מידת הבשלות של כל פרמטר בפועל. צורת דיווח שכזאת מניחה שהארגון שואף להגדיל את רמת הבשלות בפרמטרים החשובים לו, ומסייעת למדוד את ההתקדמות באותם הפרמטרים לאורך הדרך.

 ראיות תרבותיות

ייתכן שתרבות ארגונית היא נושא הביקורת המאתגר ביותר שהמקצוע התמודד איתו אי פעם. מבקרים פנימיים חייבים להיות מציאותיים לגבי האילוצים הקיימים בארגון שלהם. אם האילוצים ממשיים, מבקרים צריכים לעשות את מה שניתן כרגע, ולהמתין להזדמנות להרחיב את הפעילות עם הזמן.

ייתכן שזה יהיה בלתי אפשרי לחוות דעה על תרבות הארגון, אבל מבקרים פנימיים טובים המשתמשים בטכניקות טובות, כושר שיפוט וכישורי תקשורת, יכולים להציג ראיות מוצקות על התרבות להנהלה ולדירקטוריון. לאורך זמן התמונה שתצטייר תהיה ברורה ומשכנעת יותר. זה עשוי להיות המידע החשוב ביותר שהביקורת תספק אי פעם.

• מאמר זה הוא תרגום של המאמרHow to audit Culture By James Roth, PHD, CIA, CCSA

June 2017 Internal Auditor Magazine

The post הסיכון בתרבות – והאופן שבו ניתן לבצע ביקורת בנושא תרבות ארגונית appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.