3 מגמות בניהול ה SOX בתקופת משבר
שנת 2020 והתמודדות העולם עם מגיפת הקורונה טרפו את הקלפים והצריכו מאיתנו כפרטים וכארגונים להיות גמישים יותר ולבצע התאמות מהירות לאיך שאנו מבצעים את העבודה שלנו ובכלל מתנהלים בסביבת עבודה שונה ובחוסר וודאות של העתיד לבוא.
אם נבחן איך הדרג הניהולי מתמודד נגלה כי הדירקטורים עוסקים בשאלות של המשכיות עסקית.
איך מנהלים עובדים בעבודה מרחוק? איך זה משפיע על תהליכי המכירה, האם כאשר תהליכי המכירה נערכים בפגישות וידאו מקצרים תהליכי המכירה ? איך הארגון ערוך מבחינת היכולת שלו להכיל יותר פרויקטים בתקופת זמן קצרה ועם כוח אדם מפוזר? איך מתמודדים עם נושאי הבטחת מידע? התקפות סייבר? מעילות והונאות?
אז מה השתנה בפועל?
1. טרנספורמציה דיגיטלית
גם פעילות הבקרה בארגונים הושפעה משינויים אלה וארגונים נדרשו להתאמות בכדי לייצר המשכיות עסקית. העבודה מרחוק האיצה את התקשורת הדיגיטלית:
שיחות הוידאו מרובות משתתפים החליפו את הפגישות הפרונטליות, זמני טיסות למדינות מעבר לים נחסכו ובכך המעבר בין פגישה לפגישה הפך מהיר כלחיצת כפתור ובכך נוצר אקלים ארגוני המקדם פרודוקטיביות.
מסמכים עם חתימה דיגיטלית החליפו את הראיות והמסמכים שהוחתמו ידנית. ואם היה צורך לביסוס ראיות לביצוע בקרות עמוקות יותר מצטרפים אנשי הביקורת לפגישות תוך כדי תיעוד ההחלטות בפורוטוקלים מסודרים.
גישה למערכות מידע – החשיבות למערכות מידע ארגוניות המאפשרות גישה מרחוק עלה כצורך בסיסי להמשכיות עסקית. אנו עדים להתגברות חזקה לפתרונות סוקס ממוכנים.
כמה טיפים לניהול ה SOX בעבודה מרחוק.
בדקו ובחנו מחדש את כל הבקרות והתאימו אותם לעולם החדש – מה שלא רלוונטי להוריד ובמידת הצורך להוסיף בקרות חדשות.
בחנו מחדש את תהליכי העבודה – האם מבצעי הבקרות מקיימים את הבקרות? האם צריך לבצע שינויים? האם יש צורך בבקרות מפצות? יש לשמור על רציפות הבקרה, אם ישנה בקרה שבוצעה באופן תקופתי, ומישהוא נכנס לבידוד, מישהו אחר צריך להמשיך את הבקרה.
השתמשו נכון במשאב האנושי – זמינות המבוקר היא פחותה, גלו גמישות לגבי זמינות המבוקרים, וצרו מולם ערוץ תקשורת המותאם לצרכים ולזמינות שלהם, אם זה במייל או בשיחות וידאו.
העזרו בטכנולוגיה – שימוש נכון בטכנולוגיה יכול לשפר את תהליכי העבודה, לאפשר גמישות בתהליכים וליישמם במהירות הנדרשת בתקופה של שינוים תדירים ובכלל.
2. התגברות תופעת המעילות וההונאות בארגונים
אנו עדים בתקופה זו לעליה במקרים של מניעות והונאות וניסיונות לתקיפות סייבר.
ישנה גישה שאומרת שהתגברות המעילות וההונאות היא כתוצאה משינויים שקרו בתקופת הקורונה.
נוהגים להתייחס לנושא ההונאות והמעילות על פי משולש ההונאה:
- הזדמנות – עבודה מרחוק באמצעות תקשורת דיגיטלית, גישה למאגרי המידע של החברה בחיבור מרחוק, שיחות ועידה מרובות משתתפים כאשר לא כולם חושפים את עצמם בוידאו ללא יכולת לבקר מי מאזין או מי שנמצא בצד השני של השיחה.
- מוטיבציה – תחושה של לחץ, אי וודאות.
- רציונליזציה – לעיתים ממקום של מרמור של עובדים על הרעת תנאים, קיצצו לי בשכר, הוציאו אותי לחל"ת, הספינה שוקעת וכו'
חשוב לקחת בחשבון את תרחיש ההונאה ולבצע חישוב מחדש ולהתאים בקרות חדשות.
גישה נוספת מייחסת את התגברות המעילות וההונאות לרוטציה שנעשיתה בכוח האדם. הגישה הזו יוצאת מנקודת הנחה כי כ 50% מההונאות והמעילות מתגלות ע"י עובדים, לכן כאשר חלקם יצאו לחל"ת או הוחלפו נוצרה בקרה נוספת על העבודה והמעילות וההונאות נחשפו.
התשובה למזעור המעילות וההונאות בארגון היא בהטמעת כלים אוטומטיים, כגון התראות שונות על טרנזקציות רגישות, סקירות לוגים תקופתיים, סקירות בדיקות דאטה אחת לתקופה, הדרכות על הבטחת מידע לעובדי הארגון ועוד.
ברגע שמחברים את קווי ההגנה בארגון ומנהלים אותה כמקשה אחת, כאשר עולם הסיכונים רואה את עולם הסוקס והביקורת פנים קל יותר לחשוף ולמנוע תופעות של מעילות.
3. התגברות כמות הבקרות
זה נראה כי כמות הבקרות גדלה וניהול הבקרות נהפך מורכב. איך מתמודדים עם כמות הבקרות בארגונים גדולים וגלובליים?
התשובה היא באמצעות "בקרות חכמות" – באמצעות הטכנולוגיה ניתן לעלות על כפילויות ולצמצם בקרות . כמו כן חשוב להגדיר את הסיכון כמו שצריך, ברגע שהסיכון מוגדר נכון הניהול של הבקרות מדוייק יותר. בתהליך סינון הבקרות יש לשאול את עצמנו מספר שאלות :
- מאיפה הבקרה הגיעה?
- על איזה סיכון היא עונה?
- האם יש בקרות נוספות שבאות לענות על אותו הסיכון?
איך מיישמים בפועל? יש להבחין במערכת בין בקרה מובילה ובקרה מובלת – בקרה מובילה היא הבקרה הנדגמת, בקרה שניה מצוטטת על הבקרה הראשונה וניזונה מהפידבק של הבקרה המובילה.
לסיכום:
נציין כי התקופה האחרונה האיצה את הטרנספורציה הדיגיטלית גם בעולם הביקורת הפנימית. ארגונים רואים לנכון ביישום תהליכים אוטומטיים ותמיכה דיגיטלית בעבודה מרחוק וכן מבינים את החשיבות בייעול תהליכים אשר יאפשרו תגובה מהירה לשינויים הנדרשים, בהתאם למגמות החדשות בשטח.
יישום של מנגנוני הגנה רוחביים בארגון המחברים את עולם הסוקס עם עולם הביקורת פנים ועולם הסיכונים, מאפשר קבלת תמונה רחבה על מצב הארגון. באמצעות הטכנולוגיה ניתן לקבל התראות על חריגים מבלי לעבור על כל הבקרות ולחפש את היוצאים מן הכלל, למזער את הסבירות לקיום מעילות והונאות בארגון ולמנוע בקרות כפולות.
ערן סטרול, רו"ח ומנהל פעילות GRC, טופ סולושנס