השנים האחרונות והתקופה האחרונה במיוחד היו מאתגרות למנהלי הביקורת.

הטרנפורמציה הדיגיטלית המואצת בארגונים הביאה עימה אתגרים רבים החושפים את הארגון לסיכונים חדשים ומכורח זאת מאלצת את המבקר לסגל תהליכי ביקורת דינמיים מוטי סיכונים.

תהליכים אלו באים לידי ביטוי ביכולתה של פונקצית הביקורת הפנימית להיות שותפה פעילה  בעבודת המיפוי הערכה ומדידה של הסיכונים וכן ביכולתה לסייע במעקב אחר ביצוע פעולות הפחתה שהוקמו לטובת מענה לאותם סיכונים.

כיצד באה לידי ביטוי תפיסת ניהול סיכונים פרואקטיבית בעולם הביקורת?

בעוד שמנהל הסיכונים  אחראי על זיהוי וניהול הסיכונים הקשורים לארגון, באחריות הביקורת הפנימית להתמקד באישוש התרחישים הקיימים מחד ומאידך הסיוע בזיהוי תרחישים חדשים וזאת כפועל יוצא של שיגרת העבודה.

המרכיבים הבסיסיים של תפיסה זו: 

• אישור מתודולוגיה משותפת עם מנהל הסיכונים לטובת יצירת שפה משותפת.

• אישורה בהנהלת החברה/הדרקטוריון.

• על בסיסה מבוצע ניתוח שנתי של מפת הסיכונים הארגונים תוך התמקדות בתהליכי ליבה (אשר אושרו בדרקטוריון).

• לאחר קביעת סקופ תוכנית העבודה השנתית יבוצעו השלבים הבאים : 

o איסוף מידע על סיכוני מפתח בהתייחס לרמת הסיכון השורשי (תוך התעלמות מוחלטת מרמת הסיכון השיורי).

o ביצוע הערכת אפקטיביות סביבת הבקרה באותם סיכונים.

o ניתוח נקודות החולשה בתשתית הבקרה.

o ניתוח אירועים וממצאים אשר יכולים להעיד על אפקטיביות תשתית הבקרה.

נק' מפתח להשגת אפקטיביות מקסימאלית :

 ביצוע של הערכת אפקטיביות תוכנית העבודה הרב שנתית בסיומה של כל שנה כמענה לאותם סיכונים – בתהליך זה נדרש המבקר לאיזון בין היכולת לנתח ולהגיב ע"י עדכון תוכנית העבודה השנתית לבין היכולת האופרטיבית לנהל את משאבי הביקורת ולהתאימם לצרכים אלו.

 ניתוח אנליטי של מפת הסיכונים בהתסתכלות רחבה על התהליכים תוך מציאת "גורמים משותפים" היוצרים חריגה כגון : 

o דפוס של חוזר של גורמים המעורבים.

o קטגוריות/מאפייני סיכון על בסיס יישום COSO – האם קיימת קטגוריה/יות בולטות ברמה רוחבית ?

o ניתוח של תשתית הבקרה ומציאת גורמי כשל משותפים, חוזרים או תלות בגורם משותף.

כיצד נבצע מעקב אחר ממצאים משמעותיים שהינם בעלי פוטנציאל השפעה קריטי על הסיכון ?

תהליך עבודת המבקר אינו מסתיים בהצגה ואישור הממצאים בדרקטוריון. בנוסף לביצוע בפועל של הביקורות, על פונקציית הביקורת הפנימית להקים ולתחזק מערכת לפיקוח על התוצאות שהועברו להנהלה הכוללת יכולת מעקב אוטומטי אחר ביצוע תוכניות התיקון תוך הצפה של חריגות מבעוד מועד וזאת על בסיס הערכת רמת סיכון/חומרה פרטנים לכל ממצא והשפעתו על מפת הסיכונים.

חשיבות השימוש במערכת לניהול מעקב אחר ממצאים :

הדרך היעילה לעקוב אחר יישום ההמלצות היא באמצעות שימוש בטכנולוגיה אשר מאפשרת ניהול המידע הנאסף על ידי מנהל הביקורת חלוקה על פי רמות סיכון, המלצות על ניהול הסיכון, ציוות מנהל ומעקב אחר ההחלטות המתקבלות והיישום בתוכניות העבודה.

המטרה של המעקב היא לוודא כי המנהלים מיישמים בפועל את ההמלצות בתוך תכניות העבודה ושישנה התייחסות מתאימה לנקודות שהועלו.

שימוש בטכנולוגיות מתקדמות לניהול ומעקב אחר יישום ההמלצות מאפשר ייעילות ואפקטיביות לאורך זמן. 

הטכנולוגיה מאפשרת למנהלי הביקורת לצוות משימות לדרג הניהולי ולעקוב אחר ביצוע וסטטוס המשימה. 

המערכת מכילה מנגנון התראות המאפשר קבלת מייל המודיע על אי יישום או אי התאמה בדיווח. תזכורות אלה מעודדות את מבקר הפנים לצור קשר עם ההנהלה באופן סדיר ולפקח אחר התקדמות המשימות.

במסגרת התהליך, מבקר הפנים יכול לקבל את מענה ההנהלה לאותה משימה או לפתוח משימה נוספת אשר מבקשת ראיות תומכות נוספות לסגירת המשימה תוך מתן לוח זמנים סביר למענה.

כאשר תהליך ניהול הסיכונים מוטמע, המעקב אחר תוכניות הפעולה הנובעות מפעילות אבטחה עשויות להשתלב בדיווח ביצועים רחב יותר. בגישה זו, ההנהלה לוקחת על עצמה את האחריות לדיווח הקשור לוועדת הביקורת. הדיווח מוצג בדשבורד בתצוגת לוח מכוונים: המלצות / פעולות ניהוליות ממתינות, מתבצעות או שלמות, לשימוש ההנהלה הבכירה ולוועדה.

שימוש בניתוח של קו מגמה להתפתחות סיכון/רמת סיכון בתהליך

בתהליך זה אנו ננטר את אפקטיביות הבקרה ע"י איתור חוסר אנומליות בין קו המגמה המציין את התפתחות הסיכון השורשי לבין הקו המתעד את הסיכון השיורי.

שימוש במפת חום

המדריך לניהול סיכונים ארגוניים COSO ממליץ לארגונים בשימוש במפת חום.

המפת חום מאפשרת לארגון לראות בצורה ויזואלית כיצד סיכונים הנצפים במחלקה אחת בארגון משפיעים על מחלקה אחרת בארגון ובכך ניתן לצפות איך הארגון מגיב לסיכונים.

היות ולכל ארגון יש משאבים מוגבלים לניהול הסיכונים, יש לוודא כי הארגון מנצל את המשאבים בהתאמה , באמצעות מפת החום תוכלו לראות בבהירות איפה מנוצלים המשאבים וכך לנהל את המשאבים ביעילות ובאפקטיביות גבוהה.

ניתוח אנליטי של גורמי/מאפייני סיכון לטובת מיקוד המבקר

להלן דוגמה ליכולות ניתוח מערכתיות של מפת הסיכון בהתייחס למאפייני סיכון – בשיטה זו ניתן לנתח את מוקדי הסיכון ע"פ שיוך הסיכונים לגורם, פעילות, קטגוריה ורמת אפקטיביות

תצוגה ראשונה – התמקדות בכלל התהליכים והסיכונים :

תצוגה שניה  – התמקדות במפה על סמך הקריטריונים שנבחרו : ניתן לראות שבהתמקדות בגורם הסיכון שנבחר רמת הסיכון בניתוח אותו גורם עלתה.

מוזמנים להתייעץ איתנו בהטמעת מערכת התומכת בפעילות המבקר בתוך מערכת הוליסטית שלמה לניהול ה GRC בארגון.