בעקבות אירוע | תפיסת העבודה של מבקר הפנים ארגוני בעידן המודרני
מאת ד"ר דב הלפרין, מנכ"ל HMS – הלפרין יועצים בע"מ
כיום, מקצוע הביקורת עובר זעזועים ושינויים משמעותיים הנגזרים ממגמת הגידול בהיקף ובמגוון הצרכים הנדרשים מהמבקר הפנימי בארגון. אלה מוכתבים בין היתר מהמגמה להעמקת דרישות הביקורת (כגון: SOX) ומקיום אוסף רגולציות הגדל והולך. חלק מהרגולציות נגזרות מתקנים בינלאומיים והפכו לחלק מהרגולציה המקומית במסגרת תהליך הגלובליזציה שעובר עלינו.
מאחר שכל רגולציה מוגדרת בנפרד עם לוחות זמנים משלה ועם גורם אחראי ספציפי בארגון למימושה, נוצר מצב אבסורדי, כאשר באותו ארגון, מתבצעות בקרות שונות (שיש חפיפה רבה ביניהן) ע"י גורמים אחראיים שונים מנקודות מבט שונות, בנקודות זמן שונות, ללא תיאום ביניהם. אלה כוללות בין היתר רגולציות ענפיות כגון: באזל-2, סולבנסי-2, ניהול טכנולוגית המידע וקצין ציות, HIPAA למגזר הבריאות ועוד. בנוסף, נדרשת ביקורת לגבי עמידה בתקנים מקצועיים (כגון: תקני אבטחת מידע, איכות סביבה וכיו"ב). כתוצאה מכך, הגורמים המבוקרים נאלצים לתת מענה לביקורות שונות, שיש ביניהן חפיפה רבה המצריכה השקעת משאבים גדולה ובלתי יעילה.
קיימות מתודולוגיות שונות לביצוע ביקורת שבהכללה מסתמכות במידה רבה על ביצוע תכניות ביקורת מבוססת שאלונים ותחקור משימות בסיוע כלים המאפשרים איחזור אוטומטי של תכניות ודוחות רלוונטיים עבור המבקר. מאחר שכיום, גורמי הביקורת הפנימית נדרשים לבצע ביקורת רחבה יותר וזאת תוך מגבלה תקציבית גדולה, הפתרון לכך עשוי להינתן באמצעות מתודולוגיה שתאפשר ראייה רב תחומית של כלל הארגון, על פלטפורמה אחת, בהסתמך על כלים מתקדמים שיאפשרו למבקר הפנימי לעמוד במשימותיו הנוכחיות והעתידיות.
שימוש בכלים מתקדמים מאפשר מיפוי של המערכות והתהליכים בארגון בהתאם למבנה הארגוני, וזאת תוך מעקב אחר הסיכונים והבקרות הקיימים לגבי התהליכים השונים והרגולציות המתייחסות אליהם. נדבך נוסף בעבודת המבקר ניזון משימוש במאגרי כשל/סיכונים הכוללים אירועי כשל שונים (גם ללא נזק) המדווחים מ-"השטח". לנושא זה, אשר נדרש לראשונה במסגרת הוראות באזל-2 לצורך הקצאת ההון הנדרש, חשיבות גדולה, הן בשל היכולת לאתר חשיפות במגוון תחומים בסמוך להיווצרן והן משום הגדלת המודעות לניהול הסיכונים בארגון. למרכיבים הנ"ל, ניתן להוסיף שימוש במודלי KRI ככלי נוסף לאיתור הסיכונים, שעשוי לסייע למבקר לשלוט על פרמטרים חשובים בניהול הסיכונים ולאתר מגמות חשיפה בזמן אמיתי. שימוש במתודולוגיה כוללת, המתייחסת לכלל הרגולציות והנעזרת בכלים מתקדמים, מאגרי כשל ומודלי KRI, תיצור בסיס איתן ויעיל למתן התרעות לגבי חשיפת הארגון בתחומים שונים תוך יכולת להתמודד איתן בזמן אמיתי, ביצוע מעקב אחר שינויים בראיית מיקרו והגדלת המודעות בארגון לניהול הסיכונים.
אם זה כל כך פשוט, נשאלת השאלה למה אין תהליך גורף של מעבר לתפיסת ביקורת כלל מערכתית – התשובה היא, שמעבר לסיבות הקשורות לשמרנות ולקשיים סובייקטיביים של כל ארגון ואופיו, קיימת בעיה הנובעת מכך שבארגון אין למעשה תיאום כולל לכל הרגולציות. נהפוך הוא, לכל רגולציה יש מנהל אחראי ספציפי, כאשר לכל רגולציה נדרש טיפול מקצועי שונה, תוך עמידה בלו"ז ספציפי (ובד"כ צפוף). בנוסף לכך, כשהולכים למהלך מסוג זה, מתעוררת בעיה בחלוקת התקורה של עלות הביקורת הכוללת בין היחידות השונות בארגון, זאת מאחר שבדר"כ על הגורם הראשון שאליו תתייחס הביקורת, תועמס תקורה גבוהה יותר כחלק מבניית התשתית שתשמש גם את יתר הגורמים המבוקרים. ראוי לציין כי הקמת מאגר אירועי כשל כרוכה בעלות גבוהה יחסית ומחייבת תחזוקה שוטפת לאחר הקמתו.
המסקנה מהאמור לעיל היא, שרק ההנהלה יכולה לאכוף תהליך ארגוני כולל של יישום ביקורת יעילה ומתקדמת, אשר בסופו יאפשר יתרון עסקי בצד חסכון, יעילות בביקורת וערכים מוספים נוספים.