מבקר הלשכה

הדגשים לביקורת במצב החירום

23.03.2020

אמיר ויזל, מבקר הלשכה

כשמדברים על מחלות מסוגים שונים, כמו האנטרקס, קדחת הנילוס, הסארס, שפעת העופות, וכו’, מזכירים שיש גם "ברבורים שחורים" - הקורונה היא "ברבור שחור" של ממש. בכל הכאוס ואי הבהירות, כאשר הנהלות הארגונים ממוקדות בניהול המשבר המתגלגל, מהו, איפוא, תפקיד הביקורת הפנימית בעת הזו?

בתרבות הישראלית, תרחיש תיאורטי של משבר אמיתי מוערך לפי גורמים רבים כבעל הסתברות נמוכה. אנחנו שומעים תכופות כי דרושה תוכנית מגירה, תוכנית המשכיות עסקית וכו', אך הם מתחילים ומסתיימים בגיבויים של מערכות המידע. כשמדברים על מחלות מסוגים שונים, כמו האנטרקס, קדחת הנילוס, הסארס, שפעת העופות, וכו', מזכירים שיש גם "ברבורים שחורים" - הקורונה היא "ברבור שחור" של ממש. במגרש המשחקים החדש, כל אחד נדרש לנהל את עצמו ואת ארגונו תוך כדי תנועה, כשכללי המשחק משתנים כל העת, ומהווים אתגר משמעותי לכלל הארגונים. רק ימים יגידו מי צלח אותו בהצלחה, מי ניזוק משמעותית, ומי לא צלח אותו. בכל הכאוס ואי הבהירות, כאשר הנהלות הארגונים ממוקדות בניהול המשבר המתגלגל, מהו, איפוא, תפקיד הביקורת הפנימית בעת הזו?

 

המאמר שלהלן מנסה לתת תשובה לשאלה זו. הוא מבוסס על מאמר לשכת המבקרים הפנימיים בישראל IIA - "לבקר או לא לבקר" - קווים מנחים, וכן, הבלוג של Richard Chambers, נשיא ומנכ"ל ה- IIA העולמי, ועל מאמרו של דורון רונן, רו"ח, יו"ר הוועדה המקצועית, סגן וממלא מקום נשיא לשכת המבקרים הפנימיים-IIA ישראל.

 

תפקיד הביקורת הפנימית במצבי חירום ומשבר

 

מספר רגולטורים בישראל קבעו, כי על הארגון, המפוקח על ידם, להכין תוכניות להמשכיות עסקית והתאוששות מאסון, הקובעות, בין היתר, חובת תרגולים ודיווח על ביצועם.

 

המבקרים הפנימיים, מדברים רבות עם גורמים בארגון, יחידותיו העסקיות, מנהלי הסיכונים, ההנהלה, לקוחות חיצוניים – על ניהול סיכונים, על מקרי כשל, על משברים. עוסקים רבות בתרחישי קיצון שיכולים לשבש את פעילות הארגון, ובמקרים לא מועטים במהלך שיחות אלה, המבוקרים מרימים גבה.

 

אנחנו שומעים תכופות כי "נכון שצריך תוכנית מגירה, ואכן נדרשת תוכנית המשכיות עסקית", אולם לרוב, דברים אלה מתמקדים, מתחילים ומסתיימים בגיבויים של מערכות המידע ו/או פעולות נקודתיות כאלה ואחרות. בתרבות הישראלית, תרחיש תיאורטי של משבר אמיתי מוערך לפי גורמים רבים כבעל הסתברות נמוכה.

 

בין השאר, מדברים על מחלות מסוגים שונים, כמו האנטרקס, קדחת הנילוס, הסארס, שפעת העופות, שפעת החזירים, האבולה, ומזכירים מעת לעת שיש גם "ברבורים שחורים".

 

אבל אז באה הקורונה, "ברבור שחור" של ממש. לא רבים מאתנו העלו על דעתם משהו בקנה מידה שכזה. נראה שהנושא תפס את כל העולם בהפתעה די גמורה, והוגדר מגרש משחקים חדש, שבו כל אחד נדרש לנהל את עצמו ואת ארגונו תוך כדי תנועה, כאשר כללי המשחק משתנים כל העת. סיכון זה שייך לקבוצת "הסיכונים הפורצים" (emerging risks).

 

אירוע זה מהווה אתגר משמעותי לכלל הארגונים, ורק ימים יגידו אלו מהארגונים צלחו אותו בהצלחה, אלו ניזוקו בצורה משמעותית, ואלו לא צלחו את המשבר.

 

בכל הכאוס ואי הבהירות, כאשר הנהלות הארגונים ממוקדות בניהול המשבר המתגלגל, יש לתת משקל גם לנושא הביקורת הפנימית בעת הזו. ברור לכולנו שאין בכוונת הביקורת "להפריע", בעת מצוקה זו, להתנהלות העסקית השוטפת. היחידות העסקיות עובדות ב-היקף מוגבל, בצוותים מצומצמים ותחת משתנים רבים של אי וודאות.

 

עם זאת, במקרה מסוג זה - נפתחת הזדמנות נדירה לחזות באיכות תפקוד הארגון בזמן אמת. ככל הנראה, כל התרגולים בעולם לא יצליחו לקחת בחשבון מכלול כה רחב של אילוצים, שינויים, התאמות, מגבלות, שיש להגיב להם בזמן אמת. באזעקת אמת זו, אין לארגון אפשרויות רבות, אם בכלל, לחזור אל ה- drawing board, אלא לתקן תוך כדי תנועה. נדרש מערך אמיץ של קבלת החלטות.

 

מהו אם כן, תפקידו של המבקר הפנימי בשעה מאתגרת זו. תחת מטריית "ניהול הסיכונים", התקנים המקצועיים הבינלאומיים של ה- IIA מתייחסים במספר מקומות להיבטים אלה: ב"משימת הביקורת הפנימית", ב"עקרונות הליבה", ב"הגדרת מקצוע הביקורת הפנימית", ובתקן 2120 שקובע כי הביקורת הפנימית צריכה "להעריך את האפקטיביות, ולתרום לשיפור תהליכי ניהול הסיכונים". קיים גם מדריך משלים בנושא Business Continuity Management, המתייחס לכללים מנחים לבדיקת עולם סיכונים זה, אשר הינו העולם בתוכו מוכלת מגיפת הקורונה. חוק הביקורת הפנימית קובע, כי על המבקר הפנימי לבדוק, בין היתר, את תקינותן של פעולות הארגון "מבחינת השמירה על החוק" ו"על הניהול התקין", וקיימות הוראות נוספות.

 

ככל הנראה, רק בדיעבד (לאחר סיום המשבר), ניתן יהיה לאמוד (במדויק) היבטים מסוימים ובכללם- את המוכנות, את הנזק, ואת היכולת האמִיתית להשתקם. תפקיד הביקורת יהיה לבחון את תהליכי הפקת הלקחים.

 

התאמה של תכנית העבודה 

יש לבחון את התכנית שאושרה ולשקול עריכת שינויים והתאמות לנוכח הסיטואציה שנוצרה, כגון:

  1. הגברת החשיפה לסיכוני מעילות – עלולים להיווצר או להעמיק קשיים כלכליים של עובדים (למשל עקב הפסקת עבודה של בן/בת הזוג, שחיקה מהותית של תיקי השקעות וכיו"ב) ולהגביר את החשיפה למעילות. המבקר הפנימי יכול לבצע בדיקות ממוקדות לסיכונים אלה, למשל בנקודות כניסת הכספים ויציאתם מהארגון (בנושאי תשלומים, שכר, חישובי הכנסות, ועוד).
  2. התאמת הבקרות לשינויים בתהליכי העבודה – ההתמודדות עם המשבר כרוכה במקרים רבים בביצוע שינויים בתהליכי העבודה. שינויים אלה עשויים לחייב התאמה של הבקרות ואמצעי הבקרה. יש מקום שהמבקר הפנימי יסיט משאבים לטובת ליווי השינויים ומתן יעוץ בנושאי בקרה, ו/או ביצוע ביקורות מלוות תוך מתן משוב מהיר לארגון בנוגע לחשיפות והמלצות לגידורן.
  3. התרשלות בביצוע בקרות מהותיות – למשל כתוצאה מהיעדרות כוח אדם (בידוד, הוצאה לחופשה וכיו"ב) או הסטת תשומת הלב לפעילויות אחרות. יש מקום שהמבקר יבחן שבקרות המפתח המהותיות ממשיכות לפעול כסדרן, ויתריע במקרים בהם איתר חשיפות משמעותיות.
  4. סיכוני אבטחת מידע וסייבר – כחלק מהתמודדות עם מניעת התקהלות וצמצום החשיפה לקורונה, ארגונים רבים עוברים לעבודה מהבית. בחלק מהמקרים מדובר בשגרות קיימות ובאמצעים טכנולוגיים קיימים בהם מוגבר השימוש, ובחלק מהמקרים מדובר ביצירת שגרות חדשות ויישום לראשונה של אמצעים טכנולוגיים לעבודה מרחוק. אלה ואלה עשויים להגביר את החשיפה לסיכוני אבטחת מידע וסייבר. המבקר הפנימי עשוי להשתלב בתהליכים אלה כיועץ לבקרה, או לבצע (זמן קצר לאחר יישומם) ביקורות לבחינת טיפול בחשיפות ואפקטיביות אמצעי ההגנה.

במסגרת זו, יש להפנות את תשומת הלב לסיכונים שעשויים להתפתח כתוצאה ישירה או עקיפה של מגפת הקורונה – לדוגמה:

  • מקרי הדיוג (phishing) ופעילות סייבר שמתגברים – לוודא שמנהל אבטחת המידע מודע, מטפל ומתקשר.
  • הנושא מקבל משנה חשיבות בד בבד עם העברת עובדים לעבודה מהבית (או פיזורם בין מספר אתרים של הארגון), יצירת התקשרות מרחוק, וכאשר אין לארגון מספיק מחשבים ניידים לספק לעובדים- ולכן עובדים נדרשים לעבודה ממחשבם האישי (שאינו מאובטח בהכרח לפי מדיניות האבטחה של הארגון).
  • פיקוח, בקרה ורישום באשר לרכש חדש של מחשבים ניידים והשאלת מחשבים לעובדים לצורך עבודה מרחוק.
  • פגיעה אפשרית באיכות התקשורת הדו-כיוונית והדיווח בין העובדים להנהלה.
  • הפרעות לאחסון חיצוני של מידע.
  • מפרי בידוד – הארגון לא בהכרח מודע וערוך לאכוף מקרי עבודת שטח של עובדים המפרים בידוד.
  • עמידה ברגולציות החלות על הארגון והחשיפות המשפטיות - גם בעת הזו.
  • סיכון תדמיתי לארגון, כתוצאה מתפקוד ומתגובה לקויים בעת משבר, עלול להחריף את הנזק הפוטנציאלי לאחר סיום המשבר: לקוחות שמדירים רגליים, גופים פיננסיים שמסרבים לתת מימון וכד'.
  • השפעות אפשריות לטווח ארוך – השפעת משבר הקורונה על הכלכלה יכולה להימשך חודשים ואף שנים. ראוי לחשוב על תחזיות צמיחה עסקית, תזרים מזומנים ועוד.
  • היערכות הארגון ל"יום שאחרי": חזרה מהירה לייצור או מתן שירותים, מענה לביקוש. הארגון שחוזר ראשון "לרכב על הסוס" הינו ארגון שעשוי לשרוד באופן מיטבי לטווח ארוך.
  • המלצות באשר לצעדי תיקון נחוצים לאזורים המהותיים ביותר, אף מעבר לתקופה "רגילה".
  • מעקב תיקון ליקויים – לעקוב אחר יישום ההמלצות המרכזיות, כך שהארגון לא ישקיע את משאביו בתיקון ליקויים באזורים שלא נדרש לטפל בהם כעת. כמובן שניתן לדחות לעתיד את מעקב היישום לגבי ההמלצות שהינן פחות מהותיות.

ה"יום שאחרי"

  1. ברמת הארגון – מומלץ לבחון שהארגון מבצע בחינה והפקת לקחים מהתנהלותו בעת המשבר, בין אם הכין מראש תוכנית המשכיות עסקית והיערכות לתרחישי קיצון, ובין אם לא הכין תוכנית כזו.
  2. ברמת הביקורת הפנימית
     - על הביקורת לבצע הפקת לקחים, ולבחון האם היו ברשותה תוכניות מגירה מתאימות להתנהלות בעִתות משבר, ובמידת הצורך- תכין/ תשפר/ תעדכן תוכניות אלה.
     -
    בחינת תוכנית העבודה של הביקורת והתאמתה ל"יום שאחרי" – נוהלי חזרה לשגרת עבודה והכנת תוכנית לתיעדוף משימות הביקורת. חלקן של היחידות העסקיות יתמקד, ללא ספק, ב"ליקוק הפצעים" ובשיקום, ולא יהיה זמין.

 

חיפוש עו"ד :
משפחה
תחום עיסוק
אפליקציית
ספר עורכי הדין עכשיו להורדה לסמארטפון