מאמרים בתחום הבקרה

ביקורת של כוכבים

יוסי גינוסר יוסי גינוסר

הביקורת הפנימית הופכת עם השנים לתפקיד יותר ויותר מרכזי בארגונים. בעבר המבקר הפנימי היה פונקציה מבודדת שתפקידה היה לייצר דוחות ביקורת לוועדת הביקורת, ע"פ דרישת החוק. כיום, כתוצאה מהתפתחות המודעות לחשיבות הבקרה ככלי המקדם את מטרות הארגון, מעריכות ההנהלות הרבה יותר את תפקידו של המבקר הפנימי. עם זאת, כדי שהמקצוע לא יאבד מהרלבנטיות שלו בעולם מתמחה והולך, על המבקר לחדול מתפיסת 'jack of all trades' שאפיינה את המקצוע בעבר ואשר גורסת שמבקר בודד, יכול באמצעות כלי הביקורת והלוגיקה של המקצוע לבדוק כל נושא באשר הוא. עליו לעבור לתפיסת שיטת הכוכב, אשר במרכזו צוות הליבה של הביקורת הפנימית ומסביבו הקרניים- מומחים לתחומים השונים.

מסקר שערכה פירמת פאהן קנה ניהול בקרה בע"מ Grant Thornton Israel בקרב 126 מבקרים פנימיים ראשיים ועובדי צוות ביקורת עולה כי כ-47% מהם מעידים שצוות הביקורת אינו כולל את כל התארים המקצועיים והכשרות הנדרשים לעמידה בתוכניות העבודה. 17% מהם מעידים שצוות הביקורת מבוסס על מבקרים צעירים וחסרי ניסיון בחברה/ ענף. כמענה לבעיה זו, כ- 74% מהמבקרים עושים שימוש במומחים במיקור חוץ במידה ויחידת הביקורת הפנימית אינה כוללת את ההתמחות הנדרשת. 20% מעידים שהם מעסיקים מומחים כדרך קבע.

תקן 1210 של איגוד המבקרים הפנימיים קובע את החובה להסתייע במומחים:

  • "מבקרים פנימיים חייבים להיות בעלי הידע, המיומנויות והיכולות האחרות, הדרושים לביצוע הפעילויות, שבאחריותם האישית. הביקורת הפנימית, כיחידה, חייבת להיות או לרכוש את הידע, המיומנויות והיכולות, הדרושים לביצוע הפעילויות שבאחריותה." עוד קובע התקן כי "המבקר הפנימי הראשי חייב להשיג ייעוץ וסיוע מתאימים, אם לסגל הביקורת הפנימית חסרים ידע, מיומנויות ויכולות אחרות, הדרושים לביצוע משימת ביקורת כולה או חלקה."
  • "מבקרים פנימיים חייבים להיות בעל ידע מספק כדי להעריך סיכון להונאה, ואת האופן שבו הוא מנוהל על ידי הארגון."
  • "מבקרים פנימיים חייבים להיות בעלי ידע מספק אודות עיקרי הסיכונים בתחום טכנולוגיות המידע, הבקרות וטכניקות ביקורת מבוססות- טכנולוגיה, הזמינות לביצוע עבודתם."
  • "המבקר הפנימי הראשי חייב לסרב לקבל מטלות ייעוץ או להשיג ייעוץ או סיוע מתאימים, אם סגל הביקורת הפנימית חסר ידע, מיומנויות ויכולות אחרות, הדרושים לביצוע מטלת ייעוץ, כולה או חלקה."

ניקח כדוגמא ביקורת בתחום הרכש ונצביע על כמה מהסיכונים בתהליך וההתמחויות איתם יידרש המבקר להצטייד בבואו לבדוק תהליך זה:

  • איומי אבטחת מידע וסייבר במערכת ERP, בה תהליך הרכש מנוהל- נדרשת התמחות בביטחון מערכות מידע;
  • התרחשות מקרה כשל או אסון מבלי שלחברה תהיה תוכניות התאוששות עסקית בשעת חירום- נדרשת התמחות בתוכניות התאוששות מאסון ויישומן;
  • חשיפה למעילות והונאות- קיים צורך בהבנה של תחום מניעת המעילות;
  • סיכוני ניהול שרשרת אספקה במערכת ERP באמצאות ריצת MRP ממוכנת- נדרשת התמחות בהיבטים של הנדסת תעשיה וניהול;
  • סיכוני גניבה, אבדן, שריפה של הסחורה שבדרך- נדרשת התמחות בתחום ביטוח משלוחים.

מהאמור לעייל עולה הצורך במגוון התמחויות רק לביצוע ביקורת בנושא אחד. מכיוון שעבודתו של המבקר פרושה על פני מנעד רחב של נושאים, להלן כמה מההתמחויות שארגז הכלים שלו נדרש להכיל:

  • ידע בביקורת מערכות מידע המשלבת ידע וניסיון בתחומי הסייבר, בדיקת טיב הנתונים בבסיסי נתונים ואיתור שגויים וחריגים, בדיקת תקינות אבטחת המידע בארגון, איתור מעילות המבוצעות באמצעות מחשב, ועוד.
  • ביקורת חקירתית למניעת הונאות, מעילות ועבירות צווארון לבן.
  • מומחיות בבקרת שכר כגון: שיפור מערכי בקרה בתחום השכר באמצעות כלים ממוחשבים, שימוש בכלי בקרה אפקטיביים וחכמים המאפשרים לארגונים לזהות חריגים ואי סבירויות בתהליך הכנת השכר.
  • מומחיות בבקרה פיננסית הכוללת את מגוון התחומים והפעילויות הבנקאיות ובכלל זה: בתחומי האשראי והביטחונות, מט"ח ניירות ערך ושוק ההון.
  • תחומים נוספים בהתאם לאופי פעילות הארגון כגון: מהנדסים, מומחי שרשרת הספקה, יועצי בטיחות, ביטוח, יועצי איכות סביבה וכו'.

להלן תרשים המציג את תפישת הכוכב בביקורת הפנימית: