ייעוץ עסקי בקרה וניהול סיכונים

הביקורת הפנימית בתקופות משבר

מאמר מאת אילן האמל, שותף, אפריל 2020.

תקופות משבר, גלובאליים ו/או מקומיים, מזמנות לגורמים שונים במשק אתגרים משמעותיים חוצי חברה, החל מהדירקטוריון, עובר להנהלה ועד לשדרת העובדים הזוטרים.

כל אחד מרבדי הארגון מושפע מההשלכות הרלבנטיות, באופנים ובעוצמות שונות.

השלכות אלה כופות על הארגונים לנקוט פעולות שונות ומיידיות ולניהול סיכונים, תוך ראייה כוללת, וזאת לאחר שמבוצע ‘ניתוח סיכונים תואם תקופת משבר’.

ניהול סיכונים זה אמור להתבצע תוך התאמה אשר, בין היתר, תיקח בחשבון היבטים שונים ואת השפעתם המיידית על החברה:

  • השוק / מגזר שבו החברה פעולת;
  • מבנה החברה והשדרה הניהולית שלו;
  • איתנותה הפיננסית של החברה;
  • סוגי הפעילויות של החברה ורמת המיכון שלה;
  • הרגולציה אליה כפופה החברה והמחויבות הנגזרת ממנה להמשיך לספק שירות;
  • רמת המוכנות המקדמית הקיימת של החברה לפעילות בעת משבר;
  • מידת הגמישות התפעולית של הארגון לבצע התאמות ושינויים מהירים על מנת להסתגל לדפוסי הפעולה החדשים הנדרשים;
  • יכולת ומוכנות החברה לפעול מרחוק תוך שמירה;
  • איתנות מערך אבטחת המידע של החברה;
  • קיום פונקציות בקרה משמעותיות בארגון (מבקר פנים, מנהל סיכונים, יועמ”ש, מנהל אבטחת מידע).

בעיתות משבר המלווים באי וודאות רבה ובלחצים שונים, הן תפעוליים והן כספיים, קיימת נטייה טבעית בקרב ארגונים שונים לפעול לא אחת באופן אימפולסיבי כאשר לא תמיד קיימת הקפדה על כל כללי הזהירות המתחייבים.

הלחצים הכלכליים-תזרימיים הנוצרים בעת משבר והצורך הנכפה לשנות את ‘כללי המשחק’ עלולים להביא ארגונים שונים לקבל החלטות, לאו דווקא מושכלות, שבעטיין הם חושפים את עצמם לסיכונים מהותיים.

מצוקה כספית והצורך של ארגונים לשנות את פעילותם ולהתאימה לתכתיבים הנולדים ממשברים, מביאה בהכרח לשינוי בסדרי העדיפויות ותכניות העבודה, כאשר הנטייה הינה להתרכז בביצוע פעולות מיידיות תוך שינוי מהותי של תהליכי עבודה.

כתוצאה מכך, עלולים ‘להיוולד’ סיכונים חדשים שהחברה אינה חשופה אליהם בעת שגרה ו/או שסיכונים שלהם החברה היתה מודעת ופעלה לנהלם במצב עסקים רגיל מקבלים תפנית המחייבת נקיטת פעולה.

בתקופות משבר ושרידות כלכלית, ארגונים ייטו להתרכז בפעילות העסקית המתחייבת ולקדם אותה, לא אחת תוך ויתורים ואי הקפדה על קיום תהליכי בקרה שונים ופעילותן של פונקציות בקרה וביקורת.

מכלול הנסיבות המתקיימות בעת משבר אף מעלות את הפוטנציאל לחשיפה להונאות מצד גורמי חוץ המזהים ‘הזמנות’ עקב חולשות בקרה ומצוקות של הארגונים מחד, ומאידך גם חשיפה למעילות של גורמים בתוך הארגון, אשר נוטים לנצל את המצב וההשלכות של המשבר גם בהיבטים האישיים.

משכך, קיימת חשיבות יתרה, דווקא בתקופות משבר, לשמר ולחזק את פונקציות הבקרה והביקורת בארגון.

הביקורת הפנימית בארגון חייבת לבצע התאמות מהירות ולהיערך לשינוי בדפוסי הפעולה שלה, תוך שימת דגש על הסיכונים הנובעים מתקופת המשבר, בהתאמה לסוג ואופי הארגון ומתוך היכרות של המבקר הפנימי את ההשלכות הפוטנציאליות הספציפיות של הארגון אותו הוא מבקר.

כמו כן, מן הראוי שפונקציית הביקורת הפנימית תקפיד בעדכון שוטף ומיידי של הנהלה והגורמים המבוקרים, ככל שמאותרים ליקויים בחשיפות בעת ביצוע הביקורת בתקופת משבר.

להלן מספר נושאים שמן הראוי כי הביקורת הפנימית תיתן להם דגש בתקופת משבר :

1. פעילות הדירקטוריון בעת משבר

  • האם הוגדרו גורמי מפתח / ממשקים סדורים לעניין דיווח: גורם מדווח, סוג הדיווח, תכולות, עיתוי וטריגרים לדיווח?
  • לוודא כי הדירקטוריון מקבל דיווחים שוטפים רלבנטיים מגורמים שונים בחברה ומוודא יישום אד-הוק של החלטותיו.
  • מידת מעורבות הדירקטוריון בפעילות השוטפת בעת משבר – לרבות, כללי עדכון וביצוע ישיבות באמצעות כלי התקשרות מרחוק (ZOOM, שיחות ועידה וכו’).
  • קביעת מגבלות עדכניות / חדשות ע”י הדירקטוריון בתחומי הפעילות השונים בדגש על תחומים החשופים לשינויים מהותיים בעת משבר.

2. פעילות פונקציות בקרה (ניהול סיכונים / קצין ציות / יועמ”ש):

ההתמודדות עם המשבר כרוכה במקרים רבים בביצוע שינויים בתהליכי העבודה. שינויים אלה עשויים לחייב התאמה של הבקרות ואמצעי הבקרה.

  • לוודא שמנהל סיכונים/קצין הציות מבצע: הגדרת תחומי פעילות וסוגי עסקאות בסיכון מוגבר והגברת הפיקוח עליהן בתקופה זו, תוך מתן אפשרות לארגון לנהל את העסק בתקופת המשבר.
  • הקפדה על המשך קיום נאות של ‘בקרות מפתח’.
  • פעילות ניטור נאותה ואפקטיבית, לרבות הגדרת KRI’s רלבנטיים עדכניים בתחומי הפעילות השונים והתאמת כללי דיווח ו/או ניטור ע”י פונקציות הבקרה בארגון.
  • לוודא שיחידות הבקרה מבצעות: גיבוש תכנית בקרה ייעודית לסוגי עסקאות / פעילויות “מוגברות סיכון” בתקופת המשבר וגיבוש תכניות בקרה מותאמות לתקופת החזרה לשגרה.
  • בקרה הדוקה של שינויים בדפוסי פעילות ובפרט אלה שכרוכות בהקלות בתהליכי עבודה ובקרה.

3. סיכוני אבטחת מידע וסייבר – כתוצאה ממעבר מסיבי לעבודה מהבית.

  • בחינת שגרות העבודה, המוכנות והאמצעים הטכנולוגיים לעבודה מרחוק.
  • בחינת הטיפול בחשיפות ואפקטיביות אמצעי ההגנה. קיום יכולת אפקטיבית של פונקציות אבטחת המידע
  • תהליך אישור פעילות מרחוק: מי מאשר, מי מקבל את ההרשאות, איך מתוחמות הסמכויות לגורמים שקיבלו אישור וכו’ ?
  • בחינת מפל ההרשאות והסמכויות הממוכנות שקיימות בכל הקשור לגורמים שהורשו ל’עבודה מרחוק’.
  • הדרכה מוגברת והנחיה ממוקדת של כלל העובדים / כאלה שקיבלו הרשאות לעבודה מרחוק, בכל הקשור לסיכונים הגלומים בכך והגברת תשומת לב.

4. הגברת החשיפה לסיכוני מעילות

עלולים להיווצר קשיים כלכליים של עובדים, למשל עקב הפסקת עבודה של בן/בת הזוג, שחיקה מהותית של תיקי השקעות וכיו”ב, ולהגביר את החשיפה למעילות.

מוצע לבצע ביקורות ממוקדות לסיכונים אלה, למשל בנקודות כניסת הכספים ויציאתם מהארגון, לרבות:

  • התקשרויות חוזיות.
  • רכש ותשלום לספקים.
  • העברות כספיות ופעילות מול בנקים.
  • חישוב ותשלום שכר.
  • כללים והקפדה על:
  • מדרגי סמכויות ואכיפת זכויות חתימה.
  • הפרדת הרשאות בהתאם לעיקרון ‘הצורך לדעת’ (מותאם לתהליכי העבודה החדשים)
  • שמירה מוקפדת כל הפרדת תפקידים (4 Eyes Principle) בייחוד בתהליכים קריטיים.

5. פעילות השקעות

  • פעילות וועדות השקעה
  • עדכונים, בהתאם לצורך, של מדיניות ההשקעה.
  • קביעת טריגרים.
  • קבלת עדכונים שוטפים ותגובתיות מהירה.
  • הקפדה על תיעוד נאות של פעילות המסחר.
  • קשר רציף ובקרת פעילות של מנהלי השקעות חיצוניים.

6. אשראי ללקוחות

  • אישור וביצוע עדכונים במדיניות האשראי בהתאם לצורך.
  • ארגון מחדש – בחינה סטטוס מעמיקה של מצב לקוח והתאמה פרטנית אד-הוק להתנהלות מול הלקוח, תוך תיאום מולו.
  • ניטור הדוק של פעילות לקוחות בכל הקשור לעמידתם באישורי האשראי שלהם.
  • טיפול וניטור מצב ושווי ביטחונות – ערבויות, שעבודים וכו’.
  • בחינת הצורך מתן אשראי – ערבויות מכר/ביצוע. הלוואות.

7. תפעול שוטף

  • טיפול במסמכים ושמירתם:
  • איך מתקבלים מסמכים מלקוחות וגורמים אחרים ע”י גורם שעובד מרחוק ?
  • איך נשמרים המסמכים והאם קיימים בידי הגורמים המתפעלים את היכולת לסרוק/לשמור מסמכים ?
  • כיצד נשמר תיעוד נדרש בתהליכים ובביצוע פעולות תפעוליות שונות ?
  • האם לגורמים המתפעלים גישה לכלל המערכות/מידע/רשומות הנדרשות להם ביצוע פעולות שהם ממשיכים לבצע ?

מאמרים

יצירת קשר