ייעוץ עסקי בקרה וניהול סיכונים

מעקב אחר תיקון ליקויים – מבחן האפקטיביות של הביקורת הפנימית בארגון

א. הקדמה

תקן מקצועי 2500 של לשכת המבקרים העולמית (IIA) –  ניטור התקדמות, הקובע כי “המבקר הפנימי הראשי חייב למסד תהליך מעקב לשם ניטור והבטחה, שפעולות ההנהלה מיושמות באופן אפקטיבי, או שההנהלה הבכירה נטלה סיכון של אי-נקיטת פעולות”.

התקן מציין כי “תהליך המעקב אחר תיקון ליקויים מהווה שילוב בין עצם הטיפול בתיקון הליקויים ע”י דרגי הניהול והביצוע בארגון, לבין פעולות בדיקה, הערכה ודיווח ע”י הביקורת הפנימית”.

האחריות לטיפול בממצאים שדווחו ע”י הביקורת הינה באחריות ההנהלה כאשר על המבקר לוודא שאכן ממצאי הביקורת טופלו כיאות.

כמו כן מציין התקן כי : “כדי להבטיח את האפקטיביות של הביקורת, שומה על המבקר הפנימי לוודא טיפול נאות בממצאי הביקורת. הואיל ואין בסמכותו של המבקר להורות על תיקון הליקויים, יסתיים בד”כ טיפולו של המבקר בדיווח מצב העניינים לדרג הבכיר בארגון אליו הוא מדווח. בדיווח על ליקויים שלא תוקנו, צריך המבקר למסור את הערכת הסיכונים הכרוכים באי-תיקון הליקויים. זאת כדי שההנהלה ו/או וועדת הביקורת יהיו מודעים לאחריותם ביחס לסיכונים אלו”.

התקן מדגיש כי “תהליך המעקב שונה בכל ארגון, ונגזר ממידת מעורבות ההנהלה, המעמד הארגוני של הביקורת, וסמכויות הביקורת כפי שמוגדרות בחוק, בתקנות, במדיניות ונהלי הארגון או בהוראות אחרות”.

מטרת המאמר הינה להדגיש את חשיבות ביצוע תהליך מעקב תקין כמבחן האפקטיביות של הביקורת הפנימית בארגון, לסקור את הקשיים הקיימים בביצוע תהליך תקין ואפקטיבי, ולהציע “סט כלים” כולל לבניית מערך מעקב אפקטיבי אחר יישום המלצות ביקורת הנותן להנהלה הבכירה ולאורגני העל בארגון ערך מוסף מהותי.

המודל המוצע במאמר זה הוטמע באופן מעשי ביחידת ביקורת בה המחבר משמש כמבקר הפנימי ושיפר מהותית את שליטת כלל הגורמים ובכללם, ועדת הביקורת וההנהלה הבכירה, במעקב אחר יישום ההמלצות השונות מכלל מקורות הביקורת.

 

ב. משמעויות ניהוליות של תהליך מעקב תקין אחר ישום המלצות ביקורת בארגון

תהליך מעקב תקין משמעו, וידוא שהמלצות הניתנות על ידי הביקורת הפנימית ושאר אורגני הביקורת החיצוניים בארגון (כדוגמת רואה החשבון המבקר, הרגולטור, חברת האם, מבצעים חיצוניים של סקרי חשיפות לסיכונים ועוד), מתורגמות בסופו של יום להנחיות ביצוע פרטניות ומחייבות. אלמנט מרכזי המעניק משמעות מעשית להמלצות ביקורת הוא אישורן על ידי אורגני העל של הארגון, דהיינו, ועדת הביקורת של הדירקטוריון.  לועדת הביקורת מומלץ להגיע לאחר הקפדה על ביצוע תהליך ביקורת מיטבי הכולל דיאלוג פתוח והגעה להסכמה עם המנהלים המבוקרים ועם ההנהלה הבכירה באשר לממצאים ולהמלצות הנגזרות מהן. גישה פוזיטיבית זו של הביקורת מייצרת מחויבות של ההנהלה הבכירה ליישום ההמלצות בלוח זמנים ברור תוך ציון מנהלים ספציפיים האחראיים להשלמת היישום.

להסכמה מוקדמת זו קיים ערך רב היות וההנהלה הבכירה מחויבת מעצם קבלת ההמלצות ואשורן על ידי אורגני העל, לביצוע מלא שלהן ובכך למעשה מקבלת הביקורת הפנימית את ה”שיניים הניהוליות” להטמעה של עבודתה הרעיונית מהכוח אל הפועל.

יש לזכור, כי ההשלכות של תהליך מעקב שאינו אפקטיבי על מעמדה הארגוני ואי תלותה של הביקורת הינן מהותיות, היות והביקורת עלולה להיתפש כאורגן תיאורטי המנפיק דוחות אולם אינו יכול לאכוף את ביצוע המלצותיו. במצב זה קיימת סכנה להסכמת מבוקרים לתוכן דוח הביקורת בידיעה שאין בו למעשה “שיניים” וכי באופן מעשי, מה שהיה טרום הביקורת הוא שיהיה, ללא ביצוע שנוי תהליכי מחייב על ידי המנהלים וההנהלה הבכירה. מובן שיש בכך עיקור של פוטנציאל הביקורת וחשיפת ההנהלה הבכירה ואורגני העל של הארגון לסיכונים שזוהו ולא טופלו.

על מנת שתהליך המעקב אחר יישום ההמלצות (= מעקב אחר תיקון ליקויים) יהיה אפקטיבי ברמה הניהולית, יש להטמיע אותו לכל דרגי הניהול בארגון, להפוך אותו ליעיל ושקוף למנהלים השונים בארגון ולתקף אותו בהחלטות ועדת הביקורת של הדירקטוריון.

 

ג. קשיים קיימים בארגונים בביצוע מעקב תקין אחר יישום המלצות ביקורת

בין הקשיים הנפוצים ניתן למנות את :

–  העדר התייחסות כוללת למעקב יישום המלצות בהיבט המערכתי – ביצוע מעקב נקודתי ליישום המלצות מדוח ספציפי במסגרת ביקורת חוזרת לנושא המסוים ובתדירות הספציפית שנקבעה לאותה ביקורת, או ביצוע ביקורת שנתית נפרדת לבדיקת יישום המלצות שמקבלת התייחסות שגרתית כמו כל דוח ביקורת אחר ואיננה אפקטיבית כלל ברמה הניהולית.

–  חוסר מחויבות מספקת של ההנהלה הבכירה ליישום המלצות ביקורת ושימוש מוגבל במעקב זה ככלי ניהולי להערכה שוטפת של מנהלים – ההנהלה הבכירה יכולה להגדיר יישום המלצות ביקורת כאחד מהיעדים המדידים לפיהם מוערכים מנהלים בארגון ובכך לשדר מסר יעיל בחזקת “Ton of the top” לכל שדרת הניהול בארגון.

–  חוסר מודעות של חברי ועדת הביקורת לקיום האפשרות לקבלת תמונת חתך תקופתית מלאה של רמת ביצוע המלצות ביקורת לסוגיהן בארגון, ובאמצעותה, הערכת מאמצי ההנהלה הבכירה להקטנת פערי חשיפות לסיכונים – בעולם שלאחר המשבר הפיננסי העולמי של שנת 2008, מיפוי סיכונים וניהולם הינו יעד מרכזי של דירקטוריונים והנהלות בכירות בארגונים עסקיים.

–  העדר מערכת מעקב ובקרה גמישה ואמינה ביחידת הביקורת הפנימית אחר כלל ההמלצות הפתוחות.

–  גישת ביקורת אנכרוניסטית ביחידת הביקורת הפנימית המפרשת לעיתים באופן דווקני ומצמצם את המצופה ממנה, ומכיוון שכך אינה עונה על דרישת אורגני העל של הארגון לפיקוח יעיל על ההנהלה הבכירה.

–  פירוש צר מצד הביקורת למונח “המלצות ביקורת” ואי הכללה במעקב של המלצות ממקורות ביקורת לגיטימיים שאינם הביקורת הפנימית עצמה. בתקן מקצועי 2500 של לשכת המבקרים הפנימיים העולמית (IIA) קיימת התייחסות ל”ממצאים שדווחו על ידי הביקורת” והכוונה מן הסתם לממצאי הביקורת הפנימית. בכללי הבנקאות (הביקורת הפנימית), התשנ”ג-1992 (ס. 4 שם) מוגדר כי : “תפקידיו של המבקר הפנימי יכללו בין היתר – … וידוא תיקון הליקויים שהועלו בדוחות הביקורת הפנימית ובדוחות ביקורת אחרים“. בראיה רחבה, מנקודת מבטם של אורגני העל של הארגון, כל המלצה שניתנה על ידי גורם ביקורת לגיטימי, להקטנת חשיפות לסיכונים מזוהים, הינה רלוונטית ללא קשר למקורה. מנקודת מבטם של מנהלים בארגון, המלצות ביקורת עוסקות בשיפור תהליכי עבודה ובחיזוק בקרות באותם תהליכים, בין אם ניתנו על ידי גורם לגיטימי מקצועי כזה או אחר. לדעת המחבר, נכון יהיה לביקורת הפנימית לאמץ את נקודת המוצא הזו ולכלול את כלל ההמלצות, הן של הביקורת הפנימית והן של שאר אורגני הביקורת החיצוניים בארגון בתוך קובץ המעקב שלה ובכך לשמש כ”שומר סף” אפקטיבי וכולל, כלפי הדירקטוריון וההנהלה הבכירה.

–  חוסר ניסיון ניהולי מצד מבקרים שצמחו בעולם הביקורת הטהור ולא בצעו תפקידי ניהול בעבר, עלול לתרום אף הוא לנקודת מוצא שאינה רחבה מספיק ואינה כוללת את כלל צרכי המנהלים ואורגני העל בארגון.

 

ד. מערך מוצע לביצוע מעקב אפקטיבי אחר יישום המלצות ביקורת בארגון

הצעדים המוצעים לבניית מערך לביצוע מעקב אפקטיבי אחר המלצות ביקורת בארגון הינם כלהלן :

– קבלת הסכמה מוקדמת של ההנהלה הבכירה לתהליך ביצוע המעקב בתוואי המוצע.

–  קבלת החלטות מתאימות בדרג ועדת הביקורת של הארגון בדבר :

  • מעקב תקופתי (חצי שנתי לפחות) קבוע אחר יישום כלל המלצות מקורות הביקורת הלגיטימיים בארגון, לסוגיהם.
  • דיווח לועדת הביקורת בכל מעקב חתך אחר המלצות שמועד יישומן חורג מעבר לתאריך היעד המקורי וקביעת מועד מוצע חדש להמלצות חורגות, לאחר דיון ואישור בועדת הביקורת.
  • דיווח לועדת הביקורת בכל מעקב חתך אחר המלצות שההנהלה הבכירה החליטה שלא ליישם מסיבות של סדרי עדיפויות או אילוצים של הקצאת משאבים. יש לזכור כי המדובר בהמלצות שהתקבלו על ידי ההנהלה ואושרו במסגרת דוח הביקורת המקורי על ידי ועדת הביקורת ולכן נדרש אישור ועדת הביקורת לאי ביצוען.

–  הזנה שוטפת של כלל ההמלצות מכלל מקורות הביקורת הלגיטימיים לקובץ מעקב המנוהל על ידי הביקורת הפנימית. קובץ המעקב יהיה גמיש באופן שניתן יהיה לקבל חתכים ברמה של מנהל מבוקר, מקור ביקורת, תאריכי יעד, רמת חשיפה של הממצא (*), סטאטוס טיפול בהמלצה, קטגוריית הסיכון ועוד. ניתן לעשות שימוש במערכת מידע אינטראקטיבית בה שותפים המבקרים והמבוקרים במעקב פעיל אחר יישום המלצות, כאשר המבוקרים מזינים נתונים עדכניים למערכת והביקורת משמשת כגורם מאשר. יחד עם זאת, ניתן להגיע לתוצאות טובות גם עם קובץ מעקב מסונן באקסל המעודכן תקופתית באמצעות דיווחי מנהלים לביקורת הפנימית, אשר מבצעת בדיקות אימות בחתך התקופתי, מאשרת את השלמת יישום המלצות ומנהלת את קובץ המעקב בארגון.

(*) –  כל המלצה בכל דוח ביקורת/סקר סיכונים של גורם ביקורת לגיטימי צריכה להיות מדורגת (סיכון שיורי כמובן) בסולם של 3 דרגות :  * – חשיפה שיורית קלה/בינונית , ** – חשיפה שיורית גבוהה, ***- חשיפה שיורית גבוהה מאוד.

–  שקיפות מלאה של קובץ המעקב לכלל המנהלים בארגון, כל אחד לגבי ההמלצות הפתוחות שבאחריותו. עדכון המנהלים המבוקרים באופן שוטף לגבי כלל ההמלצות הפתוחות שבאחריותם על מנת שבכל רגע נתון יוכל המנהל לראות את תמונת המצב הכוללת ולקדם את יישום ההמלצות שבאחריותו. יש לזכור ששימוש במערך המוצע ממקד את ההמלצות ברמת המנהל האחראי ולא ברמת דוח המקור ובכך מאפשר להנהלה הבכירה ולועדת הביקורת לזהות מיידית גורמי ניהול ו/או יחידות ארגוניות שאינן מיישמות המלצות ביקורת כנדרש ולהתערב ניהולית.

– בניית קובץ בקרה למעקב התפתחות המלצות על ציר הזמן והשוואה בין תקופות (המלצות חדשות, המלצות שיושמו, המלצות שהוחלט לא ליישמן) בהתפלגות רלוונטית (רמת חשיפה של הממצא,תקופת ביקורת, קטגוריית הסיכון ועוד).

מצ”ב בנספח 1 –  דוגמא לקובץ מעקב אחר יישום המלצות.

מצ”ב בנספח 2 –  דוגמא לקובץ בקרה למעקב התפתחות על ציר זמן והשוואה בין תקופות, בהתפלגות רלוונטית.

 

ה. אפקטיביות של הביקורת הפנימית בארגון

גורמים רבים משפיעים על האופן בו מוערכת הביקורת הפנימית בארגון. שני הנדבכים המקובלים בתקנים המקצועיים המהווים תנאי יסוד לפעולת הביקורת הפנימית הם : אי תלות ומעמד ארגוני.

הביקורת הפנימית מוערכת הן על ידי אורגני העל ובראשם ועדת הביקורת, הן על ידי הרגולטור, הן על ידי ההנהלה הבכירה, הן על ידי רואה החשבון המבקר, הן על ידי כלל המנהלים והעובדים בארגון.

מערך לביצוע מעקב אפקטיבי אחר המלצות ביקורת בארגון הינו גורם משמעותי בתפישת הביקורת כיחידה אפקטיבית, המוסיפה ערך מוסף להשגות מטרות הארגון, ההנהלה והדירקטוריון. המערך האמור אינו תלוי בחילופי גברי פרסונאליים, אובייקטיבי ומקצועי באופן בלתי תלוי באופן שכלל המבוקרים נכללים בקובץ המעקב, כולל ההנהלה הבכירה והביקורת הפנימית עצמה (כאשר היא עצמה מבוקרת על ידי גורמים חיצוניים).

 

לסיכום

קיום מערך לביצוע מעקב אפקטיבי אחר המלצות ביקורת בארגון מחדד את יכולות הבקרה של כלל האורגנים לסגירת פערים שהתגלו במשימות ביקורת וסקרי סיכונים ובכך תורם באופן ישיר לאפקטיביות של הניהול הבכיר, אורגני העל של הארגון ובראשם ועדת הביקורת של הדירקטוריון, וכן לאפקטיביות הפיקוח של הרגולטורים.

תרומה זו ליכולת הבקרה של כלל אורגני הניהול מהווה ערך מוסף אמיתי לדרגי הניהול והפיקוח בארגון.

קיום מערך שכזה מחזק את מעמדה הארגוני של הביקורת הפנימית ואי תלותה ולא פחות מכך את האפקטיביות שלה בארגון.

יצירת קשר