ייעוץ עסקי בקרה וניהול סיכונים

בקרה פנימית מתמשכת Continuous Controls Monitoring CCM – – כיצד ניתן לחסוך עד 25% מהוצאות הבקרה הפנימית

האם מערכות המידע יעזרו לנו להתמודד גם עם הבקרה הפנימית בארגון? התשובה היא כן כמו בכל תחום אחר בחיינו.

גילוי מעילה, הונאה וכשל תפעולי בחברות הפך דבר שבשגרה. אחת לחודש מתנוססת לה הידיעה התורנית המספרת לנו באריכות ובהפתעה גמורה איך הצליח אותו עובד למעול בכספי הארגון מבלי שאף אחד שם לב.

במקביל אנו עדים לכך כי כיום בניגוד לעבר, יותר ויותר ארגונים מכירים בחשיבותה של הבקרה הפנימית בארגון ומבינים כי האחריות לביצוע בקרה פנימית מוטלת על ההנהלה וצוות העובדים. כמו כן, מנהלי ארגונים אלו מבינים כי הדרך ליישום מערך בקרה פנימית יעיל אינה קלה ודורשת השקעת משאבים ניכרים.

ככלל, מיישמים הארגונים שורה של בקרות במטרה לגלות ולמנוע כשלים מהותיים, הונאות או חוסר יעילות. למעשה, במציאות העכשווית לא ניתן למצוא מערכת בקרות אופטימאלית. חשוב לזכור, כי יעילותן של בקרות ידניות הולך ופוחת ככל כאשר נפח תנועות העיבוד עולה משמעותית. כמו כן, לעיתים קרובות אנו עדים לפעולות של עובדים ו/או מנהלים, שתכליתן ביצוע התאמות למערכת המידע במטרה לעקוף את הבקרות הקיימות (במידה ויישומו מלכתחילה), כתוצאה מעליה בהיקפי עבודה ו/או מורכבות ביצוע המטלות.

חוסר יכולת לקיים מערכת יעילה של בקרה פנימית ועמידה בדרישות רגולציה (כגון: המלצות ועדת גושן – הסוקס הישראלי ISOX) חושף את הארגונים להפסדים כספים פוטנציאליים, אם בגין התממשותם של כשלים הלכה למעשה ואם בגין עיצומים כספיים המושתים על הארגון בגין אי עמידה בדרישות החוק (ראה חוק אכיפה מנהלית).

חשיפה שכזו יכולה להתקיים גם כאשר הביקורת הפנימית עושה שימוש מוצלח בטכנולוגיות ניתוח נתונים לצורך בדיקת נאותות הבקרה הפנימית וזיהוי תנועות שגויות וחריגים. שכן בדיקות אלו מיושמות במרבית המקרים בדיעבד, בדרך כלל לאחר פרק זמן מהותי ממועד היווצרות התנועות (חריג / שגוי) במערכת, דבר אשר מגביל את יכולתה של ההנהלה לבצע פעולה מתקנת באופן מיידי.

העלויות ההולכות וגדלות לצורך קיום ביקורת אפקטיבית והציות לחוקים ותקנות, מפעילות לחץ על הארגונים למציאת אמצעים חסכוניים, אמינים וברי-קיימא לבדיקת הנאותות והאפקטיביות של הבקרות הפנימיות בארגון. כתוצאה מכך נוצר צורך ממשי למציאת פתרונות טכנולוגיים שבאמצעותם ניתן ליישם בדיקות ומעקב ממוכנים בכל הקשור לבקרות המופעלות בארגון.

חברות מצאו דרך לייעול תהליך הבקרה הפנימית, וזאת באמצעות כלים ממוכנים לבקרה פנימית מתמשכת (CCM – Continuous Controls Monitoring). הכלים הקיימים כיום בשוק (כגון: ACL Analytics Exchange 5) מאפשרים להנהלת הארגון לקיים תהליך בקרה ממוכן, מתמשך ובלתי תלוי לצורך בחינת אפקטיביות הבקרה הפנימית, צמצום הסיכונים התפעוליים לרבות החשיפה למעילה, ומניעת הכרסום ברווחים.

כלי הבקרה הממוכנים פותחו בהתאם למודל COSO לבקרה פנימית אפקטיבית. מודל זה הינו הנפוץ והמקובל ביותר ואומץ על ידי מרבית החברות אשר נדרשות לעמוד בחוקים הסוקס הישראלי ISOX, Sarbanes Oxley, Solvency II ו Basel II כמודל לבקרה פנימית. כלי הבקרה נתונים מענה לשני מרכיבים חשובים במודל הבקרה הפנימית של COSO: פעילויות בקרה (Control Activity) וניטור (Monitoring). יכולת הניטור מייחדת בעצם את כלי הבקרה והופכת אותו לכלי אפקטיבי יותר משאר הכלים הקיימים בשוק.

ראייה לכך שנושא הבקרה הפנימית המתמשכת נכנס לתודעת החברות ניתן לראות במחקר שנערך על ידי גרטנר, אשר פורסם במארס 2010. מהמחקר עולה, כי "בשוק הממשל התאגידי, ניהול הסיכונים והציות, ביקורת מתמשכת היא סט של טכנולוגיות אשר מסייעות לעסק בהפחתת הפסדים הנובעים ממעילות או כשלים תפעוליים וזאת בעזרת חוקים למעקב על תנועות פיננסיות, שיפור הביצועים ע"י בקרה מתמשכת והפחתת עלויות הביקורת ע"י ביקורת מתמשכת אוטומטית במערכות המידע".

בסקר שנערך בשנת 2009 על ידי לשכת המבקרים הפנימיים העולמית ה IIA -בנושא "ביקורת מתמשכת", נטען כי ביקורת מבוססת על טכנולוגיה יכולה להאיץ ולשפר משמעותית את עבודת הביקורת הפנימית. משפט זה נכון בעיקר לארגונים גדולים בהם שימוש בביקורת מתמשכת ע"י כלים מתאימים יכול להרחיב את היקף מדגם הבדיקה ולכסות עד כדי 100% מהאוכלוסייה הנבדקת.

בארגונים קטנים יותר כלים אלו יכולים לעזור למבקר הפנימי לבצע את עבודתו ביעילות רבה יותר ולקצר את משך הבדיקות.

כמו כן, חשוב לציין שתקני לשכת המבקרים הפנימיים העולמית IIA's דורשים זאת ( Standard 1210.A3).

 

בנוסף, מחקר שנערך על ידי חברת המחקר AMR  בשנת 2005 (בעיצומו של תהליך יישום ה SOX בארה"ב) העלה:

"אין זה כדאי לחברות להמציא את הגלגל מחדש לשם עמידה בדרישות SOX… מספיק להשקיע בטכנולוגיות חדשות לצורך מיכון החלקים העיקריים בתהליכים ולהשגת יחס עלות-תועלת טוב, יכולת שחזור ובקרה מתמשכת…טכנולוגיות חדשות יכולות להוזיל את עלויות העמידה בדרישות SOX בכ-255 אחוזים, מאחר והתהליך כפי שמבוצע כיום הינו ידני בעיקרו ועתיר במשאבי אנוש."

 

איך זה עובד?

הארגון נדרש להטמיע כלי ממוכן אשר בו יוגדרו סט של חוקים וכללי בקרה. במהלך העבודה השוטפת הכלי קורא את התנועות במערכת המחשב ויודע לזהות את החריגים בהתאם לחוקים וכללי הבקרה שהוגדרו. במקרה של נתון "חריג", ההנהלהוהגורמים האחראיים על יישום הבקרות בתהליך העסקי יקבלו התראות על פרצה, לכאורה, בבקרה ויעריכו בצורה מהירה אם אכן קיים סיכון לארגון, להעריך את עוצמתו ולהגיב בהתאם סמוך ככל שניתן להתרחשות ה"חריג".

לשימוש בכלי ממוכן לצורך ביצוע ואימות תהליכי בקרה בארגון מספר יתרונות, כמפורט להלן:

  • בדיקת הבקרה מתבצעת באופן בלתי תלוי, בדרך כלל על 100% מהאוכלוסייה ;
  • גילוי בזמן אמת במידה ומתגלית פרצה בתהליך הבקרה ואפשרות תיקון מיידי של הכשל בבקרה ;
  • הפעלת הכלי מביאה לשיפור תהליך איתור ההונאות וצמצום הסיכונים התפעוליים
  • אפשרות ישום מנגנוני בקרה לכל אורך התהליך, מקצה לקצה ;
  • שמירת תיעוד מוכח על מצב הבקרות לרו"ח והמבקר הפנימי לכל נקודת זמן ;
  • יכולת כימות והערכה של הבקרה הפנימית (מס' הבקרות שעובדות למול אלה שלא עובדות), והגברת הביטחון כי הבקרות אכן מתפקדות כפי שנדרש .

להלן תרשים הממחיש את היכולת לנקוט פעולה בכל אחד מאופציות הניתוח הקיימות:

לסיכום

היום, יותר מבעבר, קיימת דרישה לתהליך בקרה מתמשך. הנהלות ארגונים, מנהלי הכספים ומבקרים פנימיים עומדים בפני אתגרים אשר דורשים בין היתר ציות לחוקים ותקנות, צמצום עלויות התפעול הפיננסיות, שיפור והבטחת תהליך ייצור ההכנסות, עבודה מול גורמים שונים מחוץ לחברה, ופיקוח על פעולות חוצי ארגון.

הצלחה ביישום תהליך בקרה מתמשך באמצעות הטמעת כלי בקרה ממוחשבים, אשר מסייעים בתהליכי בקרה שונים, יאפשר לארגון להשיג,  ביצועים ויעדי רווח טובים יותר, להימנע מהפסדים כספים, להבטיח דיווח אפקטיבי וציות להוראות החוק והימנעות מעיצומים העלולים להיות מושתים מתוקף אי עמידה בכללי האכיפה המנהלית, שנכנסה לתוקף לפני מספר חודשים.

ארגון אשר ישכיל לעשות זאת, קרי ליישם מנגנונים ממוכנים לקיום תהליך אפקטיבי של בקרה מתמשכת, יגביר את יכולתו להתמודד עם התחרות ההולכת וגוברת בשוק הנתון במציאות של אי וודאות, תוך השגת יעדיו העסקיים.

 

*אלקלעי מונרוב – בקרה וניהול סיכונים (AlMo) הינו משרד בוטיק המתמחה בתחומי הבקרה, הייעוץ וניהול הסיכונים תוך טיפול בתיקי איכות הדורשים מעורבות גבוהה של השותפים במשרד. המשרד מתמחה במתן שירותים בתחומים הבאים: ניהול סיכונים, איתור ומניעת הונאות, ביקורת מערכות מידע ממוחשבות, ביקורת פנימית, ייעוץ למנהלי מערכות מידע, יישום הוראות חוקSarbanes Oxley, סיוע לעורכי דין בתביעות משפטיות, ופירוקים וכינוסים, ייעוץ לדירקטורים ונושאי משרה בתחומי הבקרה וניהול הסיכונים, כתיבת נהלים.

משרד אלקלעי מונרוב – בקרה וניהול סיכונים (AlMo) משמש כנציג הבלעדי בישראל של חברת ACL.

יצירת קשר