האם שיטות העבודה של המבקרים הפנימיים נותנות מענה ראוי?

כתב: רו"ח ערן סטרול, ראש תחום GRC בטופ סולושנס.

האם הביקורת הפנימית יכולה באמת להעריך ולשפר את תהליכי ניהול הסיכונים, הבקרה והממשל התאגידי בתנאי השוק המתפתחים?

בהגדרתה, "ביקורת פנימית הנה פעילות בלתי תלויה ואובייקטיבית של ביקורת וייעוץ, אשר מיועדת להוסיף ערך ולשפר את פעולות הארגון".

האתגרים מולם ניצב המבקר הפנימי בחברה ציבורית נובעים, בין היתר, מדינמיות השוק, ריבוי התהליכים, מורכבותם וכן הצורך להשגת ידע נרחב לשם הבנתם והערכתם.

הגישה כיום גורסת כי תכנית עבודת המבקר הנה נגזרת של הערכת סיכונים. אותה הערכת סיכונים מבוצעת במקרה הטוב אחת ל-3-4 שנים. כאן נשאלת השאלה: האם סיכונים שהוערכו בשנה הראשונה של החברה בסיכון בינוני ואפילו נמוך ימשיכו להתקיים ברמה זו עד לסקר הסיכונים הבא? התשובה, כמובן, שלילית. ועוד שאלה: האם קיימת ודאות שבקרות אשר היו אפקטיביות בנק' זמן אחת ימשיכו להיות אפקטיביות? ברור שלא.

עם התפתחות הטכנולוגיה חל שינוי גם בתפיסת קווי ההגנה בארגון וכיום, ארגונים רבים מטמיעים מערכות GRC (ר"ת Governance, Risk & Compliance) לטובת שימושן כפלטפורמה אחידה לניהול קווי ההגנה באופן הוליסטי. מערכות אלה משמשות ליצירת שפה אחידה בין אותם בעלי עניין, באמצעות חיבור בעלי העניין השונים בארגון על בסיס שימוש בשפה אחת – שפת התהליכים.

המגמה העולמית של הטמעת מערכת GRC באה בראש ובראשונה למקסם את יכולות הארגון להתמודד עם הקושי לאסוף, לנתח ולקבץ מידעים רבים לידי תובנות.

טופ סולושנס היא מובילת תחום ובעלת מערכת Action Base GRC פרי פיתוחה. החברה דוגלת בהטמעת טכנולוגית ומתודולוגית במשולב לטובת השבחת יכולותיו של המבקר הפנימי להתמודד בצורה אפקטיבית עם אתגרים אלה.

הגשמת השאיפות של המבקר הפנימי בכל ארגון

תארו לכם חברה שבה בכל בוקר המבקר הפנימי פותח את המחשב ומקבל חיווי דינמי בזמן אמת של כל הסיכונים המעודכנים ליום האתמול, רמת אפקטיביות הבקרות שנדגמו בשבוע האחרון, אירועי הכשל השונים ביחידות, אירועי אבטחת המידע ותוצאות המבדקים – וזאת על גבי מפת התהליכים של החברה. אין ספק כי אלה שאיפות של המבקר הפנימי בכל ארגון, אך רבים יפקפקו ביכולתה של מערכת להשיג תוצאה זו, כהבנה של הקושי הפוליטי הבין ארגוני לדבר בשפה אחידה.

האם מנהל הסיכונים, מנהל ה-SOX והמבקר הפנימי באמת יסכימו לדבר באותה שפה? גם למצב זה ניתן מענה, באמצעות שימוש במנגנון מודלים חישוביים מבוסס בינה מלאכותית.

פעילות המנגנון מתבצעת בשני שלבים :

עיבוד שפה ואכלוס אוטומטי.

• זיהוי אוכלוסייה של בקרות על בסיס ניתוח שפה ויצירת קבוצות אוכלוסייה.
• חיבור של בקרות , מבדקים וממצאי ביקורת ברמה של סיכון בודד במפת הסיכונים.

קבלת תובנות מניתוח של כמויות מידע המתקבלות ממערכות תפעוליות.

• סיווג המידע ויצירת קבוצות אוכלוסייה.
• ניתוח תובנות מהמידע על בסיס לוגיקה מוגדרת, וכן זיהוי אנומליות.

לשם המחשה, תארו מצב בו אירוע תפעולי תויג מידית לסיכון אליו הוא קשור ואף לבקרה שאמורה למנוע את קיומו. קישור האירוע לסיכון יגדיל אוטומטית את ההסתברות של אותו סיכון וכפועל יוצא את רמת הסיכון המובנה. בהיקשר הבקרה, עצם תיוגו וקישורו האוטומטיים אליה יעניקו אינדיקציה לאי האפקטיביות שלה.

טופ סולושנס היא חברה מובילה בפיתוח מערכות לניהול ארגוני מתקדם, שמותאם לתנאי סביבה דינמיים ומולטי דיסציפלינריים.