דורון רונן, ISACA ישראל: "הביקורת הפנימית לא קופאת על שמריה"

"העולם עבר להיות מוטה מיחשוב וכך גם תחום הביקורת", אמר דורון רונן, נשיא ISACA ישראל ● רונן היה אחד הדוברים ברב שיח שהתקיים לקראת כנס "הביקורת הפנימית - העידן החדש" שייערך בשבוע הבא

"הביקורת הפנימית אינה קופאת על שמריה. עולם ראיית החשבון והביקורת החל כבר בתקופת האבן והמשיך כשהתרבות האנושית עברה לכתוב על גבי ניירות וחוותה את מהפכת הדפוס. כך, גם הביקורת עברה לנייר. השלב הבא היה בעשורים האחרונים, כאשר העולם עבר להיות מוטה מיחשוב, וכך גם תחום הביקורת", אמר דורון רונן, נשיא ISACA ישראל.

רונן היה אחד הדוברים ברב שיח שהתקיים בשבוע שעבר בבית אנשים ומחשבים לקראת כנס "הביקורת הפנימית – העידן החדש", שיתקיים ב-20 ביוני במרכז הכנסים אבניו שבקריית שדה התעופה. נושאו של הכנס יהיה "חדשנות בביקורת הפנימית תוך שמירה על ערכי הליבה".

לדבריו, "בעבר, הביקורת הפנימית התאפיינה בביקורת היסטורית בה המבקר לא היה מעורב בתהליך ובדק אותו רק לאחר סיומו. אלא שהביקורת התקדמה והיו מי שאמרו, כי על המבקר ללוות פרויקטים ארוכי טווח, משום שאם נמתין לביצוע הביקורת לאחר סיום הפרויט – הרי שלא יהיה מה לתקן. ואכן, גישה זו עוגנה בתקנים המקצועיים שקבעה הלשכה העולמית של המבקרים הפנימיים – IIA. כיום, הביקורת הפנימית הינה ביקורת שמשלבת ייעוץ והיא צועדת לקראת גישת הביקורת המתמשכת. המבקר מקבל התראות ממוחשבות והולך לבדוק אותן".

הוא ציין, כי "בין היתר, המבקר משמש כיועץ. הלשכה העולמית של המבקרים הכירה בתקני C – 'תקני יעץ' – שלפיהם הייעוץ מהווה חלק מעבודת המבקר, אולם הגבילה אותו שלא יבקר נושאים שבהם עסק עד לתקופה של שנה ממרחק מועד מתן הייעוץ".

אסף ויסברג, מנכ"ל Introsight מקבוצת רוזנבלום הולצמן רו"ח. צילום: פלי הנמררונן סיים בציינו, כי "להערכתי, המבקר הפנימי הוא כלי עזר ניהולי פר אקסלנס שנותן ערך מוסף גבוה לארגון".

"לשנות את התהליכים תוך כדי תנועה"

אסף ויסברג, מנכ"ל introSight מקבוצת רוזנבלום הולצמן רו"ח, אמר ש-"במידת האפשר, נכון יותר לשלב את המבקר הפנימי בתהליכים עצמם, כך שיוכל לתרום מניסיונו לעיצוב התהליך. דרך זו מוזיהל עלויות, מייעלת תהליכים ומקצרת את זמן היישום הכולל שלהם, בהשוואה לביקורת המבוצעת בדיעבד".

הוא ציין, כי "מעבר ארגונים לשימוש במיחשוב ענן מהווה דוגמה מצוינת ליתרונות גישה זו. מדובר בתחום חדש יחסית, אשר לצד יתרונות עסקיים הגלומים בו, עלול לחשוף את החברה לסיכונים שונים, משפטיים ותפעוליים כאחד. במסגרת תהליך הבחינה והמעבר לשימוש במיחשוב ענן בחברה, יכול המבקר הפנימי לתרום מניסיונו מבחינת ההתאמה של מודל מיחשוב הענן לאסטרטגיית הארגון וכן בתהליך ההתקשרות עם הספק, לרבות סיוע בגיבוש החוזה הכולל, בין היתר בהגדרת מדדים שונים, דוגמת רמת שירות נדרשת (SLA), שמירה על סודיות ו-וידוא עמידה בדרישות רגולציה. בדרך זו יכול המבקר הפנימי לתרום לתהליך ההטמעה בתחום בו הידע, ובמיוחד הניסיון המעשי, מועטים ביותר, ולסייע בגידור הסיכונים הכרוכים במעבר לשימוש במיחשוב ענן".

הוא סיים באמרו, כי "חשוב להדגיש שהמבקר הפנימי יכול להיות מעורב בתהליך, אך אסור לו להיות מעורב בקבלת ההחלטות".

דן הלפרין, ראש קבוצת ניהול סיכונים בדלויט-ברייטמן-אלמגור-זוהר. צילום: פלי הנמר"למבקר הפנים אסור לעסוק בבקרה שוטפת"

לדברי דן הלפרין, ראש קבוצת ניהול סיכונים בדלויט-ברייטמן-אלמגור-זוהר, "מבקר הפנים הוא אחד המומחים לבקרה ולניהול סיכונים". הוא ציין, כי "נדרש שיהיה למבקר 'מצב תודעתי' של שמירת מרחק מהתהליך הביצועי".

הלפרין הוסיף ש-"יש הבדל אם המבקר נותן את המלצותיו לפני או אחרי התהליך – ושתיהן לגיטימיות. אם הוא נותן אותן לפני התהליך, ניתן לחסוך משאבים לאחר מכן". "אל לו למבקר להיות מעורב בתהליך קבלת ההחלטות, ויש לאפשר לו לתת חוות דעת בלתי תלויה", אמר. "כאשר המבקר בא לעבוד כיועץ, צריך להיות מודגש שזהו הכובע שלו. למבקר הפנים אסור לעסוק בבקרה שוטפת".

"יחד עם זאת, מן החוכמה להשתמש ביכולות ובמקצועיות המבקר הפנימי, תוך כדי בניית תהליכים הקשורים להיבטים של בקרות וניהול סיכונים", ציין הלפרין. לדבריו, "ככל שרמת המבקרים הפנימיים תהיה מקצועית יותר, כך יוכלו המבוקרים לקבל את הביקורת בצורה עניינית יותר". הוא הוסיף, כי "יש התפתחות לטובה בפעילותה של ועדת הביקורת בארגונים וביחס אליהם, אולם עדיין, אנחנו רק ברבע הדרך בתחום. הנושא צריך להיות מוטמע בתרבות הארגונית של חברות. ביקורת הפנים חייבת להביא ערך ולהיעשות מתוך רצון, ולא מתוך הכרח".

הוא המליץ לארגונים להתיישר לפי הבנקים באשר למבקר הפנימי שלהם. הלפרין ציין, כי 1%-1.2% מעובדי הבנקים עוסקים בביקורת פנימית. "בחברות ציבוריות חל שיפור", אמר, "אך הקצב עדיין לא משביע רצון". הוא טען, כי "ההתקדמות בתחום לא תבוא מתוך הכרח אלא מתוך הבנת הערך שיש בעבודת המבקר הפנימי, ולכן חשוב להשתמש במומחים בעלי יכולות רב תחומיות".

ענת ארביב, מנהלת צוות סיכונים, טכנולוגיה וביקורת מערכות מידע במשרד רואי החשבון זיו-האפט-BDO. צילום: פלי הנמרבסיום דבריו אמר הלפרין, כי "מבקר פנימי הוא מוסד, לא אדם, שנדרש שיהיה אינטגרטור בין עבודתם של כמה אנשים מומחים לתחומם, וכך החברה תוכל ליהנות מקבלת ערך מוסף רב יותר, תוך שמירה על הקיים מחד והגדלת הערך מאידך".

ענת ארביב, מנהלת צוות סיכונים, טכנולוגיה וביקורת מערכות מידע במשרד רואי החשבון זיו-האפט-BDO, אמרה ש-"מבקר הפנים עוסק גם בביקורת נתונים, ענ"א (ר"ת עיבוד נתונים ממוחשב). יש לשלב אותו גם בפרויקטי IT. קיימת חשיבות לשילובו של המבקר הפנימי בעת הטמעת מערכות IT ובפרויקטי מיחשוב". לדבריה, "בעידן ה-SOX יש חשיבות גבוהה לכך שהמבקר יהיה מעורב בתהליכים, כדי שהחברה לא תשכור שירותי ייעוץ חיצוניים. המבקר מכיר היטב את החברה, לרבות תהליכי הבקרה הנעשים בה".

מתעניינים בנושא? הירשמו ל-"כנס הביקורת הפנימית – העידן החדש" של אנשים ומחשבים

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים