052-6358811 dan-n@iacs.co.il גירסת דמו

התרומה הנסתרת במעבר מביקורת מסורתית ל Continuous Auditing

המאמר המוצג להלן פורסם בכתב העת עיונים בביקורת פנימית של איגוד המבקרים הפנימיים IIA ישראל.
בגיליון דצמבר 2016 של כתב העת "עיונים בביקורת פנימית", במסגרת המאמר "מהפיכת המידע האנליטי בביקורת הפנימית בארגון", הוצגו המושגים ביקורת מתמשכת וניטור מתמשך וצוין כי השילוב ביניהם מביא לארגון ערך מוסף בניתוח נתונים וניטור שוטף של בקרות, ע"י היחידות העסקיות ובמועדים שאינם תלויים במועדי הביקורת.

במאמר נדון בנוסף המושג Data Analytics שמשמעותו ניתוח נתוני כלל האוכלוסייה להערכת אפקטיביות הבקרות הפנימיות ולא הערכה של האפקטיביות על סמך דגימה, כבעבר.

ניתוח נתוני כלל האוכלוסייה מחייב שימוש בכלים ממוחשבים ייעודיים לביצוע ביקורת באמצעות מחשב הנקראים  CAAT – Computer Aided Audit Technique & Tools, כגון IDEA, ACL ואחרים.

ננסה להסביר מדוע יש צורך בשינוי הפרדיגמה ולמעבר מביקורת מסורתית (בה נעשה כבר שימוש בכלי CAAT), לביקורת מתמשכת, מה נדרש ברמות השונות בארגון כתנאי להצלחת המעבר, מהם רכיבי השיטה ומהן התרומות המרכזיות הנובעות מהתהליך ותוצריו.

הצורך בשינוי

במרבית יחידות הביקורת הפנימית בארץ ובעולם, הביקורת מגבשת תוכנית עבודה שנתית, הנגזרת מניתוח סיכונים שגובש בביקורת הפנימית או ניהול הסיכונים של הארגון, והנחיות ההנהלה וועדת הביקורת. הפועל היוצא הוא תוכנית הבודקת נושא אחת למספר שנים בהתאם לסיכונים המוכלים בו - Ad-Hoc Analysis.

נמצא כי אפקטיביות הבקרות לאורך זמן בשיטת עבודה זו, נמוכה מהאפקטיביות לה אנו מצפים. האפקטיביות עולה מיד לאחר הביקורת אך שוקעת לערך המקורי עד לעריכת הביקורת הבאה:

מהי ביקורת מתמשכת - Continuous Auditing?

מסמך IIA (GTAG – Global Technology Audit guide, משנת 2015), שכותרתו Coordinating Continuous Auditing and Monitoring to Provide Continuous Assurance, מתאר כי סביבת רגולציה משתנה, גלובליזציה גוברת, לחצי השוק לתוצאות עסקיות משופרות וסביבה עסקית בה התהליכים משתנים בקצב גבוה, יוצרים את הצורך בארגונים לפיתוח תוכנית לביקורת מתמשכת המכוונת לנתונים פיננסיים ותפעוליים. תוכנית כזו תומכת ביכולת הביקורת הפנימית לספק ביטחון מתמשך בניהול סיכונים יעיל, ובקרה לממונים על הממשל התאגידי.

נייר עמדה של חברת CaseWare Analytics העוסק בביקורת מתמשכת,
Continuous Auditing: A Strategic Approach to Implementation, מסביר כי בנוסף לבעיות הנסקרות במסמך GTAG, מתמודדים ארגונים עם קצב הולך וגובר של יצירת נתונים, תוך יצירת סביבה בה המשתמשים במידע הפיננסי, דורשים ודאות לדיוק, שלמות ורלוונטיות הנתונים בדוחות.

מאחר וקצב גידול הנתונים מתגבר, פונקציות הניהול הופכות ליותר ויותר תלויות במערכות המידע התפעוליות ובכלי קבלת החלטות מבוססי המחשה חזותית.

ביקורת מסורתית המבוצעת במחזוריות שנתית / 5 שנתית, אינה מסוגלת להבטיח להנהלה את רמת הודאות הנדרשת בתחומים אלה.

ביקורת מתמשכת אינה אפליקציית תוכנה או כלי המסייע למבקרים פנימיים לעמוד באתגר לעיל תוך הישרדות במחסור המתמשך בכוח אדם מקצועי, אלא תהליך המשלב: שיטות עבודה בסיסיות אותן מבצע המבקר הפנימי, לרבות תכנון והערכה מתמשכת של הסיכונים והבקרות , המסתייעת בפרדיגמת ביקורת חדשה של מעבר מביקורת תקופתית מבוססת מדגמים להערכה מתמדת המתבססת על ניתוח כלל התנועות.

מאפייני הביקורת המתמשכת כוללים:

  • גישה רב פעמית לנתונים, כלומר הורדת נתונים בשיטתיות ממערכות ERP והמרה שוטפת של הנתונים למידע.
  • אוטומציה, באמצעות פרוצדורות אוטומטיות לייבוא נתונים, לניתוח תנועות, לרבות תנועות שהתווספו (Incremental Analysis), ולייצוא חריגים.
  • הגדרת תזמון ותדירות של שליפה וניתוח הנתונים, בהתאם לניתוח הסיכונים.
  • בדיקת הבקרות הממוחשבות להצפת חריגים וניהולם (Management by Exceptions) לרבות הרמת דגלים אדומים:
  • זיהוי בזמן ודיווח של חריגים, שלמות ותקפות הנתונים.
  • ניתוח תנועות מפורט.
  • בחינת הבקרות.
  • ניתוח תבניות ומגמות.
  • ניתוח השוואתי בין יחידות, במטרה ליצור אחידות בשיטות עבודה.
  • חיזוי ביצועים סטטיסטי למספר תקופות קדימה.

ממסמך GTAG עולה כי המעבר לביקורת מתמשכת מאפשר גידול משמעותי באפקטיביות הבקרות לאורך זמן, כמוצג בתרשים להלן :

עקרונות למעבר לביקורת מתמשכת

שינוי הפרדיגמה אינו שינוי טריוויאלי. קבלת החלטה שמתאריך נתון משלבים ביקורת מתמשכת יחד עם עריכת ביקורת מסורתית, לא תביא לשינוי הדרוש.

שינוי תפיסת עריכת הביקורת מביקורת מסורתית למערך המשלב ביקורות תקופתיות כמקובל, יחד עם ביקורת מתמשכת, מחייבת תשתית הכוללת היערכות מוקדמת ומחויבות לתהליך מצד מספר גורמים בארגון. שינוי אשר ימצב את הביקורת הפנימית כגורם התורם ערך מוסף גבוה יותר לארגון.

השינוי כולל בניית תשתית ארגונית להצלחת המעבר, מחויבות המבקר הפנימי, מחויבות יחידת הביקורת ומחויבות מבקר ה IT.

  • תשתית להצלחה

מהספרות (IIA, 6 Simple steps to a more effective internal audit , GTAG) עולה כי לגורמים הבאים אחריות למימוש ולהבטחת ביקורת מתמשכת: ועדת הביקורת, ההנהלה הבכירה בארגון, המבקר הפנימי והביקורת הפנימית, כמפורט בטבלה להלן.

נמצא, כי באופן מעשי נדרש כתב אמנה חדש ליחידת הביקורת הכולל מעבר להיבטים בטבלה לעיל, את מחויבות המבקר הפנימי הראשי ומחויבות כל אחד מהמבקרים ביחידת הביקורת:

  • מחויבות המבקר הפנימי
  • השקעת שעות הדרכה לצוות הביקורת הפנימית, בהכשרה פרונטלית בכלי ה- CAATT שנבחר, והתמחות סגל העובדים, לרמה המאפשרת עבודת ניתוח ותחקור עצמאית.
  • מיסוד פעילות OJT [On the Job Training] מתמשכת, להטמעת הידע התיאורטי של ה"איך" הנלמד בהשתלמות, לנושאים המבוקרים.
  • עדכון נהלי עריכת ביקורת.
  • יישום סביבת שליפה לנתונים מהמערכות התפעוליות ב- ODBC [Open Data Base Connectivity] ממערכת ERP בסביבת Windows ובאמצעות כלי ייעודי לשליפת נתוני SAP.
  • תקנון שיטת עבודה להשגת חסכון במשך ביצוע ביקורת, התייעלות וחסכון כספי ע"י:
    • התקנת כלי ה- CAATT הנבחר במחשבי עובדי הביקורת.
    • בחירת משרדי מיקור חוץ העובדים בכלי ה- CAATT שנבחר.
    • חיוב כל המבקרים לנתח ולתחקר נתונים באמצעות כלי ה CAATT הנבחר בלבד ולא בכלים מסורתיים (גיליון אלקטרוני, Access ואחרים).
  • בחירת נושאי ביקורת כמותיים בהם קיים ערך מוסף לביקורת מתמשכת, עפ"י תוצאות ניהול סקר הסיכונים וצרכי ההנהלה.
  • בחירת נושאים המשלבים ניתוח מסמכים יחד עם תחקור נתונים כמותי.

 

  • מחויבות יחידת הביקורת
  • התגברות על ההתנגדות הטבעית לשינוי.
  • הבנה שנדרש להשקיע זמן לימוד פרונטלי וזמן לימוד באמצעות הכשרה בפרויקט מעשי, ביחידת הביקורת, On the Job Training- OJT.
  • ניתוח ותחקור נתונים רק באמצעות כלי ה- CAATT שנבחר.

 

  • מחויבות מבקר ה IT ביחידת הביקורת
  • בארגונים רבים, מבקר ה IT עוסק בעיקר בסיוע למבקרים האחרים בהגדרת הנתונים הנדרשים, בהורדתם לסביבת ה- PC ובתחקורם. גם בעידן הביקורת המסורתית, למבקר IT מטלות ביקורת IT כגון היערכות לחירום (DRP), אבטחת מידע ובדיקות חדירה, סייבר, ניהול ובקרת חוות השרתים.
  • כפועל יוצא משינוי עיסוקו המסורתי של מבקר ה IT במעבר מסיוע לאחרים, לפעילות ביקורת IT ממוקדת, יש לו אחריות מרכזית להקמת התשתית לדוחות בקרה, כחלק מהביקורת המתמשכת שנועדה לזהות חריגים ביחס לנורמה ולאפשר הרמת דגלים אדומים.

 

בניית דוחות בקרה של התהליכים העסקיים על בסיס תכנית הביקורת השנתית

בסיום הקמת התשתית הנדרשת לשינוי הפרדיגמה והתמקדות בנושאי ביקורת המשלבים ניתוח כמותי, ניתן להתחיל בבניית דוחות בקרה, הכוללים את השלבים הבאים:

  1. ביצוע ניתוח להערכת חוזק הבקרות הפנימיות:
  • שימוש ביכולות המובנות בכלי ה CAATT לייבוא, ניתוח ושליפת ליקויים בתהליך שוטף ועקבי לבדיקת אמינות הנתונים, חישובים פנימיים, הפרדת תפקידים ועוד.
  • זיהוי הבקרות שאינן מתפקדות או מתפקדות באופן בלתי מספק בתהליך המבוקר.
  • תיעוד תהליכי העבודה והממצאים.
  1. יצירת פרוצדורה חזותית אוטומטית של כל התהליך שנבדק, ללא קוד, ובדיקתו על הנתונים המקוריים.
  2. קיבוע פרוצדורה לאחר בדיקות והעברתה לבקרה העסקית, להרצה בשוטף לשליפת חריגים מהנורמה ולהרמת דגלים אדומים, סמוך ככל האפשר למועד התרחשות האירוע.
  3. גיבוש תפריטי עבודה מובנים ותהליכים אוטומטיים המאפשרים חזרה בנקודות זמן על פעילות בדיקת הבקרות במטרה לוודא תיקון ליקויים וזיהוי בעיות חדשות.

 

תרומות הנובעות משינוי הפרדיגמה והערך המוסף הסמוי

תרומות שינוי הפרדיגמה בנושא אפקטיביות הבקרות בתהליכים העסקיים, מתואר במסמך GTAG.
מהו אם כן הערך המוסף הנובע משינוי שיטת העבודה, שאינו מוצג ב GTAG ?

  • הפקה אוטומטית של דוחות בקרה אוטומטיים ללא עלות (הדוחות נוצרים ללא כתיבת קוד, בעת ביצוע הביקורת ומכאן שאין להם עלות), לאיתור כשלים הפוגמים באיכות הנתונים וזמינותם, בכל נקודת זמן בה תחליט יחידת הבקרה להריץ את הדוח. חשוב להדגיש כי לאחר בדיקת הביקורת להרצה ראשונה תקינה של הדוח, נדרשת העברת האחריות להפקת דוחות הבקרה בשוטף ע"י יחידת הבקרה העסקית ולא ע"י יחידת הביקורת הפנימית.
  • מניעת זליגה כספית -פתרון ותיקון הליקויים במערכות המידע הארגוניות, דורש בד"כ מסגרת זמן והשקעת משאבים משמעותיים. שינוי שיטת העבודה להרצת דוחות בקרה לפני ביצוע תהליכי הוצאת כספים מהחברה, ימנע זליגת כספים ויאפשר סגירת פרצות מידית, עד לתיקון התהליכים וחיזוק הבקרות.
  • ביצוע מעקב תיקון ליקויים שוטף באמצעות הרצת הדוחות, ימנע את הצורך בביקורת חוזרת ויאפשר השגת חיסכון כספי ניכר.
  • הקטנת תלות הביקורת הפנימית בעובדים ייחודיים ע"י הכשרת כל המבקרים לניתוח אנליטי.

 

סיכום

שינוי תפיסת שיטת העבודה הוא תהליך לאורך זמן שראשיתו בהבנה בצורך בשינוי, המשכו בשכנוע הנהלת הארגון ומועצת המנהלים בתרומת השינוי לארגון ובהכרה כי משך הזמן מהתנעתו ועד למימוש אפקטיבי הינו ארוך.

לגורמים רבים בארגון השפעה על התהליך ובראשם למבקר הפנימי וליחידת הביקורת המחויבים לשינוי שיטת העבודה.

פועל יוצא של תהליך העבודה המוצע, הן ביחידת הביקורת הפנימית וביחידות הבקרה הכספית בארגון, הם התוצרים הארגוניים הבאים:

  • מאגר דוחות בקרה אוטומטיים זמין לזיהוי חריגים וכשלים בתהליכים השונים.
  • יכולת להשוות ביצועים ועלויות ביחידות השונות בחברה, באופן שוטף ומתמיד.

 

הרשמה

שכחת סיסמה?

Accessibility by WAH