כלי חדש לרשות הדירקטוריון והביקורת - מפת הבטחה

הצגת הסוגיה

בכל ארגון ישנן פונקציות המספקות הבטחה¹ (Assurance) ביחס לניהול הסיכונים ואפקטיביות הבקרה, המלמדות האם הארגון אכן מזהה את הסיכונים ופועל לצמצמן (אל מתחת לרמת התאבון לסיכון). פונקציות אלה (המכונות "ספקי הבטחה") המוצגות במודל שלושת קווי הגנה², יכולות להיות פנימיות (כגון: קצין ציות, קצין ניהול סיכונים, פונקציות בקרה וביקורת פנימית) או חיצוניות (כגון: רו"ח-מבקר ויועצים חיצוניים) וצריכות, כל אחת בתחום פעילות, לספק להנהלה משוב על עמידת הארגון ביעדים. כדי להבטיח שהחלטותיה מחד ודיווחיה (לרגולטור וכו') מאידך שלמים ונאותים, מפעילה הנהלה בכירה אמצעים שונים לצורך קבלת דיווח על אופן ניהול הסיכונים ותפקוד הבקרה הפנימית. למעשה השגת הבטחה (assurance) על עמידת הארגון ביעדים שנקבעו, הוא אחד מתחומי אחריותה העיקריים של הנהלה, וכדי שהיא תעמוד בחובה זו עליה לנקוט בתהליכים מוסדרים ושיטתיים לזיהוי והערכת סיכונים, וכן להבטיח כי תהליכי קבלת החלטות מתחשבים בהערכות אלה. כי הרי כיסוי הבטחה לא מספק עלול להביא לכך שהארגון לא יתייחס לסיכונים משמעותיים ו/או יגבש ביחס אליהם הערכה שגויה (כגון, קביעה שהסיכון לא מהותי לארגון בעוד שהוא כן). ברם, כיצד יכולה אם כן הנהלה לדעת שהדיווח של גורמי ההבטחה השונים על תהליכי ניהול סיכונים והבקרה שלמים, כאשר מתן הבטחה מתבצע ברמות שונות ועל-ידי ספקי הבטחה שונים, הנבדלים זה מזה באחריות הדיווח שלהם, ברמת אי-התלות שלהם (מהפעילויות עליהם הם מספקים הבטחה) ובאמינות המיוחסת לדיווחיהם?

הפתרון

מה אם כן הדרך שבה יכולה הנהלה להבטיח כי המידע שברשותה, המגיע מספקי הבטחה שונים, לא זו בלבד שהוא מעניק לה תמונה שלמה ומהימנה, אלא שהפונקציות הללו פועלות באורח אופטימלי (ללא כפילות ו/או פערי כיסוי)? ונזכיר כי סוגיה זו הנה קריטית כיוון שלא זו בלבד שהנהלות תלויה בהחלטותיהן בדיווחים של גורמי הבטחה, אלא שעל-פי רוב אין להן יכולת לדעת, בעת קבה"ח, מהי המהימנות של אותם דיווחים. נדמה כי כעת ניתן לדבר מענה. לאחרונה פרסמה³ לשכת המבקרים הפנימיים העולמית נוהל יעץ המציע כלי חדש, מפת הבטחה (assurance map), המציג בצורה ויזואלית את מידת הכיסוי של כל אחד מספקי ההבטחה. המפה הנה למעשה מטריצה הכוללת מידע חזותי על סיכוני הארגון מכל ספקי שירותי ההבטחה הפנימיים והחיצוניים המכסים את הסיכונים הללו. תיאור חזותי זה יכול גם לחשוף קיומם של פערי כיסוי וכפילויות של גורמי הבטחה. ספקי הבטחה רשאים להשתמש במפה לתיאום פעילותם והיקף שירותיהם, על-מנת למנוע כפילות ו/או כיסוי מיותר של הבטחה בתחומים ובתהליכים הנמצאים כבר תחת בדיקה, זאת כמובן למעט במקרים בהם ההנהלה הבכירה מבקשת לקבל חוות דעת שנייה או לבדוק פעמיים דיווח על סיכון ברמה גבוהה, על-ידי ספק הבטחה אחר.

כיצד עושים זאת?

פיתוח מפת הבטחה מחייב מאמץ של כלל ספקי שירות הבטחה, כאשר הביקורת הפנימית, לאור הפרספקטיבה הרחבה שלה, יכולה להיות הגורם המתאים ביותר לערוך מפת הבטחה הוליסטית לארגון. הדרך המומלצת היא לעצב מפת הבטחה כמטריצה המפרטת, בעמודה הראשונה, את קטגוריות הסיכון, עם עמודות נוספות לכל ספק הבטחה, באופן המאפשר קביעת היקף כיסוי הבטחה, ביחס לכל קטגוריית סיכון בארגון. המנדט להכין מפת הבטחה עשוי לבוא מההנהלה הבכירה או מהדירקטוריון; באופן ספציפי, ועדות ביקורת או ועדת ניהול סיכונים או באמצעות יוזמה עצמית של מבקר הפנים. מפת הבטחה עשויה להיות פשוטה או מסובכת, זאת בהתאם לארגון; עם זאת, השלבים ליצירת מפת הבטחה קבועים, זאת ללא קשר לתכנון, כדלקמן:

א. זיהוי מקורות מידע סיכון

ניהול סיכונים בארגון הוא תהליך הנוגע בכל היחידות בארגון, לכן מידע על-אודות סיכונים יהיה קיים כמעט בכל התחומים בין אם זה נראה כמו מידע על סיכונים ובין אם לא. עם זאת כדי לזהות את מקורות הסיכונים יש לסקור את המסמכים המרכזיים בארגון ובהם: החלטות הנהלה בנושא סיכונים (תיאבון לסיכון), מסמכי אסטרטגיה, הערכות סיכונים, מדיניות, דוחות בקרה, פרוטוקולים של ישיבות הנהלה/דירקטוריון, ועדות ביקורת ועוד.

ב. הצגת הסיכונים בקטגוריות סיכון לצורך קבלת פרספקטיבה כוללת

כיוון שניהול סיכונים מבוסס על הערכות (מה מהווה סיכון, ומה משקלו) יתכנו הערכות שונות בין הגורמים השונים המספקים הבטחה בתחום זה. אשר על כן, כדי למנוע פערים או כפילות בהערכה ומתן הבטחה לדירקטוריון, ניהול הסיכונים בארגון חייב להיות ערוך באופן המאפשר סקירה הוליסטית ומגובשת, כאשר קטגוריות הסיכון מחוברת ליעדים האסטרטגיים של הארגון. ארגונים מסווגים לעיתים קרובות סיכונים לפי פונקציות עסקיות, יחידות, תהליכים או תוכניות, וחלקם אף עשויים להפעיל מסגרת אינטגרטיבית לניהול סיכונים. ברם, תהא השיטה אשר תהא, קטגוריות הסיכון הללו צריכות להתיישב עם היעדים האסטרטגיים של הארגון, וכן לכסות אזורים או תהליכים תפעוליים וסיכוני ציות ודיווח. פרקטיקה זו מבטיח שכל התחומים המשמעותיים יהיו כלולים בהליך והמידע הזה יונגש וידווח לדירקטוריון ולהנהלה הבכירה לפי הצורך. נתונים אלה של קטגוריות הסיכונים שזוהו מתוך הערכות סיכונים ברחבי הארגון (אסטרטגי, תפעולי, פיננסי וכו') מוצגים במפת ההבטחה. אם הארגון לא מקיים הערכת סיכונים כוללת בארגון אזי ספקי הבטחה צריכים להיפגש כדי לפתח הבנה משותפת ולהסכים על קטגוריות הסיכון.

ג. זיהוי ספקי הבטחה

על-מנת להבטיח כיסוי שלם של כל האמצעים שהארגון מפעיל על-מנת להבטיח כי תהליכי ניהול סיכונים והבקרה מתנהלים באופן ראוי, נדרש לזהות את ספקי ההבטחה בארגון. כלי שיכול לסייע בכך הוא מודל שלוש קווי ההגנה, המבחין בין מקורות ניהול סיכונים לשלוש קבוצות פנימיות עיקריות (או קווי הגנה) בהתבסס על תפקידים ותחומי אחריות חיוניים. שני קווי ההגנה הראשונים כוללים גורמים מצמצמי סיכון פנימיים המדווחים להנהלה הבכירה. קו ההגנה השלישי - פעילות הביקורת הפנימית - המדווחים הן להנהלה הבכירה והן לדירקטוריון. שירותי הבטחה נוספים עשויים להינתן על-ידי מקורות חיצוניים כגון יועצים.

ד. איסוף מידע ותיעוד פעילויות הבטחה לפי קטגוריות סיכון

מפת ההבטחה כוללת, בנוסף לקטגוריות הסיכון, עמודות נוספות המתעדות את רמת כיסוי הבטחה על-ידי כל ספק שירותי הבטחה. עמודה לכל ספק ההבטחה, פנימי או חיצוני, בהתאם למודל שלוש קווי ההגנה. מידע זה אמור לתת אינדיקציה כללית לגבי רמת העצמאות של כל ספק.

ה. סקירה, פיקוח ועידכון מעת לעת של מפת ההבטחה

על הגורם האחראי ליצירת מפה ההבטחה להיפגש עם מנהלים ונותני ההבטחה על-מנת לאמת את הסיכונים שהם מכסים וכדי למלא את המידע החסר. כל ספק הבטחה יכול לתרום מידע להשלמת העמודה שלו על המפה, המתאר את השירותים שהם מבצעים הקשורים לכל קטגוריית סיכון.

סיכום

למן ראשית שנות ה-2000 נדמה כי אין מחלוקת שהשינויים הרגולטורים ובראשם חקיקת חוק SOX (שחלקים ממנו יישומו גם בישראל), שהנהלות נשענות יותר ויותר על גורמי בקרה וביקורת, כאשר הצפייה מפונקציות אלה היא לתת דיווח שלם, בראש והראשונה על האופן שבו הארגון מנהל סיכונים. דבר זה נקרא הבטחה, או assurance באנגלית, שתכליתו היא מתן משוב כנ"ל שאינו נשען על בדיקות חלקית או מדגמים (אלא בדיקה של כלל הנתונים). עם השנים נוצרו, עקב הרגולציה, יותר ויותר אורגנים, פנימיים וחיצונים, המספקים הבטחה, ובראשם הביקורת הפנימית. כיוון שהנהלה, לאור היקף אחריותה, לא יכולה להישען בעיניים עצומות על גורמים אלה, עליה להבטיח כי הללו פועלים בצורה נאותה. עד כה חובה זו (של לבחון את 'שמירת השומרים') לא הייתה ברורה, והנהלות נשענו בעיקר על הביקורת הפנימית. עתה ישנו כלי, שאומנם ייועד לביקורת הפנימית אך הוא מתאים גם להנהלה, שיכול לסייע להנהלה בהבנה של הסיכונים העומדים בפני ארגון, זאת בהתאם לקטגוריות הסיכון. עוד יכול כלי זה לסייע להנהלה בזיהוי התפקידים השונים של האורגנים בהליך ניהול הסיכונים ובהליכי ההבטחה של הארגון, וכן לעזור להנהלה בפיתוח מסגרת הבטחה הוליסטית מקיפה, שיכולה להיות שימושית גם לתקופות שהארגון מצוי במעבר, כגון מיזוגים ורכישות, רה-ארגון, או בעת שינוי אסטרטגיות עסקיות. הנהלה יכולה גם באמצעות כלי זה להגביר את שיתוף פעולה בין ספקי הבטחה, בכדי להקל על שימוש יעיל במשאבים. ואילו, הביקורת הפנימית יכולה להשתמש במפת ההבטחה כדי לתמוך בתוכנית הביקורת בעת הצגתה בפני ההנהלה וכן לבחון האם ניתן להישען על עבודתם של ספקי הבטחה אחרים. יש לקוות שהנהלות ומבקרי פנים ישכילו לעשות שימוש בכלי זה.