ב-24.2.2022, פרצה מלחמת אוקראינה-רוסיה שהדיה עדיין לא שככו, שהשפעתה חרגה מעבר לאזור הגאוגרפי בה היא נערכה. על-רקע זאת לשכת המבקרים הפנימיים העולמית
1 וזו של בריטניה
2 פרסמו לקחים ומסקנות מתבקשות, שעיקרם הוא בחינת השפעה של סיכונים ובהם סיכונים גיאופוליטיים, תוך מתן מענה לאילוצים הכרוכים בכך.
שנה וחצי לאחר מכן, בבוקרו של 7.10.2023, החלה מתקפת פתע של ארגוני טרור מרצועת עזה שחדרו לשטח ישראל במטרה לכבוש את יישובי עוטף עזה. ממדי ההרג והברוטליות בצד חטיפת אזרחים ובהם קשישים וילדים הביאו את הממשלה להכריז מלחמה. מצב זה, באבחה אחת, הציב את מבקרי הפנים בפני דילמה. האם עליהם להירתם למאמץ הארגוני בהפעלת מערך חירום ובמתן מענה לאתגרים ולקשיים, או לערוך ביקורת. ואם לערוך ביקורת, אזי האם להמשיך בביקורת המתוכננת על-פי תוכנית העבודה השנתית?
ראשית יש להבהיר, למרות שהמצב חריג, ולמרות שהמלחמה משפיעה על כולם, מה גם שישנם גופים שבמצבים כאלה עוברים לעבוד במתכונת חירום (פס"ח), מבקרים פנימיים חייבים לציית לחוק ולערוך ביקורת. אשר על כן במאמר זה נסקור את ההשפעה שיש למלחמה על מבקרי הפנים, כפי שעלה גם מהניסיון במלחמת אוקראינה - רוסיה.
סקר סיכונים ותוכנית עבודה שנתית
הביקורת הפנימית, מכוח התקינה המקצועית (IPPF), מחויבת לערוך תוכנית עבודה רב שנתית המבוססת על סקר סיכונים. פרקטיקה זו, של בחינת חשיפת התאגיד לסיכונים נערכת אחת לכמה שנים, כאשר מבקר הפנים נדרש לעדכן אותה כל אימת שמתרחש אירוע שיש לו השפעה מהותית על התאגיד.
לכל הדעות, המצב אליו נקלעה ישראל בימים אלה והיקף השפעתה, מחייב בבחינת הערכה מחודשת לחשיפת התאגיד לסיכונים, תוך התחשבות בכך שהתאגיד פועל בתנאים לא ברורים.
הערכת הסיכונים של מבקר פנים תצטרך לשקף את השינויים שחלו בסביבה העסקית והתפעולית של התאגיד. הערכה שכזו יכולה לכלול מן הסתם גם סיכונים שלא נכללו בעבר למן גורמי שיבוש שעלולים להשפיע על היכולת של התאגיד לפעול כעסק חי; ועד להשפעות של המלחמה על תוכניות עתידיות ו/או המודל עסקי ו/או האסטרטגיה של התאגיד.
דוגמה להשפעה על מפת הסיכונים
בחינת השפעת האירועים הללו על החשיפה לסיכונים צריכה לקחת בחשבון את העובדה שבסיס הנתונים הקיים ובהם נתוני מאקרו-כלכליים (כגון: ריבית, אינפלציה) ואומדנים חשבונאיים ואחרים, כבר לא בהכרח רלוונטיים. כמו-כן יש לקחת בחשבון בניתוחי אירועי קיצון, תרחישים שלא נבחנו בעבר.
ככלל, בבחינת החשיפה לסיכונים יש לקחת בחשבון את התמורות בסביבה העסקית של התאגיד בכמה היבטים:
- אי-וודאות ביחס לעמידה בהתחייבויות התאגיד (ללקוחותיה וכו') וכן על היכולת של התאגיד לעמוד ביעדים.
- מידת ההתאמה של האסטרטגיה והתוכניות העסקיות והתפעוליות למצב החדש.
- יכולת התאגיד להבטיח את זכויותיו בהתקשרויות עם קבלנים, יועצים וספקים.
- קשיים באספקה של חומרי גלם (שרשרת אספקה), אנרגיה (גז, דלק, חשמל וכו') ועלית מחירים של אלה.
- שינויים במדיניות של המבטח ובכיסוי הביטוח (כגון: ביטוח אשראי לעסקים).
- ירידת ערך של נכסי התאגיד (בייחוד במצבי תת-ביטוח).
- סיכונים גיאופוליטיים (ישנה מעורבות של ישויות מדינתיות ואחרות שמצביע על סיכון, שלעת עתה קשה מאוד להעריך אותו).
- שינויים במדיניות ממשלה (שינוי בסדרי עדיפות, ביטול פרויקטים/תמיכה וכו').
- השפעה על מצב הפיננסי של התאגיד (נזילות, אשראי, ארביטראז, קשיי גביה ואף מפעילות לא רציפה של מוסדות פיננסים) לרבות השלכות של סיכוני AML.
- סיכוני סייבר, שהתגברו והפכו להיות מוחשיים וקריטיים.
חשוב לציין, כי האחריות להערכת השפעת האירועים הביטחוניים על יכולתו של התאגיד לפעול כעסק החי, וכן חובה לבדוק זאת מעת לעת היא של הנהלה. בצד זה מבקרי הפנים, יצטרכו לבחון, בין היתר, את ההנחות והשיקולים שעמדו בבסיס הערכות הללו ולקבוע האם ההנהלה אכן לקחה בחשבון את כל הגורמים הרלוונטיים, למן סיכוני הלבנת הון (AML) ועד לסיכוני שרשרת אספקה וכן לבחון את השפעתם על האסטרטגיה והתפעול של התאגיד.
מה נדרש ומה אפשר לעשות?
מבקרים פנימיים חייבים לבחון את תוכנית העבודה שלהם, לאור ניתוח סיכונים עדכני הלקוח בחשבון את חשיפה התאגיד שלהם לסיכונים. ניתוח שבעת הזו, בו שיתכן שהנהלות עצמן עדין לא התפנו לעסוק בכך, מורכב ומחייב בבחינה חוזרת כל אימת שיש שינוי בתמונת המצב.
הם גם חייבים, ואירוע זה ממחיש עד כמה, לערוך ביקורת בפרספקטיבה של סיכונים (RBIA), ולבדוק במסגרת את מידת חשיפה התאגיד לסיכונים תוך קביעה כהמלצה את הדרכים בהם התאגיד יכול לפעול לצמצם את הסיכונים.
אם כן בעת הזו, גולת הכותרת של הביקורת הפנימית הוא בבחינה מחוץ לקופסה (כגון על-ידי תרחישי What-If), של הסיכונים שהמצב הזה יוצר, ולתת על כך למקבלי החלטות דיווח מהימן על חשיפת התאגיד לסיכונים, על סבירות התיאבון לסיכון ועל המלצות לצמצום הסיכונים. לשם כך נדרשים מבקרי הפנים לבחון גם האם אין עליהם להעשיר את ידיעתם (גם על-ידי לימודי מהנעשה מעבר לים ואף באמצעות טכנולוגיות, לרבות AI, כדי להבטיח שאכן בכוחם להוסיף ערך לארגון).