האתגר המרכזי העומד בפני הביקורת הפנימית כיום איננו רק שמירה על רלוונטיות או אספקת ערך מוסף לארגון, אלא גם היכולת לבצע כיסוי אפקטיבי של תחומי סיכון מהותיים - כל זאת תחת אילוצי משאבים. על-רקע זאת פרסמה לשכת המבקרים הפנימיים הבינלאומית (IIA) ב-23 במאי 2025 מסמך הנחיה מקצועית חדש, תחת הכותרת: "תיאום והסתמכות: עבודה עם ספקי אבטחה אחרים
1".
ההנחיה נועדה ליישם הלכה למעשה את סעיף 9.5 בתקן הבינלאומי החדש, שנכנס לתוקף בראשית 2025, וצפוי שהלשכה העולמית תוציא הנחיות חדשות נוספות שיפרשו את התקנים הגלובליים החדשים.
ליבת ההנחיה: חיסכון מול סיכון
בהתמודדות עם סביבה רגולטורית מורכבת ורוויה בסיכונים, קובעת ההנחיה מתודולוגיה סדורה שמטרתה לאפשר תכנון אסטרטגי המשלב חיסכון במשאבים עם מקסום כיסוי הסיכונים. עיקרון המפתח הוא תיאום והסתמכות על עבודתם של ספקי הבטחת איכות נוספים - פנימיים וחיצוניים - הפועלים בארגון, כגון: מבקרים רגולטוריים, רו"ח מבקרים, מערכי ציות ובקרת איכות.
ההנחיה מתבססת על מודל שלושת הקווים, מבקשת לשפר את תיאום הפעולה, למנוע כפילויות, לזהות פערי בקרה ולחזק את הדיווח לדירקטוריון ולהנהלה.
ארבעת עמודי התווך של ההנחיה
1. תיאום עם ספקי הבטחה אחרים - יצירת שיתופי פעולה עם גופים פנימיים וחיצוניים המספקים שירותי בקרה וביקורת.
2. מיפוי הבטחות (Assurance Mapping) - ניתוח סיכונים רוחבי בארגון והתאמתם לגורמי בקרה רלוונטיים.
3. הערכת מהימנות והסתמכות - בחינה מתודולוגית של האפשרות להסתמך על תוצרי גופים אחרים.
4. שמירה על אחריות כוללת - גם כאשר קיימת הסתמכות, המבקר הפנימי נותר אחראי למסקנות.
החידוש המשמעותי: הסתמכות מתועדת ואחראית
עקרון של תיאום בין ספקי הבטחה אינו חדש, ואף כתבנו על זה כאן (קוחלני, 11.10.2020, News1). ברם, החידוש בהנחיה חדשה זו היא בכך שהיא מטילה לראשונה חובה לתעד ולנמק כל החלטה להסתמך על גוף ביקורת אחר. לצורך כך קובעת הנחיה חמישה קריטריונים מרכזיים לבחינת האמינות והם: (1) מטרת גוף הבקרה; (2) עצמאות ואובייקטיביות; (3) רמת הכשירות המקצועית; (4) עקרונות עבודה וסטנדרטים; (5)
תקשורת ודיווח על ממצאים - המבקר הפנימי מחויב לבחון את רמת האמינות, לדרג את רמת ההסתמכות (נמוכה, בינונית, גבוהה) ולשמור על אחריות מקצועית גם כאשר בחר להישען על גוף אחר.
מפת ההבטחות - כלי ניהולי חיוני
המדריך מדגיש את החשיבות של מפת הבטחות - טבלת ניתוח המרכזת את תחומי הסיכון, בעלי הסיכון, ספקי הבקרה ואת רמת ההבטחה הניתנת בפועל. המפה: (1) חושפת פערי כיסוי; (2) מזהה כפילויות; (3) תומכת בקבלת החלטות; (4) מאפשרת הפניית משאבים מחדש לפי סיכונים. המדריך ממליץ לעדכן את המפה לפחות אחת לשנה, או עם כל שינוי מהותי בניהול הסיכונים.
תהליך יישום מומלץ
1. מיפוי תחומי הסיכון המרכזיים;
2. זיהוי בעלי הסיכון וספקי ההבטחה;
3. הערכת מהימנות של כל גוף;
4. עידכון מפת ההבטחות בהתאם לרמות ההסתמכות;
5. הצגת הנתונים לדירקטוריון ולהנהלה הבכירה.
אתגרים צפויים ודרכי התמודדות
ההנחיה גם מתייחסת למקרים בהם ספקי הבטחה אינם מוכנים לשתף פעולה או לא מאפשרים הסתמכות. במקרים אלו, מחויב המבקר: (1) לדווח על כך להנהלה ולדירקטוריון; (2) לבחון חלופות; (3) לבצע בעצמו את עבודת הביקורת הנדרשת; (4) לתעד את התהליך.
סיכום: המבקר כאסטרטג
ההנחיה החדשה של ה-IIA מעצבת מחדש את תפקידו של המבקר הפנימי - לא רק כזרוע ביקורת (Audit Function), אלא כרכז בקרה אסטרטגי (Strategic Assurance Coordinator), המנווט את כלל תשתיות ההבטחה (Assurance) בארגון. בכך הוא מסייע להנהלה ולדירקטוריון למקסם את שלמות כיסוי ההבטחה מחד-גיסא, ואת האפקטיביות והאמינות של תהליכי ניהול הסיכונים מאידך.
מבקר פנימי מוסיף ערך מהותי לארגון כאשר הוא מספק תובנות לא רק לגבי חשיפה לסיכונים, ליקויים ובקרות, אלא גם באשר לשיעור ולרציפות הכיסוי של גורמי הבטחה קיימים. תובנות אלה עשויות לחדד את הערכת החשיפה לסיכונים, לאפשר הקצאה מושכלת של משאבים, ולחזק את יכולת ההנהלה לבסס החלטות על מידע שלם, מתואם ומהימן - בכל תחומי הממשל התאגידי.