לשכת המבקרים הפנימיים העולמית (IIA) פרסמה לאחרונה את המהדורה השנייה של המדריך לפיתוח תוכנית ביקורת מבוססת סיכונים¹. המהדורה הראשונה, שהייתה בשימוש למעלה מעשור, נתפסה ככלי מתודולוגי המסייע בבניית תוכניות עבודה שנתיות. אולם, מאז חל שינוי מהותי - הן בסביבה הארגונית והעסקית והן בסטנדרטים הגלובליים עצמם. הסטנדרטים החדשים, שנכנסו לתוקף בראשית 2025, העלו את הדרישות מתוכנית העבודה והפכו אותה למסמך אסטרטגי המחייב דינמיות, שקיפות, ותיעוד מלא. המדריך המעודכן אינו מסתפק בהצגת עקרונות. הוא מיישר קו עם הסטנדרטים הגלובליים החדשים ומרחיב באופן מפורט את החובות, האחריות והפרקטיקות שהמבקרים נדרשים לאמץ.

מה החידוש המרכזי?

במהדורה השנייה של המדריך מופיעים שני חידושים מרכזיים: 1. יישור מלא לסטנדרטים הגלובליים החדשים - התאמה לדרישות תקן 9.4 והדגשת החובה להעמיד את תוכנית העבודה על הערכת סיכונים עדכנית, על יעדי הארגון והאסטרטגיה שנקבעה, ובשיתוף ההנהלה והדירקטוריון. 2. הרחבה פרקטית לשיטות ביצוע ותיעוד - המדריך מציע תהליך מובנה, שלב אחר שלב: מיפוי, עולם הביקורת (Audit Universe), הערכת סיכונים איכותית וכמותית, שימוש במפות הבטחה (map assurance), תעדוף משאבים, ותיעוד החלטות בצורה מסודרת ושקופה. שני החידושים הללו יחד לא רק מספקים כלים, אלא גם מגדילים את האחריות המוטלת על מבקרי הפנים.

הרחבת האחריות

בעבר, מבקרי פנים הסתפקו לרוב בסקר סיכונים תקופתי (על-פי רוב אחת לשנה). ההנחיה החדשה משנה זאת:

• סקר סיכונים בכל שינוי מהותי - לא רק פרקי זמן קבועים, אלא כל אימת שהארגון משנה אסטרטגיה, רגולציה מתעדכנת, או תנאי השוק משתנים (תוכנית מתגלגלת -Rolling Plan).

• הכללת כל סוגי הסיכונים - הנחייה מדגישה את הצורך בהכללת מגוון רחב של סיכונים - מעבר לסיכונים תפעוליים ופיננסיים. כך יש להתייחס גם לסיכונים טכנולוגיים, סייבר, ESG, צדדים שלישיים, ואתיקה והונאה.

• חובת תיעוד - המבקר הפנימי חייב לשמור על תיעוד של ההחלטות, של השיקולים שנבחנו ושל הסיבות להכללה או להדרה של נושאי ביקורת. התוצאה היא שהמבקר הפנימי אינו יכול עוד להציג תוכנית עבודה כ"מסמך סופי" בלבד, אלא כהליך מתמשך של בחינה, תיעוד ועידכון.

פרקטיקות חדשות: תיאום ושיתוף פעולה

המדריך מדגיש את שיתוף הפעולה עם ספקי הבטחה אחרים כגון: ניהול סיכונים, ציות, רואי חשבון חיצוניים. באמצעות מפת ביטחון (Assurance Map) נדרש מבקר הפנים לוודא שאין כפילויות בכיסוי אך גם שאין פערים - תהליך שממקם אותו כמנהיג בתיאום בין קווי ההגנה.

ההשלכות על עבודת המבקר הפנימי

אם כן לא מן הנמנע שההנחיה החדשה תיצור על פניו מציאות חדשה למבקרים פנימיים:

• אחריות מוגברת - כל חריגה בין סקר סיכונים לבין תוכנית העבודה עלולה לחייב במתן דין וחשבון.

• צורך במשאבים נוספים - עריכת סקר סיכונים בתדירות משתנה, והרחבת תחומי הסיכון מחייבת במשאבים לצורך גיוס מומחיות טכנולוגית, ידע בתחומי ESG, גם תוך הסתייעות בגורמי חוץ.

• לחץ מקצועי חדש - שיקול הדעת של המבקר אינו עוד עניין פנימי בלבד; כעת הוא ניתן בקלות יתרה לעמוד, כמעט בכל צעד ושעל ששאלת כיסוי תוכנית הביקורת תעלה (כגון בעת כשל), לבחינה של הנהלה, דירקטוריון ואף במקרים מסוימים רגולטורים.

סיכום

העידכון במדריך ה-IIA אינו עידכון טכני בלבד. הוא מבטא העלאת רף מקצועית שמציבה את המבקר הפנימי בעמדה של שותף אסטרטגי להנהלה ולדירקטוריון - אך גם כמי שנושא באחריות כבדה יותר. מצד אחד, ההנחיה מעניקה כלים סדורים, תבניות עבודה ומסגרת מתודולוגית. מצד שני, היא מרחיבה את האחריות: לסקרי סיכונים תכופים, להכללת תחומי סיכון חדשים, לתיאום בין ארגוני ולחובת תיעוד ושקיפות. המבקר הפנימי נדרש היום ליותר: יותר ידע, יותר משאבים, יותר יכולת הסבר והגנה על החלטותיו. זוהי לא רק התמקצעות נוספת - אלא שינוי פרדיגמה ביחסי הכוחות בין המבקר, ההנהלה והדירקטוריון.