בשנים האחרונות, עסקתי לא מעט בביקורת שוטפת של ארגונים נסחרים. תקופה זו של השנה, בה המבקר החיצוני של אותם ארגונים משקיע מאות ולעתים אף אלפי שעות עבודה על מנת לוודא כי הדוחות השנתיים שהחברה הצהירה עליהן אכן מציגים את סיכום הפעילות השנתית, וכי הסיכונים (בעיקר הפיננסיים) הארגוניים מנוהלים כראוי.
כמנהלים, אין לנו יותר מדי מה לעשות. להציג את נתוני השנה החולפת, להצניע ככל האפשר את המקומות שאנו חוששים מהם (לאו דווקא כי הם לא בסדר, אלא כי שם אנו נראים פחות טוב), לפאר ולהציג את העבודה הטובה שעשינו השנה, ובעיקר לקוות לטוב.
מהצד השני, כמבקרים, בדיוק כמו החברה, אנחנו עובדים עם צק ליסט מסודר, עוברים סעיף, סעיף, לוודא כי הבקרות שאנו מצפים לראות אכן שם ומופעלות בצורה עקבית.
אם כך, מדוע ישנם כל כך הרבה אירועי אבטחה, מעילות, הונאות וסקנדלים כספיים נוספים?
הדוגמא טובה ביותר (בעיני), היא עולם הבנקאות. לדעת רבים, זהו הסקטור בעל דרישות הרגולציה הגבוהות ביותר ועדיין עפ”י דוח בנק ישראל, בשנת 2011 בלבד, זוהו 13 מקרי מעילה (שזוהו ודווחו !!) בסכום כולל של כמעט 15 מליון ₪. אגב, כמות המעילות קטנה לעומת 2010 (20 מקרים), אך הסכומים גדלו פי שלוש (מסכום כולל של כמעט חמישה מליון לסה”כ כמעט חמישה עשר מליון).
איך זה קורה? מדוע ארגונים המבוקרים באופן שוטף “ממשיכים לסבול” מסקנדלים פיננסיים?
לדעתי האישית, עיקר הבעייתיות נובעת מהתפיסה המוטעית שלנו מתוצרי הביקורת השנתית ובכלל הבנת מטרות הביקורת ומסקנותיה (גם החיצונית ואפילו יותר הפנימית) .
אני אסביר: יש לנו, כמנהלים, תפיסה מוטעית שמטרת הביקורת השנתית היא לזהות את כל החורים האפשריים ובסופה כל מה שזוהה תוקן ונסגר ולעולם לא יחזור. בעוד שבפועל, מטרת הביקורת היא לוודא כי מה שהוצהר כסיכום הפעילות הפיננסית אכן מייצג את הפעילות השנתית.
במילים פשוטות, הביקורת בודקת את המעטפת העליונה של הדיווח הכספי ומוודא שעקרונית אין חורים ענקיים וברורים שעלולים לסכן את נכונות התוצאה הכספית הסופית של השנתון הנבדק.
מטרת הביקורת השנתית אינה לבדוק אבטחת מידע ו/או מעילות והונאות, מטרת הביקורת היא לאשרר את תהליכי הבקרה הפנימית ולוודא כי המספרים המייצגים את הפעילות השנתית, הגיוניים וסבירים. לא סתם מדובר במילה האנגלית Assurance ובתרגום לעברית – ביטחון (המבקרים מדברים על Reasonable assurance – ביטחון הגיוני).
מכאן, ניתן להסיק עד כמה התלות בביקורת השנתית מזויפת ואינה הגיונית.
זו ביקורת כספית בלבד וגם התהליכים הטכנולוגיים נבדקים ברמה העליונה בלבד.
אם נעבור רגע לאנלוגיה רפואית, הרי ידוע כי “מניעה עדיפה על ריפוי”. לכן, כאשר אנו רוצים לדעת מהי המחלה שאנו סובלים ממנה? אנחנו מבצעים בדיקות דם. הרפואה בימינו עברה מזיהוי סימפטומים חיצוניים (באנלוגיה שלנו – הביקורת השנתית) לבדיקות מקיפות (דם, שתן, צואה וכדומה).
בדיקות הדם נותנות לנו “התראות מוקדמות” לבעיות שעלולות לצוץ בקרוב. מערכת הדם נושאת את הסממנים של סכנות אפשריות חודשים ולעיתים אף שנים לפני שהם יצוצו כסימפטומים חיצוניים. מן הסתם, ידיעת הבעיות מראש מאפשרת התכוננות והערכות ואף תוכנית פעולה למניעת המחלה.
האנלוגיה הרפואית שלפניכם היא החשיבה הנכונה גם בעסקים.
זה לא מספיק להסתמך על הביקורת השנתית כנגד מעילות, הונאות וחשיפות אבטחת מידע. עלינו לבצע בדיקות דם תקופתיות לזיהוי בעיות שעלולות להגיע בעתיד.
כיוון שכיום, כל התהליכים העסקיים שלנו, נתמכים בצורה זו או אחרת במערך הטכנולוגיה, עלינו לבצע בדיקות דם למערך הטכנולוגיה.
ביצוע סקרי סיכונים, בדיקות חדירה, ביקורות נקודתיות באפליקציות ובתהליכי הליבה, מבדקי אנומליות ואפילו בחינת הארכיטקטורה הטכנולוגית הינם דוגמאות מובהקות של בדיקות דם ארגוניות.
כמנהלים אנו רוצים לאתר ולזהות חשיפות ובעיות עוד לפני שהן הופכות למציאות, בדיקות אלו יזהו בעיות קיימות ו/או עתידיות הרבה יותר טוב מהביקורת החשבונאית השנתית.
לכל אלה שהאסוציאציה הראשונה שעולה במוחו, “למי יש תקציב לבדיקות הללו?”,
הרי כאן באה לידי ביטוי יכולת הניהול ולא פחות חשוב, האחריות.
אין צורך לעשות הכל ומיד. יש לתכנן לפי הרלוונטיות תוכנית ביקורת רב שנתית שבה בהתאם לצרכים ולסיכונים, אנו מבצעים בדיקת דם תקופתית. זה יכול להיות רבעוני, דו שנתי, שנתי ואפילו יותר. כל עוד אנו דואגים לבדוק את המערכת החיסונית הארגונית.
צריכים עזרה בבניית תוכנית בדיקות, צרו קשר בטלפון 076-5436466, או במייל info@know-it.co.il, כבר עכשיו, ובוא יחד נבין את הצרכים הארגוניים ונבנה תוכנית “רפואית” עבורכם.
