בקרה וציות , ביקורת - קשרי גומלין בגוף פיננסי גדול

‫קשרי גומלין ‪ -‬ביקורת‪ ,‬בקרה וציות‬
‫בגוף פיננסי גדול‬
‫עו"ד ערן שחף‪ ,‬דירקטור ‪ IIA‬ישראל‪,‬‬
‫המבקר הפנימי הראשי‪ ,‬קבוצת כלל ביטוח‬
‫מרץ ‪2015‬‬
‫התוצאה‪:‬‬
‫קצין ציות – שנת ‪2008‬‬
‫הפונקציה‬
‫כפיפות‬
‫פורום מרכזי‬
‫תדירות דיווח‬
‫סוג בדיקה‬
‫מבקר פנימי‬
‫דירקטוריון‬
‫ועדת ביקורת‬
‫חודשית‬
‫ביקורת‬
‫מנהל סיכונים‬
‫מנכ"ל‬
‫ועדת ניהול‬
‫סיכונים‬
‫רבעונית‬
‫ניתוחים כמותיים‬
‫ואיכותיים‬
‫ממונה ציות‬
‫ואכיפה‬
‫מנהל סיכונים‬
‫ציות ואכיפה‬
‫)מנכ"ל(‬
‫רבעונית‬
‫סקירה ובדיקות‬
‫מנהל תחום‬
‫סוקס‬
‫מנהל כספים‬
‫ועדת גילוי‬
‫)מנכ"ל(‬
‫רבעונית‬
‫"טסטים"‬
‫בקר חטיבתי‬
‫כפיפות דואלית‬
‫בקרה )מנכ"ל(‬
‫רבעונית‬
‫בקרה מדגמית‬
‫ותהליכית‬
‫ריבוי פונקציות פיקוח והסדרה – שנת ‪2015‬‬
‫מודל שלושת קווי ההגנה‬
‫הדירקטוריון וועדות הביקורת‬
‫הרגולטור‬
‫רוה"ח המבקר‬
‫ההנהלה הבכירה‬
‫קו הגנה שלישי‬
‫קו הגנה שני‬
‫קו הגנה ראשון‬
‫מנהל סיכונים‬
‫מערך בקרה‬
‫ביקורת פנימית‬
‫תחום ציות ואכיפה‬
‫תחום סוקס‬
‫ממונה אבטחת מידע‬
‫מנגנוני‬
‫בקרה‬
‫פנימית‬
‫בקרות‬
‫ניהוליות‬
‫ביקורת ובקרה על השגת יעדי התאגיד‬
‫ביקורת פנימית‬
‫שלושת יעדי התאגיד‬
‫רו"ח‬
‫מבקר‬
‫ביצוע‬
‫ציות‬
‫דיווח כספי‬
‫מערך‬
‫הבקרה‬
‫תחום‬
‫האכיפה‬
‫תחום סוקס‬
‫‪”The board and senior management should effectively utilise the work‬‬
‫‪conducted by internal audit functions, external auditors and internal‬‬
‫‪control functions”.‬‬
‫‪Principles for enhancing corporate governance, Basel Committee on Banking Supervision.‬‬
‫"על התאגיד הבנקאי להגדיר את הממשקים בין כל הפונקציות המהוות את קו‬
‫ההגנה השני‪ ,‬על מנת להבטיח תיאום ושיתוף פעולה"‪.‬‬
‫הוראת ניהול בנקאי תקין מס' ‪) 310‬ניהול סיכונים(‬
‫"מדיניות הציות תכלול‪ ...‬הקשרים בין פונקציית הציות לפונקציות אחרות‬
‫המהוות את קו ההגנה השני ובינה לבין פונקציית הביקורת הפנימית"‪.‬‬
‫טיוטת הוראת ניהול בנקאי תקין מס' ‪) 308‬ציות ופונקציית הציות( מיום ‪04/03/2015‬‬
“The chief audit executive should share information and coordinate
activities with other internal and external providers of assurance and
consulting services to ensure proper coverage and minimize duplication
of efforts”.
IIA Standard 2050: Coordination
‫חשיבות ממשקי העבודה בין הפונקציות‬
‫שימוש יעיל במשאבים וטיפול אפקטיבי במוקדי הסיכון‬
‫הצגת תמונת מצב מלאה ומסונכרנת למנכ"ל ולדירקטוריון‬
‫הפחתת מעמסה על המבוקרים‬
‫ הגדרת תפקידים ברורה‬
‫ הפרדת תפקידים לעניין ביצוע סקרי סיכונים‬
‫ מתווה ברור לטיפול באי סדרים‬
‫ הימנעות מעיסוק הסוקס בנושאים תפעוליים‬
‫ הימנעות מעיסוק הציות בנושאים הקשורים לדיווח כספי‬
‫ מבנה ארגוני ופרוצדורות עבודה מוסדרות‬
‫ פונקציות הקו השני בכפיפות לחבר הנהלה בכירה אחד )"חטיבת בקרות"(‬
‫ פורומים ניהוליים משותפים‬
‫ מנגנוני דיווח משותף לדירקטוריון וועדותיו‬
‫ בעבודה השוטפת‬
‫ פגישות שוטפות תקופתיות‬
‫ השתתפות בפורומים‬
‫ בתכנית העבודה‬
‫ במיפוי הפעילויות לביקורת ובמודל להערכת הסיכון השיורי בתכנון הרב שנתי‬
‫ הסתמכות על הביקורת בתכנית העבודה של הציות ושל הבקרה‬
‫ בביצוע משימות הביקורת‬
‫ העברת דגשים לבדיקת ציות‪ ,‬טרם ביצוע ביקורת בנושא רלוונטי‬
‫ בחינת פעילות יחידת הבקרה‪ ,‬כחלק מביצוע ביקורת בנושא רלוונטי‬
‫ במעקב אחר תיקון ליקויים‬
‫ תמיכת הבקרים בתיעוד ובבחינת נאותות יישום המלצות הביקורת‬
‫ סימון מיוחד להמלצות בדוח הביקורת למעקב תחום האכיפה‬
Assurance Maps -‫שלב ג‬
“For example, an assurance map could have these columns:
• Significant risk category
• Management role responsible for the risk (risk owner)
• Inherent risk rating
‫כיסוי‬
‫כיסוי‬
‫סיכון‬
‫סיכון‬
‫ציות‬
‫ביקורת‬
‫שיורי‬
‫מובנה‬
• Residual risk rating
• External audit coverage
• Internal audit coverage
• Other assurance provider coverage”
‫מנהל‬
‫אחראי‬
IIA Practice Advisory 2050-2: Assurance Maps
(‫ עיצוב קטלוג תהליכים מאוחד )כבסיס לשלב ג‬
‫תהליך‬
‫אחריות המבקר בעידן של ריבוי גורמי הסדרה‬
‫ גורמי ההסדרה מהדקים את מנגנוני הבקרה )כ"מעגל שני"( אך‬
‫אינם מפחיתים את אחריות המבקר הפנימי )"מעגל שלישי"(‪.‬‬
‫ קיימת חובה על פי דין למנות מבקר פנימי ולמבקר אחריות על פי דין‬
‫לבדוק את תקינות פעולות התאגיד כגורם בעל אי תלות מלאה‪.‬‬
‫ המבקר הפנימי אחראי על יישום דרישות הדירקטוריון וההנהלה‬
‫לגבי התיאום בין הפונקציות הפיקוח וההסדרה ולגבי הצגת התמונה‬
‫הכוללת של תוצרי עבודתן‪.‬‬
‫השפעת קיומן של הפונקציות על עבודת הביקורת‬
‫ היקף העבודה ‪ -‬לא אמור להשתנות‪ .‬זאת‪ ,‬בשל המורכבות‬
‫הגוברת של הפעילות העסקית והרגולציה ובשל יכולת ההסתמכות‬
‫המוגבלת על עבודתם של אחרים‪.‬‬
‫ תדירות ביצוע הביקורת ‪ -‬עשויה להשתנות‪ .‬שיפור במנגנוני‬
‫הבקרה הפנימית עשוי להפחית את הסיכון השיורי בפעילות‬
‫המבוקרת‪.‬‬
‫ תפיסת הביקורת ‪ -‬צריכה להשתנות‪ .‬קיומם של מבדקי ציות‬
‫ופעולות בקרה‪ ,‬מאפשר מיקוד בביצוע ביקורת תהליכית ובמתן‬
‫חוות דעת‪.‬‬
‫הסתמכות על תוצרי פונקציות הסדרה אחרות‬
‫ ככלל ‪ -‬הביקורת אינה מסתמכת על עבודתם של אחרים אך סוקרת‬
‫התוצרים ומציגה אותם בדוח הביקורת‪ ,‬תוך מתן איזכור מפורש לכך‪.‬‬
‫ לצורך הסתמכות חלקית ‪ -‬הביקורת תבצע בדיקות משלימות וכן‬
‫בחינת סבירות הממצאים לרבות בדיקה עצמאית על חלקם )‪.(retest‬‬
‫ הסתמכות מלאה ‪ -‬עשויה להיות בנושאים בהם לביקורת הפנימית‬
‫אין המומחיות הנדרשת לבדיקה )אבטחת מידע; אקטואריה; מסוי(‪.‬‬
‫ קריטריונים להסתמכות ‪ -‬אי תלות ואובייקטיביות; כשירות מקצועית;‬
‫שיטות העבודה; נאותות הדיווח על הממצאים ויישום ההמלצות‪.‬‬
‫תודה רבה‬
‫ממשקי עבודה בהטמעת הוראה‪/‬פעילות חדשה‬
‫בחינה בלתי תלויה‬
‫בדיעבד‬
‫קביעת תשתית ליישום‬
‫הפעילות‪ /‬ההוראה‬
‫ביצוע הפעילות‬
‫ויישום ההוראה‬
‫נוהל;‬
‫מיכון‬
‫גורם מבצע‬
‫מגלה‬
‫מונעת‬
‫מנהל הפעילות‬
‫תכנית לקביעת‪ :‬נהלים;‬
‫מיכון; אמצעי בקרה; הדרכה‬
‫אי תלות‬
‫הדרכה‬
‫ציר הזמן‬
‫בדיקות ובקרות‬
‫מנהל תחום הציות‬
‫מנהל תחום הבקרה‬
‫ופורום מנכ"ל‬
‫בדיקות מדגמיות‬
‫מבססות‬
‫ביקורת פנימית‬
‫בדיקת נאותות‬
‫)שלמות ואפקטיביות(‬
‫התשתית התומכת‬
‫ליווי הגורם האחראי‬
‫בהכנת התכנית‬
‫אחריות המבקר בעידן של ריבוי גורמי הסדרה‬
‫רמה גבוהה של הסתמכות‬
‫רמת‬
‫הסיכון‬
‫מטרת הבדיקה‬
‫שלהסתמכות‬
‫גבוההשל‬
‫רמהנמוכה‬
‫רמה‬
‫הסתמכות‬