אז מי באמת אחראי על הבקרה בארגון

אחד האתגרים שעל הארגון להתמודד עימם, הוא קיום רמת בקרה גבוהה באופן מתמיד, שאלמלא כן, הוא עתיד למצוא עצמו משלם על כך בריבית דריבית, בעיתוי שלפי חוקי מרפי, הוא הבלתי צפוי ביותר. אחד המרכיבים העיקריים המשפיעים על רמת הבקרה כיום, הנו עמידה ברגולציה ותפיסתה כחלון הזדמנות לשיפור הבקרה בארגון (ולא כצורך לסימון V מול הרגולטור). מגמת הרגולציה המתגברת והולכת, משפיעה על כל תחומי הפעילות בארגון המודרני. זה מתמודד כיום עם אוסף רגולציות גדל והולך (תלוי בהיקף הארגון ומורכבותו), שבחלקן נגזרות מתקנים בינלאומיים שונים שפורסמו בחו"ל והפכו לחלק מהרגולציה המקומית.

חלק מהבקרה בארגון מתייחס לרגולציות ענפיות, כגון: בזל 2,למגזר הבנקאות, סולבנסי 2, למגזר הביטוח, HIPAA למגזר הבריאות וכיו"ב, כמו גם לעמידה בתקנים מקצועיים רלוונטיים (כגון: תקני אבטחת מידע, איכות סביבה וכיו"ב), ובנוסף לכך מתייחסת הבקרה גם כמובן לסיכונים וגורמי סיכון שאותרו במסגרת מערך ניהול הסיכונים הכולל בארגון. מאחר שכל רגולציה מוגדרת בנפרד עם לוח זמנים שלה וגורם ספציפי שאחראי למימושה בתוך הארגון, נוצר מצב שבאותו ארגון, מתבצעות בקרות שונות (שיש חפיפה רבה ביניהן) ע"י גורמים שונים, בנקודות זמן שונות, ללא תיאום מובהק ביניהם.

כתוצאה מכך, בהיעדר ראייה כוללת של הצרכים השונים, עלול להיווצר חוסר יעילות בכל הנוגע לכפילות/חפיפת תהליכים שונים, שימוש בערב רב של מערכות וכלי תוכנה נקודתיים, ובזבוז משאבי כוח אדם יקר כתוצאה מתשאולים חוזרים ונשנים של יחידות מבוקרות בארגון. כך לדוגמה, רגולציה בתחום הפיננסי, תטופל ע"י ה-CFO או הגורם הפיננסי הרלוונטי, רגולציה בתחום טכנולוגיית המידע, תטופל ע"י מנהל מערכות המידע (CIO), רגולציה בתחום איכות הסביבה תטופל ע"י הגורם ההנדסי המתאים לכך, סיכונים משפטיים ע"י היועץ המשפטי, וכיו"ב.

אם עד עכשיו, זה נראה מורכב, בוא נוסיף לזה את פונקציית מנהל הסיכונים של הארגון, שבחלק מהארגונים (כדוגמת בנקים וחברות ביטוח) הוא כפוף ישירות להנהלת הארגון, בחלק מהארגונים הוא בעל תפקיד בכיר שעושה זאת בנוסף לתפקידו העיקרי, ובחלק מהארגונים אין כלל פונקציה כזו. בנוסף, למנהל הסיכונים, יש בארגונים שונים (לדוגמה, בנקים, חברות ביטוח וחברי בורסה) קצין ציות שתפקידו לוודא שהארגון עומד בכל חובותיו כלפי המחוקק. ובנוסף אליהם, יש את המבקר הפנימי שאמור להיות מעורב בכל תחומי הפעילות של הארגון. כל זה, בהתעלם מגורמי הביקורת החיצונית של הארגון כדוגמת רואי החשבון שלו.

אז מי באמת אחראי על הבקרה בארגון ואיך יוצרים טיפול יעיל בנושא. כאן נכנסת לתמונה הנהלת הארגון. זו אמורה לקבוע את מדיניות ניהול הסיכונים של הארגון ואת מרחב האחריות והסמכויות של כל גורם המעורב בנושא בקרת הארגון.

יש לזכור כי איכות הבקרה נמדדת בין היתר, ביכולתה למנוע כשלים ונזקים לארגון עוד טרם קרותם. לפיכך, ראוי שהנהלת הארגון בגיבוי הדירקטוריון שלה, תדאג לאכיפת תהליך לטיפול כולל במערך הבקרה של הארגון, לרבות איחוד תהליכים רלוונטיים הנוגעים למערך זה תוך התייחסות לרגולציות השונות המושתות על הארגון. כמו כן, יש לקבוע מבנה ארגוני ברור והיררכי אשר יהיה אחראי על מערך זה והתהליכים הרלוונטיים. מן הראוי שגם הכלים המתקדמים התומכים בתהליכים כאמור, יוגדרו באפן מושכל ובראייה כוללת של הארגון. פעולות אלה יובילו ליצירת מערך בקרה יעיל, ומתקדם אשר יניב לאורך ציר זמן, חסכון כספי וערכים מוספים נוספים ויפה שעה אחת קודם.

מאת: צביקה גנדלמן – משנה למנכ"ל קבוצת "הלפרין יועצים (HMS)

המאמר פורסם בגלובס 13/09/2011