סק ר סיכוני ם – הנחיות ו התקנים מקצועיים

בעבודת המבקר הפנימי

, הרצאה במסגרת כנס ק יץ של לשכת המבקרים הפנימי ים

26.5.10, א"דן פנ ורמה ת

קו חלניאלון

.משפטן ומ ומחה בניהול סיכונים, מבקר פנימי •, )מ"למדהחוג (בעל תואר מוסמך בביקורת פנימי ת •

. ומוסמך במשפטיםLLBוכן בעל תואר , אוניברסיטת חיפהנושא , ביקורת פנימית וניהול סיכונים, חוקר בתחו ם הבקרה •

.הרצאות ומ פרסם מאמ רים בתחוםחבר המועצ ה המק צועית של לש כ ת המבק רים הפנימיים •

".המבקר הפנימי" ישראל וחבר מערכ ת כ תב העת ל למנהלי סיכונים " שכה הבינ הל – PRMIAחבר ב •

'Professional Risk Managers[ מקצועיים International Association [

על המחברעל המחברעל המחברעל המחבר

סקירת נושאי ההרצאה

' נ י ה ול ס י כ ונ י ם ' מ ונ ח י ה י ס ו ד בגי שת •

סק ירת הנ ו רמ ות המ נ ח ות •

005-תדר יך בי ק ו רת ת•

COSOשל ERMמ ו דל •

כ יצ ד ע ור כ י ם סקר ס יכ ו נ ים •

כ יצ ד ב ונ י ם תו כנ ית עב ו דה •

הנחיות ותקנים מקצועית

סקר סיכונים בעבודת –

המבקר הפנימי

ק וח לני א לו ן

2010מא י

?למה

?למה זה חשוב לי•

?למה חשוב שאלמד את התדריך•

) ס ו כ ן חד שנ ו ת(מבקר מ וב י ל חד שנ ות בארגו ן –

לה י ו ת מס וג ל לה י ות מ ע ור ה בש י ח הה נהל ה ול הצ ט י יר –כמקצ ו ע ן

לה י ו ת מס וג ל לש י ם את הי ד על ה נ ו שא י ם המ ה ות י י ם –להנ הל ה

ה מקצ ו ע י ם פ התקנ י ם "לפע ו ל ע–

ו מכ י ו ו ן שבר אש ובראש ו נה ה מצ י א ו ת השתנת ה –

הש ינ וי הפר די ג מאט י פרדיג מה חד שהפרדיג מה ישנהנושא

הפו קו ס של הבי קו רת

הפנ ימ י ת

סיכונ ים עסקי ים בקרה פנ ימ י ת

תכנו ן תרחי שים גורמי ס יכון טכניק ה ל הערכ ת סיכונ ים

סיכונ ים מה ו תי יםבקרו ת חיונ יו ת מבחני ה ביק ור ת הפנ ימ י ת

: הדגשה עלשיט ת ה ביק ור ת ה פני מי ת

של מו ת ה פרט ים•

בדיק ת הב קרו ת •

: הדגשה על

כיסו י רחב של ה ס יכונים •

עסקי ים

המ לצו ת הבי קור ת

הפנ ימ י ת

:בקרה פנ ימ י ת

חוזק •

תו על ת – עלו ת•

יעי לו ת ו אפק טי בי ו ת •

:ניה ו ל סיכו נים

פ יז ור סיכ ונים /אדיש ות•

ה עבר ס יכוני ם/חלוק•

קב לת סיכ ונים /שלי ט ה•

פונ ה ל תה ל יכי ה ס יכונים פונ ה לב קרו ת ה ת פקוד יו ת דיו וח הביק ור ת ה פני מי ת

תפק יד ה ביק ור ת

הפנ ימ י ת בארגון

יחידת הערכה ב ל תי

ת לו יה

אינ טגרציה ע ל ניה ול הס יכונים

ה תאגיד י והש ל טו ן

סיכום נפקות השינוי

ש ינ ו י ב דרך ער יכת ב יק ורת •מרוטינה לסקר סיכונים–

אלא כיסוי על , שניםXהדגש הוא לא על כיסוי כל הנושאים תוך –הנושאים ברי הסיכון

ש ינ ו י בפ ו ק ו ס של הב יק ורת •מהתמקדות ברישום החשבונאי לסיכונים–

–RBIA

ש ינ ו י ב ה מל צת הב יק ור ת•מחיזוק הבקר ות לטיפול בסיכונים–

מתן ה בטח ה , ש ינ ו י ב ש יר ו תי י ם ש מס פקת הב יק ו רת•)Assurance(

מונחי יסוד

?מזה ז ה סיכון

:העלול לגרום לאחד מהבאים, הוא אירוע פנימי או חיצוני- סיכון•, או יעד מסוים לא י ושגו/מטרה ו–

,חריגות משמעו תי ות במשאבים לעומ ת המתוכנן–

.סטייה מלוחות הזמנים שנקבעו לביצו ע תוך גרימת נזק לגורם כלשהו–

במילים אחרות סיכון הוא האפשרות שאירוע שיתרחש ישפיע על . השגת יעדים

פעולה טבוע סיכ ון/בכל תהליך -)Inherent Risk(סיכון אינהרנטי •

נקודות חולשה בבקרות – חשיפה לסיכון•

:סיכון נמדד במונחי•]תוצאה[ מידת ההשפעה על הארגון בהתממש סיכון -)impact(השפעה –

בירות להתממשות אירוע סיכ ו ן הס–)likelihood(הסבירות –

]מה נמצא בסכנה[ קטגורי ו ת של סיכון

אסטרטגיה•

]Operational[סיכונים תפעולים •

ITס יכ ו נ י •

סיכונים פיננסים•

[Physical Assets]פיזיםנכסים •

]Human Assets[נכסים אנושים •

[Intangible Assets]נכסים לא מוחשיים•

צמצום סיכונים

ידי -כל פעולה הננקטת על – )Control(בקרה •לשם , הדירקטוריון וגורמים אחרים, ההנהלה

וכדי להגביר את , סיכוניםקידום ניהול . ההיתכנות שיעדים ומטרות שנקבעו יושגו

את ביצוען ומכוונת, ההנהלה מתכננת מארגנתכדי לתת הבטחה סבירה , של פעולות מספקות

.שיעדים ומטרות יושגו

רמת הסיכון -)Risk Apetite( תיאבון לסיכון•"]לחיות עם["שארגון מוכן לקבל

?מה נותר לאחר הצמצום

סיכ ו ן

בקרה

] תי אבו ן לס יכ ון [

סיכון שיורי

Residual Risk (סיכון שיורי•

הס יכ ו נ י ם הנ ותר ים -)לאחר ש הה נהל ה נקט ה

פע ו ל ות לה פחתת הה שלכ ו ת ו הה י תכנ ות

לרב ות , ש ל יל יאר ו עשל פע י ל ו י ו ת בקרה בתגוב ה

תוצאת י -לס יכ ו ן

תיאבון לסיכון – סיכוןסיכון שיורי] = בקרה[

סיכ ון ל א ח ר ה פע לת בקר ות

סיכ ון בה י עדר בק רו ת

רמת סי כו ן ר צוי ה ב א רגון

הסיכוני ם" אבולוציית"

סיכון שיורי

בקרה

סיכון

אינהרנטי

התיאבון לסיכון

סבירות

ת

ו

צ

א

האמצעים

מחסלי /מצ מצ מי

סיכונים

א ס טרט גי ה -כי צ ד מתמו דד י ם ע ם ס יכ ונ י ם

לני הו ל סי כו ני ם

?איזה החלטות ניתן לקבל ביחס לסיכונים

)(Risk indifferenceאדישות �

)(Risk dispersionפיזור סיכונים �

)Risk Share(חלוק •

)Risk Transfer(העבר סיכוני ם •

)Risk control(שליטה •

)Risk acceptance(קבלת סיכונים •

)Risk defenses(מיגון מפני סיכונים •

?למ ה זה ח ש וב לב יק ור תהמלצות•

ביקורת•

המונחים-מסיכון לניהול סיכונים

) החשיפה(קביעת ממדיהם , זיהוי הסיכונים – הערכת סיכונים•די אומדן הנזק-ודירוגם על

לניהול ולבקרה של , להערכ ה, תהליך לזיהוי – ניהול סיכונים• באשר להשגת סבירהלשם מתן הבטחה , אירועים או מצבים בכוח

.יעדי הארגון

מסגרות 10 יש למעלה מ - מסגרת אינטגרטיבית לניהול סיכונים•המודל השכיח . ועודTBS IRM ,HM Orange Book: שונות ובהן

ERMידי רגולאטורים בישראל הוא מודל -והמקובל שאומץ גם על. COSOשל

לביצוע " מפת דרכים"מסגרת אינטגרטיבית לניהול סיכונים מציעה • שונים שעורך הסקר נדרש רכיביםהמסגרת כוללת . סקר סיכונים

.לבחון בחתכים שונים של הארגון

על סקר סיכונים ונ יה ול סיכו נים

) בנדה(זכ ות ה יוצ ר של ה שקף היא ש ל מ ר יצחק בן ד ו ד •

2תרשים

הנורמות המנחות

חוקי ות-נורמות לבר

]אובליגטורי[נורמות בעלות תוקף מ חייב �

IIAקוד אתי של ה �

IIAתקנים מקצועיים של ה �

הנחיות המקצועיות של לשכת המבקרים הפנימיים הישראלית�

]וולונטרי[נורמות בעלות אופי לא מחייב �

תדריכי ביקורת של לשכת המבקרים ה פ נימיים הישראלית�

IIAשל ה )Practice Advisories(נהלי יעץ �

שאלוני ביקורת, ניירות עמדה�

הנורמותפרמידת

חייבמ מפורט

המ משק בי ן הב יקו רת וני ה ול סי כ ונ ים ' נק

ניהול סיכונים

ERMמעורבות ב ERMביקורת על בסיס לתוכנית

עבודה

תק ני ם מקצועי י ם

התקןהתקן' מסתכלית

ל הער יך ול תר ום חייבתהבי קור ת ה פני מי ת 2100מיקוד הביקו רת

ניה ול הס י כונים , לשי פור תה ל יכי ה שלי ט ה

בגיש ה שי ט ת ית שי מושתוך , והב קרה

"..ומ מו סד ת

ביקורת על ניהול

סיכונים

ל הער יך את חייבתהבי קור ת ה פני מי ת 2110

תה ל יך הש ל יט ה ו ל ת ת המ לצ ות מ ת אימ ו ת

בה יב ט ש ל השגת היעד ים הבא ים, לשי פור

דיו וח של מ י דע אודו ת ס יכונ ים ובקר ות ) 3(:

לגורמ ים המ ת אי מ ים באירגון

שימוש בסקר סיכונים

לצורך תוכנית עבודה

ל הכין חייבה מב קר ה פני מי הר אשי ] תכנון[2010

בה תאם , תוכנ יו ת עב ודה מ בוס סו ת ס יכונ ים

כדי להח לי ט על ס דרי , למ טרו ת הא ירגון

העדי פו יו ת ש ל הב יקור ת ה פני מ ית

סיוע בחשיפה וזיהוי

של סיכונים

ל הער יך את חייבתהבי קור ת ה פני מי ת 2120

האפ קט יבי ו ת ו ל ת רום לשי פור תה ל י כי ניה ול

סיכונ ים

18הנחיה

:מגדירה בקווים כללים את הבאים

השלבים בהם נדרש לעשות שימוש בטכניקת 1.. סקר סיכונים

ההיבטים השונים של היחס שבין ביקורת פנימית 2. -לתהליכי ניהול סיכונים המתרחשים בארגון

מעורבות המבקר הפנימי בניהול סיכונים של .הארגון

.בחינת הלימות תהליך ניהול הסיכונים3.

תדריך ביקורת

COSO של ERM ו TBSנשען על מודל ה •

שלבים בניתוח סיכונים•זיהוי סיכונים1.

הער כת סיכונים2.

דרוג סיכונים3.

שימוש בסקר סיכונים שהנהלה ערכה•

נוהלי י עץ

• Risk-Based Planning - 5• 2010-1: Planning• 2010-2: Linking the Audit Plan to Risk and Exposures• 2020-1: Communication and Approval• 2100-5: Legal Considerations in Evaluating Regulatory Compliance Programs• 2120.A1-1: Assessing and Reporting on Control Processes• Risk Management & Assessment - 13• 1000.C1-2: Additional Considerations for Formal Consulting Engagements• 2010-2: Linking the Audit Plan to Risk and Exposures• 2100-1: Nature of Work• 2100-2: Information Security• 2100-3: Internal Audit's Role in the Risk Management Process• 2100-4: Internal Audit's Role in Organizations Without a Risk Management Process• 2100-5: Legal Considerations in Evaluating Regulatory Compliance Programs• 2100-6: Control and Audit Implications of e-Commerce Activities• 2100-7: The Internal Auditor's Role in Identifying and Reporting Environmental Risks• 2110-1: Assessing the Adequacy of Risk Management Processes• 2210-1: Engagement Objectives• 2210.A1-1: Risk Assessment in Engagement Planning• 2600-1: Management's Acceptance of Risks

הור אות רגולא ט ורים

המפקח על הבנקים• ])7/99] (2[ניהול בנקאי תקין [

, המפקח על שוק ההון•

מערך [ביטוח והח יסכון

] הביקורת הפנימית בגוף מוסדי

מנהל האגף לביקורת •

]5/04חוזר [ ק"ברשומ

על הביקורת הפנימית לשלב בתוכנית העבודה •השנתית שלה ה ערכת ה ת הליך הכולל שבו התאגיד

הבנקאי נוקט לעניין ניהול הסיכונים הכרוכים .בפעולותיו הפיננסיות

לסקור ולהעריך את יישום , על המבקר הפנימי לבדוק•המדיניות וביצוע החלטות הדירקטוריון והנחיותיו

את עמידת , אמידה ובקרת ה סיכונים, בנושא ניהולהיחידות במגבלות שנקבעו ואת מהימנות וזמינות המידע הניהולי והדיווחים הפיננסיים והתפעוליים

בין הגופים . לדירקטוריון ולהנהלת הת אגיד הבנקאישיבוקרו על ידי המבקר יהיו גם יחידת ניהול הסיכונים

).אם קיימת(ופונקצית בקרת ה סיכונים

לרבות , יישום פרוצדורות ניהול הסיכונים בגוף המוסדי•אמצעי הבקרה והמעקב אחר סיכונים מהותיים

וההיערכות לסיכונים הקש ורים לאירועים יוצאים מן וכן יישום המתודולוגיה להערכת , ויעילותן, הכלל

השפעתם הפוטנציאלית של הסיכונים האמורים ;ויעילותה

,על פי תוצאותיו ,לערוך סקר סיכונים אשר יאפשר לו• ,להכין תכנית עבודה ולקבוע סדרי קדימויות נכונים

אשר יתמקדו בנושאים בהם חשיפת הרשות המקומית הדברים אמורים בפרט .לסיכונים מחייבת טיפול נכון

,ובמיוחד בזיהוי פעילויות כלכליות מהותיות ,התחייבויות והתקשרויות המגובות במימון תקציבי נכון

חשיפה לסיכונים לא מבוטחים ,הבקרה הפנימית.וכדומה

005תדריך ביקורת ת

)(Risk Identification זי הוי סי כו ני ם -' שלב א

ולח לק , )' ש לב א(זי ה ו י ס יכ ו נ י ם ה קי י מ י ם באר גו ן : מטרה•א ותם על פ י קטג ור י ו ת

:שיטה•, סקירת מקורות מידע–

, מיפוי מסמכי מפתח–

, זיהוי תהליכים עסקיים והאחראים להם–

ERMשימוש ב –

מ סגרת שלמ ה המ כ יל ה את רשי מת הס יכ ו נ י ם :תוצאה•שא ותר ו בא רגו ן ות יא ור ם

תדריך ביקורת

COSO של ERMמודל

? COSOמה זה

, IIA[י חמ י שה ארג ונ י ם מקצ ו ע י י ם " ע1985נ וס ד ב •

AICPA ,FEI ,IMA ,AAA[

ה וק ם לצ ור ך השמ עת קו ל אח ד ש ל קה ילת ה עסק י ם בא שר •

לנ וש א י ם ה מת י י חס י ם לט ע ו י ו ת בד ו ח ות כספ י י ם שמק ור ן

בה ונא ה

ארגו ן מ הס קט ור הפר ט י שש ם ל ע צמ ו כ מטר ה לשפר את •

, א יכ ות ה ד ו ח ות הכ ספ י י ם באמ צ ע ו ת פית ו ח א תיק ה עסק י ת

ונ י ה ול ס י כ ו נ ים , י ע י ל ות הב ק רה הפנ מ ית

l3

שקופית 28

l3 the American Accounting Association (AAA ,(the American Institute of Certified Public Accountants (AICPA,(

,(Financial Executives International (FEI The Institute of Internal Auditors (IIA,(

.([the Institute of Management Accountants [IMA lenovo, 07/01/2010

COSO של ERMעל מודל

3 מק וב י י ה בע לת 3המ ו ד ל בנ ו י מ •פא ות

רכיבי ניהול בפאה שב ח ז ית יש את •הסיכונים

הקטגוריות בפאה ה על י ו נה י ש את •המאפשרות לארגון להשיג את

יעדיו

הרמות בפאה ה י מנ ית י ש את •השונות שבארגון

COSOקטגוריות להשגת יעדים במודל של

מאפשרת להשיג ,)ERM(המסגרת לניהול הסיכונים בארגון •:כלהלן, קטגוריות4באמצעות , את יעדי הארגון

. קביעת יעדים ברמה הארגונית הגבוהה ביותר– אסטרטגיה–

תוך ניצול משאבים , תפקוד הארגון ביעי לו ת ואפקטיביות– תפעולי–.מירבי

. מהימנות הדיווח– דיו וח–

. 'תקנות וכו, ציו ת בהתאמה להוראות החוק– צי ו ת–

קטגוריות אלה של יעדים ארגונים מאפשרים להתמקד בהיבטים •והיא מאפשרת להבין מה . שונים של ניהול הסיכונים הארגוני

.ניתן לצפות מכל קטגוריה של יעדים

כך שבהחלט ניתן , החלוק ה בין הקטגוריות הללו אינה מוחלטת•או האחריות /ו, יהי ה לשייך אירוע מסוים ליותר מקטגוריה אחת

. לפעולה ביחידה אחת תהייה נתונה בידי יחידה אחרת

COSOרכיב י ני הול סי כ וני ם במ ודל של נובעים , אלה. מרכיבים8תהליך ניהול הסיכונים בארגון מכיל •

:כלהלן, מהדרך בה ה נהלת הארגון מנהלת את משאביה היחס והפעולו ת של – )Control Environment( סביבת הבקרה•

סביבת הבקרה מספקת את . הדירקטוריון באשר לחשיבות הבקרה באירגון. השיטה והמבנה להשגת המטרות הראשיות של מערכת הבקרה הפנימית

:מערכת הבקרה הפנימית כוללת את המרכיבים הבאים;יושר ה וערכים א ת יים–

;פי לו סופ יי ת ה הנ ה לה וסגנו ן ה תפע ול –

; מבנ ה ארגוני–

; הט ל ת ס מכו ת ואח ריו ת–

; מדינ יו ת מ שאב י א נוש וי יש ומ ה–

.הא דם-יכו לת ש ל כוח –

. יעדים מוגדרים טרם הליך זיהוי בסיכונים– הגדרת יעדים•תהליך ניהול הסיכונים מבטיח שבידי הנהלת הארגון ישנו

תהליך המאפשר לקבוע ולבחור יעדים התומכים במשימות .והמתאימים לרמת הסיכונים שמוכן הארגון לקחת

המשך– COSOרכיבי ניהול סיכונים במודל של

. האם הארגון מודע ועוסק בסיכונים שלו– הערכת סיכונים•הארגון חייב לקבוע יעדים כדי שהארגון יפעל באופן עקבי וכן

.לנתח ולנהל סיכונים, עליו לפתח אמצעים כדי לזהות

הנהלת הארגון בוחרת את הדרך להגיב – תגובה לסיכונים• פיתוח –הפחתה או שיתוף סיכון , קבלה, הימנעות–לסיכון

.סדרה של פעולות כדי להתמודד עם סיכונים

פיתוח תוכניות ונהלים וישומן כדי להבטיח – פעילויות בקרה•.שהארגון יגיב באפקטיביות לסיכונים

, והתקשורת הארגונית, זיהוי מידע רלבנטי– מידע ותקשורת•המאפשרים לעובדים למלא אחר האחריות , באופן מוחשי

תקשורת אפקטיבית מתרחשת בכל רמות . המוטלת עליהם.הארגון ולאורך מדרגות ההירר כיה הא רגונית

תהליכים בארגון חייבים להיות מנוטרים כדי להבטיח – ניטור•את ביצוע השינויים הנדרשים

) COSO) 2004 של ERMמודל

ניטור

מידע ותקשורת

פעילויות בקרה

תגובה לסיכונים

הערכת סיכונים

זיהוי אירועים

הגדרת יעדים

הסביבה הפנימית

תגיטרט

אסליעו

תפ

יווחד

תציו

גון ראי

הת

מר

ף גא

הת

מר

/ה

בטי

ח

ת קי

סעה

דחי

ית

בת

רב

חניטור

מידע ותקשורת

פעילויות בקרה

תגובה לסיכונים

הערכת סיכונים

זיהוי אירועים

הגדרת יעדים

הסביבה הפנימית

תגיטרט

אסליעו

תפ

יווחד

תציו

גון ראי

הת

מר

ף גא

הת

מר

/ה

בטי

ח

ת קי

סעה

דחי

ית

בת

רב

ח

הט ון בצ מרת

סקר

הס יכונים

בחירת הנה ל ה

אמצע ים מצמצמ י

סיכונ ים

שלי ט ה

יעדי

הארגון

יעילות

בניצול

משאבים

מהימנות

הדיווח

התאמה

לחוק

(Risk Evaluation) הער כ ת סי כ ונ י ם -' שלב ב

ו ה ערכת ) ' שלב א( הש למת ז י ה ו י הס י כ ונ י ם :מטרה•הס י כ ונ י ם ה ע יקר י י ם ה מא י י מ י ם ע ל הארגו ן

: שיטה•, What ifי " עהשלם את איתור הסיכונים–

, אישוש הערכ ת הסיכונים–

, הער כת השפעה וסבירות–

רש ימ ה של ס יכ ו נ י מפת ח ו ה ערכ ה של בכ יר י : תוצאה•הה נהל ה לג בי מ י דת ה סב יר ות ומ י דת ה השפ ע ה האפ שרית

של כל ס י כ ו ן

תדריך ביקורת

קביעת השפעה והסבירות

כד י שנ י ת ן י ה י ה בה מ שך , לאחר ז י ה ו י הס יכ ו נ י ם י ש לה ער יך

את השפ עתם על ה ארגו ן ו את הסב יר ו ת שאלה , לדרגם

. ית מ מש ו

קבי עת הה שפ עה ה סב יר ות ו הסת ברות ל הת רחש ות א יר ו ע ]מהפסקת פעילות ועד להעדר השפעה[ההשלכה על הארגון בהתממש אירוע סיכון –השפעה

. הסבירות שאירוע סיכון יתממש– סבירות

. הסיכוי הסטטיסטי שאירוע נתון יתרחש– הסתברות

?? כ יצ ד

י ד ע פנ י ם א רגונ י 1.

מק ור ות מ י ד ע ח וץ ארגו נ ים 2.

גמאותדו מס' סוג הידע

מדיניות 1

תקציב 2 יחידות הארגון תתחזיות שמייצרו 3דוחות כספים 4

ידע פנים ארגוני

הערכות מנהלים ועובדים 5

גמא האם לידיעה כי ו בארגונים דומים - לדומקרים שאירע 1בוצעה הונאה בתוכנת מחשב הזהה לזו הקיימת בארגון בו אנו עובדים, תהייה השפעה על ההסתברות שהונאה דומה

תתרחש בארגון הנסקר? תחזיות כלכליות ואחרות (שינוי בשיעור אינפלציה, מט"ח, 2

צמצמום מענקים ממשלתיים וכו') - לדוגמא בתוכנית נקבע כי משרד הפנים יקזז מעניקים 2005הכלכלית לשנת

לרשויות שאחוז הגביה שלהם נמוך. האם יש לכך השפעה על רשות מקומית שאינה פועלת למחוק חובות אבודים?

, שינוי במדד, ה (שיעור גידול האוכלוסייםנתונים סטטיסטיי 3מדד מנהלי הרכש וכו')

רפורמות ותוכניות ממשלה (איחוד רשויות, שינוי/הפסקה 4של שיעור המימון של מפעלים ממלכתיים (חינוך ורווחה)

ידע חוץ

ארגוני

תחזיות כלכליות ואחרות (שינוי בשיעור אינפלציה, מט"ח, 5צמצמום מענקים ממשלתיים וכו')

המשך-הערכת סיכונים ' שלב ב

קבי עת ת ו צ א ות •

נזק מא יר ו ע

ש יל וב המ י ד ע לקבלת •

תמ ונ ה כלל י ת

נזק צפוי תוצאה אירוע/סיכון מס' שימוש לרעה 1

במערכות מידע אובדן כספי ונזק תדמיתי אובדן מידע

אי רישום טובין 2במחסן

פגיעה במערך הבקרות וביכולת השליטה

אובדן של ציוד מהמחסן

כלל הסיכונים

הסיכונים האפשריים

) הגדרת סיכונים(

הסיכונים בעלי

סבירות והסתברות

הסיכוני ם ברי נזק

ותוצאות

4תרשים

)(Risk Ranking דירו ג סי כו ני ם -' שלב ג

, לקבו ע א ם הס י כ ונ י ם צר יכ י ם לה יב דק בא ופ ן נפרד :מטרה•מטר ות ו י ע ד י , לק בו ע ב התא ם את סדר הקד י מ ו י ו ת, ו אם כ ן

השנה שבה צר יך מטלת , ס וג הב יק ור ת, הב יק ורתוה ערכת ה מש אב ים ש י דר ש ו , הב יק ורת ל התבצ ע

דרכי ם 2 לכך :גישה•בחינת ממצאי הסקר–

קבוצת עבודה לצורך השלמה–

דר ו ג הס יכ ונ י ם וקב י ע ת קד י מ ו י ות הב יק ורת :שיטה•

תהל יך ז ה הנ ו תה ל יך ה ערכה ס ו ב י י קט י ב י וככ זה ה צל חת ו •ולכ ן [ תל ו י ה במ ו מח י ו ת ו ובא וב י י ק ט יב י ות של ע ורכ י הדר וג

]מ ו מלץ ש י ו תר מאד ם אח ד י שתת ף בכך

תדריך ביקורת

דירוג סיכונים-' שלב ג

:ל צ ורך ד יר וג ם, נק וד ו ת בח י נת מאפ י י נ י הס י כ ונ י ם•

?מהו הגורם לסיכון?, מה מקור הסיכון–

]לא קיימת/חלקית/מלאה[רמת השליטה של הארגון בסיכון –

סיכונים קשורים–

מהי ההסתברות לקרות אירוע סיכון–

השפע ה של אירוע סיכון שעה שהוא מתממש/הנזק–

עוצמת חשיפת הארגון לסיכון =נזק X ה הסתברות

החשיפה לסיכוןהנזק המוערךהסתברותגורם סיכון

₪100,000 0.0110,000,000קופ ת החבר ה

₪80,000 0.8100,000סביב ת י

))ImpactImpact" ( " ( הה שפעההה שפעה""אחרי שקבענו את אחרי שקבענו את

ניתן להשתמש במפת ניתן להשתמש במפת ))LikelihoodLikelihood" (" (ההסתברו תההסתברו ת""וו

חום לצורך קביעת דרגות הסי כון חום לצורך קביעת דרגות הסי כון

הצג ת דרוג הסיכונים הצג ת דרוג הסיכונים--מפת חום מפת חום הצג ת דרוג הסיכונים-מפת חום

קיצוני גבוה מתון נמוך זניח

כמע ט ו ודאי

סביר

מתון

לא סביר

נדיר

יש להגדיר אופרציונלית את דרגות הסיכון יש להגדיר אופרציונלית את דרגות הסיכון

השפעה

ה

ס

ת

ב

ר

ו

ת

סקר סיכונים שערכה ההנהלה

ניהול

סיכונים

סקר סיכונים

לצורך ק ביע ת ת וכני ת –מבקר הנה ל ה אחריו ת

עבוד ה

, שבמידה וההנהלה ערכה את סקר הסיכונים אזי המבקר יכול לע שות בכך שימו•בתנאי שהוא בחן את הסקר ולהערכתו הסקר ראוי

?כיצד יודע ים אם הסקר ראוי•מו מחיו ת ע ורך הס קר–

אי ת ל ו תו ש ל עור ך הסקר –

COSOפ מ תוד ו לוגי ה מ קוב ל ת "האם הס קר בוצע ע–

האם הס קר כול ל ו מקי ף א ת כל ה אר גון–

לא יז ה צורך נערך הסקר –

מת י נערך ה סקר –

דיו וח על הס קר ל רגולא טור –

סקר סיכונים ל דוגמא ברשות מקומי ת

ניתוח כמותי ניתוח איכותי זיהוי

פתרון /הגנה איוםהיחידה

גורם

המפעיל

את

השפעה הסתברותהסיכון

פגיעה

(בש "ח)

או בימי

עבודה )

תוצאה )

בש "ח או

בימי

דרוג עבודה )

לסקר •

תדריך ביקורת

חיבור בין הס קר לתוכנית העבודה

פ סדר עדיפות הנשען על מידת " קביעת מטלות ע– קדימות•החשיפה לסיכון

הגדרת מטרה כל ביקורת- מטרה•

ל בהתאם " הצורה והמבנ ה של מטלות ביקורת צ– סוג הביקורת•לסיכונים

' מדגמית וכו, ביקורת אופקית–

הבטחה–

התקופה ב ה תתבצע הביקורת– שנה•

פ " פרקי הזמן בין ביקורת לביקורת ע– מחזוריות הביקורת•החשיפה לסיכון

תוכנות לביקורת [כלים , תקציב ליועצים, א" כ- משאבי הביקורת•]ממוחשבת

בנית תוכנית עבודה רב שנתית

שנה קלנדרית תדירות דרגת ביקורת מטלת מס'

מס' ימי עבודהסיכון מטלת

20042003200220012000ביקורת

שיווק1

2140מחלקת מכירות1.1

325050מחלקת פרסום1.2

43404040מחלקת לקשרי לקוחות1.3

הנדסה2

325040פיתוח2.1

324040תכנון2.2

43304030מידע טכני ונתונים2.3

ייצור ותפעול3

32הנדסת ייצור 3.1

4440403040רכש3.2

424040בקרת איכות3.3

2140פיקוח יצור 3.4

32לו" ז3.5

3140תפ" י3.6

2משלוח3.7

גזברות4

34404040תקצוב ותחזית4.1

325040מלאי4.2

53404040שכר 4.3

33505050חיוב4.4

224040תשלום לספקים4.5

280280280280280סה" כ

פ סדר "מטלות ע•

עדיפות

משאבי הביקו רת •

תקציב , א"כ[

]ליועצים

תוכנות [כלים •

]לביקורת ממוחשבת

סיכום

סיכום

, ס י כ ו ן[הבהרנ ו את מו נח י ה י ס ו ד של ג ישת ני ה ול הס י כ ו נ ים •] 'ס י כ ו ן ש י ו רי וכ ו , תאב ו ן לס י כ ו ן

, סקרנ ו את הנ ור מ ות ה ש ונ ות המנ ח ות מבקר י ם פנ ימ י י ם•נ ו הל י י ע ץ 18הנ ח יה , תקנ י ם: בהתאם ל מ דרג הת וקף שלה ן

ות דר יך ב יק ורת

ע ורכ י ם סקר ס יכ ו נ ים 005-פ תדר י ך ת"למ דנ ו כ י צ ד ע•לצ ורך קב י ע ת תוכנ י ת ע בו ד ה

COSO של ERMלמ דנ ו על מ ו דל •

ו למ דנ ו כ י צ ד מ חבר ים את תו צא ות הסקר לת ו כנ ית ה עב ו דה •

!תודה ע ל ההקש בה

akohalny@gmail.com