בניית תוכנית עבודה לביקורת הפנימית מבוססת סיכונים – המדריך החדש של לשכת המבקרים הפנימיים העולמית ה IIA

מבוא

במציאות העסקית הדינמית של ימינו, ביקורת פנימית אפקטיבית מחייבת תכנון יסודי, גמישות תפעולית ותגובה מהירה לשינויים בסיכונים. המדריך החדש (Global Practice Guide: Developing a Risk-Based Internal Audit Plan, 2nd Edition) של לשכת המבקרים הפנימיים העולמית ה IIA אשר פורסם ביולי 2025, מציג גישה שיטתית לפיתוח תוכנית ביקורת פנימית מבוססת סיכון, בהתאם לסטנדרטים הגלובליים החדשים של הביקורת הפנימית.

עקרונות יסוד

• יישור אסטרטגי: התוכנית חייבת להתבסס על הבנה מעמיקה של האסטרטגיה, היעדים והסיכונים של הארגון.

• תכנון דינמי: התוכנית אינה סטטית – עליה להתעדכן באופן שוטף בהתאם לשינויים פנימיים וחיצוניים.

• שיתוף פעולה עם בעלי עניין :תקשורת רציפה עם ההנהלה והדירקטוריון חיונית להבטחת רלוונטיות התוכנית.

המדריך מתבסס על עקרונות ותקנים מתוך ה־Global Internal Audit Standards  החדשים של ה IIA ומפרט כיצד יש ליישם אותם בתהליך התכנון. להלן התקנים המרכזיים:

Principle 9 – Plan Strategically

• עיקרון יסוד שמחייב את המבקר הפנימי (CAE) לתכנן את פעילות הביקורת בהתאם לאסטרטגיה, ליעדים ולסיכונים של הארגון.

• דורש תכנון דינמי, גמיש ומבוסס סיכון.

• 
  

Standard 9.4 – Internal Audit Plan

• מחייב את המבקר הפנימי לבנות תוכנית ביקורת על בסיס הערכה מתועדת של אסטרטגיות, יעדים וסיכונים.

• ההערכה צריכה להתבצע לפחות אחת לשנה, ולהתבסס על:

  • הבנת תהליכי ממשל, ניהול סיכונים ובקרות.

  • קלט מהדירקטוריון ומההנהלה הבכירה.

• התוכנית צריכה:

  • לכלול את כלל השירותים שסוכמו.

  • להתייחס לסיכוני הונאה, רגולציה, אתיקה, טכנולוגיה ועוד.

  • להעריך את המשאבים הנדרשים (אנושיים, טכנולוגיים, תקציביים).

  • להיות דינמית ולהתעדכן בהתאם לשינויים בארגון.

שלבי פיתוח התוכנית

1. הבנת הארגון –  מבנה ניהולי, ממשל, ניהול סיכונים ובקרות.

2. סקירת מסמכים מרכזיים –  תוכניות אסטרטגיות, דוחות רגולטוריים, מיפוי תהליכים.

3. תקשורת עם בעלי עניין –  הנהלה בכירה, דירקטוריון, רגולטורים וספקי ביטחון נוספים.

4. זיהוי סיכונים מתפתחים וסיכוני הונאה –  סקרים, ראיונות, כלים דיגיטליים.

5. יצירת או עדכון יקום הביקורת (Audit Universe) – רשימת כל היחידות שניתן לבקר.

6. הערכת סיכונים –  סיווג לפי קטגוריות: אסטרטגי, פיננסי, תפעולי, רגולטורי.

7. מדידת סיכון  – השפעה והסתברות, דירוגים, מפות חום.

8. הערכת משאבים –  כוח אדם, תקציב, טכנולוגיה, מיומנויות נדרשות.

9. תיאום עם שומרי סף אחרים –  Assurance Map, הערכת הסתמכות.

10. טיוטת תוכנית –  תקציר מנהלים, שיטות עבודה, סקירת סיכונים, תקציב.

11. הצגת התוכנית וקבלת משוב  – מההנהלה והדירקטוריון.

12. אישור סופי ותקשורת  – תיעוד פורמלי.

13. עדכון שוטף –  בהתאם לשינויים בסיכונים, רגולציה, טכנולוגיה ועוד.

שיטות להערכת סיכונים

• גישת סיכון ספציפי (Bottom-Up) – ניתוח פרטני של יחידות ביקורת.

• גישת סיכון לפי תהליך –  מיפוי סיכונים לפי תהליכים עסקיים.

• גישת גורמי סיכון (Top-Down) – ניתוח תנאים כלליים המשפיעים על סיכון.

שיקולים נוספים

• תדירות הביקורות (שנתית, רבעונית, מתמשכת, מתגלגלת).

• דרישות רגולטוריות בענפים מפוקחים.

• שירותים ייעוציים לפי דרישה.

• מגבלות משאבים והצורך בתיעוד והצגתן.

נקודות מפתח לסיכום

• תוכנית ביקורת פנימית מבוססת סיכון היא כלי אסטרטגי לניהול סיכונים, שיפור ממשל ארגוני והבטחת השגת יעדים.

• היא דורשת תכנון קפדני, שיתוף פעולה עם בעלי עניין, שימוש בטכנולוגיה, והבנה עמוקה של הסביבה העסקית.

• יש להקפיד על עדכון שוטף של התוכנית בהתאם לשינויים בסיכונים ובסביבה הרגולטורית.

📄 להורדת המסמך המלא בשפה האנגלית:

Developing a Risk-Based Internal Audit Plan – IIA Global Practice Guide (PDF)