- ניהול סיכונים בארגונים חברתיים מהלכה למעשה
IIAישראל– איגוד מבקרים פנימיים בישראל IIA IsraelInstitute of Internal Auditors in Israel ניהול סיכונים בארגונים חברתיים- מהלכה למעשה מרצה :דורון רונן רו"חLLM ,MA ,CFE ,CRISC ,CRMA ,CIA , סגן נשיא IIAישראל ,נשיא שקדם ISACAישראל יום עיון בנושא עמותות :מבקר פנימי ,ניהול סיכונים 10.05.2015 1 רקע על המרצה :רו"ח דורון רונן • • • • • • • • • • כ 33 -שנה בתחומי :ניהול סיכונים ,ביקורת פנימית ,ביקורת ,IT ביקורת חקירתית ,ומתן עדות מומחה בבימ"ש. רו"ח ) MAבהצטיינות( -ביקורת פנימית וציבורית ) LLMבהצטיינות( – משפטים –(Certified Internal Auditor) CIAמבקר פנימי מוסמך – (Certified in Risk Management Assurance) CRMA מבקר ניהול סיכונים מוסמך Certified in Risk & Information Systems ) CRISC – (Controlמוסמך בסיכונים ובקרת מערכות מידע – (Certified Fraud Examiner) CFEמבקר הונאות מוסמך סגן נשיא IIAישראל – איגוד מבקרים פנימיים בישראל נשיא שקדם וחבר הנהלה ISACAישראל – האיגוד הישראלי לביקורת ואבטחת מערכות מידע 2 1 IIA ישראל– איגוד מבקרים פנימיים בישראל IIA IIA IsraelInstitute of Internal Auditors in Israel 190,000חברים 180מדינות תקנים מקצועיים בינ"ל -אומצו ע"י,UN :INTOSAI ,IFAC ,EU ,OECD - הסמכות בינ"ל מוכרות,CRISC ,CIA : .... ,CGAP - כנסים והשתלמויות 3 ראשי פרקים להרצאה .1 .2 .3 .4 .5 .6 .7 .8 .9 רקע. הכשלים והתפתחות הרגולציה. ניהול סיכונים – היכן? מתי? הגדרות. ניהול סיכונים – כיצד לעשות? מי מנהל את סיכוני הארגון? סיכום ומסקנות ביניים דוג' -סיכונים וכשלים בנושאי כספים דוג' -הסיכון החדש :מידע וסייבר. 4 2 .1רקע • מה זה סיכונים? • מדוע זה חשוב לנו? • CRO/CFO ,CRO – CFO 5 .2הכשלים והתפתחות הרגולציה הכשלים אינם חדשים ,אך מימדיהם התרחבו וכך גם תגובת הרגולטורים. כשלים בחברות ובעמותות ]דוגמאות – רשימה חלקית בלבד:[... 1991כלל אינווסטמנטס )מעילה 60מש"ח( 1995תנובה )סיליקון בחלב( 2001לאומי שוויץ ,ENRON 2002בנק למסחר ) 254מש"ח( 2003רמדיה PARMALAT 2004 2005קלאבמרקט 2006עמותת ניל"י )הירשזון 5.6 ,מש"ח( 2007הראל בית השקעות ) 120מש"ח( 2008מיידוף ) 65מיליארד ($ 2010עמותת קרן אור ) 4מש"ח( 2011עמותת חברה קדישא ראשל"צ 2012עמותה בצפון ) 4מש"ח( ,עמותת סיוע לניצולי שואה 3 6 .2הכשלים והתפתחות הרגולציה רגולציה ]דוגמאות[: 7 .2הכשלים והתפתחות הרגולציה תגובת הרגולטורים לכשלים שאותרו: עקב הכשלים בארה"ב ,הובלת קו תקיף של רגולציה כמנגנון לניהול סיכונים... רגולציה משמעותית ביותר בחוק :Sarbanes Oxley •הקמת מועצת פיקוח על ביקורת בחברות ציבוריות – PCAOB •הקשחת כללי אי תלות פירמות רו"ח. •הגברת אחריות ותפקידי ועדת ביקורת )סעיף (301 •דרישה להצהרת אחריות על "גילויים" בדוחות )סעיף .(302 •הערכת הנהלה על הבקרות הפנימיות על הדיווח הפיננסי )סעיף .(404 •קוד אתי. •ניגוד עניינים בין החברה לבין נושאי משרה בה. 8 4 .2רגולציה ,תקנות והסדרה בניהול סיכונים • • • • ועדת באזל )באזל – (IIועדה מטעם הבנק להסדרים בינלאומיים ,אשר פרסמה המלצות בנושא הלימות ההון של מוסדות בנקאיים ושילוב של מערכות בקרה ופיקוח הנשענות על מערכות פנימיות לניהול סיכונים בבנקים Solvency II ועדת גלאי – וועדה שהוקמה בארץ כמענה לשימוש הגובר במכשירים פיננסיים מורכבים הטומנים בחובם סיכונים להפסדים מהותיים. המלצות הוועדה הובילו לתקנות שאושרו על ידי הכנסת ,המסדירות את הדיווח על סיכוני שוק בחברות ציבוריות ודרכי ניהולם חוק – Sarbanes-Oxleyחוק שנכנס לתוקף בארה"ב בעקבות שערוריות אנרון וורלדרום .החוק מרחיב את תחומי אחריותם של בעלי התפקידים הבכירים בחברות ציבוריות לנכונות המידע המתפרסם בדוחות הכספיים וקיומן של בקרות פנימיות נאותות בתהליכים העסקיים ועדת גושן – ועדה מטעם הרשות לניירות ערך שפרסמה המלצות המתייחסות ליישום עקרונות הממשל התאגידי ) (CGבחברות ציבוריות בארץ .עקרונות הממשל התאגידי מהווים אוסף של עקרונות וכללים המגדירים כיצד ראוי שחברות ציבוריות תתנהלנה בהיבטי בקרה ופיקוח ,לרבות :שקיפות ,נשיאה באחריות )מנהלים, דירקטורים( ,בקרה פנימית וניהול סיכונים 9 .2ועדת גושן – התייחסות להיבטי ניהול הסיכונים בחברות •סעיף - 2.7על ועדת הביקורת לסייע לדירקטוריון לסקור ולבחון את הבקרות הפנימיות הקשורות בדיווח הכספי ,וכן את כלל מערך הבקרה הפנימית וניהול הסיכונים. •סעיף – 2.9על ועדת הביקורת לסקור ולאשר כל התייחסות בדוח התקופתי הנוגעת לנושא הבקרה הפנימית וניהול הסיכונים. דהיינו :דרישה מההנהלה לניהול סיכונים ודרישה מהדירקטוריון וועדת הביקורת לפקח על כך. 10 5 9 .3ניהול סיכונים – האם רגולציה היא הפתרון הבלעדי? הרגולטורים מגיבים לכשלים ע"י חקיקה אינטנסיבית. האם הם יפתרו בכך את הבעיה? לא !!! הבעיה הינה גם ובעיקר של השווקים ,ולכן הפתרון אינו רק ע"י רגולציה. משקיעים/תורמים, מתעוררים: "השחקנים" דירקטורים-ועד מנהל ,מנהלים. אז מה הם אומרים? 11 .3ניהול סיכונים – מה אומרים המשקיעים? התורמים? •"לאור מקרי הכשל עליהם אנו שומעים ,כיצד אנו יודעים ,כי בחברה )בעמותה( בה אנו משקיעים )לה אנו תורמים( ,יש ניהול סיכונים אפקטיבי?" •"לאחר שראינו כשלים רבים ,אנו המשקיעים המוסדיים )התורמים( לא נשב יותר בשקט". •"אחד הדברים החשובים לנו בבחינת ההשקעה )התרומה( ולאחריה הוא לוודא שבארגון קיימות מערכות בקרה טובות". 12 6 .3ניהול סיכונים – מה אומרים הדירקטורים )חברי הוועד המנהל(? •"רוב המידע שלנו מגיע מדיווחי החברה )העמותה( ומנהליה .אנו תלויים בהם בקבלת המידע על הסיכונים". •"לאור החשיפה ההולכת וגוברת לדירקטורים )לחברי הוועד המנהל( ,אנו חייבים לגבש תפישה חדשה של פיקוח על התנהלות החברה )העמותה(". •"מה הציפיות מאיתנו? לנהל סיכונים במקום החברה )העמותה(?" 13 .3ניהול סיכונים – מה אומרים המנהלים? •"למרות מה שאנו עושים ,אנו עדיין ממשיכים להיות מופתעים". •"יש לנו מערכות בקרה מצ יינ ת בארגון – אנו לא מאמינים שצריך שינוי מהותי". •"בשביל זה יש רו"ח ,יועמ"ש ו-מ"פ – שהם יעשו את העבודה". •"אני חושש בעיקר ממה שלא באחריותי הישירה". •"נְמַ נֶה CROוזה יפתור את הבעיה". 14 7 .3מסקנה ממה שהם אומרים: " ַמה !ֶ הָ י ָה ה א ֶ ִהְ י ֶה ַמה !ֶ ַ%עֲ ָ#ה ַ( ַחת ַה!ָ מֶ " ה א ֶ ֵעָ ֶ#ה ו ְֵאין &ָל חָ דָ )קהלת א ,ט(. 15 .3ניהול סיכונים – מה מיקומך על הציר? מפאסיבי -לאקטיבי פאסיבי – מצב תגובה לסיכונים טקטי – מוכנות לסיכונים אסטרטגי – צופה סיכונים עתידיים ניהול הסיכונים לא מקבל דגשים והכוונת הנהלה/דירקטוריון/ועד מנהל הדירקטוריון וההנהלה )ועד מנהל( מעורבים בניהול הסיכונים ההנהלה והדירקטוריון )ועד מנהל( מטפלים בנושא ניהול הסיכונים באופן יעיל ואקטיבי הסיכונים מטופלים ללא גמישות והתאמה למאפייני כל סיכון הוקמה ועדת סיכונים מתקיימת הערכת סיכונים כוללת וחוצת ארגון במבנה המחייב את השתתפותם של כל עובדי הארגון אין גישה אחידה לניהול סיכונים החברה )העמותה( מבצעת מיפוי והגדרת הסיכונים מידי תקופה קיימת מתודולוגיה אחידה לניהול סיכונים ומסגרת ) (Frameworkליישום בפועל אין כיסוי של תחומי סיכון קריטיים שטרם גרמו לנזקים סיכונים עיקריים מוגדרים לפי אמות מידה זהות בחינה מתמשכת של כלל הסיכונים בארגון בזמן אמת קיימת מודעות לצורך ב- ERM אופטימיזציה של הסיכונים ודיווח עליהם 16 8 .3ניהול סיכונים – מה לעשות? ERM )(Enterprise Risk Management ניהול סיכונים למתחילים 18 אבל לפני כן... .4קצת הגדרות •מהו סיכון ,סוגי סיכונים ,עולם הסיכונים •מדידת הסיכון •הערכת סיכונים ,סיכון מובנה/שורשי ,סיכון בקרה/שיורי •ניהול סיכונים •בקרה 19 9 .4מהו סיכון? • סיכון מוגדר כהתרחשות אירוע שלילי ,העלול להשפיע על יכולתו של הארגון להשיג את יעדיו • דוגמאות לסיכונים: – אישור דוכ"ס לא נכונים )דוג' :וירוס הטעויות( – כישלון של מוצר או שירות חדש )קמפיין התרמה( – מפגע סביבתי – עזיבת עובדים/מתנדבים בתפקידי מפתח – מעילות ותרמיות 20 .4השפעת הסיכון • תוצאות אפשריות של התממשות הסיכון: – הפסד כספי – נזק לנכסים – אובדן מקורות – אחריות משפטית – ירידת ערך הפירמה – אובדן מוניטין – פגיעה בבטיחות )עובדים ,לקוחות ,אחר( – פגיעה באיכות הסביבה 21 10 .4רקע -סיכונים -המשך דוגמאות לסוגי סיכונים : .1סיכונים הנובעים מהתשתית המיחשובית הקיימת בארגון ,למשל :סיכון הנובע משימוש בתוכנות ו/או חומרות ישנות )ישימות טכנולוגית( ,חוסר בתיעוד של פיתוח מערכות מידע ,תדירות לקויה בעדכון גרסאות ובביצוע שינויים ושיפורים במערכות )לרבות בקרות נאותות( ,תחזוקה לא נאותה של מערכות מידע בארגון. .2סיכונים עסקיים -הסיכון שיגרם לארגון הפסד כספי כתוצאה מטעות ,או שימוש בלתי מורשה בנכסי הארגון. .3סיכוני שוק -הסיכון לאבד את האחיזה בפלח השוק הרלוונטי. .4סיכונים תדמיתיים -הסיכון לפגיעה בתדמית הארגון; פגיעה שעלולה להביא לפגיעה באיתנותו הפיננסית של הארגון. .5סיכוני הונאות ומעילות. .6 סיכונים משפטיים -הסיכון שהתהליך הקיים בארגון לא עולה בקנה אחד עם הוראות חוק או תקנות. .7סיכונים בקרתיים -אי קיומן של בקרות נאותות בתהליכים. .8סיכונים נוספים – בטיחות ,ביטחון ,איכות הסביבה... 22 .4רקע -סיכונים -המשך דוגמאות לסוגי סיכונים בעמותות : .1גניבת תרומות :אי מתן קבלות ושימוש בקבלות מזוייפות ,גניבת שקים שנתקבלו בדואר ,גניבת כספים מחשבונות העמותות בבנק. .2הונאות במערכת השכר :תשלום לעובדים פיקטיביים ,תשלומים מנופחים לעובדים )הגדלה כוזבת של רכיבי שכר ,הגדלה פיקטיבית של סכום התרומה ממנו נגזר השכר(. .3ניפוח החזרי הוצאות :מתנדבים לא מקבלים שכר ,אך מקבלים החזר הוצ'; החזר כפול עבור אותה הוצ' ,ביצוע שינוי בסכום/בתאריך החשבונית ,חשבוניות פיקטיביות. .4תשלום לספקים ולנתרמים פיקטיביים :גישה למערכת הנה"ח – ספק פיקטיבי ,ניפוח חשבונות של ספקים קיימים ).(Kickback .5שימוש לא מורשה בנכסי העמותה :שימוש בכספי העמותה )מעילה, הלוואה ,ריבית( ,שימוש בנכסים אחרים )למשל ,כלי רכב(. 23 11 .4סוגי סיכונים • עולם הסיכונים הינו רחב ומגוון וכולל סוגים שונים של סיכונים • נסווג את מכלול הסיכונים לארבע קבוצות מרכזיות: – סיכונים תפעוליים – סיכונים פיננסיים – סיכונים !סטרטגיים – סיכוני ידע ומידע )או ציות( 24 .4עולם הסיכונים סיכונים משפטיים נכסים פיזיים תרבות ארגונית תהליכים סיכוני שוק אשראי ונזילות סיכונים תפעוליים סיכוני ידע ומידע סיכונים פיננסיים דיווח מערכות ניהול המידע סיכונים אסטרטגיים מבנה ההון הון אנושי בעלי מניות ממשלה מבנה השוק 25 12 4.2מדידת הסיכון קריטי • סיכון מחושב כמכפלת אומדן הנזק שעלול להיגרם מהתרחשות האירוע )(Impact בהסתברות להתרחשותו )(Likelihood CA CP IC גבוהה CS RD עוצמה MI JV E T HR נמוכה נמוך גבוהה הסתברות נמוכה 26 4.3מהו סקר סיכונים? • סקר סיכונים הינו כלי המיועד לזיהוי)*( )ולטיפול( בסיכונים הטמונים בתהליכי העבודה בארגונים • סקר סיכונים ממפה את הסיכונים שבתהליכים ומאתר חשיפות מוגברות לסיכונים שעלולים לפגוע ביכולת הארגון להשיג את יעדיו • סקר סיכונים אינו ביקורת והמידע שהוא מציג מתבסס בעיקר על שיחות )*( "זה שאינך רואה ,הוא שיפילך" ]סיסמה בחדר אוכל צוערי קורס טיס[ 27 13 4.3הגדרות הערכת סיכון סיכון שורשי Inherent Risk סיכון שיורי Residual Risk הסיכון השיורי לאחר מדידת הבקרות הקיימות סיכון מובנה ללא בקרות 5 שורשי Inherent - 4 3 השלכה שיורי Residual - 2 סיכון מטרה 5 1 תאבון הסיכון 4 3 2 1 הסתברות 28 4.4מהו ניהול סיכונים? • ניהול סיכונים הוא תהליך מובנה לזיהוי וניתוח סיכונים לצורך גיבוש ויישום דרכים להתמודד איתם • ניהול סיכונים צריך לכלול מספר מרכיבים עיקריים: 2 וניתוחהסיכון זיהויוניתוח זיהוי הסיכון 3 הערכתהסיכון הערכת הסיכון 1 תיחום תיחום 5 ודיווח ניתור מעקב, ודיווח ניטור מעקב, 4 טיפול בסיכון בסיכון טיפול 29 14 4.4מדוע כדאי לנהל סיכונים? • הימנעות מהפתעות • הכרת נקודות התורפה • יכולת לצמצם את החשיפה לסיכונים באמצעות טיפול מתאים • יתרון על המתחרים • שיפור תהליכים וחיזוק היעילות • עמידה בדרישות רגולציה 30 4.5דרכים אפשריות לטיפול בסיכון • התעלמות • העברת/גלגול הסיכון לגורם אחר • ביטוח • צמצום החשיפה לסיכון באמצעות בקרות 31 15 4.6מהי בקרה? • בקרה פנימית הינה מכלול הפעולות והאמצעים שמפעיל הארגון על מנת לצמצם את החשיפה לסיכונים] .בקרה פנימית עשויה להיות אחת או יותר מבין הבאים[: קביעת – מדיניות קביעת – נוהלי עבודה – הפרדת תפקידים – בדיקה ודיווח – מערכות ממוחשבות – מדדי ביצוע – רוטציה 32 4.6תפקידה של הבקרה הפנימית בניהול סיכונים • בקרה פנימית הינה כלי לניהול סיכונים • לא ניתן לשלוט בסיכון ,אך ניתן לצמצם את החשיפה לסיכון באמצעות שיפור וחיזוק הבקרה הפנימית: 10 9 8 7 6 5 4 3 2 1 0 1 .1 .1 1 .1 .2 1 .1 .3 1 .2 .1 1 .2 .2 1 .2 .3 1 .2 .4 1 .2 .5 1 .2 .6 33 16 4.7סקר הערכת סיכונים ככלי המשמש את ההנהלה -הביקורת 34 4.8טכניקות ס"ס – דוגמה מטריצת פיצג'רלד רכיבים /סיכונים גניבה מעילה טעות אסון- שריפה אסון- הצפה כוח אדם -מפעילים מידע -קובצי נתונים חומרה -מסופים קווי תקשורת תוכנה -תוכניות יישום תוכנה -תוכנת מערכת רכוש; כספים טפסים 35 17 4.9הגדרת מקצוע הביקורת הפנימית הגדרה על-פי תקני ה- IIA - ביקורת פנימית הינה פעילות בלתי תלויה ואובייקטיבית של הבטחה ) (Assuranceוייעוץ, אשר מיועדת להוסיף ערך ולשפר את פעולות הארגון .היא מסייעת לארגון להשיג את מטרותיו בהבאת גישה שיטתית וממוסדת ,לשם הערכה ושיפור האפקטיביות של תהליכי ניהול סיכונים, בקרה ,פיקוח וממשל תאגידי. )"(IIA "Definition of Internal Auditing הביקורת הפנימית ,בהגדרתה ,נערכת על-פי התקנים המקצועיים לביקורת פנימית. 37 4.9הגדרת מקצוע הביקורת הפנימית )המשך( ביקורת פנימית )(Internal Audit •זוהי בקרה ניהולית הפועלת ע"י מדידתם והערכת יעילותם של אמצעי בקרה אחרים. תכלית הביקורת הפנימית לסייע לכל המנהלים למלא את תפקידיהם ביעילות ,ע"י כך שהיא מספקת להם ניתוחים ,הערכות ,המלצות והערות ענייניות לגבי הפעולות שסוקרו על-ידה. 38 18 4.9.1המאפיינים העיקריים של הביקורת הפנימית • • • • • • • • מוגבלת לגבולות שהתווה הארגון. פועלת עם הפנים לארגון. הדיווח הוא פנימי – למוסדות הפנימיים של הארגון** ,* . שואבת את סמכותה הניהולית מהנהלת הארגון* . חלק אורגאני מן הארגון שבתוכו היא פועלת ,ותלויה בו. בלתי תלויה ביחידות המשנה בארגון הנתונות לביקורתה. מופעלת במגוון רחב של ארגונים – במגזר הציבורי ובמגזר העסקי. בגופים שהחוק חל עליהם – תפקידי הביקורת ודרכי פעולתה מוסדרים בחוק )גופים ציבוריים ,גופים עסקיים שלציבור עניין בהם ,עיריות ומועצות מקומיות ,עמותות.(... **בכפוף לפס"ד משרד התחבורה *שוני לגבי רשויות מקומיות 39 4.9.2תקני ה IIAבהם מוזכר "סיכון: הגדרת המקצוע ,קוד אתיקה 2 ,תקני תכונות הגדרת מקצוע הביקורת הפנימית :ביקורת פנימית הינה ...היא מסייעת לארגון ...לשם הערכה ושיפור האפקטיביות של תהליכי ניהול סיכונים.... קוד האתיקה :חוזר על הגדרת מקצוע הביקורת הפנימית. 1210מקצועיות (1210.A2) :מבקרים פנימיים חייבים להיות בעל ידע מספק כדי להעריך סיכון להונאה (1210.A3) ;...מבקרים פנימיים חייבים להיות בעלי ידע מספק אודות עיקרי הסיכונים בתחום טכנולוגית המידע... 1220זהירות מקצועית ראויה (1220.A1) :מבקרים פנימיים חייבים לנהוג בזהירות מקצועית ראויה על -ידי הפעלת שיקול דעת בנושאים הבאים ... :נאותות ואפקטיביות של תהליכי ממשל תאגידי ,ניהול הסיכונים ,ותהליכי הבקרה; ) (1220.A3מבקרים פנימיים חייבים להיות ערים לסיכונים משמעותיים ...עם זאת ,נוהלי הביקורת כשלעצמם ,אפילו אם הם מבוצעים בזהירות מקצועית ראויה ,אינם מבטיחים שכל הסיכונים המשמעותיים יזוהו. 40 19 4.9.2עשרה תקני ביצוע של ה IIAבהם מוזכר "סיכון" 2010תכנון – ת"ע מבוססות סיכונים. 2060דיווח להנהלה הבכירה ולדירקטוריון -חשיפות לסיכונים משמעותיים ,...לרבות סיכוני הונאה. 2100אופי העבודה – ה-ב"פ חייבת להעריך ולתרום לשיפור ...ניהול הסיכונים. 2110ממשל ופיקוח תאגידי – ה-ב"פ ...דיווח על מידע אודות סיכונים...לגורמים המתאימים בארגון... 2120ניהול סיכונים – ה-ב"פ חייבת להעריך את האפקטיביות ,ולתרום לשיפור תהליכי ניהול סיכונים. 2130בקרה ) (2130.A1ה-ב"פ חייבת להעריך את ההלימות והאפקטיביות של הבקרות, במענה לסיכונים... 2201שיקולי תכנון – בתכנון מטלת הביקורת ,חובה על מבקרים פנימיים לשקול את... : הסיכונים ,...וכן את האמצעים בעזרתם נשמרת החשיפה לסיכון ברמה מקובלת; נאותות ואפקטיביות ...תהליכי ניהול הסיכונים והבקרות בהשוואה למודלים או מסגרות רלבנטיים; ואת ההזדמנויות לביצוע שיפורים משמעותיים בתהליכי ...ניהול הסיכונים והבקרה של הפעילות. 2210מטרות מטלת הביקורת – ) (2210.A1מבקרים פנימיים חייבים לבצע הערכה מקדמית של סיכונים )"סקר מוקדם"( (2210.C1) ;...מטרות מטלת הייעוץ חייבות להתייחס ל ...ניהול הסיכונים... 2500ניטור ההתקדמות (2500.A1) -ה-מ"פ הראשי חייב למסד תהליך מעקב לשם ניטור והבטחה ,שפעולות ההנהלה מיושמות באופן אפקטיבי ,או שההנהלה הבכירה נטלה סיכון של אי-נקיטת פעולות. 2600תקשור קבלת סיכונים– כאשר ה-מ"פ הראשי מסיק ,שההנהלה השלימה עם רמה מסויימת של סיכון... ,חובה עליו לשוחח על כך עם ההנהלה הבכירה .אם המבקר הפנימי מסיק כי הסוגיה לא נפתרה ,ה-מ"פ הראשי חייב לתקשר את הסוגיה לדירקטוריון. 41 נחזור לניהול סיכונים.... .5ניהול סיכונים – כיצד לעשות? שלבים: .1בניית מפת סיכונים .2מיון הסיכונים .3לקבוע -מנגנון ואחריות .4לנהל -דיווח ומעקב שוטף 50 20 5.1ניהול סיכונים: שלב – 1בניית מפת סיכונים בניית מפת סיכונים )מאקרו -לארגון ,לכל תהליך ותהליך( המרכזת את כל הסיכונים הרלוונטים לחברה. •התארגנות ותכנון :מינוי מתאם/קצין סיכונים )(CRO וועדת סיכונים. •דיווח לדירקטוריון. •סדנאות סיעור מוחות עם מנהלים בכירים ודרג ביניים. •ריכוז וארגון החומר בצורת מפת סיכונים )"עִ ם מַ ה אנו אמורים להתמודד"(. 51 5.1ניהול סיכונים :שלב – 1בניית מפת סיכונים :דוגמה למפת סיכונים סיכונים משפטיים נכסים פיזיים תרבות ארגונית תהליכים סיכוני שוק אשראי ונזילות סיכונים תפעוליים סיכונים פיננסיים דיווח מערכות סיכוני ידע ומידע ניהול המידע סיכונים אסטרטגיים מבנה ההון הון אנושי בעלי מניות ממשלה מבנה השוק 52 21 5.2ניהול סיכונים: שלב – 2מיון הסיכונים •קביעת תבחינים לדירוג סיכונים .סרגל )ציונים( סיכונים. •בניית פירוט מינימלי לכל סיכון. •קיום סדנאות דירוג סיכונים )איכות הדירוג תלויה באיכות התהליך( .לחלופין – שימוש בגורם חיצוני ובשאלונים .ניתן גם להשתמש ב.<-- CSA - •ריכוז ממצאי הסדנאות ותיעדוף של עד Xסיכונים לטיפול )לפי התיאבון והיכולת של הארגון(. 53 5.2ניהול סיכונים: שלב – 2מיון הסיכונים: שיטות הצגה ודיווח •מלל. •טבלה; טופס ,פיצג'רלד. •גרפים/רמזור. 54 22 5.2ניהול סיכונים :שלב – 2מיון הסיכונים: דוגמת טופס/טבלה סיכון מס' מיקוד אסטרטגי באיזה תחום אסטרטגי קיים עיקר השפעת הסיכון 123 תפעולי דירוג בקרות בקרות תיאור נוספות עיקריות הסיכון הנדרשות קיימות לניהול הסיכון מהי הגדרת אלו בקרות מהן קיימות כיום הבקרות הסיכון הנוספות ע"מ לנהל הספציפי המאיים על את הסיכון הנדרשות שיש ליישם היעדים ע"מ לנהל העסקיים סיכון זה ביצוע מעקב קביעת סדר 2 אי ביצוע פעולות מחייב ' הת אחר של נאות המפורסם התחייבויות חוזיות ע"י בתום כל יוזם חוזיות התקשרות, ההתקשרות ודיווח אחר סטיה מהת' חוזית 55 5.2ניהול סיכונים :שלב – 2מיון הסיכונים :דוגמת רמזורHeat-Map/ קריטי IC CA CP גבוהה CS RD עוצמה MI JV E T HR נמוכה נמוך גבוהה הסתברות נמוכה 56 23 5.3ניהול סיכונים: שלב – 3מנגנון ואחריות הגדרת תוכנית פעולה לטיפול בסיכונים: •חלוקת נושאים לטיפול בין מנהלים שונים בארגון. •גיבוש שיטת דיווח בסיסית – לו"ז ומתכונת. •ביצוע מעקב תקופתי אחר הטיפול בסיכונים. •הפעלת המתאם ) (CROוהוועדה. 57 5.4ניהול סיכונים: שלב – 4דיווח ומעקב שוטף באחריות CROוהוועדה לתחזק את מה שפותח: •קבלת דיווחים תקופתיים ,העברת דיווח וטיפול. •דיווח תקופתי להנהלה/דירקטוריון-ועד מנהל/ועדת ביקורת. •דיווח מיידי במקרים של זיהוי סיכון בעל השפעה רבה שהסבירות להתרחשותו הינה גבוהה. •ביצוע חוזר של שלבים 3 - 1לצורך עדכון מידי תקופה. יש לשלב את ה CRO -והוועדה בתהליכי קבה"ח בארגון. 58 24 .6אז מי מנהל את סיכוני הארגון? • • • • דירקטוריון-ועד מנהל ,ועדת ביקורת מנכ"ל כל מנהל בתחומו הוא CRO 59 6.1ועוד טיפ... • • • • לאחד תשתיות ניהול סיכונים בארגון: תקינת ה SOXעוסקת בסיכוני הדיווח הפיננסי ,הלקוחות שלה הם הגורם האחראי על הדיווח הכספי ,מובילי התהליכים האחראים לתחזוק ועדכון הבקרות ,רואה החשבון המבקר. תקינת הרגולטורים מחייבת ציות במרחב רגולציה רחב ומפורט ,הלקוחות שלה הם קצין הציות ,סמנכ"ל הרגולציה ומנהל היחידה המשפטית בארגון. תקינת ניהול הסיכונים פונה למנהל הסיכונים ,המהווה בקר הסיכונים הראשי של הארגון ,וכן אל מגוון המנהלים בארגון שאחריות ניהול הסיכונים ב"רצפת הייצור" מוטלת עליהם. יש ליצור בארגון תהליך סינרגיה יעיל ,הנתמך במערכת מידע מתאימה ,כדי לא להשקיע משאבי בקרה כפולים מצד אורגנים שונים. 60 25 7.1לסיכום :מה השגנו? עברנו מתגובה ליוזמה • מערכת בסיסית לניהול סיכונים • מודעות מנהלים • אפשרות דיווח ל :דירקטוריון-ועד מנהל ,הנהלה ,משקיעים-תורמים • ניהול אפקטיבי יותר של הסיכונים 61 7.2מסקנה :אז מה צריך לעשות? -יש רק שתי אפשרויות: To DO or Not to Be • לעשות )(To DO • לא לעשות ...לחדול )(Not to Be 62 26 7.3כלומר: • לנהל את הסיכונים • לא לתת לסיכונים לנהל אותנו 63 .8סיכונים וכשלים בנושאי :כספים טעימה קלה מסיכונים צפויים 64 27 מעילה באמצעות מס"ב הזנת חשבונות פיקטיבית במסגרת ספק הקיים במערכת ביצוע קישור להתחייבות פתוחה שלא נוצלה העברה לאישור תשלום אישור ידני של מו"ח הפקת דוח תשלומים שינוי נתוני חשבון הבנק של הספק האמור לחשבון בנק של עובד )או אחר( יצירת קובץ מס"ב החזרת נתוני חשבון הבנק שלהם העברת הקובץ לאישורים הדיגיטליים של מו"ח העברת מס"ב 65 כיצד להפסיד כ1,000,000 - ש"ח בקלי קלות 67 28 אי קליטת קבלות במערכת על-ידי יצירת "נפילת" קופה לקוח ניגש לקופה עם פריט לרכישה קופאי סורק קוד פריט לקוח משלם במזומן ויוצא ללא חשבונית קופאי לוקח את הכסף לכיסו החשבונית נמחקה קופאי מאתחל את המחשב "-נפילת קופה" התאמת קופה תקינה 68 .9מיפוי סיכוני – IT הסיכון החדש :מידע וסייבר CIO/CFO 73 29 פרשות כרטיסי האשראי • ישראל " -2012ההאקר הסעודי" :Ox0mar פריצה ל 80 -אתרי אינטרט ישראלים .גניבת עשרות אלפי פרטים 14 :אלף כ"א ,והיתר פרטים אישיים/מזהים של אזרחים. • ארה"ב -2007אלברט גונזלס :פריצה למערכות מחשבים של חנויות ורשתות גדולות בארה"ב )Barnes & ,BJ's Wholesale Club ,T.J. Maxx .(Nobleגניבת פרטי 41מיליון מספרי כ"א. 77 פרשת כרטיסי האשראי )ישראל( • כרטיסי אשראי • מידע :פרטים מזהים 78 30 נתונים סטטיסטיים – לפתיח1... • האינטרפול ) :(8.5.12על ישראל 10,000מתקפות בדקה. • סימנטק )סקר ב 24מדינות 20 ,אלף משתמשי רשת( 14 :איש בעולם חווים מתקפת סייבר מידי שניה .יותר ממיליון מידי יום 431 .מיליון איש נפגעו מפשע מקוון בשנת .2011הסיכוי לגולש לחוות מתקפה מקוונת עומד על 1 ל] 2.27 -תאונת מטוס 1ל 10.7 -מיליון ,מוות ת"ד 1 ל.[6,279 - • סימנטק :עלות פשעי הסייבר )בשנת 388 – (2011 מיליארד ] $סמים – 411מיליארד [$ 79 נתונים סטטיסטיים – לפתיח2... סימנטק )סקר ב 24מדינות 20 ,אלף משתמשי רשת(: • פרק זמן למותקף לטפל בבעיית אבטחת המידע 4 :ימים עד שבועיים )ממוצע 10ימים(. • הטיפול :פעילות מול הרשויות ,עדכון פרטים ,עבודה מול חברות אשראי וכד'. • 39%מהמותקפים דיווחו שזו "הגדולה שבהטרדות" חייהם .רק 21%דיווחו למשטרה על המתקפה. • 54%ניזוקו ממתקפות משולבות ,נוזקות או וירוסים. • 10%חוו מתקפות בטלפונים החכמים ,כולל .Smishing 80 31 נתונים סטטיסטיים – לפתיח3... סימנטק )סקר ב 24מדינות 20 ,אלף משתמשי רשת(: נתון מעניין: • למי שנפגע ממתקפת סייבר יש סיכוי גדול פי 2 לחוות פשע בעולם הפיסי ,לעומת מי שלא חווה מתקפת סייבר) .בסקר לא צוינה הסיבה לכך(. 81 תשתיות לאומיות • • • • 4/1982ארה"ב נ' ברה"מ :צינור גז טרנס סיבירי. 2007רוסיה נ' אסטוניה :אינטרנט. 6/2010ארה"ב וישראל )?( נ' אירן :כור גרעיני. (?) 9/2013נ' ישראל :מנהרות הכרמל ][IOT 82 32 השפעת איומי טרור הסייבר – על 4שחקנים • • • • חברות כרטיסי האשראי ,המגזר הפיננסי העסקים הצרכנים" :גב' כהן מחדרה" המגזר הממשלתי ,הרגולטור 83 השפעת איומי טרור הסייבר על – 1 חב' כרטיסי האשראי,המגזר הפיננסי • ככלל ,חברות כרטיסי האשראי יודעות לדאוג לעצמן • גב' כהן מחדרה :ברור שהאחריות הראשונה הינה על חברות כרטיסי האשראי. • לפני שחברת כרטיסי אשראי מאשרת עסקה – היא תבדוק את מהימנות העסקה. 84 33 השפעת איומי טרור הסייבר על – 1 המגזר הפיננסי )המשך( אבל – שימו לב לנתונים הבאים )מחקר של :(*PWC • המגזר הפיננסי הינו המועדף על הפשע הכלכלי. • פשע סייבר הינו הפשע הכלכלי השני הכי נפוץ. • כשליש מעובדי המגזר הפיננסי לא קיבלו שום הכשרה באבטחת סייבר. *PWC: Global economic crime Survey 2011 85 השפעת איומי טרור הסייבר על – 2 העסקים לפי נתוני חברות כרטיסי האשראי )כ"א(: • 80%מכל בתי העסק שעברו דליפת נתוני כ"א, חדלו להתקיים תוך שנה. • 3מ 4 -לקוחות אמרו שלא יבקרו שוב בבית עסק שחווה דליפת כ"א. • הצפנת נתוני כ"א זולה בממוצע פי 15מההוצ' בעקבות דליפה 86 34 השפעת איומי טרור הסייבר על – 2 העסקים )המשך( • • • • מוכר מוצר/שירות באמצעות האינטרנט? חובתך לוודא שהאתר שלך מאובטח :מוסרית, עסקית-כלכלית ,חוקית? ...ניהול סיכונים :לא לשמור נתונים ללא צורך ,ולא לדרוש נתון שאין בו צורך. שימוש באנשי מקצוע – מומחי אבטחת מידע. היקף אבטחת מידע – לפי גודל/מורכבות העסק 87 השפעת איומי טרור הסייבר על – 3 הצרכנים – גב' כהן מחדרה • מודעות :פרחים ,קוד סודי ,פרטים מזהים – פיצה; כרטיס אשראי מול זהות • בדיקה נוספת; מלון בפריס. • לינק • אמינות הספק לעומת אבטחת האתר )דלף מידע( 88 35 השפעת איומי טרור הסייבר על – 4 המגזר הממשלתי/הרגולטור • הסמכת אתרים • תקנה (7) 64לתקנות שירות נתוני אשראי:2004 , חוו"ד מבקר בדבר "נאותות מערכות המידע, מערכות הבקרה ואמצעי האבטחה"... 89 נעצור למס' דקות לגבי תיאור )חוסר( הפעילות בנושא בישראל ,ונחזור לכך בהמשך ומה לגבי עסקים עם חו"ל? 92 36 עסקים עם חו"ל • אמנת בודפשט .2001חתמו 46מדינות :האיחוד האירופי ,וכן קנדה ,יפן ,דרא"פ וארה"ב] .ישראל לא חתמה[ • השוואה בין מדינות :התייחסות לטרור/פשעי סייבר 93 השוואה בין מדינות :טרור/פשעי סייבר • הגדרת סוגי פשעי סייבר: Identity Theft Hacking Computer Virus Spyware Phishing etc. • • • • • • 94 37 פשעי סייבר/ טרור:השוואה בין מדינות : כוללת,Cyber-attack • הגדרת • • • • • • Denial-of-service attacks, Codes, Worms, Malicious software (‘malware’), Trojan horses, Or any other electronic attempt to undermine a computer system. 95 פשעי סייבר/ טרור:השוואה בין מדינות 9/11 :• הבסיס Soon after 9/11, domestic parliaments engaged in a frenzy of lawmaking to counter an unprecedented, amorphous, transnational terrorist threat. • This legislation - designed primarily for large-scale acts of Islamic terrorism, which intend to cause death and serious bodily injury within civilian populations - will apply to new threats such as biological, economic, environmental and ‘cyber’ terrorism. • Keiran Hardy, University of New South Wales, Sydney, Australia: "Cyber-attacks against infrastructure in domestic anti-terror laws" 96 38 השוואה בין מדינות :טרור/פשעי סייבר • טשטוש גבולות בין :פשעי סייבר ,לוחמת סייבר ,טרור סייבר .כל זאת בפרט בשל העובדה שמחאות אלקטרוניות נגד הממשל הפכו לאופנה. • שאלה :מתי התערבות באמצעים אלקטרוניים )מחאה( הופכת לטרור סייבר? 102 השוואה בין מדינות :טרור/פשעי סייבר ולכן ,טרור סייבר מוגדר כ: .1מ נַע פוליטית או דתית או אידיאולוגית .2מתוכנן להשפיע ,ע"י איום ,על אדם או ממשלה או ארגון בינלאומי .3מתערב מאוד ,או מפריע או הורס :שירות או מתקן או מערכת ממוחשבת/אלקטרונית. 103 39 השוואה בין מדינות :טרור/פשעי סייבר Slovenia • The Slovenian Police’s report – since 2008: 177%עליה בפשעי מחשב .מספר החשודים עלה ב 217% • קיים דיווח לציבור על פשעי מחשב לפי קטגוריות: – פגיעה בפרטיות באינטרנט – פגיעה בזכויות יוצרים ,באינטרנט – תקיפת מערכות מידע – חדירה למערכות מידע מסחריות – ייצור ורכש של אמצעים המיועדים לחדור או לתקוף מערכות מידע • Slovenian Computer Emergency Response Team )(SI-CERT): Security incident management (2010 106 השוואה בין מדינות :טרור/פשעי סייבר - Sloveniaהמשך נקיטה בפעולות שיביאו את הנושא למודעות הצרכנים/אזרחים שימוש בטוח באינטרנט SAFE-SI • מלשינון -קבלת דיווחים אנונימיים )פורנוגרפיית ילדים, תעמולת שנאה וכד' ,באמצעות האינטרנט(. • הפרוייקט בשת"פ :אוניברסיטת לובליאנה ,רשת האקדמיה והמחקר של סלובניה ,ARNESוארגון הצרכנים הסלובני. • מלמדים את המורים כיצד להשתמש באינטרנט באופן בטוח בבתי"ס ,ולהנחיל זאת לתלמידים )סילבוס חובה( .הכל בפיקוח משרד החינוך והספורט • העלאת מודעות הציבור להגנה על פרטיות המידע שלו ,ע"י מתן הנחיות וקווים מנחים; מידע רפואי ,ביומטרי ,מצלמות מעקב ,פישינג ,פארמינג ,ספאם ...שימוש בטוח בבנקאות מקוונת ,הונאות באתרי אינטרנט 107 40 ובחזרה לפעילות שבכל זאת נעשתה בינתיים במדינת ישראל 109 אירועים מתוקשרים שהתרחשו לאחר פרשת כרטיסי אשראי • • • • • • וירוס )"חבילת תוכנה מורכבת"( ) Flameמאי (2012 דליפת 6.5mסיסמאות משתמשים ב) Linkedin -יוני (2012 דליפת 1.5mסיסמאות ופרטים אישיים בeHarmony - )כמו )(JDateיוני (2012 סיסמאות דואל )ואללה ,נטוויז'ן (...012 ,של מאות ישראלים הופצו בפייסבוק ).(1.7.2012 גניבת פרטי 2mכרטיסי אשראי לאומי-קארד ) .(15.11.2014סחיטה. דאעש פרצו למחשבי הפנטגון ).(19:30 12.1.2015 "סייברג'יהאד" 110 41 הפעילות שנעשתה בשנת 2012 במדינת ישראל רוב הפעילות שנעשתה ,הינה בעקבות פרשת כרטיסי האשראי )תודה ל (Ox0mar • • • • • • ועדת המדע והטכנולוגיה ועדת חוקה חוק ומשפט *** רמו"ט - TVערוצים :הכנסת )11 ,10 ,(99 כנסים והשתלמויות ובעיקר :מ דעות ,מ דעות ,מ דעות ***הערה לגבי סתירה ברגולציה 111 הפעילות במדינת ישראל אבל )וזה אבל גדול(: זה לא מספיק, ויש עוד הרבה מה לעשות... 112 42 סיכום ביניים • • • • • אין חסינות/הגנה מוחלטת בפני דֶ לֶף מידע חשוב שגב' כהן מחדרה תהיה מ דַ עַ ת לחייב עסקים להגנת אתריהם גוף ממשלתי יסמיך אתרים )אבטחת מידע( יש עוד הרבה מה לעשות בתחום הזה. 113 מושגים שלמדנו • • • • • • • • • • • 43 סיכון עולם הסיכונים ,מפת סיכונים מדידת סיכון סקר סיכונים הערכת סיכון ניהול סיכונים בקרה CRO מיון סיכונים תיאבון הסיכון רמזורHeat Map , 114 ביקורת – מדוע? מדוע? 115 ביקורת – מדוע? סיוע לארגון בהשגת מטרותיו - גורם בלתי תלוי ,אובייקטיבי. בדיקת יישום החלטות הנהלה. יעילות/מועילות ותפקוד מערך הבקרה וניהול הסיכונים. והכי חשוב :ערך מוסף לארגון ! 116 44 סיכום • • • עברנו מ-סיכונים ל -ביקורת ,ביקורת הסיכונים, סיכוני הביקורת. מיפוי סיכונים מיוחדים שיקולים מיוחדים בתכנון ביקורת 118 תודה על ההקשבה דורון רונן ,רו"ח יעוץ ,בקרה וניהול סיכונים 119 45 דורון רונן ,רו"ח -יעוץ ,בקרה וניהול סיכונים טל' ,03.5733456 :פקס03.5714180 : דואל[email protected] : D R שאלות? רו"ח דורון רונן [email protected] 120 .2הכשלים והתפתחות הרגולציה רגולציה ]דוגמאות[: ) 1992ועדכון COSO (1994 1999חוק החברות ) SOX 2002ארה"ב( 2004הצהרת מנהלים חב' ממשלתיות – SOX 302 COSO ERM 2004 2004דוח ועדת ברנע 2005המפקח על הבנקים – SOX 302 2006דוח ועדת גלאי )אומץ ע"י רשות ני"ע( 2006המפקח על הביטוח – SOX 302 2007המלצות ועדת גושן 2008חברות ממשלתיות )תקנות( – SOX 404 2008בנקים – SOX 404 2009חברות ביטוח – ,SOX 404חוזר 166ניהול (2010) IT 2009תקן בינ"ל ISO-31000ניהול סיכונים בארגונים 2009רשות ניירות ערך SOX -ישראלי ...ועוד...ועוד... 2014תיקון לחוק העמותות :הגברת הממשל התאגידי בגופי המגזר השלישי )עמותות וחל"צ( באמצעות העמקת סמכויות גופי הביקורת 121 46 2. Failures & Regulation Development Regulations (examples): in Slovenia 14-15/3/02 Asset and Liability Management in Slovenian Insurance Legislation and in the Insurance Industry (Warsaw) based on the “Insurance Act, 3/3/00”, By-law regulations (to review & evaluate risk management systems used by insurance undertaking) 29/3/07 Official Gazette of the Republic of Slovenia 28/07 (point 1 of article 82 of the Banking Act 131/06, 1st paragraph of article 31 of the Bank of Slovenia Act 72/06): “the Risk Management regulation 135/06, RM Procedures, Internal Controls Systems”. 18/2/09 Autorité européenne de sécurité des aliments (EFSA) & the Slovenian Risk Assessment Institutions – Strengthening capacity in food safety - Ljubljana 3/3/09 Independent Auditor’s Report to the Shareholders of UniCredit Banka Slovenija d.d.: “the compliance of the RM regulations 135/06, 28/07, 104/07”. 122 47
© Copyright 2024