מאמרים:

מושגי יסוד בנושא ניהול סיכונים וביצוע ביקורת פנימית עם דוגמאות מבתי חולים בישראל

11 יוני 2017

שרון ויטקובסקי- טביב , שותפה, ראש מגזר ביקורת פנימית וניהול סיכונים RAS, BDO Consulting |
 
בקצרה

ביקורת פנימית היא פעילות בלתי תלויה של ייעוץ, שמטרתה לבחון את תהליכי העבודה של ארגון ולשפר אותם לכדי תהליכי עבודה מובנים ויעילים, המושתתים על מנגנוני בקרה ופיקוח. לצד הביקורת הפנימית, צמח עם הזמן התחום של ניהול סיכונים, במסגרתו ארגונים פועלים לזיהוי, הערכה וטיפול בסיכונים שעשויים להוות מכשול בפני הארגון בכלל תחומי פעילותו. המשותף לשני התחומים הוא המטרה – לייעל ולשפר את פעילות הארגון, לצמצם את חשיפת הארגון לסיכונים ולהקטין או למגר את ההיתכנות להתרחשותו של נזק. בעוד שביקורת פנימית ותהליכי ניהול סיכונים נפוצים במגוון רחב של ארגונים וסקטורים, כאשר מדובר על תחום הבריאות בכלל, ועל בתי חולים בישראל בפרט, הגדרת הסיכונים מקבלת מפנה וכוללת בראש הרשימה סיכונים שבליבת הפעילות - בהם סיכונים תפעוליים-רפואיים (לרבות שמירה על חיי אדם) וסיכוני מוניטין, שיש לקחת בחשבון לצד הסיכונים הפיננסיים, סיכוני כוח האדם והסיכונים המשפטיים הקיימים בכל ארגון. במסגרת המאמר ניתן מספר דוגמאות מעולם זה, על מנת להמחיש את החשיבות של ניהול סיכונים ושל ביקורת פנימית בארגונים.

 

ניהול סיכונים וביקורת פנימית בארגונים

הן ניהול סיכונים והן ביקורת פנימית הם תחומים הנמצאים בהתפתחות מתמדת מזה שנים, התפתחות שמקורה לרוב בחקיקה שחוקקה לאורך השנים ובעקבותיה גם בשינוי בשטח. התפתחותם של תחומים אלו התרחשה על קרקע פורייה משני היבטים עיקריים – האחד הוא הצורך. היה צורך אמיתי. כלומר, הסיכונים היו, הורגשו והתרחשו; והשני, מודל המסגרת ליישום הדברים היה קיים (מודל מסגרת הבקרה של COSO על בקרה פנימית ולאחריו ה-COSO ERM).

החקיקה והרגולציה בכל הנוגע לביצוע ביקורת פנימית ותהליכי ניהול סיכונים, ממשיכות להתפתח כל העת, לאור העובדה שהיום כולם מבינים את הסיכון האמיתי והמהותי הטמון בהתנהלות ארגונים ללא כללי פיקוח ובקרה נאותים ומספקים.

במסגרת המאמר נגדיר מושגי יסוד מעולם זה – מהי ביקורת פנימית ומהו ניהול סיכונים – וכן, נביא דוגמאות מעולם בתי החולים בישראל, ונראה מה המשותף להם וכיצד משלבים בין כולם יחד.

מהי ביקורת פנימית וכיצד ניתן ליישם אותה?

ביקורת פנימית היא אמצעי לבחינת תהליכי עבודה בארגון, במטרה לשפר אותם ולבסס במסגרתם בקרה, אשר תשפר את אמינות התהליך ותוצאותיו. מתודולוגית היישום של ביקורת פנימית מבוססת על ארבעה שלבים עיקריים:

  1. היכרות עם מדיניות הארגון לגבי הנושא הנבדק - הנחת העבודה היא כי כל פעילות בארגון הינה תוצר של מדיניות, כאשר גם אי קביעת מדיניות מייצגת את גישת הארגון.
  2. אמצעי ההפצה של המדיניות – שלב זה מתייחס לנהלי העבודה הרלוונטיים ולכל מסמך רשמי של הארגון העוסק בנושא ומפיץ את מדיניות הארגון והחלטותיו.
  3. בחינת התהליך - השלב השלישי הינו השלב המרכזי בעבודת הביקורת, היות ובו נבדק התהליך כפי שהוא מתנהל בפועל תוך השוואתו למדיניות הארגון. מתוך שלב זה ניתן להסיק מסקנות לגבי איכות התהליך, תוך הסתמכות על ממצאים שאותרו לאורך התהליך הנבדק.
  4. פיקוח ובקרה – שלב זה הוא המהות של ביקורת פנימית. בשלב זה יבחן התהליך בהיבטים של בקרה ופיקוח, המהווים כלל מנחה מרכזי בביקורת הפנימית, הן בעת בניית תהליך עבודה חדש והן בעת שיפור תהליך קיים.

התוצאה של ביצוע ביקורת פנימית היא קיומו של תהליך עבודה מובנה ויעיל, המושתת על מנגנוני בקרה ופיקוח.

הלכה למעשה, מי שמוציא לפועל ביקורת פנימית הוא מבקר פנימי. בישראל חוקק בשנת 1992 חוק הביקורת הפנימית המגדיר מי רשאי להתמנות כמבקר פנימי, באילו גופים יש למנותו ומהם מטרות ועקרונות עבודתו.

אם ניקח לדוגמא בתי חולים בישראל, המוגדרים כ"גוף ציבורי" ומשכך מחויבים במינוי מבקר פנימי, הרי שעל אף מורכבות התהליכים בהם והסיכונים העתירים שבפעילותם היומיומית, הם פעלו שנים רבות ללא מבקר פנימי כדרך קבע. חוזר בנדון של משרד הבריאות מחודש מרץ 2014 בא לשים קץ לתופעה וזאת מתוך הכרה בחשיבות של פעילות הביקורת פנימית במערכת הבריאות בישראל.

מהו ניהול סיכונים וכיצד מבצעים הערכת סיכונים בארגון?

ניהול סיכונים הוא תהליך שצמח מתוך התחום של ביקורת  פנימית ואף הרחיב אותה. באופן כללי, מדובר בתהליך של זיהוי סיכונים אשר עלולים להעמיד מכשול בפני הארגון בהשגת מטרותיו, הערכה עד כמה סביר שהסיכונים יתרחשו ובאיזו עוצמה, ולאחר מכן ניטור שוטף של הסיכונים וניהולם. תוצאות תהליך זה מספקות לארגון מידע לגבי תחומים המחייבים יתר תשומת לב ו/או משאבים, בכדי לשפר את המשאבים המוקצים ואת הבקרות השלובות בתהליכי הארגון הנבדק.

"סיכון" מוגדר כהסתברות להתרחשותו של נזק, כאשר "עולם הסיכונים" של הארגון מורכב מסיכונים תפעוליים (סיכוני תהליך, סיכוני טכנולוגיה וכדו'), סיכונים פיננסיים (סיכוני שוק, סיכוני אשראי, סיכוני מבנה הון וכו'), סיכונים אסטרטגיים, סיכוני ידע ומידע, ועוד. כל אחד מהסיכונים שצוינו, חושף את הארגון לאפשרות לקיומו של נזק.

תהליך הערכת סיכונים בארגון הוא תהליך המתייחס לקביעת רמת הסיכון של הסיכונים שזוהו בשלב הראשון, וזאת לצורך קבלת החלטה לגבי המשך הטיפול בו. הערכת הסיכון מתבססת על סיווג דו ממדי (מטריצה) - כלומר, סיווג דרגת ההסתברות לשימוש בחשיפה שאותרה מול הנזק האפשרי מאותה החשיפה, יציג את הערכת הסיכון.

בסיום תהליך הערכת הסיכונים יתקבלו החלטות לגבי אופן הטיפול בכל סיכון שאותר, בכדי להקטין או למגר לחלוטין את ההסתברות להתרחשותו של נזק. 

התוצאה של הערכת סיכונים היא צמצום החשיפה של הארגון לנזקים הנובעים מפרצות ונקודות חולשה, כלומר צמצום ההסתברות לקיומו של נזק.

ואיך מבצעים ניהול סיכונים בפועל?

השלב הבסיסי הינו ביצוע סקר סיכונים. סקר הסיכונים הינו תהליך במסגרתו אוספים את כל המידע לזיהוי הסיכונים והערכתם באמצעות שיחות עם בעלי תפקידים, בדיקת מידע ואסמכתאות, ומיפוי מתודולוגי של הסיכונים בארגון. תוצרי סקר הסיכונים הינם דוחות המרכזים את המידע ולפיהם מתקבלות ההחלטות הנוגעות לסיכון שהארגון מוכן לקחת על עצמו בכל תחום.

בעוד שישנם גופים המחויבים במינוי מנהלי סיכונים (CRO – Chief Risk Officer) שיטפלו בנושא ניהול סיכונים בארגון, במרבית הארגונים לא קיימת חובה למינוי פונקציה כאמור. במצבים שכאלו, ניתן למנות גורם כלשהו, פנימי או חיצוני, שיעבוד לפי המתודולוגיות המקובלות לביצוע ניהול סיכונים.

דוגמא מעניינת של ניהול סיכונים במערכת הבריאות בישראל הינה יחידות ניהול הסיכונים שצמחו בשנים האחרונות בקופות החולים הגדולות. חוזר בנדון של משרד הבריאות משנת 2012 עיגן והחיל על קופות החולים חובות ועקרונות ניהול סיכונים מרחיקות לכת, הנהוגות מזה שנים בחברות ציבוריות, חברות ממשלתיות וכו'.

ניהול סיכונים וביצוע ביקורת פנימית בבתי חולים בישראל

עולמות הסיכון הקיימים בגופים מעולם הבריאות הינם באופן טבעי רבים יותר ומגוונים יותר מאשר אלו שבעולם העסקי הרגיל. כתוצאה מכך, ביקורת פנימית ותהליכי ניהול סיכונים בארגונים מעין אלו דורשים מניפת ידע רחבה יותר שתוכל לתת מענה לסיכונים העתירים.

די להזכיר, כי בעוד שבארגונים עסקיים הסיכונים היומיומיים מסתכמים, בחלק גדול מן המקרים, בסיכונים פיננסיים או בסיכונים של יעילות תפעולית - בארגונים רפואיים הסיכונים היומיומיים עוסקים בחיי אדם.

ניקח דוגמא על מנת להמחיש ניהול סיכונים יומיומי בתהליך של רכש:

במקרה הראשון, נעמיד חברת בנייה שבה עובד מחלקת הרכש טעה במפרט בהזמנת הרכש השוטפת וקיבל כחלופה חומר שאינו מתאים לביצוע העבודות בדירה שבבנייה. השלכת הסיכון היא ככל הנראה להזמין מחדש את החומרים ומכך שייתכן עיכוב בביצוע העבודות, שמשמעותו לרוב השלכות כספיות.

במקרה אחר, נעמיד עובד במחלקת הרכש שטעה במפרט בהזמנת רכש שוטפת בבית חולים. די בכך שבזמן אמת יתגלה שהציוד הרפואי אינו תואם לנדרש ויש בכך על מנת לעכב תהליכים שמשפיעים על מהירות הטיפול במטופלים, שעבור חלקם מספר שניות יכול להיות הבדל של חיים ומוות.

במסגרת ביצוע ביקורת פנימית וביצוע תהליכי ניהול סיכונים, כל ארגון יקבל סרגלים אחרים למדידה וטווח אחר של השלכות הסיכון. כמו כן, תחומי הסיכון יהיו שונים ועולמות סיכון שרלוונטיים לארגון אחד לא יהיו חלק מפעילותו של ארגון אחר.

דוגמא של ביקורת פנימית בבתי חולים בישראל

אם ניקח את הדוגמאות הנוגעות לתהליך הרכש שסקרנו לעיל, הרי שבמסגרת ביקורת פנימית בבית חולים ממפים כל אחד מתהליכי העבודה הנהוגים בו (תהליך הטיפול בהכנסות, בהוצאות, ברכש ועוד) ובכל אחד מתהליכי העבודה הנהוגים עם הגורמים המשיקים לו (קופות החולים, משרד הבריאות וכו').

בסקירותינו את תהליך הרכש, נזהה שהוא מורכב מהפעולות הבאות:

כל אחד מהשלבים הנ"ל מורכב מתתי תהליכים. שלב זיהוי הצרכים, למשל, מורכב מניהול הציוד בארגון, ריכוז הדרישות, קשר עם המחלקות ובחירת אופי ההתקשרות. כל אחד מתתי התהליכים הנ"ל הינו תהליך עצמאי המהווה חלק בתוך התהליך הכללי.

כדי לתת דוגמא נוספת לחשיפות הקיימות בתהליך הרכש שתיארנו לעיל, נספר על עובד מחלקת הרכש אשר בשלב זיהוי הצרכים קיבל הצעת מחיר גם מחברה אשר בבעלות קרוב משפחתו, ובהמשך לכך, בשלב בחירת הספק, נבחרה החברה הנ"ל.

במצב דברים רגיל היינו מתייחסים רק לנושא ניגוד העניינים, משוא הפנים, טובות ההנאה האישיות וכדו', העולות במקרה זה.

יחד עם זאת, בבית חולים הסיכון במקרה זה של בחירת ספק שאינו מתאים ויכול להיות שאינו נותן מענה הולם לצרכי הארגון מקבל תפנית חדה, שמקורה שוב בהשלכה על איכות הטיפול הרפואי הנגזרת מהזמנת מוצרים שאינם בהכרח הטוב ביותר עבור המטופלים בבית החולים.

החשיבות של ניהול סיכונים הולם וביצוע ביקורת פנימית נאותה בבתי חולים

על ידי מיפוי התהליך לפרטיו ואיתור החשיפות הקיימות בו, ניהול סיכונים (ומתוך כך ביקורת פנימית) יגרור בעקבותיו שני תהליכים: האחד, שיפור באיכות תהליכי העבודה; והשני, מזעור הסיכונים בכל התהליכים ותתי התהליכים - וזאת לאחר שנעשתה הערכה של הסיכונים בכל אחד מהם. 

תהליכים מובנים של ביקורת פנימית ושל ניהול סיכונים, יאפשרו לזהות את הסיכונים הללו בטרם עת ולמזער את החשיפה לנזקים האמורים. הם יהוו גם כלי ניהולי המסייע ביישומה של העשייה היומיומית.


צרו קשר עם המומחים שלנו לניהול סיכונים וביקורת פנימית