‫‪1‬‬ ‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬

‫שירותי ביקורת פנימית‬

‫טל' ‪5618188-03‬‬
‫‪ .1‬מהו סיכון ‪ -‬מקובל להגדיר סיכון כאפשרות שאיום כלשהו ינצל פגיעות של נכס‪,‬‬
‫או קבוצת נכסים‪ ,‬על‪-‬מנת לגרום להפסד‪ ,‬או לנזק לנכסי הארגון‪ ,‬מרכיבי‬
‫הסיכון‪:‬‬
‫‪ 1.1‬נכסים ‪ -‬לדוגמה‪ :‬מידע )נתונים(‪ ,‬מסמכים‪ ,‬רכוש קבוע )למשל‪ :‬נדל"ן‪ ,‬רכבים(‪,‬‬
‫השקעות‬
‫)למשל‪ :‬ני"ע(‪ ,‬תדמית ומוניטין‪ ,‬שירותים הניתנים על‪-‬ידי‬
‫הארגון‪ ,‬והון אנושי‪.‬‬
‫‪ 1.2‬איומים ‪ -‬לדוגמה‪ :‬שגיאות‪ ,‬גרימת נזק במתכוון‪ ,‬הונאה‪ ,‬מעילה‪ ,‬גניבה‪ ,‬שריפה‪,‬‬
‫הצפה‪.‬‬
‫על הארגון להעריך את ההסתברות למימוש איום‪ ,‬לצורך כימות‬
‫תוחלת‬
‫השפעתו ודירוג האיומים בהתאם להשפעתם‪.‬‬
‫‪ 1.3‬פגיעות ‪ -‬הארגון פגיע‪ ,‬למשל‪ :‬כאשר חסר לו הידע הדרוש לו לצורך תפעול‬
‫ותחזוק‬
‫‪2‬‬ ‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬
‫חשיפות‬ ‫קיימים בארגון כשלים‪ ,‬או‬ ‫מערכות המידע‪ ,‬או למשל‪ :‬כאשר‬
‫שירותי ביקורת פנימית‬
‫טל' ‪5618188-03‬‬
‫‪.2‬הערכת סיכונים מושתתת על התחשבות בסיכונים מובנים )‪ (Inherent Risks‬וסיכוני‬
‫בקרה‬
‫)‪.(Control Risks‬‬
‫‪ 2.1‬סיכון מובנה )‪ - (Inherent Risk‬סיכון המהווה חלק ממהות הנושא וטבוע בו; סיכון‬
‫זה‬
‫נובע ממידת רגישותו של הנושא לטעויות ולאי סדרים‪ ,‬כשלא קיימת בקרה‬
‫פנימית עליו‪.‬‬
‫‪ 2.2‬סיכון בקרה )‪ - ( Control Risk‬עד כמה אין מערכת הבקרה הפנימית בנויה באופן‬
‫שתמנע‬
‫או שתחשוף ושתתקן במועד טעויות ואי סדרים‪.‬‬

‫‪3‬‬ ‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬

‫שירותי ביקורת פנימית‬
‫טל' ‪5618188-03‬‬
 ‫‪ .3‬דוגמאות לסיכונים ‪:‬‬
‫‪ 3.1‬סיכונים הנובעים מהתשתית המיחשובית הקיימת בארגון‪ ,‬למשל‪ :‬סיכון הנובע‬
‫משימוש בתוכנות ו‪/‬או חומרות ישנות )ישימות טכנולוגית(‪ ,‬חוסר בתיעוד של פיתוח‬
‫מידע‪,‬‬ ‫מערכות‬
‫תדירות לקויה בעדכון גרסאות ובביצוע שינויים ושיפורים במערכות‪ ,‬וכמו‪-‬כן‬
‫ותחזוקה לא נאותה של מערכות מידע בארגון‪.‬‬
‫‪ 3.2‬סיכונים עסקיים ‪ -‬הסיכון שיגרם לארגון הפסד כספי כתוצאה מטעות‪ ,‬שגיאה או‬
‫שימוש בלתי מורשה בנכסי הארגון‪.‬‬
‫‪  3.3‬סיכוני שוק ‪ -‬הסיכון לאבד את האחיזה בפלח השוק הרלוונטי‪.‬‬
‫‪  3.4‬סיכונים תדמיתיים ‪ -‬הסיכון לפגיעה בתדמית הארגון; פגיעה שעלולה להביא‬
‫לפגיעה באיתנותו הפיננסית של הארגון‪.‬‬
‫‪  3.5‬סיכוני הונאות ומעילות‪.‬‬
‫‪ 3.6‬סיכונים משפטיים ‪ -‬הסיכון שהתהליך הקיים בארגון לא עולה בקנה אחד עם‬
‫הוראות חוק או תקנות‪.‬‬
‫‪4‬‬ ‫בתהליכים‪.‬‬
‫נאותותרו"ח‬
‫בקרותרונן ושות'‬ ‫‪  3.7‬סיכונים בקרתיים ‪ -‬אי קיומן של‬
‫שיף‪ ,‬הזנפרץ ‪-‬‬
‫שירותי ביקורת פנימית‬
‫טל' ‪5618188-03‬‬
‫גישת המטריצות של פיצג'רלד נועדה לשמש ככלי עזר לזיהוי‪ ,‬לתיעוד‬ ‫•‬
‫ולהערכה של בקרות‪.‬‬

‫לדוגמה‪ ,‬גישה זו ממפה מערכת מידע ממוחשבת למרכיביה הספציפיים‬ ‫•‬

‫)כגון תקשורת נתונים‪ ,‬מסדי נתונים‪ ,‬תוכנת מערכת‪ ,‬תוכניות יישום וכד'(‪.‬‬
‫כנגד כל רכיב ספציפי מפורטים הסיכונים והאיומים האפשריים‪.‬‬

‫לגבי כל אחד מהמרכיבים היא מזהה‪ ,‬מתעדת‪ ,‬ומעריכה את אמצעי‬ ‫•‬

‫הבקרה המיושמים ו‪/‬או המתוכננים ליישום‪.‬‬

‫ניתן להשתמש בגישת המטריצות במערכות שבפיתוח ובמערכות קיימות‪.‬‬ ‫•‬

‫היא מהווה כלי עזר בהכנת סקר ובחינה של בקרות פנימיות‪ ,‬בניתוח‬
‫והערכה של סיכונים‪ ,‬בהכנת תוכנית ביקורת מערכות מידע ממוחשבות‬
‫‪5‬‬ ‫ובפיתוח סטנדרטים של בקרה בארגון‪.‬‬
‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬
‫שירותי ביקורת פנימית‬
‫טל' ‪5618188-03‬‬
‫אסון‪-‬הצפה‬ ‫גניבה מעילה טעות אסון‪-‬שריפה‬ ‫סיכונים‪/‬רכיבים‬

‫כוח אדם‪ -‬מפעילים‬

‫מידע‪ -‬קובצי נתונים‬
‫חומרה ‪ -‬מסופים‬
‫קווי תקשורת‬
‫תוכנה ‪ -‬תוכניות יישום‬
‫תוכנה ‪ -‬תוכנת מערכת‬
‫רכוש; כספים‬
‫טפסים‬

‫‪6‬‬ ‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬

‫שירותי ביקורת פנימית‬
‫טל' ‪5618188-03‬‬
‫אסון‪-‬שריפה אסון‪-‬הצפה‬ ‫טעות‬ ‫מעילה‬ ‫גניבה‬ ‫סיכונים‪/‬רכיבים‬ ‫בקרות‪:‬‬
‫אבטחת מידע לוגית ‪ -‬הצפנה‪,‬‬ ‫‪1‬‬
‫‪7 ,5 ,3 ,2 ,7 ,5 ,3 ,2‬‬ ‫‪----‬‬ ‫‪----‬‬ ‫‪----‬‬ ‫כוח אדם‪ -‬מפעילים‬ ‫סיסמאות‪...‬‬
‫‪9‬‬ ‫אבטחה פיזית ‪ -‬סורגים‪ ,‬כספת‪,‬‬ ‫‪2‬‬
‫‪7 ,5 ,3 ,2 ,7 ,5 ,3 ,2‬‬ ‫מידע‪ -‬קובצי נתונים ‪8 ,7 ,3 ,7 ,5 ,4 ,3 ,2 ,1 ,5 ,3 ,2 ,1‬‬ ‫גלאי עשן‪ ,‬ספרינקלרים‪...‬‬
‫‪9‬‬ ‫‪8‬‬ ‫‪7‬‬ ‫ביטוח‬ ‫‪3‬‬
‫‪7 ,5 ,3 ,2 ,7 ,5 ,3 ,2‬‬ ‫‪7 ,5 ,3‬‬ ‫‪8 ,7 ,5 ,4 ,3 7 ,5 ,3 ,2‬‬ ‫חומרה ‪ -‬מסופים‬ ‫מבחני יושר‬ ‫‪4‬‬
‫‪9‬‬
‫גיבויים )תוכנה‪ ,‬חומרה‪ ,‬נתונים‪,‬‬ ‫‪5‬‬
‫‪7 ,5 ,3 9 ,7 ,5 ,3‬‬ ‫‪7 ,5 ,3‬‬ ‫‪----‬‬ ‫‪5 ,3‬‬ ‫קווי תקשורת‬ ‫כ"א(‬
‫אבטחת כספים בבנק‪ ,‬בכספת‪...‬‬ ‫‪6‬‬
‫‪7 ,5 ,3 ,2 ,7 ,5 ,3 ,2‬‬ ‫‪7 ,5 ,3 ,7 ,5 ,4 ,3 ,2 ,1 ,5 ,3 ,2 ,1‬‬ ‫תוכנה ‪ -‬תוכניות‬ ‫נהלים‬ ‫‪7‬‬
‫‪9‬‬ ‫‪8‬‬ ‫‪7‬‬ ‫יישום‬
‫מבדק פנימי )מתכנת‪ ,‬מפעיל‪,‬‬ ‫‪8‬‬
‫תוכנה ‪ -‬תוכנת‬ ‫קצין במ"ם‪ ,‬מנהל מערכת‬
‫מערכת‬ ‫משתמש‪ ;...‬לגבי קבוצת‬
‫המשתמשים‪ :‬הרשאות – מידור ‪-‬‬
‫‪7 ,6 ,3 ,2 ,7 ,6 ,3 ,2 8 ,7 ,3 ,1 ,7 ,6 ,4 ,3 ,2 ,1 ,6 ,3 ,2 ,1‬‬ ‫רכוש; כספים‬ ‫‪ :‬גזבר‪ ,‬מנה"ח‪ ,‬מח' רכש‪(...‬‬
‫‪9‬‬ ‫‪8‬‬ ‫‪7‬‬
‫מטפי כיבוי ‪ -‬גז ‪.HALON‬‬ ‫‪9‬‬
‫‪7 ,3 ,2 9 ,7 ,3 ,2‬‬ ‫‪8 ,7 ,3‬‬ ‫‪8 ,7 ,4 ,3 ,2‬‬ ‫‪7 ,3 ,2‬‬ ‫טפסים‬

‫‪7‬‬ ‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬

‫שירותי ביקורת פנימית‬
‫טל' ‪5618188-03‬‬
 ‫‪ .4‬מהי שיטת הערכת סיכונים )‪:(Risk Assessment‬‬
‫שיטה זו מבוססת על העובדה שמאפייני סיכון מסויימים חוזרים על עצמם‬
‫‪-‬‬
‫בנסיבות בהן נתגלתה בעיה‪ .‬במהלך ביצוע הערכת סיכונים‪ ,‬בודק‬
‫המבקר‬
‫הפנימי ‪ -‬האם מאפיינים אלו מופיעים ביחידה המוערכת‪ .‬מאפיינים אלו‬
‫יכולים‬
‫להעיד על רמת הסיכון של יחידה זו‪.‬‬

‫‪8‬‬ ‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬

‫שירותי ביקורת פנימית‬
‫טל' ‪5618188-03‬‬
 ‫• השלב הראשון בביצוע הערכת סיכונים הוא חלוקת הארגון ליחידות‬
‫בנות‬
‫הערכה‪.‬‬
‫• לשם ביצוע הערכת סיכונים‪ ,‬המבקר הפנימי שואב נתונים‬
‫ממקורות מידע‪.‬‬
‫• במהלך ביצוע הערכת הסיכונים‪ ,‬לומד המבקר הפנימי את היחידות‬
‫המוערכות‬
‫ואת מורכבותן‪ .‬היכרות זו‪ ,‬בשילוב עם רמת הסיכון שיוחסה לאותן‬
‫יחידות‪,‬‬
‫מאפשרות למבקר הפנימי להעריך את היקף התקציב הנדרש‬
‫לביצוע ביקורת‬
‫באותן יחידות‪ .‬כמו‪-‬כן‪ ,‬ביכולתו לבנות שלד של תוכנית עבודה ‪-‬‬
‫לביקורת‬
‫היחידות המוערכות‪.‬‬
‫הארגון ‪ -‬תוכנית עבודה רב‬
‫הנהלת ושות' רו"ח‬ ‫בפני‬
‫הזנפרץ ‪ -‬רונן‬ ‫המבקר הפנימי מציג שיף‪,‬‬
‫•‬
‫‪9‬‬
‫שירותי ביקורת פנימית‬
‫התוכנית‬ ‫טל' ‪5618188-03‬‬
‫שנתית‪.‬‬
 ‫• המודל הכמותי למרכיבי הערכת הסיכונים‬
‫• ‪AR = IR * CR * DR‬‬
‫• ‪ (- AR‬סיכון ביקורת‪).Audit Risk‬‬
‫• ‪ (- DR‬סיכון החשיפה ‪ -‬סיכון )אי( גילוי‪Detection Risk‬הסיכון שהבדיקות ‪) -‬‬
‫המבססות שמבצע המבקר לא יגלו טעות מהותית ביתרת חשבון או בסוג‬
‫מסויים של עסקאות‪ ,‬או טעות מהותית הנובעת ממספר טעויות ביתרות או‬
‫‪ .‬בעסקאות‬
‫• קיים יחס הפוך בין סיכון החשיפה והאומדן המשותף של רמת הסיכון‬
‫וסיכון‬ ‫המובנה‬
‫הבקרה‪.‬‬
‫• לאחר שקובעים את סיכון ביקורת )‪ (AR‬הנחוץ‪ ,‬והרמה המשולבת של‬
‫ניתן‬ ‫)‪,(IR*CR‬‬
‫למצוא את סיכון החשיפה )‪ ,(DR‬הנדרש מתוך הנוסחה דלעיל‪.‬‬
‫• מרגע שנמצא סיכון החשיפה )‪ ,(DR‬ניתן להקצות את שעות עבודת‬
‫המתוכננות‬
‫‪10‬‬ ‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬ ‫הביקורת‬
‫שירותי ביקורת פנימית‬
‫בהתחשב בהערכת הביקורת‪.‬‬
‫טל' ‪5618188-03‬‬
 ‫המודל הכמותי למרכיבי הערכת הסיכונים ‪ -‬דוגמה ‪ - 1‬בנושא‬
‫רכש ואחסנה )‪(42/44.1.3.2‬‬

‫אגף משק‪/‬קניות‬
‫‪AR = IR * CR * DR‬‬

‫סיכון‪ :‬אגף משק אחראי על הרכש בחברת דן‪ .‬חלק ניכר מן הרכש‬
‫מיועד לשימוש האגף עצמו כגון חלקי חילוף‪ ,‬צמיגים וכד'‪ .‬לאור‬
‫האמור לעיל‪ ,‬אנו סבורים שקיים סיכון תפעולי ובקרתי גבוה‪,‬‬
‫וממליצים לחברה לערוך בחינה ארגונית לשם מיקום הרכש באגף‬
‫אחר כגון תו"פ‪.‬‬

‫• סיכון מובנה ‪ -‬מעצם ביצוע פעולת הרכש קיים סיכון מובנה‪.‬‬

‫• סיכון בקרה ‪ -‬בהיעדר הפרדת תפקידים‪ ,‬קיים סיכון בקרתי‪.‬‬
‫• סיכון החשיפה ‪ -‬הסיכוי כי מעילה לא תתגלה גבוה‪.‬‬

‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"חסיכון תפעולי ובקרתי גבוה‬

‫‪11‬‬
‫שירותי ביקורת פנימית‬
‫טל' ‪5618188-03‬‬
 ‫המודל הכמותי למרכיבי הערכת הסיכונים ‪ -‬דוגמה ‪ - 2‬תוכנית‬
‫להמשכיות עסקית )‪(19/27.1‬‬

‫אגף תו"פ‪/‬מיחשוב‬
‫סיכון‪ :‬אופי פעילות החברה מחייב אותה ליתן שירותים גם בשעת‬
‫חירום‪ .‬אי קיום תוכנית כתובה להמשכיות עסקית‪ ,‬עלול להערים‬
‫קשיים על החברה בבואה להתמודד עם מצב של אסון‪ .‬הדבר‬
‫עלול לקבל ביטוי‪ ,‬בין היתר‪ ,‬בקשיים במעבר לאתר החלופי‪,‬‬
‫פגיעה ביכולתה של החברה להמשיך את פעילותה העסקית באתר‬
‫החלופי‪ ,‬ובקשיים בחזרה לעבודה באתר הקבע של החברה‪.‬‬

‫• סיכון תפעולי ‪ -‬היעדר תוכנית להמשכיות עסקית‪ ,‬עלול לפגוע‬

‫בפעילות של החברה‪.‬‬
‫• סיכון תדמיתי ‪ -‬החברה אמורה ליתן שירותים גם בשעת חירום‪,‬‬
‫היעדר מתן שירות‬
‫ללקוחותיה בשעת משבר‪ ,‬עלול לפגוע‬
‫בתדמית החברה‪.‬‬
‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬
‫לתפקד בשעת חירום ‪ ,‬עלול ‪12‬‬ ‫• סיכון כלכלי ‪ -‬אי יכולת החברה‬
‫שירותי ביקורת פנימית‬
‫טל' ‪5618188-03‬‬
 ‫המודל הכמותי למרכיבי הערכת הסיכונים ‪ -‬דוגמה ‪ - 3‬ניהול‬
‫נכסים )‪   (28/31.7‬‬
‫אגף תו"פ‪/‬נכסים‬
‫סיכון‪ :‬לדברי מנהל מחלקת נכסים‪ ,‬אין ברשות החברה רשיונות‬
‫עסק‪ ,‬לכל המוסכים והחניונים שברשותה‪.‬‬

‫• סיכון תפעולי ‪ -‬סגירת מוסכים וחניונים עקב היעדר רשיונות‪,‬‬

‫עלול להביא לפגיעה‬
‫בתפעול השוטף של החברה‪.‬‬
‫• סיכון כלכלי ‪ -‬סגירת מוסכים וחניונים עקב היעדר רשיונות‪,‬‬
‫עלול לגרום לירידה‬
‫בהכנסות החברה‪.‬‬
‫• סיכון תדמיתי ‪ -‬סגירת מוסכים וחניונים עקב היעדר רשיונות‪,‬‬
‫יפגע ביכולתה של‬
‫החברה ליתן שירות ללקוחותיה ועקב כך בתדמיתה‪.‬‬
‫• סיכון משפטי ‪ -‬הפעלת מוסכים וחניונים ללא רשיונות‪ ,‬עלולים‬
‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬
‫‪13‬‬
‫שירותי ביקורת פנימית‬ ‫להביא את החברה‬
‫טל' ‪5618188-03‬‬
 ‫המודל הכמותי למרכיבי הערכת הסיכונים ‪ -‬דוגמה ‪ - 4‬אחסון‬
‫ביצים )‪   (30/32.8‬‬
‫אגף תו"פ‪/‬מסעדות‬

‫סיכון‪:‬הביצים מאוחסנות במקרר ובארון פתוח שבחדר הסמוך‬

‫למטבח‪ .‬החדר אינו ממוזג‪ ,‬ובחודשי הקיץ הטמפרטורה עשויה‬
‫להגיע ל ‪ 30 -‬מעלות צלזיוס ואף למעלה מכך‪ .‬תנאי אחסון אלה‪,‬‬
‫אינם בהתאם לתקנות שרות המזון הארצי‪ ,‬וכתוצאה מכך‪ ,‬הסיכוי‬
‫להופעת החיידקים גדל‪.‬‬

‫• סיכון בריאותי ‪ -‬אחסון ביצים בתנאים בלתי נאותים עלול‬

‫להופעתם של חיידקים )כגון‪:‬‬ ‫להגדיל את הסיכוי‬
‫סלמונלה(‪ ,‬אשר הינם מסוכנים לבני‬
‫האדם‪.‬‬
‫• סיכון משפטי ‪ -‬צריכת ביצים מקולקלות ‪ -‬בעקבות אחסון בלתי‬
‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬
‫נאות‪ ,‬עלול לגרום‬
‫‪14‬‬
‫פנימית את החברה לתביעות מצד‬
‫ולחשוף‬ ‫למיניהן‪,‬ביקורת‬
‫שירותי‬ ‫לתחלואות‬
‫טל' ‪5618188-03‬‬
 ‫ניהול סיכונים כולל ‪ 6‬תהליכים‪:‬‬
‫תכנון ניהול הסיכונים ‪ -‬קבלת החלטות אודות האופן בו נדרש‬ ‫•‬
‫לגשת לפעילויות ניהול הסיכונים‪.‬‬
‫זיהוי ומיפוי הסיכונים ואיתור מוקדי סיכון‪.‬‬ ‫•‬
‫הערכה איכותית של ניתוח הסיכונים‪.‬‬ ‫•‬
‫הערכה כמותית של ניתוח הסיכונים‪.‬‬ ‫•‬
‫תכנון המענה לסיכונים ‪ -‬פיתוח טכניקות וכלים להפחתת‬ ‫•‬
‫ולמזעור הסיכונים‪.‬‬
‫בקרת וניטור הסיכונים‪.‬‬ ‫•‬

‫‪15‬‬ ‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬

‫שירותי ביקורת פנימית‬
‫טל' ‪5618188-03‬‬
 ‫בסיום הערכת הסיכונים‪ ,‬מגיש המבקר הפנימי ‪ -‬הצעת תוכנית‬ ‫•‬
‫עבודה )שנתית ורב‪-‬שנתית( ‪ -‬לאישור הממונה‪.‬‬
‫בשלב הבא‪ ,‬מתאם המבקר הפנימי ‪" -‬חלונות זמן" לביצוע‬ ‫•‬
‫עבודת הביקורת‪.‬‬

‫‪16‬‬ ‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬

‫שירותי ביקורת פנימית‬
‫טל' ‪5618188-03‬‬
 ‫במהלך הסקר נקטנו בנהלים הבאים‪:‬‬ ‫•‬
‫פגישות עם בעלי תפקידים בדן )ראה פירוט בנספח א'‬ ‫•‬
‫בדוח(‪.‬‬
‫סיור במתקני דן )ראה פירוט בנספח ב' בדוח(‪.‬‬ ‫•‬
‫לימוד המבנה הארגוני‪.‬‬ ‫•‬
‫סקירת מסמכים‪.‬‬ ‫•‬
‫שימוש במתודולוגיות להערכת סיכונים‪.‬‬ ‫•‬

‫הדוח מכיל סקירה כללית על דן‪ ,‬סיכומי פגישות שנערכו‪,‬‬ ‫•‬

‫וסיכונים וממצאים שהועלו במהלך הסקר‪.‬‬

‫‪17‬‬ ‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬

‫שירותי ביקורת פנימית‬
‫טל' ‪5618188-03‬‬
 ‫מיחשוב‬
‫)‪(19/27.1‬‬ ‫תוכנית להמשכיות עסקית‬
‫סיכון תפעולי ותדמיתי ‪ -‬גבוה‬
‫וסיכון כלכלי ושירותי ‪ -‬בינוני‪-‬גבוה‬
‫סיכון‪ :‬אופי פעילותה של החברה מחייב אותה ליתן שירותים גם בשעת‬
‫חירום‪ .‬אי קיומה של תוכנית כתובה להמשכיות עסקית‪ ,‬עלול להערים‬
‫קשיים על החברה בבואה להתמודד עם מצב של אסון‪ .‬הדבר עלול‬
‫לקבל ביטוי‪ ,‬בין היתר‪ ,‬בקשיים במעבר לאתר החלופי‪ ,‬פגיעה‬
‫ביכולתה של החברה להמשיך את פעילותה העסקית באתר החלופי‪,‬‬
‫ובקשיים בחזרה לעבודה באתר הקבע של החברה‪.‬‬

‫)‪(19/27.2‬‬ ‫גיבויים‬
‫סיכון תפעולי וכלכלי ‪ -‬גבוה‬
‫סיכון‪ :‬אחסון קלטות הגיבוי במבנה החברה‪ ,‬במקום באתר חלופי או‬
‫בכספת בנק‪ ,‬חושף את החברה לאפשרות‪ ,‬כי בשעת אסון לא יהא‬
‫‪18‬‬ ‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬
‫שצברה‪.‬‬ ‫שימושפנימית במידע‬‫שירותי ביקורת‬ ‫לעשות‬ ‫באפשרותה‬
‫טל' ‪5618188-03‬‬
 ‫מיחשוב‬
‫)‪(20 -21/28.1‬‬ ‫אבטחת מידע לוגית‬
‫סיכון תפעולי‪ ,‬בקרתי וכלכלי ‪ -‬גבוה‬
‫סיכון‪ :‬אי ניהול תקין של מערך הסיסמאות‪ ,‬חושף את החברה בפני ביצוע‬
‫שינויים‬
‫)‪ (MANIPULATIONS‬שאינם מאושרים‪ ,‬בנוגע למידע העומד‬
‫לרשותה‪ ,‬על‪-‬ידי גורמים שאינם מורשים ‪ -‬אם מתוך החברה ואם‬
‫מחוצה לה‪.‬‬

‫)‪(21/28.2.1‬‬ ‫מערכות‬
‫סיכון תפעולי כלכלי ובקרתי ‪ -‬גבוה‬
‫סיכון‪ :‬אי ביצוע התאמה ‪ -‬של דרישות אבטחת המידע )כמתחייב‬
‫ממדיניות אבטחת המידע של החברה(‪ ,‬לכלי השירות שהוטמעו‬
‫במערכות הנרכשות‪ ,‬עלול לפגוע ברמת אבטחת המידע הכללית‬
‫המיושמת בחברה‪ .‬בנוסף‪ ,‬מחסור בכוח אדם‪ ,‬האמון על סקירת דוחות‬
‫‪19‬‬ ‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬
‫כשלים לא יאותרו‪.‬‬‫כי פנימית‬ ‫הסיכון‪,‬‬
‫ביקורת‬ ‫וקובצי ה‪ ,LOG-‬מגדיל את שירותי‬
‫טל' ‪5618188-03‬‬
 ‫מיחשוב‬
‫הרשאות ‪ ‬‬
‫)‪(22/28.3.3) ,(22/28.3.2‬‬

‫סיכון תפעולי ובקרתי ‪-‬‬

‫גבוה‬
‫סיכון‪ :‬מתן הרשאות יתר לעובדים‪ ,‬שלא על בסיס עקרון הצורך‬
‫לדעת‪/‬לבצע )‪ (need to know/do basis‬עלול לחשוף מידע )רגיש‪,‬‬
‫חסוי‪ ,‬קריטי( בפני גורמים בלתי מורשים‪ ,‬ואף לאפשר לאלה‬
‫האחרונים לבצע שינויים בלתי מורשים בנתוני החברה )‪Data‬‬
‫‪.(Manipulation‬‬
‫סיכון תפעולי וכלכלי ‪ -‬גבוה‪ ‬‬
‫סיכון‪ :‬עובד חדש אשר נקלט בחברה או עוזב אותה‪ ,‬אינו עובר דרך‬
‫מחלקת מערכות מידע‪ .‬הדבר חושף את החברה בפני מספר כשלים‪,‬‬
‫כגון‪ :‬קבלת הרשאות שאינן תואמות את מהות התפקיד המבוצע על‪-‬‬
‫ידי העובד‪ ,‬ואי הנחיית העובד בנוגע לחשיבות נושא אבטחת המידע‬
‫)נוהלי עבודה ברשת‪ ,‬ובמערכות המידע‪ ,‬שמירה על סודיות‪ ,‬הנחיות‬
‫החברה‬
‫‪20‬‬ ‫רו"ח סיסמה(‪ ,‬חשיפת‬‫החלפת‬ ‫ונוהלי‬
‫הזנפרץ ‪ -‬רונן ושות'‬ ‫לגבי גלישה באינטרנט‪ ,‬שיף‪,‬‬
‫שירותי ביקורת פנימית‬
‫של העובד שעבודתו בחברה‬ ‫בהרשאות‬
‫‪5618188-03‬‬ ‫טל'‬ ‫לשימוש שאינו נאות‬
 ‫מיחשוב‬

‫)‬‫‪- , PORT‬פרוטוקולים ו‪NULL SESSIONS  ( 28.6-28.4/ 23-22‬‬

‫סיכון תפעולי וכלכלי ‪ -‬גבוה‬
‫סיכון‪ :‬אי סגירת יציאות‪ ,‬אשר אינן דרושות לפעילות התקינה של החברה‬
‫והימצאותם של פרוטוקולים ו‪ ,NULL SESSIONS -‬אשר אינם חיוניים‬
‫לפעילות התקינה של רשת התקשורת של החברה‪ ,‬חושפות את‬
‫החברה בפני האפשרות לביצוע חדירות למערכות המחשב‪ .‬הדבר‬
‫עלול לגרום לשינוי בלתי רצוי של נתוני החברה‪ ,‬על‪-‬ידי גורמים‬
‫שאינם מורשים ‪ -‬בין אם מתוך החברה‪ ,‬ובין אם מחוצה לה‪.‬‬

‫בקרות ‪  (25/30) ‬‬
‫סיכון בקרתי‪ -‬גבוה‬
‫סיכון‪ :‬אי קיומן של שגרות בקרה במערכות המידע‪ ,‬ו‪/‬או אי ניתור הבקרות‬
‫)מכל סיבה שהיא(‪ ,‬חושפות את החברה בפני כשלים במערך אבטחת‬
‫המידע‪.‬‬
‫‪21‬‬ ‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬
‫שירותי ביקורת פנימית‬
‫טל' ‪5618188-03‬‬
 ‫נכסים‬
‫ניהול נכסים )‪   (28/31.7-27‬‬
‫סיכון תפעולי וכלכלי ‪ -‬גבוה‬
‫סיכון‪ :‬ניהול הסמכויות‪ ,‬חלוקת המטלות וניהול בסיסי הנתונים בדן אינו‬
‫ברור‪.‬‬

‫סיכון כלכלי ‪ -‬גבוה‬

‫סיכון‪ :‬לא נערך סקר לאיתור נכסים של החברה‪ ,‬בקק"ל‪ ,‬רשם העזבונות‪,‬‬
‫מינהל מקרקעי ישראל או האפוטרופוס הכללי‪.‬‬

‫סיכון תפעולי‪ ,‬כלכלי‪ ,‬תדמיתי ומשפטי ‪ -‬גבוה‬

‫סיכון‪ :‬לדברי מנהל מחלקת נכסים‪ ,‬אין ברשות החברה רשיונות עסק‪,‬‬
‫לכל המוסכים והחניונים שברשותה‪.‬‬

‫‪22‬‬ ‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬

‫שירותי ביקורת פנימית‬
‫טל' ‪5618188-03‬‬
 ‫מסעדות‬
‫מקררים )‪   (29/32.2.2‬‬
‫סיכון תפעולי‪ ,‬כלכלי ובריאותי ‪ -‬גבוה‬
‫סיכון‪ :‬היעדר מערכת התרעה‪ ,‬עלול לגרום שבסופי שבוע‪ ,‬תקלות‬
‫במקררים‪ ,‬יגרמו נזק למזון‪ ,‬מבלי שלחברה תינתן אפשרות לתגובה‬
‫בזמן סביר‪ ,‬טרם היווצרות הנזק‪.‬‬

‫)‪(32.3.2-29/32.3.1‬‬ ‫בדיקות מעבדה‬

‫סיכון בריאותי ‪ -‬גבוה‬
‫סיכון‪ :‬במהלך ולאחר סיום תהליך הכנת המזון‪ ,‬לא מתבצעות בדיקות‬
‫מעבדה מיקרוביולוגיות לאיתור חיידקים‪ .‬כתוצאה מכך‪ ,‬אין בקרה‬
‫לרמת ההיגיינה בתהליך ההכנה‪ ,‬ולהימצאותם של חיידקים במזון‬
‫המוגש לעובדי החברה‪.‬‬
‫סיכון בריאותי ובקרתי ‪ -‬גבוה‬
‫סיכון‪ :‬אין נוהגים לשמור דוגמאות מזון‪ .‬כתוצאה מכך‪ ,‬אם תתרחש‬
‫‪23‬‬ ‫הסיבה להיווצרותה‪.‬‬ ‫את‬
‫רו"ח‬ ‫לאתרושות'‬ ‫הסיכויים‬
‫הזנפרץ ‪ -‬רונן‬ ‫שיף‪,‬‬ ‫הרעלה‪ /‬מחלה‪ ,‬יפגעו‬
‫שירותי ביקורת פנימית‬
‫טל' ‪5618188-03‬‬
 ‫מסעדות‬

‫חיטוי פירות וירקות ‪  (29/32.4) ‬‬

‫סיכון בריאותי ‪ -‬גבוה‬
‫סיכון‪ :‬אי שימוש בדטרגנטים‪ ,‬עלול לאפשר הימצאות חיידקים בירקות‬
‫בכלל‪ ,‬ובירקות העלים בפרט )כרוב‪ ,‬חסה‪ ,‬פטרוזיליה ועוד(‪.‬‬

‫)‪(30/32.5‬‬ ‫תאורה‪ ,‬מאווררים‬

‫סיכון בריאותי ‪ -‬גבוה‬
‫סיכון‪ :‬לכלוך ושומן מהווים קרקע מזון פורייה לחיידקים‪ .‬הלכלוך‪ ,‬השומן‪,‬‬
‫מיקום המאווררים והמנורות עלולים לגרום להעברת חיידקים‪ ,‬הישר‬
‫למזון שעל משטחי העבודה‪.‬‬

‫‪24‬‬ ‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬

‫שירותי ביקורת פנימית‬
‫טל' ‪5618188-03‬‬
 ‫מסעדות‬

‫)‪(30/32.6‬‬ ‫אחסון תפוחי‪-‬אדמה‬

‫סיכון בריאותי ‪ -‬גבוה‬
‫סיכון‪ :‬על‪-‬פי קביעת האגודה האמריקאית למהנדסי קירור ומיזוג אויר ‪-‬‬
‫‪ ,ASHREA‬יש לאחסן תפוחי אדמה בטמפרטורה שבין ‪ 4‬ל‪ 7 -‬מעלות‬
‫צלזיוס‪ .‬אחסון בטמפרטורה הנמוכה מ‪ 4 -‬מעלות‪ ,‬גורמת להוצאת‬
‫העמילן מהירק‪ ,‬בעוד שטמפרטורה הגבוהה מ‪ 7 -‬מעלות‪ ,‬גורמת‬
‫לנביטת הירק‪ .‬בתהליך הנביטה הירק מאבד ממשקלו‪ ,‬והופך בהדרגה‬
‫לחלול )קצב התהליך תלוי במשך האחסון ובפער הטמפרטורה‬
‫מהטווח הרצוי(‪ .‬כתוצאה מכך‪ ,‬הירק הופך חשוף לפגיעת מזיקים‬
‫למיניהם‪ .‬תפוחי האדמה מאוחסנים במחסן‪ ,‬בטמפרטורות השונות‬
‫מהותית מטווח הטמפרטורות המומלץ‪.‬‬

‫‪25‬‬ ‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬

‫שירותי ביקורת פנימית‬
‫טל' ‪5618188-03‬‬
 ‫מסעדות‬

‫)‪(31/32.8-30‬‬ ‫אחסון ביצים‬

‫סיכון בריאותי ומשפטי ‪ -‬גבוה‬
‫סיכון‪ :‬הביצים מאוחסנות במקרר ובארון פתוח שבחדר הסמוך למטבח‪.‬‬
‫החדר אינו ממוזג‪ ,‬ובחודשי הקיץ הטמפרטורה עשויה להגיע ל ‪30 -‬‬
‫מעלות צלזיוס ואף למעלה מכך‪ .‬תנאי אחסון אלה‪ ,‬אינם בהתאם‬
‫לתקנות שרות המזון הארצי‪ ,‬וכתוצאה מכך‪ ,‬הסיכוי להופעת‬
‫החיידקים גדל‪.‬‬

‫)‪(31/32.9‬‬ ‫היגיינה אישית‬

‫סיכון בריאותי ‪ -‬גבוה‬
‫סיכון‪ :‬בביקורת שנערכה במקום נמצא‪ ,‬כי כל שלושת העובדים )שמכינים‬
‫ומגישים מזון( עבדו ללא כיסוי ראש‪ .‬נשירת שיער למזון במהלך‬
‫הכנתו‪ ,‬עלולה לגרום להעברת חיידקים למזון‪ ,‬ובנוסף לפגוע‬
‫‪26‬‬ ‫המוגש‪.‬‬
‫הזנפרץ ‪ -‬רונן ושות' רו"ח‬ ‫שיף‪,‬‬ ‫באסתטיות של המזון‬
‫שירותי ביקורת פנימית‬
‫טל' ‪5618188-03‬‬
 ‫בינוי‬
‫)‪(31/33‬‬ ‫מחלקת בינוי‬
‫סיכון מובנה ‪ -‬גבוה‬
‫סיכון‪ :‬פרוייקטי בינוי‪ ,‬מעצם טבעם‪ ,‬הם פרוייקטים ארוכי טווח ועתירי‬
‫עלויות; לפיכך‪ ,‬טבוע בהם סיכון מובנה )‪ ,(IR‬ויש לבחון את אופן‬
‫הפיקוח והבקרה על הנושא‪.‬‬

‫)‪(35/36‬‬ ‫מחלקת בטיחות‬

‫סיכון מובנה ‪ -‬גבוה‬
‫סיכון‪ :‬בנושא בטיחות טבוע סיכון מובנה )‪.(IR‬‬

‫)‪(35/37‬‬ ‫מחלקת ביטחון‬

‫סיכון מובנה ‪ -‬גבוה‬
‫סיכון‪ :‬בנושא ביטחון טבוע סיכון מובנה )‪.(IR‬‬

‫‪27‬‬ ‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬

‫שירותי ביקורת פנימית‬
‫טל' ‪5618188-03‬‬
 ‫קניות‬
‫)‪(42/44.1.3.2-41‬‬ ‫רכש ואחסנה‬

‫סיכון תפעולי ובקרתי גבוה‬

‫סיכון‪ :‬אגף משק אחראי על הרכש בחברת דן‪ .‬חלק ניכר מן הרכש מיועד‬
‫לשימוש האגף עצמו כגון חלקי חילוף‪ ,‬צמיגים וכד'‪ .‬לאור האמור‬
‫לעיל‪ ,‬אנו סבורים שקיים סיכון תפעולי ובקרתי גבוה‪ ,‬וממליצים‬
‫לחברה לערוך בחינה ארגונית לשם מיקום הרכש באגף אחר כגון‬
‫תו"פ‪.‬‬

‫‪28‬‬ ‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬

‫שירותי ביקורת פנימית‬
‫טל' ‪5618188-03‬‬
 ‫מוסכים‬
‫)‪(59/44.7) (44/44.2.1‬‬ ‫מוסכים וחניונים‬
‫סיכון כלכלי גבוה‬
‫סיכון‪ :‬לא נערכה בדיקה להמשך המדיניות של קיום מוסך בסמוך לחניוני‬
‫האוטובוסים‪ .‬בנוסף‪ ,‬לא נערכה בדיקה להמשך הצורך בחניוני יום‬
‫בגדלים הקיימים היום מול חלופות אחרות )חניוני לילה‪ ,‬או חניונים‬
‫קטנים מהקיים(‪.‬‬
‫סיכון ביטחוני‪ ,‬בטיחותי וכספי גבוה‬
‫סיכון‪ :‬על‪-‬פי התרשמותנו‪ ,‬אין כל בקרה מונעת‪ ,‬שיכולה למנוע מאדם‬
‫להיכנס לאוטובוס החונה בחניון ולצאת איתו מהחניון‪ .‬יש לציין‬
‫שפרצה זו עלולה לשרת גם גורמים עויינים‪.‬‬

‫‪29‬‬ ‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬

‫שירותי ביקורת פנימית‬
‫טל' ‪5618188-03‬‬
 ‫דלקים ושמנים‬

‫)‪(57/44.6.3.5) (56/44.6.1- 44.6.2‬‬ ‫תחום דלקים ושמנים‬

‫סיכון מובנה וכלכלי גבוה‬
‫סיכון‪ :‬ההיקף הכספי הגבוה של הפעילות מגביר את הסיכון ואת הצורך‬
‫באמצעי בקרה נאותים‪.‬‬
‫סיכון מובנה ובטיחותי גבוה‬
‫סיכון‪ :‬דלק ושמן‪ ,‬מעצם טבעם‪ ,‬הינם חומרים דליקים‪ .‬דלק אף נחשב‬
‫כ"רעל" כהגדרתו בחוק החומרים המסוכנים‪ ,‬התשנ"ג‪.1993-‬‬
‫סיכון משפטי ותדמיתי גבוה‬
‫סיכון‪ :‬בתחנה לא קיים מפריד דלק‪ .‬היעדר המפריד גורם לפגיעה באיכות‬
‫הסביבה ואינו עולה בקנה אחד עם הוראות תקנות המים )מניעת זיהום‬
‫מים( )תחנות דלק(‪ ,‬התשנ"ז‪ .1997-‬יצויין‪ ,‬כי בוצעה ביקורת של‬
‫המשרד לאיכות הסביבה‪ ,‬והועברה דרישה לשיפור הנושא לרבות לוח‬
‫זמנים לביצוע התיקונים הנדרשים‪.‬‬
‫‪30‬‬ ‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬
‫שירותי ביקורת פנימית‬
‫טל' ‪5618188-03‬‬
 ‫שכר‬
‫)‪(63/49.1.5‬‬ ‫תהליך השכר‬
‫סיכון בקרתי גבוה‬
‫סיכון‪ :‬שינוי פרטי בנק טומן בחובו סיכון למעילות והונאות‪.‬‬

‫)‪(64/49.2‬‬ ‫תוכנית המתאר )הספר הלבן(‬

‫סיכון משפטי גבוה‬
‫סיכון‪ :‬שכר העובדים מוצמד למדד בגין‪ ,‬למרות שנהוג להצמיד למדד‬
‫ידוע‪ .‬על‪-‬פי התכנון‪ ,‬אמורה הייתה להינתן תוספת לשכר העובדים‬
‫בשיעור ‪ ;6.3%‬שיעור התוספת השתנה והוא צפוי להיות ‪ 3%‬בלבד‪.‬‬

‫‪31‬‬ ‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬

‫שירותי ביקורת פנימית‬
‫טל' ‪5618188-03‬‬
 ‫שכר‬
‫)‪(65/49.4‬‬ ‫קרן גמלאות לחברי דן‬
‫סיכון משפטי וכלכלי‬
‫גבוה‬
‫סיכון‪ :‬השינויים שנערכו בתקנון הקרן‪ ,‬לרבות הקמת מסלולים שונים‪,‬‬
‫עלולים להביא‬
‫לתביעות חברים וגמלאים הרואים עצמם נפגעים )ראה נספח ד'(‪.‬‬

‫)‪(65/49.5‬‬ ‫עובדים פיקטיביים‬

‫סיכון מובנה גבוה‬
‫סיכון‪ :‬בנושא זה קיים סיכון מובנה‪.‬‬

‫)‪(66/49.6-65‬‬ ‫מערכת מילואים‬

‫סיכון מובנה גבוה‬
‫‪32‬‬ ‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬
‫סיכון מובנה‪.‬‬
‫שירותי ביקורת פנימית‬
‫סיכון‪ :‬בנושא השכר טמון‬
‫טל' ‪5618188-03‬‬
 ‫רווחה‬
‫)‪(70/53.5-69‬‬ ‫הצגות ומופעים‬
‫סיכון‬
‫מובנה גבוה‬
‫סיכון‪ :‬מלאי כרטיסים למופעים הינו שווה כסף ולכן טומן בחובו סיכון‬
‫מובנה )‪.(IR‬‬

‫)‪(71/53‬‬ ‫רווחה‬
‫סיכון ניהולי ותפעולי גבוה‬
‫סיכון‪ :‬בחברה לא קיימת תשתית ניהולית מבוססת‪ .‬ההנהלה הבכירה‬
‫מבוססת על תוצאות הבחירות מחודש יולי ‪ ,2001‬ומהווה בעיקרה‬
‫מנהלים‪ ,‬אשר החלטותיהם הניהוליות עלולות להיות מוטות פוליטית‪.‬‬
‫מבנה ארגוני‪ ,‬בו מכהנים מנהלים כאמור לעיל‪ ,‬ובכפיפות להם‬
‫מנהלים מקצועיים אינו בהכרח בריא לארגון‪.‬‬

‫‪33‬‬ ‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬

‫שירותי ביקורת פנימית‬
‫טל' ‪5618188-03‬‬
 ‫)‪(76/63‬‬ ‫עיקולים‬
‫סיכון תפעולי גבוה‬
‫סיכון‪ :‬נושא העיקולים הינו הליך טכני‪ .‬טעות באימות הצו עלולה לגרום‬
‫לטיפול מוטעה‪.‬‬

‫סיכון משפטי וכלכלי גבוה‬

‫סיכון‪ :‬טעות בביצוע עיקול עלולה לחשוף את דן לתביעות‪.‬‬

‫‪34‬‬ ‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬

‫שירותי ביקורת פנימית‬
‫טל' ‪5618188-03‬‬
 ‫)‪(78/68‬‬ ‫דובר‬
‫סיכון תדמיתי גבוה‬
‫סיכון‪ :‬טיפול תקשורתי לא נכון ו‪/‬או לא בעיתוי הנכון )הן כתגובה לכתבה‬
‫והן כיוזמה של דן(‪ ,‬עלול לגרום לנזק תדמיתי לחברה‪.‬‬

‫)‪(81/72.2.5-80) ,(80/72.2.3‬‬ ‫מחלקת פניות הציבור‬

‫סיכון כספי מובנה גבוה‬
‫סיכון‪ :‬אצל הנת"ץ נעשית פעילות במזומן‪ .‬פעילות במזומן מהווה סיכון‬
‫מובנה )‪.(IR‬‬

‫סיכון תדמיתי ציבורי מובנה גבוה‬

‫סיכון‪ :‬פעילות הנת"ץ בכללותה היא סיכון תדמיתי ציבורי מובנה )‪.(IR‬‬

‫‪35‬‬ ‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬

‫שירותי ביקורת פנימית‬
‫טל' ‪5618188-03‬‬
 ‫)‪(89/94‬‬ ‫פיקוח על נהגים‬
‫סיכון תפעולי‪ ,‬בקרתי וכלכלי גבוה‬
‫סיכון‪ :‬לא ברור הצורך בריבוי אחראים על הנהגים; סדרנים‪ ,‬מוציאי‬
‫עובדים‪ ,‬מפקחים ומנהלי עבודה )הרי ניתן לצפות מאנשים מבוגרים‬
‫להיות בעלי אחריות מינימלית‪/‬בסיסית להופיע למשמרת במועד‬
‫ולצאת ולחזור במועד שנקבע(‪.‬‬

‫‪36‬‬ ‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬

‫שירותי ביקורת פנימית‬
‫טל' ‪5618188-03‬‬
 ‫)‪(92/100‬‬ ‫רקע‬
‫סיכון בקרתי גבוה‬
‫סיכון‪ :‬ניהול מערך הכספים שהינו תחום רגיש במיוחד על‪-‬ידי שני בעלי‬
‫תפקידים‪ ,‬עלול ליצור כשל בחלוקת הסמכויות בין סמנכ"ל כספים‬
‫לבין מנהל הכספים ולגרום לכפילויות ביניהם‪ ,‬או‪ ,‬לחלופין‪ ,‬לביצוע‬
‫חסר של מטלות‪.‬‬

‫)‪(96/106-94‬‬ ‫קופות‬
‫סיכון בקרתי גבוה‬
‫סיכון‪ :‬בנושא קופות טבוע סיכון מובנה )‪.(Inherent Risk‬‬

‫‪37‬‬ ‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬

‫שירותי ביקורת פנימית‬
‫טל' ‪5618188-03‬‬
 ‫)‪(96/106.1‬‬ ‫מיגון הקופות‬
‫סיכון אבטחתי וכלכלי גבוה‬
‫סיכון‪ :‬בקופת רידינג בנוי המבנה מבניה קלה )מבנה יביל(‪ ,‬שמקלה על‬
‫ניסיון פריצה למבנה‪.‬‬

‫סיכון אבטחתי וכלכלי גבוה‬

‫סיכון‪ :‬כספי פדיון הקופות‪ ,‬כרטיסי האוטובוס ועוד‪ ,‬מועברים מידי יום בין‬
‫הקופות‪ ,‬לבין הבנק‪ ,‬ולמחסן הכרטיסים‪ .‬ההעברות מבוצעות על‪-‬ידי‬
‫חברת "יהב"‪ ,‬שמספקת לחברה שירותי הובלה מאובטחת‪ .‬לחברת‬
‫האבטחה מסלול איסוף וחלוקה קבוע‪ ,‬הן בנתיב והן בזמני ההגעה‬
‫לקופות‪ .‬לדוגמה ‪ -‬ההגעה לקופת הכרמלית נערכת בין השעות ‪11:00‬‬
‫ל‪.11:30 -‬‬
‫שגרת העבודה המתוארת לעיל‪ ,‬מהווה נקודת תורפה‪ ,‬שמקלה על גורמים‬
‫פליליים‪ ,‬המבקשים לאסוף מידע אודות הקופות‪ ,‬בדרכם לביצוע‬
‫עבירות‪.‬‬
‫‪38‬‬ ‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬
‫מתאימה‪.‬‬
‫פנימית‬ ‫יש לציין‪ ,‬כי לחברה פוליסת ביטוח‬
‫שירותי ביקורת‬
‫טל' ‪5618188-03‬‬
 ‫)‪(100/108.2-99‬‬ ‫מחלקת ביטוח‬
‫סיכון להונאות ומעילות גבוה‬
‫סיכון‪ :‬החברה מטפלת בכל תיקוני פחחות רכב באותו מוסך‪ ,‬מזה כ ‪10 -‬‬
‫שנים‪ .‬משך הקשר בין החברה‪ ,‬למוסך ותחום העיסוק של המוסך‬
‫)פחחות רכב( מהווה מוקד סיכון בתחום נאותות ההתקשרות‪.‬‬

‫‪39‬‬ ‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬

‫שירותי ביקורת פנימית‬
‫טל' ‪5618188-03‬‬
 ‫)‪(100/110.4‬‬ ‫מחלקת כלכלה וחשבות‬
‫סיכון מובנה גבוה‬
‫סיכון‪ :‬בנושא תשלומים טמון סיכון מובנה )‪.(IR‬‬

‫)‪(102/111.5) ,(102/111.4‬‬ ‫מחלקת גזברות‬

‫סיכון מובנה גבוה‬
‫סיכון‪ :‬בנושא גזברות טמון סיכון מובנה )‪.(IR‬‬

‫סיכון‪ :‬בנושא תשלומים )לספקים( טמון סיכון מובנה )‪.(IR‬‬

‫)‪(103/112-102‬‬ ‫מחלקת הנה"ח‬

‫סיכון‪ :‬בנושא רישומי הנה"ח טבוע סיכון מובנה )‪.(IR‬‬

‫‪40‬‬ ‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬

‫שירותי ביקורת פנימית‬
‫טל' ‪5618188-03‬‬
 ‫מיחשוב‬

‫)‪(103/114‬‬ ‫הרשאות באגף‬

‫סיכון בקרתי גבוה‬

‫סיכון‪ :‬היעדר חסימת הרשאות‪ ,‬עלולה לאפשר חדירת גורמים שאינם‬
‫מורשים אל תוך המערכת‪ .‬כמו‪-‬כן‪ ,‬יש להגדיר עבור כל עובד‪ ,‬בנפרד‪,‬‬
‫את ההרשאות המתאימות על‪-‬פי תפקידו‪ ,‬ולבדוק מעת לעת‪ ,‬כי‬
‫ההרשאות תקפות לצורכי תפקידו‪ .‬כאשר מתוסף עובד חדש‪ ,‬יש‬
‫לבחון מחדש את הצורך בהרשאות ולא לשכפל את ההרשאות‬
‫הישנות באופן אוטומטי‪.‬‬

‫‪41‬‬ ‫שיף‪ ,‬הזנפרץ ‪ -‬רונן ושות' רו"ח‬

‫שירותי ביקורת פנימית‬
‫טל' ‪5618188-03‬‬