שם הכותב: תאריך: 14 מאי 2014

ה-COSO פרסם ב-2004 את המתווה שלו לניהול סיכונים, זאת ללא קשר לגודל או מיקוד הארגון המסוים, מודל מקובל באופן גורף לדיון והערכת מאמצי ניהול הסיכונים. מטרת המודל: שיפור הדיווח הכספי בארגון, על מנת להגדיל את האפשרות לאיתור מוקדם ו/או למנוע תרמיות בדיווחים הכספיים. אפשרות לזהות גורמים להונאה בדיווחים פיננסיים, על מנת למנוע מקרים כאלה.

כמובן שהאחריות למניעה ו/או לגילוי מוקדם של תרמיות בדיווחים הכספיים מוטלת בראש ובראשונה על הנהלת החברה.

ניהול סיכונים תומך ביצירת ערך בכך שהוא מאפשר: 1. התמודדות אפקטיבית עם אירועים עתידיים פוטנציאליים שיוצרים אי ודאות. 2. מתן תגובה אשר מצמצמת את הסבירות של תוצאות שליליות, ומגבירה את הסבירות לתוצאות חיוביות.

COSO הגדירו את הבקרה הפנימית כתהליך המוכוון ע"י הדירקטוריון, ההנהלה וגורמים אחרים בכדי לספק בטחון סביר להשגת:

1. אפקטיביות ויעילות תפעולית.

2. מהימנות בדיווח הכספי. איך משתקף העסק בדוח הכספי, התרגום הכמותי לפעולות שהעסק מבצע. התקציב משקף את התכנון הארגוני שנה קדימה והדוחות הכספיים משקפים את העבר.

3. עמידה בדרישות החוק. איך הארגון ברמת ההתנהלות שלו מקיים ועומד בחוקים מבחינת התנהלות חיצונית ׁׁ(רשויות המס, רשות ני"ע) ופנימית (נהלים ארגוניים וכיו"ב).

מודל ה COSO ERM דומה בצורתו למודל לבקרה פנימית. המודל פורסם בשנת 2004 והוא מגדיר את הרכיבים החיוניים, השפה המשותפת לניהול סיכונים כולל ומעניק כיוון ברור והנחיות.

יעדי הארגון מחולקים ל-4 קטגוריות: אסטרטגי, תפעולי, דיווח וציות.

אסטרטגי, מתייחס למטרות ברמה הגבוהה, יישור קו עם החזון והייעוד של הארגון.

תפעולי, מתייחס לאפקטיביות וליעילות של תפעול הארגון כולל מדידת ביצועים ורווחיות.

דיווח, מתייחס לאפקטיביות הדיווח הכספי בארגון.

ציות, מתייחס לרמת הציות של הארגון לחוקים ותקנות.

ERM מתחשב בפעילויות בכל רמות הארגון, ועוזר להשיג את יעדי הארגון ב-4 קטגוריות אלו.

בתמונה נוכל לראות את  מודל הקובייה של COSO כאשר במעלה הקובייה נמצאות ארבעת הקטגוריות של יעדי הארגון (אסטרטגי, תפעולי, דיווח וציות) , ובקדמת הקובייה את שמונה השכבות אשר מודל ה-COSO מגדיר כתהליך ניהול הסיכונים בארגון (שיפורטו בהמשך המאמר).

 

COSO

מודל ה-ERM COSO (מודל הקובייה)

המודל מיועד לסייע למנהלים בארגון לקיים ניהול סיכונים שיטתי וממוסד. יחד עם זאת, המודל יכול לשמש כמעין רשימת תיוג עבור מבקרים פנימיים אשר אליה יתייחס סקר הסיכונים שהם עורכים, זאת כדי לבסס את תכנית העבודה של הביקורת. מבקרים פנימיים צריכים להכיר את המודל ואת גישת ה-ERM ניהול של מכלול הסיכונים הקיימים בארגון וזאת על מנת להיות מסוגלים לקיים ביקורת על הליך ניהול הסיכונים בארגון, וכדי לסייע לארגון בתהליך ניהול הסיכונים.

מודל ה-COSO מגדיר את תהליך ניהול הסיכונים בשמונה שכבות, ניהול סיכונים אפקטיבי דורש יישום של כלל המרכיבים בארגון:

1. סביבה פנימית. הסביבה הפנימית כוללת אלמנטים רבים, כולל קיום ערכים אתיים, יושר, סמכויות ואחריות, מחויבות ההנהלה והדירקטוריון וועדותיו לפעולות בקרה ופיקוח, פילוסופיות הניהול וסגנון ניהול, כשירות העובדים וההנהלה, מבנה ארגוני, ועדות ביקורת, האופן שההנהלה מאצילה סמכויות, מארגנת ומפתחת את אנשיה. זהו רכיב הבסיס לסביבת הבקרה והוא קובע את אופי הארגון ומשפיע על מודעות אנשיו לבקרה. כחלק מהסביבה הפנימית, ההנהלה מבססת ניהול סיכונים, את התיאבון לסיכון, ואת תרבות ניהול הסיכונים אשר יתמזגו עם ניהול הסיכונים בארגון.

2. הגדרת יעדים. ארגון חייב להגדיר לעצמו יעדים ומטרות לפעילותיו העסקיות. יעדים צריכים להיות מוגדרים לפני שההנהלה יכולה לזהות אירועים אשר עשויים להשפיע על יעדי הארגון. ניהול סיכונים מבטיח שההנהלה תהיה בתהליך של קביעת יעדים והחזון אשר יהיו תואמים לתיאבון הסיכון של הארגון.

3. זיהוי אירועים. זיהוי אירועים מתייחס להחלטות הנהלה של גורמים פנימיים וחיצוניים שיכולים לגרום לאיומים ולהזדמנויות בארגון. זה כולל אירועים שיכולים להיות בעלי השפעה חיובית או שלילית או שניהם. יש לבצע הבחנה בין סיכון להזדמנות כאשר סיכון יהיה אירוע בעל השפעה שלילית ואירוע שיש לו השפעה חיובית מייצג הזדמנות אשר ההנהלה מתעלת אותו לצורך השגת היעדים העסקיים.

4. הערכת סיכונים. הערכת סיכונים מאפשרת לארגון לשקול איך אירועים פוטנציאליים יכולים להשפיע על יעדים של הארגון.  הערכת הסיכונים כוללת :זיהוי, ניתוח והגדרת הסיכון, המהווה מכשול העומד בדרך להשגת יעדי הארגון. על הארגון להיות מודע לסיכונים העומדים מולו ולקבוע דרכים להתמודדות איתם. ההנהלה צריכה להעריך את האירועים משתי פרספקטיבות: סבירות וחומרה. יש להעריך את הסיכון מהיבט סיכון שיורי והסיכון שורשי. הסיכון השיורי (Residual Risk) מוגדר כסיכון שנותר לאחר הטיפול בסיכון המקורי. סיכון שורשי  (Inherent Risk) מוגדר כרמת הסיכון המובנה מעצם הפעילות שמקיים הארגון, בהתעלם מהבקרות הקיימות והמאפיינים הייחודיים לארגון או לתהליך.

5. תגובה לסיכון. הנהלה צריכה לזהות אופציות לתגובה לסיכון ולשקול את האפקט של האירוע מבחינת סבירות וחומרה (הקשר של הסובלנות לסיכון ועלות-תועלת), עליה לעצב וליישם אופציות כתגובה לסיכון. התגובות האפשריות לטיפול בסיכון הינן: קבלה, העברה/שיתוף, הקלה ומניעה.

  • א. קבלה. משמעות הקבלה היא קבלת הסיכון וההשלכות כתוצאה מהאירוע שעלול להתקיים, כלומר אי נקיטת צעדים לטיפול בסיכון ובהשלכותיו.
  • ב. העברה/שיתוף. נקיטת צעדים להעברת ההפסד ו/או ההתחייבות המלווה את אותו אירוע שלילי לגורם שלישי (חלוקת הסיכון ע"י גורם נוסף). כגון: ביטוח, מיקור חוץ וכיו"ב.
  • ג. הקלה/הפחתה. נקיטת צעדים לצמצום ההשלכה ו/או ההסתברות של הסיכון ע"י יישום ובקרה של בקרות בתהליכי הארגון, נקיטת פעולות להפחתת הסיכון. כגון: פיקוח תקציבי, פיתוח תכנית להמשכיות עסקית וכיו"ב.
  • ד. מניעה. נקיטת צעדים על מנת למנוע את התרחשות הסיכון הבלתי רצוי, כגון: הפסקת פעילות, איסור על ביצוע פעילויות וכיו"ב.
    1. פעולות בקרה. פעולות בקרה הינם חלק מתהליך שארגון צריך לשאוף כדי להשיג את יעדיו האירגוניים. הכולל את המדיניות וההליכים שעוזרים להבטיח שהתגובה לסיכון מיושמת בצורה נאותה.
    2. מידע ותקשורת. מידע צריך להיות בכל הרמות של הארגון כדי לזהות, להעריך ולהגיב לסיכונים. מידע מגיע ממגוון מקורות פנימיים וחיצוניים בצורה איכותית וכמותית ומאפשרת לניהול הסיכונים להגיב למצבים שונים בזמן אמת. המידע צריך להיות מהימן, נגיש ולהיערך בעיתוי המתאים לגורמים הרלוונטיים בתוך הארגון ומחוץ לארגון. תקשורת צריכה להעלות ערנות בנוגע לחשיבות ולרלבנטיות של ניהול סיכונים אפקטיבי.
    3. ניטור. ניטור של ניהול סיכונים מעורב בהערכה של נוכחות ושל תפקוד של המרכיבים והאיכות של הביצועים לאורך זמן. ווידוא  קיומן של הבקרות ובדיקה שהבקרות פועלות באופן יעיל ואפקטיבי. ניטור יכול לקחת מקום בהתרחשות פעילות או בהערכות נפרדות.

Risk4 

נקודות עיקריות ביישום של COSO ERM:

1. הבנה והגדרה של פילוסופיית ניהול הסיכונים של הארגון. ה-ERM לא יהיה אפקטיבי אם ינוהל בשלט רחוק ממטה החברה. תהליך ניהול הסיכונים חייב להיות מנוהל ע"י אנשים אשר קרובים מספיק לסיטואציות הסיכון בכדי להבין את הפקטורים השונים סביב הסיכון והמשמעויות כתוצאה מכך. כמו כן ההנהלה חייבת להיות מעורבת בתהליך ניהול הסיכונים, ללא מעורבות ומחויבות  ההנהלה לתהליך, תהליך ניהול הסיכונים לא יוכל להצליח ולא יהיה אפקטיבי.

2. ERM  הינו תהליך מתמשך. צריכה להיות סדרת צעדים מתועדת לסקירה והערכה של סיכונים פוטנציאליים אשר ממנה ייגזרו פעולות המבססות על טווח רחב של פקטורים חוצי ארגון.

3. התיאבון לסיכון. תפישת התאבון לסיכון חייב להילקח בחשבון כחלק מהתהליך. התיאבון לסיכון הינו מידת הסיכון שהארגון מוכן לקחת על עצמו.

4. ראייה רחבה של הארגון. כל ארגון מתמודד באופן עקבי עם אלטרנטיבות שונות לאסטרטגיה לפעולות עתידיות פוטנציאליות. יישום ERM באופן אפקטיבי אמור לשחק קלף עיקרי ולסייע בבחירת האסטרטגיות. ישנם ארגונים רבים גדולים ומורכבים. תכנית ERM צריכה להיות חוצת ארגון ולשמש תשתית התמודדות עם סיכונים מכל סוג – נמוכים וגבוהים, ע"פ התיאבון לסיכון שההנהלה הגדירה. מידת הסיכון שארגון מוכן לשאת משתנה מארגון לארגון ותלויה בנסיבות הייחודיות לכל ארגון.

שייך לנושאים: כללי


שש × = 36