שם הכותב: תאריך: 21 יולי 2015

sarbanes-oxley (1)מבוא

חוק סרבנס אוקסלי חוקק בשנת 2002 ׁ((Sarbanes–Oxley Act of 2002 בעקבות קריסת חברות הענק כגון: אנרון, וורלדקום ועוד, עקב אי סדרים כספיים ותרמיות חשבונאיות. מטרתו העיקרית של החוק  הינה להעלות את רמת אמון המשקיעים, ה-SOX משפר את תפקוד ועדת הביקורת, משפר את התקשורת בין רואי חשבון ומנהלים, מגביר את השקיפות, מגדיל את אי התלות בין החברות לרואי החשבון, מגדיל את אחריות ההנהלה, הדירקטוריון וועדת הביקורת, עוזר לחזק אתיקה ארגונית ועוד.

בתחילת ינואר 2006, פרסמה הרשות לניירות ערך את דו"ח הועדה לבחינת קוד ממשל תאגידי Corporate Governance שבראשה עמד פרופ' זוהר גושן.

המלצות דו"ח הועדה לבחינת קוד ממשל תאגידי Corporate Governance כוללות התייחסות לשישה נושאים עיקריים, כמפורט להלן:

  • הרכב ועבודת הדירקטוריון.
  • הרכב ועבודת ועדת הביקורת.
  • אישור עסקאות עם בעלי שליטה.
  • יצירת מגנוני בקרה נוספים.
  • דרישות מגופים מוסדיים.
  • כינון בית משפט מתמחה לדיני חברות ודיני ניירות ערך.

הועדה לבחינת קוד ממשל תאגידי בחנה, בין היתר, את האפשרויות הקיימות להגברת הבקרה הפנימית הקשורות לדיווח הכספי בחברות הציבוריות. הועדה בחרה להגביר את הבקרה בדרך של חיוב המנהל הכללי והאחראי הבכיר על הנושא הכספי בחברה להצהיר בדוחות השנתיים והרבעוניים על נכונות הדוחות והמידע הגלום בהם. הצהרה מעין זו לדעת הועדה תגביר את פעילות ומחויבות המנהלים לנושא הבקרה הפנימית ותגביר את אמון ציבור המשקיעים.

הצהרת זו דומה במהותה לנדרש במסגרת Sarbanes-Oxley Act of 2002 סעיפים 302 ו- 404, אך הועדה אימצה נוסח של החוק לפיו נדרשת הצהרה גם על אפקטיביות הבקרות ולא רק על קיומן הפורמאלי. הועדה המליצה לא לאמץ באופן גורף את הוראות סעיף 404 כפי שמופיעות בחוק האמריקאי, כלומר שהחברות לא יידרשו לגילוי בדו"ח של כל שינוי בבקרה הפנימית על הדיווח הכספי וכן החברות לא תידרשנה לעמוד בסטנדרטים של תיעוד תהליכים, ביצוע תיעוד של בדיקות אפקטיביות מידי שנה לכל הבקרות המהותיות ובדיקה של רואה החשבון המבקר. הועדה הדגישה כי ההצהרה תתמקד בבקרות דיווח ולא בבקרות תפעול.

ביום 24 לדצמבר 2009 פורסמו תקנות ניירות ערך (דוחות תקופתיים ומיידים), התש"ע-2009 , אשר אימצו את המלצות דוח הועדה לבחינת כללי ממשל תאגידי בישראל ("ועדת גושן") בדבר הערכת אפקטיביות הבקרה הפנימית והצהרת מנהלים, או בשמן המקובל תקנות ה-SOX  הישראלי (ISOX).

הרשות לני"ע בראשות פרופ' זוהר גושן החילו את הוראות ה-SOX  האמריקאי אך בגרסה מצומצמת יותר, הנוקטת בגישה המדגישה את תהליך עריכת הדוחות הכספיים ותהליכי המעטפת, המהווים את עיקר הממשל התאגידי ומטילה אחריות אישית על מנהלי התאגיד וכן את הרו"ח המבקר של החברה כמעגל בקרה ואחריות נוסף.

תכלית התקנות הן שיפור איכות הדיווח הכספי והגילוי בתאגידים מדווחים ע"פ חוק ניירות ערך. לצורך כך, נקבעה בתקנות חובה על תאגידים מדווחים לצרף לדוחותיהם הצהרת מנהלים (הצהרה אישית של המנכ"ל וסמנכ"ל הכספים בדבר אפקטיביות הבקרה הפנימית על הדיווח הכספי ועל הגילוי (הנקרא: "דוח בדבר אפקטיביות הבקרה הפנימית"). כמו כן נקבעה חובת צירוף חוות דעת של רו"ח מבקר בקשר לאפקטיביות הבקרה הפנימית.

Compliance with company rules and regulations

מטרתו העיקרית של הדוח בדבר אפקטיביות הבקרה הפנימית על הדיווח הכספי והגילוי היא חיזוק מערך הבקרה הפנימית בתאגיד. מטרה נוספת של דוח זה הינה להביא לתיקון ליקויים בבקרה הפנימית ובדוחות התאגיד, וזאת באמצעות מתן דרישה למתן גילוי בדבר חולשות מהותיות בבקרה הפנימית, ככל שקיימות, ודרישה לביצוע פעולות לתיקונן.

הערכת אפקטיביות הבקרה הפנימית על ידי הדירקטוריון וההנהלה תיעשה אחת לשנה תוך מתן חוות דעת באשר לאפקטיביות הבקרה הפנימית למועד הדוח השנתי.

יחד עם זאת, על ההנהלה והדירקטוריון לבצע גם בחינה רבעונית אם הובא לידיעתם אירוע או עניין אשר עשוי לשנות את מסקנתם בנוגע לאפקטיביות הבקרה הפנימית ביחס לתקופה קודמת.

ההנהלה נדרשת לזהות ולהעריך את הסיכונים שעשויים לגרום לכך שדוחות התאגיד יכללו הצגה מוטעית מהותית) לרבות השמטה של מידע מהותי). על התאגיד לדווח בדוח הדירקטוריון על אפקטיביות הבקרה הפנימית על הדיווח הכספי והגילוי, במידה והבקרה הפנימית אינה אפקטיבית ייתן התאגיד גילוי על החולשות המהותיות בבקרה הפנימית וכן גילוי לתכנית ההנהלה והדירקטוריון לתיקון הליקויים.

תהליך הערכת האפקטיביות של הבקרה הפנימית מבוסס על הערכת הסיכונים הייחודיים של התאגיד הנוגעים לדיווח הכספי והגילוי. לשם כך , על ההנהלה לעשות שימוש בידע על התאגיד,  פעילותו,  המבנה הארגוני,  והתהליכים השונים בו,  על מנת לבחון את המקורות והסיכונים הפוטנציאליים להצגה מוטעית מהותית בדוחות.  בתוך כך,  ההנהלה עשויה לגלות כי יהיה זה שימושי לשאול את עצמה "מה עלול להשתבש" לגבי רכיב כלשהו של דיווח כספי או גילוי וכן את הסבירות לכך ששיבוש כאמור יוביל להצגה מוטעית מהותית.

על מנת לבחור את הבקרות אותן יש לבדוק במסגרת הערכת האפקטיביות של הבקרה הפנימית, על ההנהלה לעשות שימוש בגישת מעלה-מטה (Top Down Approach).

מוצאה של גישה זו היא מדוחות התאגיד, תוך שילוב ניתוח סיכוני הדיווח הכספי והגילוי על ידי הנהלת התאגיד . לפי גישה זו ההנהלה צריכה להתמקד בסעיפי הדיווח הכספי ופריטי הגילוי שהינם מהותיים למשתמשי הדוחות באופן אשר הצגה מוטעית מהותית שלהם עשויה להשפיע על קבלת החלטות על ידי המשתמשים, ובאותם סעיפי דיווח כספי ופריטי גילוי שיש סבירות גבוהה לטעות מהותית בהם.

a diagram with pen about manageing risk in a flow chart

a diagram with pen about manageing risk in a flow chart

מודל ההערכה מושתת על ארבעת הרכיבים הבאים:

  1. בקרות ברמת הארגון (Entity Level Controls).
  2. תהליך עריכת וסגירת הדוחות הכספיים.
  3. בקרות כלליות על מערכות המידע (ITGC).
  4. תהליכים מהותיים מאוד לדיווח הכספי והגילוי.

פירוט על ארבעת הרכיבים של מודל ההערכה:

  • בקרות ברמת הארגון (ELC)

הבקרות ברמת הארגון הן בקרות אשר עשויה להיות להן השפעה כוללת על הארגון, בקרות ברמת הארגון כוללות בין היתר:

  • בקרות הקשורות לסביבת הבקרה (למשל: נהלים) ובקרות הקשורות ליישום כללי ממשל תאגידי כגון: איכות נהלים לאיתור אישור ודיווח עסקאות עם בעלי עניין, קיום תכנית אכיפה פנימית ויישומה, תהליכי קבלה ואישור החלטות, מידת עצמאות הדירקטוריון וכיו"ב.
  • בקרות שנועדו למנוע או למזער את אפשרות ההנהלה לעקוף בקרות פנימיות שנקבעו בארגון.
  • תהליך הערכת הסיכונים וניהולם – האם קיים בתאגיד תהליך מיפוי סיכונים כולל המנוהל על ידי ההנהלה הבכירה ונדון על ידי הדירקטוריון, האם נקבעה תכנית להתמודדות עם הסיכונים וכיו"ב.
  • תהליך הערכת תוצאות הפעילות של התאגיד והבקרה עליהן – בחינת עמידה ביעדים וניתוח ביצועים, מימוש תחזיות, חריגה בתקציב וכיו"ב.
  • תקשורת ומידע – האם מערכות המידע מספקות בסיס נאות לדיווח הכספי והגילוי, האם ובאיזו מידה קיימים ערוצי תקשורת וזרימת מידע בין העובדים וההנהלה.
  • פיקוח – האם ובאיזו מידה מפקח הדירקטוריון באופן אפקטיבי על תפקוד ההנהלה והאם ובאיזו מידה מעריך הדירקטוריון את תפקוד המבקר הפנימי.
  • הערכת ה-ELC לכשעצמה אינה מספקת הבנה מספקת על נאותות הבקרה הפנימית בארגון. אולם היא מהווה נקודת פתיחה טובה להבנה ולהערכה נאותה של נאותות הבקרה הפנימית.
  • תהליך עריכת וסגירת הדוחות (FS)-

תהליך זה מתייחס לבחינת המקטע האחרון של תהליך הדיווח הכספי והגילוי, אשר כולל, בין היתר, את הפעולות הבאות:

  • איסוף הנתונים למאזני הבוחן וביצוע בדיקות מבססות לנאותות הנתונים שהתקבלו.
  • קביעה ויישום של המדיניות החשבונאית בידי התאגיד.
  • ביצוע התאמות לצורך עריכת הדוחות הכספיים השנתיים או הרבעוניים, לרבות התאמות לצורך איחוד הדוחות הכספיים.
  • הכנה ועריכה של הדוחות הכספיים לרבות הגילויים הרלוונטיים.
  • דיון ואישור הדוחות הכספיים במוסדות הרלוונטיים.
  • בקרות כלליות על מערכות המידע (ITGC) –

מערכות המידע מהוות חלק מרכזי ובלתי נפרד בתהליך הדיווח של התאגיד ולפיכך נדרשת התייחסות מיוחדת אליהן במסגרת תהליך הערכת האפקטיביות של הבקרה הפנימית. לצורך הערכת האפקטיביות של הבקרה הפנימית, על ההנהלה לבחון רק את אותן מערכות מידע הנוגעות לדיווח הכספי והגילוי. לעניין הערכת אפקטיביות הבקרה הפנימית, אין צורך לבחון מערכות מידע הנוגעות בעיקר ההיבטים התפעוליים של התאגיד ושאינן נוגעות ישירות לדיווח הכספי ולגילוי.

Sarbanes Oxley

  • תהליכים מהותיים מאוד לדיווח הכספי והגילוי –

תהליכים מהותיים מאוד לדיווח הכספי והגילוי הם תהליכים אשר עשויה להיות להם השפעה מהותית מאוד על הדיווח הכספי והגילוי בדוחות התאגיד.

על מנת לזהות את התהליכים המהותיים מאוד לדיווח הכספי והגילוי, יעריך התאגיד את גורמי הסיכון להצגה מוטעית מהותית בפריטי דיווח כספי או גילוי הקשורים בתהליך.

על מנת לבחור את התהליכים בהם קיים סיכון להתרחשות הצגה מוטעית מהותית בדיווח הכספי או הגילוי תשקול בין היתר הנהלת התאגיד את הגורמים הבאים:

  • היקף הרישומים ועיבודי המידע הקשורים בתהליך.
  • רמת המורכבות הטבעית בדיווח וגילוי הנובעים מהתהליך ביחס ליתר תחומי הפעילות בתאגיד.
  • מידת שיקול הדעת שיש לגורמים בתאגיד בקשר עם הכרה ומדידה של סעיפי דיווח ו/או גילוי הנובעים מהתהליך, לרבות משקלם של הערכות ואומדנים משמעותיים.
  • יכולת מערכות המידע עליהן מושתת התהליך לעבד מידע בהתאם למורכבות התהליך.
  • קיומו של ניגוד עניינים פוטנציאלי בתהליך.
  • מידת הסיכון להונאה או מעילה הגלום בתהליך.
  • טעויות בתקופות דיווח קודמות או הצגות מוטעות מהותית אחרות בדוחות העבר, בקשר עם פריטי דיווח כספי או גילוי הנובעים מהתהליך.

באשר לתהליכים מהותיים מאוד אלו, לשם עמידה בהוראות התקנות, על התאגיד להתמקד בבחינת הנהלים והבקרות הרלוונטיים לדיווח הכספי והגילוי בלבד, ולא בנהלים ובקרות תפעוליות שאין להם נגיעה להיבט הדיווח הכספי והגילוי.

נהלי הערכה של אפקטיביות הבקרה הפנימית

לאחר שהנהלת התאגיד העריכה את סיכוני הדיווח הכספי והגילוי, וקבעה מהם התהליכים המהותיים מאוד לדיווח הכספי והגילוי, נדרשת ההנהלה לבצע פעולות ונהלי הערכה כלהלן:

  • מיפוי ותיעוד הבקרות הקיימות בתאגיד – הכוונה לאותן בקרות אשר נועדו לתת מענה לסיכוני הדיווח והגילוי. המיפוי עשוי להיות בין היתר, באמצעות תיאור תהליכים, תרשימי זרימה, ומפרטי הבקרות הקיימות בתאגיד.
  • הערכת אפקטיביות התכנון של הבקרות וניתוח פערי הבקרה הקיימים – בשלב זה תעריך ההנהלה על בסיס תיעוד התהליכים והבקרות המבוצעות בפועל על ידי הגורמים השונים בתאגיד, האם הבקרות השונות שבמסגרת תחולת עבודת הערכת האפקטיביות מתוכננות באופן נאות על מנת לענות על סיכוני הדיווח והגילוי הרלוונטיים. בהמשך לכך, תבוצע השוואת הבקרות מול בקרות רצויות, ובחינת האופן בו נותנות הבקרות הקיימות מענה לסיכוני הדיווח והגילוי שזוהו.
  • תיקון ליקויים בתכנון הבקרה ובחינת קיומן של בקרות מפצות – כאשר מאתרת ההנהלה פערי בקרה (כאשר ההנהלה מוצאת כי הבקרות הקיימות אינן נותנות מענה לסיכוני הדיווח והגילוי שזוהו) תפעל ההנהלה לתיקון פערים אלה. באשר לפערי הבקרה שלא תוקנו, תבחן ההנהלה קיומן של בקרות מפצות.
  • הערכת אפקטיביות תפקודן של הבקרות – על מנת לבחון את אפקטיביות התפקוד של הבקרה הפנימית, יש להתייחס לשני גורמים עיקריים: 1 (האם הבקרה הנבחנת פועלת כפי שתוכננה. 2) האם לגורם המבצע את הבקרה קיימת כשירות מקצועית מתאימה לביצועה. לצורך הערכת האפקטיביות של תפקוד הבקרה הפנימית על ההנהלה לבחון ראיות שונות לתפקוד הבקרה, כדוגמת ניירות עבודה, ראיונות עם גורמים רלוונטיים בארגון, דוחות חריגים, התראות מערכות IT וכיו"ב.
  • הערכה כוללת של אפקטיביות הבקרה הפנימית – הערכה אילו מבין ליקויי הבקרה, לבד או ביחד עם ליקויים אחרים, מהווים ליקוי משמעותי או חולשה מהותית.
  • גיבוש מסקנות וניסוח דוח דירקטוריון והנהלה על אפקטיביות הבקרה הפנימית של הדיווח הכספי ועל הגילוי.

sarbanes-oxley

תיעוד

ההנהלה אחראית לשמור חומר ראייתי תומך ביחס לתהליך ההערכה שבוצע על ידה (כגון: קביעת היקף העבודה, לוחות הזמנים, דיונים שעלו במהלך הפרוייקט, והמסקנות שהוסקו), הן ביחס לאפקטיביות הבקרות שהוערכו (למשל תיעוד התהליכים והבקרות, דירוג הערכת אפקטיביות התכנון והתפקוד, נהלי הבדיקה שיושמו להערכת אפקטיביות התפקוד והראיות הקיימות לתפקוד אפקטיבי של בקרות שנבדקו) והן ביחס לשיקול הדעת אותו הפעילה בקבלת ההחלטות בתהליך הערכת האפקטיביות (למשל בקביעת התהליכים המהותיים מאוד, בזיהוי הליקויים המשמעותיים והחולשות המהותיות בבקרה הפנימית וכד'). צורת התיעוד ותוכנו עשויים להשתנות בהתאם לגודל התאגיד, אופיו ומורכבותו.

 

דיווח על אפקטיביות הבקרה הפנימית

חולשה מהותית מוגדרת כ"ליקוי או צירוף של ליקויים בתכנון או בהפעה של הבקרה הפנימית, כך שקיימת אפשרות סבירה שהצגה מוטעית מהותית בדוחות התאגיד לא תימנע או תתגלה במועד". אם נמצאה חולשה מהותית, אחת או יותר בבקרה הפנימית, תחשב הבקרה הפנימית כלא אפקטיבית וזאת עד לתיקון החולשה.

מאמר זה מבוסס על תקנות הרשות לני"ע ופרסומיה בנושא ה-ISOX  ודו"ח הועדה לבחינת קוד ממשל תאגידי בישראל (דו"ח ועדת גושן).         

_____________________

1 הכותב הינו רו"ח העובד כיועץ בתחום של ניהול סיכונים, SOX/ISOX  וביקורת פנימית, מוסמך במנהל עסקים ׁׁׂ( (MBA  בהתמחות מימון בהצטיינות מהמסלול האקדמי המכללה למנהל ,כעת נמצא במהלך השלמה למוסמך מחקרי עם תזה במימון, מוסמך בניהול סיכונים (CRM) מטעם האיגוד הישראלי למנהלי סיכונים ומבקר בקרות פנימיות מוסמך (CICA) מטעם איגוד IIC  העולמי.

שייך לנושאים: כללי, מימון, שוק ההון


אחד − 1 =