בעשורים האחרונים המורכבות בעולם העסקי מושפעת מגישת ניהול סיכונים, לפיה התממשות סיכונים עלולה לפגום בפעילותו השוטפת של הארגון עד כדי מצב של פגיעה בהשגת יעדיו.

במקביל לסטנדרטים שנקבעו על ידי רגולציות שונות (כגון באזל 2), המעודדים יישום של תהליכי ניהול סיכונים בארגון, התפתחה בארגונים נורמה של בחינה מעמיקה יותר של ניהול הסיכונים כחלק מהממשל התאגידי.

כחלק מהתפתחות זו, טבעי שעבודתם של מבקרים פנימיים, העוסקים בסיכונים במהלך עבודתם השוטפת, תושפע מניהול הסיכונים בארגון ותשפיע עליו.

מעורבות בתהליך יישום ניהול סיכונים בארגון עשויה להיות מאתגרת עבור מבקרים פנימיים, אך אלו בעלי רמות המיומנות והניסיון המתאימות, יכולים לעורר את המודעות והחשיבות לנושא בקרב הנהלת הארגון, למלא תפקיד מפתח ולהיות חלק מתהליך היישום תוך הוספת ערך משמעותי.

מבקר פנימי המבקש להוסיף ערך לארגון בתחום זה צריך לעשות זאת בזהירות יתרה ובכפוף לתקנים מקצועיים.

במאמר זה נדון בפעילויות שמבקר הפנים יכול ורצוי שיהיה מעורב בהן כחלק מתהליך ניהול הסיכונים בארגון, בפעילויות לגיטימיות, ובפעילויות שעל המבקר הפנימי להימנע מהן.

ניהול סיכונים כולל בתאגיד (Enterprise-wide Risk Management – ERM)

ניהול סיכונים כולל הוא תהליך ארגוני שוטף הכולל זיהוי, הערכה, החלטה, תגובה ודיווח, בכל הנוגע להזדמנויות ואיומים העלולים להשפיע על השגת יעדי הארגון.

 לתהליך זה יתרונות רבים, ובהם היכולת להביא תרומה משמעותית לארגון לצורך השגת יעדיו. לדוגמה:

• סבירות גבוהה יותר להשגת מטרות הארגון.
• שיפור היכולת לאתר סיכוני מפתח והבנת ההשלכות הרחבות שלהם.
• זיהוי ושיתוף של סיכונים חוצי ארגון.
• התמקדות גדולה יותר של ההנהלה בנושאים מהותיים.
• אפשרות לצפות מראש משברים ובכך להימנע מהם.
• שיפור סביבת הבקרה של הארגון.

תהליך זה מקיף פעילויות רבות של זיהוי, הערכה, דירוג וניטור של סיכונים, לרבות:

• קביעת ה"תיאבון לסיכון" (Risk Appetite) של הארגון.
• הקמת מודל ניהול סיכונים.
• זיהוי איומים פוטנציאליים להשגת יעדי הארגון.
• הערכת הסיכון (השפעת האיום והסיכוי להתממשותו) – ההשפעה ((Impact והסבירות (Likelihood) של האיום.
• בחירת התגובות לסיכונים.
• יישום בקרות וטיפול בסיכונים.
• העברת מידע בנוגע לסיכונים באופן עקבי בכל שכבות הארגון.
• ניטור ותיאום של תהליכי ניהול הסיכונים ותוצריו.
• בדיקת והבטחת האפקטיביות של ניהול הסיכונים.

 האחריות על ניהול הסיכונים נתונה בידי ההנהלה הבכירה. בשנים האחרונות הורחבה אחריותם של חברי הדירקטוריון בנושא, וכיום מצופה מהדירקטוריון לוודא כי סיכונים בארגון מנוהלים. בפועל, הדירקטוריון בדרך כלל מסמיך את הנהלת הארגון לביצוע ניהול הסיכונים, וכך האחריות לזיהוי הסיכונים וניהולם היא של ההנהלה.

ישנם ארגונים, בייחוד במגזר הפיננסי, שבהם קיימת פונקציה בעלת ידע מקצועי בארגון שתפקידה לתאם ולנהל את מגוון פעילויות ניהול הסיכונים.

מעורבות הביקורת הפנימית בתהליך ניהול סיכונים

לאור החשיבות הרבה של תהליך ניהול הסיכונים בארגון, נבחן האם וכיצד יכולה הביקורת הפנימית להוסיף ערך כחלק מתהליך זה.

ככלל, הביקורת הפנימית היא פעילות עצמאית, "בלתי תלויה ואובייקטיבית של הבטחה (Assurance) וייעוץ (הגדרת הביקורת הפנימית, IPPF). נראה כי אין מחלוקת לגבי פעילויות הביקורת הפנימית המותרות והרצויות כחלק מניהול סיכונים, ובעיקרן לספק לדירקטוריון הבטחה בנוגע לאפקטיביות ניהול הסיכונים (הבטחה שהסיכונים העיקריים מנוהלים באופן הולם ומספקים ביטחון שניהול הסיכונים ומסגרת הבקרה הפנימית פועלים באופן אפקטיבי). פעילויות אלו מייצגות תהליכי ליבה של הביקורת הפנימית עבור תהליך ניהול סיכונים.

תקן 2120 של לשכת המבקרים הפנימיים העולמית (IIA) בנושא ניהול סיכונים קובע כי: "הביקורת הפנימית חייבת להעריך את האפקטיביות, ולתרום לשיפור תהליכי ניהול סיכונים". על פי הביאור לתקן, קביעה אם תהליכי ניהול סיכונים הם אפקטיביים, היא שיפוט הנובע מהערכת מבקרים פנימיים כאשר:

• סיכונים משמעותיים מזוהים ומוערכים (בהתבסס על יעדי הארגון).
• תגובות הולמות לסיכונים נבחרות בהתאמה ל"תיאבון הארגון לסיכון".
• מידע רלוונטי אודות סיכונים נקלט ומדווח במועד בארגון, כדי לאפשר לצוות העובדים, להנהלה ולדירקטוריון לממש את תחומי האחריות שלהם.

כמו כן, התקנים הבאים מוסיפים עוד נדבכים לפעילויות המבקר הקשורות בניהול סיכונים:

• על פי תקן A1 הביקורת הפנימית חייבת להעריך חשיפות לסיכונים הקשורים לממשל תאגידי, פעילויות ומערכות מידע של הארגון, בנוגע ל:
• השגת המטרות האסטרטגיות של הארגון.
• אמינות ושלמות המידע הכספי והתפעולי.
• אפקטיביות ויעילות הפעולות והתכניות.
• שמירה על נכסים.
• עמידה בדרישות חוקים, תקנות, מדיניות, נהלים והסכמים.
• על פי תקן A2, הביקורת הפנימית חייבת להעריך את הפוטנציאל להתרחשות הונאה וכיצד הארגון מנהל סיכוני הונאה.
• תקן 2600 קובע כי כאשר המבקר הפנימי הראשי מסיק שההנהלה השלימה עם רמה מסוימת של סיכון, שעלול להיות בלתי-מקובל על הארגון, חובה עליו לשוחח על כך עם ההנהלה הבכירה. אם המבקר הפנימי הראשי מסיק כי הסוגיה לא נפתרה, המבקר הפנימי הראשי חייב לדווח על הסוגיה לדירקטוריון.

לאור האמור לעיל, ניתן לראות כי הגורמים העיקריים שיש להביא בחשבון בבואנו לקבוע את מעורבות הביקורת הפנימית בפעילות הם:

1. האם הפעילות מאיימת על העצמאות והאובייקטיביות של הביקורת הפנימית?
2. האם הביקורת הפנימית עשויה לשפר את תהליכי ניהול הסיכונים הארגוני, הבקרה והממשל התאגידי?

נדגיש כי היקף פעילות הייעוץ המבוצעת על ידי הביקורת הפנימית חייבת להיקבע בכתב האמנה של הביקורת הפנימית (Charter) על פי תקן 1000.C1 של לשכת המבקרים הפנימיים העולמית, וכן יש להגביל את פעילויות הייעוץ רק לכאלה שלביקורת הפנימית יש מומחיות בהן במשאבים הקיימים. תקן 1210.C1 קובע כי המבקר הפנימי חייב לסרב לפעילות ייעוץ או להשיג את המומחיות הנדרשת בהיעדר ידע וכישורים הדרושים לביצוע פעילות הייעוץ או חלקים ממנה.

כמו כן, על פי תקן 1130.C2, אם קיימת אפשרות לפגיעה באי-תלות או באובייקטיביות של המבקרים הפנימיים, הקשורות לשירותי הייעוץ המוצעים, חובה לתת על כך גילוי לפני קבלת מטלת הייעוץ.

אין לקבל מטלות ייעוץ רק מכיוון שההנהלה מבקשת זאת. המטלה חייבת להיות רלוונטית ומתוכננת. התקנים הבאים קובעים הוראות בנוגע למטלות ייעוץ:

• תקן C1 קובע כי ראוי שהמבקר הפנימי הראשי ישקול לבצע מטלות ייעוץ המבוססות על הפוטנציאל לשיפור ניהול הסיכונים, להוספת ערך לארגון ולשיפור פעולתו. מטלות הייעוץ שהתקבלו חייבות להיכלל בתכנית העבודה המאושרת על ידי ועדת הביקורת.
• תקן C1 קובע כי מטרות מטלת הייעוץ חייבות להתייחס לתהליכי הממשל התאגידי, ניהול הסיכונים, והבקרה במידה המוסכמת עם הלקוח.
• תקן C2 קובע כי מטרות מטלת הייעוץ חייבות להיות עקביות עם האסטרטגיות, המטרות וערכי הארגון.
• תקן C1 קובע כי במהלך ביצוע מטלת ייעוץ, מבקרים פנימיים חייבים להבטיח כי היקף מטלת הייעוץ מספק כדי לעמוד במטרות שעליהן הוסכם. אם מבקרים פנימיים מפתחים הסתייגות בנוגע להיקף המטלה במהלכה, חובה עליהם לדון עם הלקוח אודות הסתייגויות אלה, כדי לקבוע אם להמשיך בביצוע מטלת הייעוץ.

בנוסף, תקן 2120.C3 קובע כי בעת סיוע להנהלה במיסוד או בשיפור תהליכי ניהול סיכונים, מבקרים פנימיים חייבים להימנע מלקחת על עצמם אחריות ניהולית על ידי ניהול הסיכונים בפועל.

התרשים הבא (להלן – "המניפה") לקוח מתוך נייר עמדה שפורסם על ידי לשכת המבקרים הפנימיים העולמית. הוא מתאר את מגוון פעילויות ניהול הסיכונים התאגידי ומציין אלו פעילויות רצוי שיבוצעו על ידי הביקורת הפנימית, כאלה שהן לגיטימיות לביצוע על ידי הביקורת הפנימית וכאלה שרצוי כי הביקורת הפנימית לא תבצע:

מקור: IIA Position Paper: The Role Of Internal Auditing in Enterprise-Wide Risk Management, IIA The Institute of Internal Auditors, January 2009. תרגום: עו"ד אלון קוחלני

הפעילויות בצד שמאל של ה"מניפה" הן פעילויות הבטחה. פעילות ביקורת פנימית העומדת בתקנים הבינלאומיים, צריכה לבצע לפחות חלק מהפעילויות האלו.

הפעילויות במרכז התרשים הן פעילויות ייעוץ העשויות לשפר את הממשל התאגידי, ניהול הסיכונים, ותהליכי הבקרה בארגון. פעילויות אלו הן לגיטימיות בכפוף לאמצעי זהירות מקצועיים. בעוד נייר העמדה מתאר אמצעי זהירות שיש לנקוט, פעילויות אלו מתמקדות באי לקיחת החלטות ניהוליות. מעורבות הביקורת הפנימית בפעילויות אלו עשויות להוסיף ערך לארגון.

לבסוף, הפעילויות בצד ימין הן כאלה שרצוי כי הביקורת הפנימית לא תיקח על עצמה מכיוון שהן באחריות ההנהלה ועלולות לפגוע באופן ברור בעצמאות ובאובייקטיביות הביקורת הפנימית.

נציין כי כאשר בשלות תהליך ניהול הסיכונים בארגון גדלה וניהול הסיכונים הופך להיות מוטבע יותר בפעילות העסקית, תפקיד הביקורת הפנימית בניהול הסיכונים התאגידי עשוי וצריך להצטמצם. באותו אופן, אם ארגון מעסיק את שירותיו של מומחה לניהול סיכונים או פונקציה שכזו, סביר כי הביקורת הפנימית תיתן ערך על ידי התמקדות בתפקיד ההבטחה שלה, מאשר ביצוע של פעילויות ייעוץ.

בתחומים שבחלקה האמצעי של ה"מניפה" טמון לדעתנו הערך המוסף של הביקורת הפנימית – בכפוף לזהירות הראויה, כדלקמן:

• סיוע בזיהוי ובהערכת הסיכונים

הכוונה במילה "סיוע" (Facilitation) היא לאפשר/לקדם את התרחשותו.

מבקרי פנים יכולים ליישם את מומחיותם וכישרונם כדי לספק ייעוץ מועיל להנהלה בנוגע לזיהוי והערכה של סיכונים. סיוע זה יכול להיעשות לדוגמה על ידי השתתפות בסדנת סיכונים (סיעור מוחות), באמצעות מתן משובים על מטריצת תעדוף הסיכונים של ההנהלה, באמצעות סקירה של ממצאי ביקורת מהותיים שמומלץ להנהלה לקחת בחשבון בעת התהליך, ועוד. על הביקורת הפנימית להקפיד כי במהלך הסיוע להנהלה היא לא הופכת לגורם המנחה את ההנהלה באילו סיכונים להתמקד ובקביעת התיאבון לסיכון, כדי שלא ליטול את האחריות מההנהלה.

• הדרכת/אימון ההנהלה להגיב לסיכונים

אימון משמעו נקיטת פעולות שונות, ובהן סדנאות הדמיה, כדי לאמן ולהכין את ההנהלה למצבי סיכון שונים, ובכך להבטיח את ההמשכיות העסקית של הארגון. במילים אחרות, אימון נועד לשפר את יכולת ההנהלה להגיב באופן אפקטיבי לסיכון, כדי שההנהלה תוכל להתמודד טוב יותר עם סיכונים ולקבל החלטות מושכלות בתכנון וביישום התגובות לסיכונים. האימון יכול להתמקד בבקרות ספציפיות כאשר מזוהות חולשות מסוימות. לחילופין, אימון יכול להיות כללי יותר, במטרה לבנות הבנה רחבה של הסיכונים והחלופות לתגובה אליהם. המטרה באימון היא ליצור תנאים שבהם הנהלה עושה שימוש מושכל בידע ובכישורים שנרכשו.

למבקרים הפנימיים יש יתרונות רבים היכולים לסייע לאימון ההנהלה במוכנות ובתגובה לסיכון, וזאת מכיוון ש:

• המבקרים הפנימיים מכירים ומבינים את הארגון.
• המבקרים הפנימיים מומחים בממשל, סיכון ובקרה.
• האינטראקציה של המבקרים הפנימיים עם אנשי הארגון כרוכה לעתים קרובות באימון והדרכה.
• תיאום פעילויות ניהול סיכונים

לא כל הארגונים מיישמים פרקטיקה לניהול סיכונים כולל. המבקרים הפנימיים יכולים לסייע להנהלה בתיאום פעילויות ניהול סיכונים, כדי לשפר את העקביות, האפקטיביות והיעילות שלהן.

כדי לנהוג באופן עקבי, סביר כי המבקרים הפנימיים יהיו מעורבים בתיאום נושאים בניהול סיכונים, לדוגמה:

• סקירת מסמכים הקשורים לניהול סיכונים כדי לזהות האם הארגון כולו משתמש באותם מונחים והגדרות.
• פגישות עם מנהלים כדי להגביר את המודעות שלהם לאחריותם, לשימוש בנוהלי ניהול סיכונים, ואת הבנתם באשר לסובלנות לסיכון.
• החלטה על לוחות זמנים של סקירת סיכונים, הכנת רשימת סיכונים ועדכונם. 

• דיווחים מאוחדים על הסיכונים

בעלי עניין רבים (מתוך הארגון ומחוצה לו) סומכים על אפקטיביות הדיווחים. היכולת לאחד דיווחים תחת מערכת מובנית אחת, נשענת על תיאום אפקטיבי של פעילויות ניהול סיכונים וזיהוי קהל היעד לדיווח ודרישותיו.

אחד מתפקידי המפתח של מנהל הסיכונים הראשי (CRO) הוא לאחד דיווחים שונים לדוח אחד המציג את כל הסיכונים שאליהם הארגון החשוף. בהיעדר מנהל סיכונים ראשי, מבקר הפנים יכול להתבקש לקחת על עצמו תפקיד זה.

• תחזוקה ופיתוח של מסגרת ניהול הסיכונים

לתחזק מסגרת ניהול סיכונים משמעו לקיים פרקטיקה מתפקדת לניהול סיכונים, על ידי בדיקה כי רכיבי המודל פועלים כראוי וכי החריגים מדווחים להנהלה. פיתוח המסגרת דורש ניתוח של המצב הקיים, הסכמה לגבי השיפורים הנדרשים, והצעת תכנית להנהלה ליישום השינויים הנדרשים. בקשה לייעוץ שכזה צריכה להיות לפרק זמן מוגבל בלבד, ובסיומו על ההנהלה ליטול אחריות מלאה.

• תמיכה בהקמת ניהול סיכונים

המבקרים הפנימיים, כסוכני שינוי בארגון, מעודדים את ההנהלה, באמצעות המלצות, להגביר את בשלות תהליכי ניהול הסיכונים. גם הביקורת הפנימית עצמה "נהנית" ממסגרת ניהול סיכונים מפותחת.

• פיתוח אסטרטגיית ניהול סיכונים לאישור הדירקטוריון

הדירקטוריון אחראי לוודא כי ניהול הסיכונים קיים ולאשר את האסטרטגיה. הביקורת הפנימית יכולה לסייע בניסוח אסטרטגיית ניהול סיכונים. הביקורת הפנימית יכולה לסייע להנהלה בפיתוח גישה לניהול סיכונים, תהליכים ונהלים. מעורבות כזו בהקמת האסטרטגיה היא דרך להגביר את ההבנה ולקדם את חשיבות הנושא.

אמצעי זהירות

מבקר פנימי המבקש לעזור להנהלה להקים או לשפר תהליכי ניהול סיכונים, חייב לנקוט משנה זהירות כדי לא להפר את אי התלות. תכנית העבודה תכלול מדיניות ברורה ולוח זמנים מסודר להעברת האחריות על מקטעים בתהליך ניהול הסיכונים שהובילה הביקורת הפנימית לזמן קצוב עד למיסודם על ידי ההנהלה.

כדי להבטיח כי מעורבותה של הביקורת הפנימית בניהול הסיכונים התאגידי אינה פוגעת באי-תלות, מומלץ לנקוט את אמצעי הזהירות הבאים:

• יש להבהיר כי תהיה מעורבות של הביקורת הפנימית אשר תהיה, ההנהלה היא זו שנשארת אחראית לניהול הסיכונים.
• אחריות המבקר הפנימי צריכה להיות מתועדת בכתב האמנה של הביקורת הפנימית ומאושרת על ידי הדירקטוריון.
• הביקורת הפנימית לא תנהל עבור ההנהלה סיכונים.
• ביקורת פנימית צריכה לספק ייעוץ להנהלה כדי לסייע לה לקבל החלטות, בניגוד לקבלת החלטות בניהול סיכונים במקום ההנהלה.
• הביקורת הפנימית לא יכולה, בנוסף על פעילות הייעוץ, לתת הבטחה אובייקטיבית על כל חלק של מסגרת ניהול סיכונים תאגידי שייעצה בו. במקרים כאלה ההבטחה צריכה להינתן על ידי גורם מתאים אחר.

כישורים וידע

יש להגביל את פעילויות הייעוץ רק לכאלה שלביקורת הפנימית יש את הכישורים המתאימים והידע בהן. ללא אלה, המבקר הפנימי חייב לסרב לפעילות ייעוץ או להשיג את המומחיות הנדרשת בהיעדר ידע וכישורים הנדרשים לביצוע פעילות הייעוץ או חלק ממנה. 

סיכום

בעשורים האחרונים המורכבות בעולם העסקי מתגברת. עובדה זו שמה במוקד את הסיכונים שעלולים לפגוע ביעדי הארגון ולפגום בפעילותו. במקביל לרוח הגבית מכיוון הרגולציה, שמחייבת ומעודדת יישום של תהליך ניהול סיכונים בארגון, גוברת חשיבות ניהול הסיכונים לארגון.

כחלק מתפקידי הליבה של המבקר הפנימי בניהול הסיכונים התאגידי, הביקורת הפנימית צריכה לספק הבטחה להנהלה ולדירקטוריון על אפקטיביות ניהול הסיכונים. כאשר הביקורת הפנימית מרחיבה את פעילותה מעבר לתפקיד ליבה זה, יש לנקוט אמצעי זהירות על פי התקנים הבינלאומיים. כך הביקורת הפנימית תגן על עצמאותה ועל האובייקטיביות שלה.

בתוך אילוצים אלו, תרומתה של הביקורת הפנימית היא בהוספת הערך ושיפור הבקרה הפנימית. כמו כן, המבקר הפנימי יכול לנצל את הידע הרב שצבר על התהליכים בארגון כדי לסייע בשיפור תהליך ניהול הסיכונים.

מבקרים פנימיים שיבחרו שלא להיות מעורבים בתהליך ניהול הסיכונים עלולים להחמיץ הזדמנות להוסיף ערך לארגון ולפתח קשר חזק יותר עם הדירקטוריון.

ביבליוגרפיה

התקנים המקצועיים הבינלאומיים של לשכת המבקרים הפנימיים העולמית (IIA), מהדורת יולי 2015, איגוד המבקרים הפנימיים בישראל (www.theiia.org.il)

IIA Position Paper: The Role of Internal Auditing in Enterprise-Wide Risk Management, The Institute of Internal Auditors (IIA), January 2009

Internal Auditing’s Role in Risk Management, The Institute of Internal Auditors Research Foundation (IIARF) White Paper, March 2011

קוחלני, א', ביקורת פנימית מבוססת סיכונים – ניהול סיכונים ככלי לעריכת ביקורת פנימית, , 2012

CRMA (Certification in Risk Management Assurance), Exam Study Guide, The Institute of Internal Auditors Research Foundation (IIARF), 1^st Edition

Internal Audit Involvement in Enterprise Risk Management, Griffith Business School Discussion Paper, Laura de Zwaan, Jenny Stewart and Nava Subramaniam, 2009

The post הביקורת הפנימית וניהול הסיכונים בארגון – היכן עובר הגבול? appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

 תמצית מנהלים

לשכת המבקרים הפנימיים העולמית (IIA) מינתה בשנת 2013 צוות משימה לצורך בחינה מחדש של מסגרת הכללים המקצועיים הבינלאומיים. בחינה זו הושלמה בחודש נובמבר 2014 וכללה את הערכת התוכן והמבנה של הכללים המקצועיים. הצוות הונחה לקבוע האם נדרשות התאמות במבנה מסגרת הכללים המקצועיים, לתועלת חברי ה-IIA ומקצוע הביקורת הפנימית בכללותו, לצורך הגברת הרלוונטיות של המסגרת.

בשעה שהמסגרת הקודמת שירתה את המקצוע נכון לזמנה, בשנים האחרונות המקצוע שינה את פניו והתפתח. גורמים גלובליים הכוללים חוקים ורגולציות, וכן דרישות השוק לפיקוח משופר, ניהול סיכונים ובקרה פנימית, הגבירו את הציפיות והדרישות מהעוסקים בביקורת פנימית. באזורים מסוימים ובתעשיות מסוימות פורסמו רשמית דרישות ביקורת פנימית נוספות, דרישות שהושפעו מרגולציה. בכמה מהמקרים השפעה זו הייתה ניסיון למלא חללים מסוימים בתוכן מסגרת הכללים המקצועיים. בנוסף, מבקרים פנימיים ראשיים והעוסקים במקצוע המשיכו לדרוש איכות גבוהה של הנחיות מקצועיות עם נקודת מבט צופה קדימה.

בסקר שנערך לקראת פרסום העדכון לתקנים, כ-85% מהחברים הנשאלים תמכו בשינויים המוצעים.

ביולי 2015 פרסמה לשכת המבקרים הפנימיים העולמית את המסגרת החדשה של הכללים המקצועיים הבינלאומיים.

במסגרת המודל החדש יש הנחיות חובה (Mandatory Guidance) והנחיות מומלצות (Recommended Guidance). אימוץ הנחיות החובה הוא נדרש ונחוץ לצורך יישום מקצועי של ביקורת פנימית.

הנחיות החובה במסגרת המודל החדש כוללות את האלמנטים הבאים:

• עקרונות ליבה של הביקורת הפנימית.
• התקנים המקצועיים הבינלאומיים.
• הקוד האתי.
• הגדרת הביקורת הפנימית.

ההנחיות המומלצות במסגרת המודל החדש כוללות הנחיות יישום (Implementation Guidance) והנחיות משלימות (Supplemental Guidance).

השיפורים שבוצעו בתוכן ובמבנה מסגרת הכללים הם:

• הצגת משימת הביקורת הפנימית המהווה בסיס למסגרת ותומכת בה, כדי לתאר באופן ברור ותמציתי את מטרת העל של הביקורת הפנימית בארגונים שבהם היא פועלת.
• הצגת עקרונות ליבה של הביקורת הפנימית, כדי לבטא את האלמנטים העיקריים המתארים את אפקטיביות הביקורת הפנימית.
• שינוי מינוח ההנחיות "הנחיות לפרקטיקה" (Practice Guide) ו"נוהלי ייעוץ" (Practice Advisory) ל"הנחיות יישום" (Implementation Guidance) ו"הנחיות משלימות" (Supplemental Guidance) בהתאמה, כדי לבטא מה כל שכבה כזו אמורה להשיג – סיוע ביישום של התקנים או השלמת המסגרת בדוגמאות ספציפיות.
• הוצאת ניירות העמדה ממסגרת הכללים – בראש ובראשונה ניירות עמדה אלו כללו מידע בדבר תפקיד הביקורת הפנימית בארגון. למרות חשיבותם, אין הם צריכים להיות חלק מהמסגרת המוכוונת להנחות את העוסקים במקצוע בהוצאה לפועל של האחריות שלהם.

להלן תיאור גרפי של המסגרת החדשה של הכללים המקצועיים הבינלאומיים:

משימת הביקורת הפנימית (Mission of Internal Audit)

משימת הביקורת הפנימית נועדה לתמוך במקצוע הביקורת הפנימית. היא נועדה לבטא את מה שהביקורת הפנימית שואפת להשיג בארגון.

מיקומה של הצהרת המשימה ב-IPPF נועד להבהיר כיצד ראוי שהעוסקים בביקורת פנימית ימנפו את המסגרת בכללותה כדי לסייע ליכולת שלהם בהשגת המשימה.

משימת הביקורת הפנימית הוגדרה כדלהלן:

לחזק ולהגן על ערך הארגון על ידי מתן הבטחה (Assurance), עצה (Advice) ותובנה (Insight) אובייקטיביות ומבוססות  סיכון.

השגת המשימה נתמכת באמצעות המסגרת הכוללת – עקרונות הליבה של הביקורת הפנימית, הגדרת הביקורת הפנימית, הקוד האתי, התקנים המקצועיים, וההנחיות המקצועיות.

הנחיות חובה (Mandatory Guidance)

עקרונות ליבה של הביקורת הפנימית (Core Principles)

עקרונות הליבה, בכללותם, מבטאים את מועילות (אפקטיביות) הביקורת הפנימית. כדי שפונקציית הביקורת הפנימית תיחשב אפקטיבית, ראוי שכל העקרונות יתקיימו ויפעלו ביעילות. יישום עקרונות הליבה על ידי מבקר פנימי או יחידת ביקורת פנימית יכול להיות שונה מארגון לארגון, אך מכֶּשֶל ביישום עיקרון כלשהו עלול להשתמע כי פעילות הביקורת הפנימית אינה אפקטיבית כפי שיכלה להיות בהשגת משימת הביקורת הפנימית.

להלן עקרונות הליבה של הביקורת הפנימית:

1. מפגינה יושרה.
2. מפגינה כשירות וזהירות מקצועית ראויה.
3. אובייקטיבית ומשוחררת מהשפעה בלתי הולמת (בלתי תלויה).
4. תואמת את האסטרטגיות, היעדים והסיכונים של הארגון.
5. ממוקמת באופן הולם בארגון ובעלת משאבים מספקים.
6. מפגינה איכות ושיפור מתמשך.
7. מתקשרת באופן אפקטיבי.
8. מספקת הבטחה מבוססת סיכונים.
9. בעלת תובנה, פרואקטיבית (נוקטת יוזמה) וממוקדת בעתיד.
10. מקדמת שיפור ארגוני.

הצגת עקרונות אלו תקל על העוסקים במקצוע להתמקד בנושאים החשובים. העקרונות אמורים גם לייעל את התקשורת עם בעלי עניין, כולל רגולטורים, באשר לעדיפויות המגדירות ביקורת פנימית אפקטיבית.

כדי לספק פילוח הגיוני, העקרונות אינם מסודרים לפי סדר חשיבותם אלא בקבוצות:

• עקרונות 1 – 3: מתייחסים למבקר הפנימי כפרט ולפעילות הביקורת הפנימית בכלל (Input).
• עקרונות 4 – 7: מתייחסים לפעילות הביקורת הפנימית ותהליכיה (Process).
• עקרונות 8 – 10: מתייחסים לתוצרים של פעילות הביקורת הפנימית (Output).

התקנים המקצועיים (Standards)

התקנים מבוססי עקרונות ומספקים מסגרת לביצוע ולקידום ביקורת פנימית. קיימים כיום 51 תקנים המציגים דרישות מחייבות, ובהן:

• הוראות בנוגע לדרישות בסיסיות לצורך הפרקטיקה המקצועית של ביקורת פנימית ולצורך הערכת יעילות פעילותה. הדרישות הן בינלאומיות וחלות על ארגונים ויחידים.
• ביאורים המבהירים את המושגים והתפיסות המופיעים בהוראות.
• מילון מונחים.

כדי להבין נכון את התקנים חשוב להתייחס הן לתקנים והן לביאורים. בתקנים אומצו מושגים שקיבלו פרשנות מסוימת, כפי שמפורט במילון המונחים (שהוא חלק מהתקנים).

נציין כי תקנים  מעודכנים פורסמו בינואר 2013. התקנים המקצועיים נחלקים לתקני תכונות (Attribute Standards) ולתקני ביצוע (Performance Standards). תקני התכונות עוסקים בתכונות הנדרשות מיחידים ומארגונים המבצעים ביקורת פנימית (כגון אי תלות ואובייקטיביות, כפיפות ארגונית המאפשרת לביקורת הפנימית לבצע את תפקידה, גישה ישירה לדירקטוריון, וכו'). תקני הביצוע מתארים את אופי פעילות הביקורת הפנימית ומספקים אמות מידה לצורך הערכת איכות השירותים המסופקים (כגון תכנון עבודת הביקורת הפנימית תוך התבססות על הערכת סיכונים, דיווח להנהלה הבכירה ולדירקטוריון, וכו').

 הקוד האתי (Code of Ethics)

הקוד האתי קובע את העקרונות ואת כללי ההתנהגות המצופים מיחידים ומארגונים בניהול ובביצוע הביקורת הפנימית. הקוד מפרט את דרישות המינימום לכללי התנהגות נאותה (יושרה, אובייקטיביות, סודיות וכשירות), ומטרתו לקדם תרבות אתית בקרב העוסקים בביקורת הפנימית.

הגדרת מקצוע הביקורת הפנימית (Definition of Internal Audit)

הגדרת הביקורת הפנימית מבטאת את המטרה, האופי והמרחב (Scope) של הביקורת הפנימית:

ביקורת פנימית הינה פעילות בלתי תלויה ואובייקטיבית של הבטחה וייעוץ, המיועדת להוסיף ערך ולשפר את פעולות הארגון. היא מסייעת לארגון להשיג את מטרותיו בהבאת גישה שיטתית וממוסדת לשם הערכה ושיפור האפקטיביות של תהליכי ניהול סיכונים, בקרה, פיקוח וממשל תאגידי.

הנחיות מומלצות (Recommended Guidance)

הנחיות יישום (Implementation Guidance) והנחיות משלימות (Supplemental Guidance)

הנחיות יישום (Implementation Guidance) נועדו לסייע למשתמשים ביישום התקנים. הנחיות יישום יספקו גישות פוטנציאליות או גישות מקובלות להשגת התאמה לתקנים.

הנחיות יישום לא יפרטו תהליכים ונהלים כגון תכניות עבודה או מודלים, מפני שאלה יטופלו כחלק מההנחיות המשלימות. הנחיות יישום נועדו להיות מקיפות יותר מאשר נוהלי ייעוץ (Practice Advisories), והציפייה היא שכל אחד מהתקנים ייתמך על ידי הנחיית יישום. במהלך החודשים העוקבים לפרסום מסגרת הכללים החדשה (18-12 חודשים) יפותחו הנחיות יישום שיחליפו את נוהלי הייעוץ הקיימים.

הנחיות משלימות (Supplemental Guidance) הן הנחיות נוספות לניהול פעולות של ביקורת פנימית. ההנחיות המשלימות מיועדות לטפל בנושאים נקודתיים וכאלה השייכים לסקטורים מסוימים (כגון מגזר הפיננסים, תחום טכנולוגיות המידע, מעילות והונאות, ניהול סיכונים, וכו'). ההנחיות המשלימות יכללו גם תהליכים ונהלים מפורטים כגון טכניקות וכלים, תכניות וגישות, לרבות דוגמאות של תוצרים.

עם פרסום המסגרת החדשה (החל מיולי 2015), כל ההנחיות לפרקטיקה (Practice Guides), הנחיות ביקורת טכנולוגיה (Global Technology Audit Guides – GTAGs) וההנחיות להערכת סיכוני טכנולוגיות מידע (Guides to the Assessment of IT Risks – GAIT) הופכות לחלק מההנחיות המומלצות המשלימות.

ניירות עמדה (Position Papers)

ניירות העמדה מסייעים לקשת רחבה של אנשים, כולל כאלה שאינם עוסקים בביקורת פנימית, בהבנת סוגיות משמעותיות בממשל תאגידי, סיכונים ובקרות, ומתארים את תפקיד הביקורת הפנימית.

ניירות העמדה אינם חלק מהמסגרת החדשה, אך הם עדיין רלוונטיים ובני תוקף.

סיכום השינויים במסגרת הכללים

כפי שנדון בהרחבה לעיל, התרשים הבא מתאר את השינויים בין מסגרת הכללים החדשה וקודמתה.

תחילה

פרסום מסגרת הכללים החדשה נכנסת לתוקף עם פרסומה (יולי 2015). בהמשך ייכתבו הנחיות היישום וההנחיות המשלימות (החל משנת 2016).

ביבליוגרפיה

• Proposed Enhancements to The Institute of Internal Auditors International Professional Practices Framework (IPPF). August 4, 2014. The Institute of Internal Auditors (IIA).
• The IIA website – The Framework for Internal Audit Effectiveness: The New IPPF.
• A New Framework for a New age by Jane Seago – Internal Auditor Magazine August 2015

The post International Professional Practices Framework (IPPF) – The IIA (The Institute of Internal Auditors) appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.

הקדמה

בשנת 1992 פרסם ארגון ה-COSO (Committee of Sponsoring Organizations of the Treadway Commission) את מודל הבקרה הפנימית (Internal Control – Integrated Framework). המודל זכה לאימוץ ושימוש נרחב ברחבי העולם והוא מוכר כמודל המוביל לעיצוב ויישום של בקרה פנימית ולהערכת אפקטיביות הבקרה הפנימית.

בשנים שחלפו מאז השתנתה הסביבה העסקית והתפעולית השתנתה הן מבחינת מורכבותה והן מבחינה טכנולוגית וגלובלית (כגון התרחבות לשווקים גלובליים, דרישות חוקיות ורגולטוריות, שימוש והישענות על טכנולוגיות מתפתחות, ועוד). בה בעת בעלי עניין מחפשים כיום שקיפות גדולה יותר ושלמות של מערכת הבקרה הפנימית התומכת בהחלטות עסקיות ובממשל תאגידי.

ארגון ה-COSO פרסם במאי 2013 את המודל החדש שיאפשר לארגונים לפתח ולתחזק ביעילות מערכת בקרה פנימית שתגדיל את הסבירות להשגת יעדי הארגון והתאמתו לשינויים בסביבה העסקית והתפעולית.

המודל החדש משמר את הגדרת הבקרה הפנימית ואת חמשת מרכיביה: סביבת הבקרה (Control Environment), הערכת סיכונים (Risk Assessment), פעולות בקרה (Control Activities), מידע ותקשורת (Information & Communication), ופעולות ניטור (Monitoring Activities), וכן משמר את חשיבות שיקול דעת ההנהלה בבואה לעצב וליישם בקרה פנימית ולהעריך את האפקטיביות שלה.

אחד השיפורים הבולטים של המודל החדש הוא הפורמליזציה של מושגי היסוד שהוצגו במודל הישן. במודל החדש הם מוגדרים כעקרונות הכפופים לחמשת מרכיבי הבקרה הפנימית. עקרונות אלה מבהירים את עיצוב המודל ויישומו.

המודל כולל גם נקודות למיקוד המדגישות את המאפיינים החשובים הנוגעים לעקרונות שמתווה המודל.

כמו כן, המודל מרחיב את קטגוריית הדיווח הפיננסי, וכולל עתה דיווח שאינו פיננסי וכן דיווחים פנימיים (נוסף על הדיווחים החיצוניים).

מאמר זה מתאר את המודל החדש ומבוסס על פרסומי ה-COSO הרשמיים. המאמר מיועד לחברי דירקטוריון, מנכ"לים וחברי הנהלה אחרים בבואם לדון, לעצב, ליישם ולהעריך את מערכת הבקרה הפנימית.

 הגדרת הבקרה הפנימית על פי ה-COSO:

בקרה פנימית היא תהליך המושפע מהדירקטוריון, מההנהלה ומאחרים, המיועד לספק מידה סבירה של ביטחון באשר להשגת יעדי התפעול, הדיווח והציות של הארגון.

מודל ה-COSO החדש

קטגוריות היעדים

המודל מספק שלוש קטגוריות של יעדים המאפשרים לארגונים להתמקד בהיבטים שונים של בקרה פנימית:

• יעדים תפעוליים – קטגוריה הנוגעת ליעילות התפעולית של הארגון, הכוללת יעדי ביצוע תפעוליים ופיננסיים.
• יעדי דיווח – קטגוריה הנוגעת לדיווחים פנימיים וחיצוניים וכן דיווחים פיננסיים ואחרים (שאינם פיננסיים). הקטגוריה מקיפה, בין היתר, מהימנות, שקיפות ומושגים אחרים שנקבעו על ידי הרגולטורים או נוהלי הארגון.
• יעדי ציות – קטגוריה הנוגעת להיצמדות לחוקים ורגולציה החלים על הארגון.

חמשת מרכיבי בקרה פנימית

בקרה פנימית כוללת חמישה מרכיבים משולבים:

1. סביבת בקרה (Control Environment) – סביבת הבקרה היא קבוצה של סטנדרטים ותהליכים המספקים את הבסיס לביצוע בקרה פנימית בארגון. הדירקטוריון וההנהלה הבכירה צריכים לקבוע את ה"טון בצמרת" בנוגע לחשיבות הבקרה הפנימית, לרבות תקנים להתנהגות. סביבת הבקרה כוללת יושרה וערכים אתיים של הארגון; הפרמטרים שמאפשרים לדירקטוריון לפקח ולבצע את אחריותו; המבנה הארגוני והקצאת סמכות ואחריות; התהליך למשיכת, פיתוח ושימור אנשים מוכשרים; הקפדה על מדדי ביצוע, תמריצים ותגמולים כדי להוביל מחויבות לביצוע, וכו'.
2. הערכת סיכונים (Risk Assessment) – כל ארגון עומד בפני מגוון של סיכונים ממקורות חיצוניים ופנימיים. סיכון מוגדר כאפשרות שאירוע יתרחש ועלול להשפיע לרעה על העמידה ביעדי הארגון. הערכת הסיכונים כרוכה בתהליך דינמי וחוזר לזיהוי והערכת הסיכונים להשגת יעדים. הסיכון להשגת יעדים אלה קשור לקביעת הסובלנות לסיכון (Risk Tolerance). לפיכך הערכת הסיכונים מהווה את הבסיס לקביעה כיצד הסיכונים ינוהלו.
3. פעולות בקרה (Control Activities) – פעולות בקרה הן פעולות הנקבעות בנהלים המסייעים להבטיח שהנחיות ההנהלה יפחיתו סיכונים לאי השגת יעדי הארגון. פעולות בקרה מתבצעות בכל הרמות של הארגון, בשלבים שונים של תהליכים עסקיים ובסביבה הטכנולוגית. הן עשויות להיות מונעות או מגלות ועשויות לכלול בתוכן מגוון רחב של פעולות ידניות ואוטומטיות, כגון הרשאות, אישורים, התאמות וסקירת ביצועים. הפרדת תפקידים היא בדרך כלל חלק מהבחירה והפיתוח של פעולות בקרה. היכן שהפרדת התפקידים אינה מעשית, ההנהלה בוחרת ומפתחת פעולות בקרה חלופיות.
4. מידע ותקשורת (Information and Communication) – מידע נחוץ לארגון כדי לממש את אחריות הבקרה הפנימית לתמוך בהשגת יעדי הארגון. ההנהלה משיגה או מפיקה ומשתמשת במידע רלוונטי ואיכותי ממקורות פנימיים וחיצוניים כדי לתמוך בתפקוד מרכיבי הבקרה הפנימית האחרים. תקשורת היא מתמשכת, ולכן זהו תהליך חוזר ונשנה של מתן, שיתוף וקבלת מידע נחוץ.
5. פעולות ניטור (Monitoring Activities) – קיום הערכות שוטפות ואחרות כדי לוודא כי כל אחד ממרכיבי הבקרה הפנימית קיים ומתפקד. הערכות שוטפות, המובנות כחלק מתהליכים עסקיים ברמות שונות של הארגון, מספקות מידע בזמן. הערכות אחרות הנערכות מעת לעת, תשתנינה בתדירותן ובהיקפן בהתאם להערכת הסיכונים, ליעילותן של ההערכות השוטפות ולשיקולי הנהלה אחרים. ממצאים נבדקים מול קריטריונים שנקבעו על ידי רגולטורים, גופי תקינה אחרים או על ידי ההנהלה והדירקטוריון, וליקויים מועברים להנהלה ולדירקטוריון.

הקשר בין יעדים ומרכיבים

קיים קשר ישיר בין יעדים (שאותם הארגון שואף להשיג) למרכיבים (המייצגים את מה שנדרש כדי להשיג את היעדים) ולמבנה הארגוני של הארגון. ניתן לתאר קשר זה בצורה של קובייה.

• שלוש הקטגוריות של היעדים: תפעולי (operations), דיווח ( (reportingוציות compliance)) מוצגים במעלה הקובייה.
• חמשת המרכיבים של הבקרה הפנימית מוצגים בקדמת הקובייה.
• המבנה הארגוני של הארגון מוצג בממד השלישי של הקובייה.

בתמונה: מודל COSO 2013.

מרכיבים ועקרונות

זהו למעשה החידוש המרכזי של המודל. המודל קובע 17 עקרונות המייצגים את מושגי היסוד הקשורים לכל אחד מהמרכיבים. מכיוון שעקרונות אלה נמשכים ישירות מהמרכיבים, ארגון יכול להשיג בקרה פנימית אפקטיבית רק על ידי יישום של כל העקרונות. כל העקרונות מתייחסים ליעדים תפעוליים, דיווח וציות. להלן העקרונות התומכים במרכיבי הבקרה הפנימית:

• סביבת בקרה (Control Environment)

1. הארגון מפגין מחויבות ליושרה וערכים אתיים.
2. הדירקטוריון מפגין עצמאות מההנהלה ומפקח על פיתוח ויישום בקרה פנימית.
3. ההנהלה, תחת פיקוח הדירקטוריון, קובעת את המבנה, את ערוצי הדיווח, ואת הסמכות והאחריות להשגת יעדים.
4. הארגון מפגין מחויבות למשוך, לפתח ולשמר אנשים מוכשרים בהתאמה ליעדי הארגון.
5. הארגון משמר אחריות לבקרה פנימית בקרב עובדיו בהתאמה ליעדי הארגון.

• הערכת סיכונים (Risk Assessment)

6. הארגון מפרט את יעדיו בבהירות מספקת כדי לאפשר זיהוי והערכת סיכונים הקשורים ליעדים.
7. הארגון מזהה סיכונים להשגת יעדיו בכל רבדיו, ומנתח את הסיכונים כבסיס לקביעה כיצד על הסיכונים להיות מנוהלים.
8. הארגון מתייחס לפוטנציאל להונאה בהערכת הסיכונים להשגת יעדים.
9. הארגון מזהה ומעריך שינויים העלולים להשפיע באופן משמעותי על מערכת הבקרה הפנימית.

• פעילויות בקרה (Control Activities)

10. הארגון בוחר ומפתח פעילויות בקרה המסייעות להוריד את הסיכונים להשגת יעדים עד לרמות מקובלות.
11. הארגון בוחר ומפתח פעילויות בקרה כלליות על מערכות המידע כדי לתמוך בהשגת יעדיו.
12. הארגון ממסד פעילויות בקרה במדיניות הקובעת את המצופה ובנהלים המפרשים את המדיניות לצעדים בפועל.

• מידע ותקשורת (Information and Communication)

13. הארגון משיג או מפיק ומשתמש במידע רלוונטי ואיכותי כדי לתמוך בתפקוד הבקרה הפנימית.
14. הארגון מְתקשר פנימה מידע נחוץ (לרבות יעדים ואחריות לבקרה הפנימית) כדי לתמוך בתפקוד הבקרה הפנימית.
15. הארגון מתקשר עם גורמים חיצוניים בעניינים המשפיעים על תפקוד הבקרה הפנימית.

• פעולות ניטור (Monitoring Activities)

16. הארגון בוחר, מפתח ומבצע הערכות שוטפות ו/או אחרות של מרכיבי בקרה פנימית, כדי לוודא כי מרכיבי הבקרה הפנימית קיימים ומתפקדים.
17. הארגון מעריך ומתקשר ליקויי בקרה פנימית בזמן לגורמים האחראים על תיקונם, כולל להנהלה הבכירה ולדירקטוריון, לפי העניין.

בקרה פנימית אפקטיבית

המודל קובע את הדרישות למערכת יעילה של בקרה פנימית. מערכת יעילה מְספקת מידה סבירה של ביטחון לגבי השגת יעדי הארגון. מערכת אפקטיבית של בקרה פנימית מפחיתה לרמה רצויה את הסיכון לאי השגת יעדי הארגון ועשויה להתייחס לקטגוריה אחת, לשתיים או לכל שלוש קטגוריות היעדים. זה דורש כי:

• כל אחד מחמשת המרכיבים והעקרונות הרלוונטיים קיים ומתפקד. "קיים" מתייחס לקביעה כי המרכיבים והעקרונות הרלוונטיים קיימים בעיצוב ויישום של מערכת הבקרה הפנימית להשגת יעדים. "מתפקד" מתייחס לקביעה כי המרכיבים והעקרונות הרלוונטיים ממשיכים להתקיים כחלק ממערכת הבקרה הפנימית כדי להשיג יעדים.
• חמשת המרכיבים פועלים יחד בצורה משולבת. כלומר, כל חמשת המרכיבים מפחיתים לרמה נדרשת את הסיכון לאי השגת יעד. יש תלות הדדית ויחסי גומלין בין המרכיבים.

מגבלות המודל

המודל מכיר בכך שבעוד שבקרה פנימית מספקת מידה סבירה של ביטחון להשגת היעדים של הארגון, היא איננה יכולה למנוע שיקול דעת מוטעה, החלטה מוטעית או אירועים חיצוניים שיכולים לגרום לארגון לאי השגת יעדיו. במילים אחרות, אפילו מערכת יעילה של בקרה פנימית יכולה לחוות כשל.

מגבלות אלו מוֹנעות מהדירקטוריון וההנהלה מלקבל ביטחון מוחלט בהשגת יעדי הארגון – בקרה פנימית מספקת ביטחון סביר אך לא מוחלט. על אף המגבלות הללו, ההנהלה צריכה להפעיל שיקול דעת בעת בחירה, פיתוח ויישום של בקרות הממזערות ככל שניתן מגבלות אלו.

המסמכים הנלווים למודל

נוסף על המודל, ארגון ה-COSO פיתח את המסמכים הבאים:

• Illustrative Tools for Assessing Effectiveness of a System of Internal Control (Illustrative Tools) – כולל תבניות (Templates) ותרחישים העשויים להיות שימושיים ליישום המודל. תבניות אלו אינן חלק אינטגרלי מהמודל והן אינן מתיימרות לכלול את כל הנושאים הנדרשים להיבחן כאשר מעריכים את מערכת סביבת הבקרה. הנהלת הארגון יכולה להתאים את התבניות כדי לשקף סוגיות ייחודיות. התרחישים מציגים כמה דוגמאות פרקטיות לשימוש בתבניות לצורך הערכת האפקטיביות של מערכת הבקרה הפנימית בהתבסס על דרישות המודל.
• Internal Control over External Financial Reporting: A Compendium of Approaches and Examples (ICEFR Compendium) – כולל גישות ודוגמאות פרקטיות הממחישות את יישום מרכיבי ועקרונות המודל בהכנת הדוחות הכספיים החיצוניים. הגישות מתארות בקצרה את הפעילויות והדוגמאות והן ספציפיות ופרקטיות בנוגע לכל עיקרון של המודל. המסמך אינו מתיימר לכלול את כל ההיבטים של המרכיבים והעקרונות הדרושים לבקרה פנימית אפקטיבית, ולכן איננו מספק כדי לקבוע כי כל אחד מחמשת המרכיבים והעקרונות הרלוונטיים קיימים ומתפקדים.

יישום המודל

• ה-COSO מאמינים כי כל עיקרון מוסיף ערך, מתאים לכל הארגונים ולכן רלוונטי. במקרים שבהם ההנהלה קובעת כי עיקרון מסוים איננו רלוונטי לארגון, יש צורך לתעד את הרציונל.
• העקרונות המפורטים במודל צפויים להבהיר כיצד ליישם את המודל בעיצוב ויישום של מערכת בקרה פנימית ובהערכת האפקטיביות שלה. בנוסף, הגישה מבוססת העקרונות מסייעת להבחין מה מכוסה ומה חסר.
• המודל מתאר גם נקודות למיקוד שהן מאפיינים חשובים של העקרונות. נקודות למיקוד עשויות לעזור להנהלה בעיצוב ויישום בקרה פנימית ובהערכה האם העקרונות הרלוונטיים קיימים ומתפקדים.

המודל מכיר באפשרות כי חלק מהנקודות למיקוד אינן מתאימות או אינן רלוונטיות לכל הארגונים, וכי הארגון יכול להתייחס לנקודות מיקוד אחרות.

• אחד הדגשים החשובים של המודל החדש הוא בכך שיש לרדת מרמת יעדי הארגון לרמת הסיכונים ומשם לרמת הבקרות. הבקרות החשובות הן אלה שמנטרלות סיכונים הנוגעים ליעדים מרכזיים של הארגון.
• בעוד שהמודל שב ומדגיש כי הקמה ותחזוקה של סביבת הבקרה היא באחריותה הבלעדית של ההנהלה, לביקורת הפנימית יש תפקיד מפתח בהערכת סביבת הבקרה. פירוט העקרונות במודל מגדיל את השימוש בו על ידי הביקורת הפנימית ומסייע בבואה להעריך את העיצוב ואת האפקטיביות של הבקרה הפנימית.
• נשמרת ההבחנה בין מערך בקרה על פיCOSO ובין ניהול סיכונים כולל "ERM", והתובנה היא ששתי מסגרות עבודה אלו משלימות זו את זו.
• SOX 404דורש כי הנהלת ארגון ציבורי תאמץ מסגרת בקרה פנימית להערכה ולדיווח על עיצוב ותפעול אפקטיבי של הבקרה הפנימית. רוב החברות הציבוריות מאמצות את מודל ה-COSO.
• במעבר מהמודל הישן לחדש ובנוגע לדיווח על הבקרה הפנימית על הדיווח הפיננסי, על ההנהלה (כאמור) להעריך כיצד מערכת הבקרה הפנימית מיישמת את 17 העקרונות הקשורים לחמשת מרכיבי הבקרה הפנימית. ההנהלה צריכה לדון עם הדירקטוריון לגבי התכנית לאימוץ המודל החדש, ועל הדירקטוריון לפקח על ההנהלה בבואה ליישם את המודל החדש.
• שלבי עבודה ראשוניים:

להנהלת הכספים בארגונים המאמצים את המודל החדש (במסגרת הדיווח הפיננסי החיצוני – SOX) מומלץ לפעול כדלהלן:

• קראו את המודל החדש וזהו רעיונות חדשים ושינויים.
• בצעו סקירה ראשונית. קבעו כיצד המודל החדש משפיע על העיצוב וההערכה של הבקרה הפנימית. העריכו את רמת כיסוי עקרונות המודל על ידי התהליכים והבקרות הקיימים וקחו בחשבון את הנקודות למיקוד.
• זהו את הצעדים שיש לבצע במעבר למודל החדש.
• פתחו תכנית מעבר למודל החדש.
• שקלו לבצע walkthrough, טסטים של בקרות והערכה של ליקויי בקרה, כדי לזהות שינויים דרושים.
• הקפידו על גילוי נאות של המודל שבו נעשה שימוש בתקופת המעבר.
• תקשרו והדריכו את הדירקטוריון, את ההנהלה ועובדים רלוונטיים.
• דונו לגבי התהליך עם הביקורת הפנימית ועם המבקר החיצוני.

תחולה

ארגון ה-COSO הכריז כי המודל הישן יהיה זמין בתקופת מעבר שתימשך עד 15 בדצמבר 2014, שלאחריה יוחלף במודל החדש. ב-COSO מאמינים כי שימוש במודל הישן הולם בתקופת המעבר, וכי על שימוש במודל הישן הקשור בדיווח חיצוני נדרש גילוי.

ביבליוגרפיה

• COSO Internal Control – Integrated Framework, Frequently Asked Questions, COSO, May 2013.
• Internal Control – Integrated Framework – Executive Summary, COSO, May 2014.
• The 2013 COSO Framework & SOX Compliance, One Approach to an Effective Transition, by J. Stephen McNally, CPA, June 2013.

The post COSO 2013 – מדריך מקוצר למודל החדש appeared first on IIA ישראל - לשכת המבקרים הפנימיים בישראל.