מודל בשלות מבוסס COSO בשירות הביקורת הפנימית

מאת: דני פרידמן , דרור בר משה | גיליון 11 - מבקרים משתפים בחוויית ביקורת בארגונים | מרץ 2020 | אין תגובות

מהו מודל בשלות?

מודל בשלות הוא כלי עסקי המשמש להערכת אנשים/תרבות, תהליכים/מבנים וטכנולוגיה.

מדוע כדאי לעשות שימוש במודל בשלות?

  • שימוש בכלי אחיד, שיטתי ורציף להערכת רמת הממשל התאגידי, ניהול הסיכונים ומערך הבקרות בתהליכים וביחידות עסקיות.
  • יכולת להשוות את רמת הבשלות בין תהליכים עסקיים שונים ובין יחידות עסקיות שונות.
  • יכולת לקבוע את רמת הבשלות הקיימת והרצויה, לתכנן את צעדי השיפור, ולעקוב אחר התקדמות ביישום השיפורים.
  • מאפשר ביצוע הערכה עצמאית ליחידות הארגון.
  • הערכה אובייקטיבית ומקובלת על הארגון תוך שימוש בפרקטיקה מקובלת ו-benchmark.

הערכת בשלות על ידי מבקרים פנימיים

לצורך מתן הערכה לתהליך מבוקר, מבקרים פנימיים משתמשים לעיתים קרובות בהערכות איכותיות "סובייקטיבית" ולא שיטתיות, העלולות להיתפס אצל המבוקר כמוטות ולא מייצגות בשל היעדר מתודה ושיטתיות שתגבה את תוצאות ההערכה.

הערכה שניתנת על בסיס מודל בשלות מובנה, באופן אובייקטיבי, מקצועי ושיטתי, תזכה להסכמה רחבה של ההנהלה, המבוקרים, ועדת הביקורת, וכמובן של הביקורת הפנימית.

לאורך ההיסטוריה של הביקורת הפנימית פותחו מודלים רבים להערכת בשלות, כאשר רובם התבססו על מדדי "הסיכון" שטמון בכל אחד מהממצאים המוצגים בדוח הביקורת. לדעתנו גישה זו היא פשטנית למדי ואינה מאפשרת לקבל תמונה רחבה וכוללת על אופן ניהול הסיכונים, על ההתנהלות, ועל הממשל התאגידי ביחידה המבוקרת.

מאמר זה מציג מודל ייחודי המבוסס על COSO 2013 (בקרה פנימית), ומושתת על הרכיבים הבאים: סביבת הבקרה, הערכת סיכונים, פעולות בקרה, מידע ותקשורת ופעולות ניטור.

מסגרת ה-COSO

חלק זה מבוסס על מודל “Internal Control — Integrated Framework, Committee of Sponsoring Organizations of the Treadway Commission (COSO), 2013.

מודל COSO הוא מסגרת שיטתית להערכת הסיכונים והממשל התאגידי. אנו מניחים כי קוראי המאמר מכירים את מודל ה-COSO ולכן נתאר אותו בקצרה בלבד:

מודל COSO מספק שלוש קטגוריות של יעדים המאפשרים לארגונים להתמקד בהיבטים שונים של בקרה פנימית: יעדים תפעוליים, יעדי דיווח ויעדי ציות. בכל אחד מאלו נבדקת ומוערכת סביבת הבקרה, ניהול הסיכונים, פעילויות בקרה, מידע ותקשורת, ומערכות ניטור.

בנוסף על העקרונות, נקבעו נקודות מיקוד לכל עיקרון שנועדו להבהיר את דרכי היישום המצופים של כל עיקרון.

יישום מודל בשלות מבוסס COSO

כאמור, הרעיון הכללי הוא לקחת את מודל COSO המפורט ולהפוך אותו לבסיס שלדי להערכת הבשלות של תהליך הנבדק במסגרת משימת הביקורת הספציפית. לצורך כך, נפרוס את מרכיבי ה-COSO ונצמיד לכל אחד מהם משקל לפי החשיבות שניתנת בארגון לכל רכיב. בשלב השני נקבע מדרג של ציונים מ-0 ועד 5 כדי להעריך כל סעיף וסעיף במודל בהתאם לממצאים ולמסקנות של בדיקת הביקורת.

 

משקל רכיב בקרה פנימית

על מנת להמיר את מסגרת COSO לתוך מודל בשלות, נוסיף משקל לכל רכיב.

כברירת מחדל, משקל כל רכיב הוגדר באופן שווה.

דירוג רמת הבשלות (מבוסס על COBIT)

לצורך דירוג רמת הבשלות נעשה שימוש במודל הדירוג שנקבע ב-COBIT. דירוג זה מבוסס על סולם בין 0 (לא קיים) ל-5 (אופטימלי).

רמת הבשלות עקרונות ומשקל

הטבלה שלהלן מפרטת את עקרונות ה-COSO עבור כל אחד מחמשת המרכיבים, מגדירה את המשקל הניתן לכל עיקרון (וניתן לשינוי) ואת הדירוג:

הצעדים המומלצים

על מנת להבטיח יישום מוצלח של מודל בשלות מבוסס COSO:

  • הדריכו את צוות הביקורת הפנימית על מסגרת COSO 2013 ועל מודל הבשלות המבוסס על COSO.
  • הציגו את המודל ודונו בו עם בעלי העניין העיקריים (הדירקטוריון וההנהלה).
  • השתמשו בעקרונות ובנקודות למיקוד בעת הכנת תוכנית הביקורת.
  • הגדירו את המשקל של כל עיקרון.
  • ודאו את קיומו ותפקודו של כל עיקרון (ואת נקודות המיקוד).
  • הקצו דרגת בשלות לכל אחד מהעקרונות, בהתבסס על ממצאי הביקורת ועל עמידה בנקודות המיקוד.
  • דונו עם המבוקרים על ממצאי הביקורת ומסקנותיה, וכיצד היא משתקפת בפועל במודל הבשלות.

יישום מודל הבשלות בביקורת פנימית

היתרונות של אימוץ COSO 2013

היתרון העיקרי של שימוש במודל בשלות המבוסס על COSO – הוא משרת את משימת הביקורת הפנימית ואת הגדרת הביקורת הפנימית.

בנוסף, מודל בשלות המבוסס על COSO יכול לסייע ביישום ושיפור סביבת בקרה פנימית ארגונית על בסיס יעדי החברה, תוך מתן הנחיות להבטחת תהליכים ובקרות יציבים ובשלים.

המודל יכול לשמש בכל דוחות הביקורת הפנימית (ללא שינויים בעקרונות המוערכים), דבר שמקל על יישומו.

ראוי להדגיש כי מסגרת COSO מוכרת היטב ומאומצת על ידי ה-IIA העולמי. כמו כן המסגרת מאומצת על ידי רוב החברות לצורך יישום דרישות SOX.

יתרונות השימוש במודל הבשלות בביקורת הפנימית

עם תחילת משימת ביקורת, עומדים בפני הביקורת הפנימית מספר אתגרים הקשורים באופן הגדרת היקף הביקורת ותוכנית הביקורת, על מנת להבטיח שאלה יכסו את הסיכונים העיקריים לארגון. עם השלמת הביקורת קיים אתגר נוסף – דירוג ההערכה הכוללת של התהליך המבוקר.

שימוש במודל בשלות יכול לסייע בהגדרת היקף הביקורת ותוכנית הביקורת. מודל בשלות מבוסס COSO "מכריח" את המבקר לסקור את 17 עקרונות COSO.

בנוסף, רמת הבשלות יכולה לספק להנהלה מידע לגבי הפונקציות המבוקרות, ולעזור להשוות לביקורות קודמות אחרות שבוצעו בפונקציות אלו או בפונקציות מבוקרות אחרות.

המודל גם מספק לפונקציות המבוקרות מנגנון מדידה לשיפור של תהליך עסקי לאורך זמן.

סיכום

מודל בשלות מבוסס COSO נמצא בשימוש על ידי מחברי מאמר זה למעלה משלוש שנים בהצלחה רבה. רמת הבשלות המוגדרת עבור כל תהליך ביקורת מסייעת לדירקטוריון ולהנהלת החברה לתעדף את המלצות הביקורת.

ערך נוסף לחברה הוא צמצום הקונפליקטים בין הביקורת הפנימית לבין המבוקר כתוצאה מהתבססות על מודל מקיף, מוכר ומקובל.

מסגרת COSO 2013 מסייעת בהערכת אפקטיביות הבקרה הפנימית, שמטרתה להבטיח את הישגי הארגון. מבקרים פנימיים שישתמשו במודל הבשלות על בסיס מסגרת זו יכולים להפיק ממנה תועלת לאורך כל תהליך הביקורת, ולהבטיח גישה שיטתית להערכת הבקרה הפנימית וחיזוקה בארגון.

אודות הכותב/ת

דני פרידמן

אודות הכותב/ת

דרור בר משה

רו"ח, CRISC ,CISA ,CRMA ,LLM ,CIA
סגן מבקר ראשי, אמדוקס

[email protected]