COSO 2013 – מדריך מקוצר למודל החדש
מודל COSO החדש (COSO 2013) לבקרה פנימית – האם כבר יישמת? מדריך מקוצר
הקדמה
בשנת 1992 פרסם ארגון ה-COSO (Committee of Sponsoring Organizations of the Treadway Commission) את מודל הבקרה הפנימית (Internal Control – Integrated Framework). המודל זכה לאימוץ ושימוש נרחב ברחבי העולם והוא מוכר כמודל המוביל לעיצוב ויישום של בקרה פנימית ולהערכת אפקטיביות הבקרה הפנימית.
בשנים שחלפו מאז השתנתה הסביבה העסקית והתפעולית השתנתה הן מבחינת מורכבותה והן מבחינה טכנולוגית וגלובלית (כגון התרחבות לשווקים גלובליים, דרישות חוקיות ורגולטוריות, שימוש והישענות על טכנולוגיות מתפתחות, ועוד). בה בעת בעלי עניין מחפשים כיום שקיפות גדולה יותר ושלמות של מערכת הבקרה הפנימית התומכת בהחלטות עסקיות ובממשל תאגידי.
ארגון ה-COSO פרסם במאי 2013 את המודל החדש שיאפשר לארגונים לפתח ולתחזק ביעילות מערכת בקרה פנימית שתגדיל את הסבירות להשגת יעדי הארגון והתאמתו לשינויים בסביבה העסקית והתפעולית.
המודל החדש משמר את הגדרת הבקרה הפנימית ואת חמשת מרכיביה: סביבת הבקרה (Control Environment), הערכת סיכונים (Risk Assessment), פעולות בקרה (Control Activities), מידע ותקשורת (Information & Communication), ופעולות ניטור (Monitoring Activities), וכן משמר את חשיבות שיקול דעת ההנהלה בבואה לעצב וליישם בקרה פנימית ולהעריך את האפקטיביות שלה.
אחד השיפורים הבולטים של המודל החדש הוא הפורמליזציה של מושגי היסוד שהוצגו במודל הישן. במודל החדש הם מוגדרים כעקרונות הכפופים לחמשת מרכיבי הבקרה הפנימית. עקרונות אלה מבהירים את עיצוב המודל ויישומו.
המודל כולל גם נקודות למיקוד המדגישות את המאפיינים החשובים הנוגעים לעקרונות שמתווה המודל.
כמו כן, המודל מרחיב את קטגוריית הדיווח הפיננסי, וכולל עתה דיווח שאינו פיננסי וכן דיווחים פנימיים (נוסף על הדיווחים החיצוניים).
מאמר זה מתאר את המודל החדש ומבוסס על פרסומי ה-COSO הרשמיים. המאמר מיועד לחברי דירקטוריון, מנכ"לים וחברי הנהלה אחרים בבואם לדון, לעצב, ליישם ולהעריך את מערכת הבקרה הפנימית.
הגדרת הבקרה הפנימית על פי ה-COSO:
בקרה פנימית היא תהליך המושפע מהדירקטוריון, מההנהלה ומאחרים, המיועד לספק מידה סבירה של ביטחון באשר להשגת יעדי התפעול, הדיווח והציות של הארגון.
מודל ה-COSO החדש
קטגוריות היעדים
המודל מספק שלוש קטגוריות של יעדים המאפשרים לארגונים להתמקד בהיבטים שונים של בקרה פנימית:
- יעדים תפעוליים – קטגוריה הנוגעת ליעילות התפעולית של הארגון, הכוללת יעדי ביצוע תפעוליים ופיננסיים.
- יעדי דיווח – קטגוריה הנוגעת לדיווחים פנימיים וחיצוניים וכן דיווחים פיננסיים ואחרים (שאינם פיננסיים). הקטגוריה מקיפה, בין היתר, מהימנות, שקיפות ומושגים אחרים שנקבעו על ידי הרגולטורים או נוהלי הארגון.
- יעדי ציות – קטגוריה הנוגעת להיצמדות לחוקים ורגולציה החלים על הארגון.
חמשת מרכיבי בקרה פנימית
בקרה פנימית כוללת חמישה מרכיבים משולבים:
- סביבת בקרה (Control Environment) – סביבת הבקרה היא קבוצה של סטנדרטים ותהליכים המספקים את הבסיס לביצוע בקרה פנימית בארגון. הדירקטוריון וההנהלה הבכירה צריכים לקבוע את ה"טון בצמרת" בנוגע לחשיבות הבקרה הפנימית, לרבות תקנים להתנהגות. סביבת הבקרה כוללת יושרה וערכים אתיים של הארגון; הפרמטרים שמאפשרים לדירקטוריון לפקח ולבצע את אחריותו; המבנה הארגוני והקצאת סמכות ואחריות; התהליך למשיכת, פיתוח ושימור אנשים מוכשרים; הקפדה על מדדי ביצוע, תמריצים ותגמולים כדי להוביל מחויבות לביצוע, וכו'.
- הערכת סיכונים (Risk Assessment) – כל ארגון עומד בפני מגוון של סיכונים ממקורות חיצוניים ופנימיים. סיכון מוגדר כאפשרות שאירוע יתרחש ועלול להשפיע לרעה על העמידה ביעדי הארגון. הערכת הסיכונים כרוכה בתהליך דינמי וחוזר לזיהוי והערכת הסיכונים להשגת יעדים. הסיכון להשגת יעדים אלה קשור לקביעת הסובלנות לסיכון (Risk Tolerance). לפיכך הערכת הסיכונים מהווה את הבסיס לקביעה כיצד הסיכונים ינוהלו.
- פעולות בקרה (Control Activities) – פעולות בקרה הן פעולות הנקבעות בנהלים המסייעים להבטיח שהנחיות ההנהלה יפחיתו סיכונים לאי השגת יעדי הארגון. פעולות בקרה מתבצעות בכל הרמות של הארגון, בשלבים שונים של תהליכים עסקיים ובסביבה הטכנולוגית. הן עשויות להיות מונעות או מגלות ועשויות לכלול בתוכן מגוון רחב של פעולות ידניות ואוטומטיות, כגון הרשאות, אישורים, התאמות וסקירת ביצועים. הפרדת תפקידים היא בדרך כלל חלק מהבחירה והפיתוח של פעולות בקרה. היכן שהפרדת התפקידים אינה מעשית, ההנהלה בוחרת ומפתחת פעולות בקרה חלופיות.
- מידע ותקשורת (Information and Communication) – מידע נחוץ לארגון כדי לממש את אחריות הבקרה הפנימית לתמוך בהשגת יעדי הארגון. ההנהלה משיגה או מפיקה ומשתמשת במידע רלוונטי ואיכותי ממקורות פנימיים וחיצוניים כדי לתמוך בתפקוד מרכיבי הבקרה הפנימית האחרים. תקשורת היא מתמשכת, ולכן זהו תהליך חוזר ונשנה של מתן, שיתוף וקבלת מידע נחוץ.
- פעולות ניטור (Monitoring Activities) – קיום הערכות שוטפות ואחרות כדי לוודא כי כל אחד ממרכיבי הבקרה הפנימית קיים ומתפקד. הערכות שוטפות, המובנות כחלק מתהליכים עסקיים ברמות שונות של הארגון, מספקות מידע בזמן. הערכות אחרות הנערכות מעת לעת, תשתנינה בתדירותן ובהיקפן בהתאם להערכת הסיכונים, ליעילותן של ההערכות השוטפות ולשיקולי הנהלה אחרים. ממצאים נבדקים מול קריטריונים שנקבעו על ידי רגולטורים, גופי תקינה אחרים או על ידי ההנהלה והדירקטוריון, וליקויים מועברים להנהלה ולדירקטוריון.
הקשר בין יעדים ומרכיבים
קיים קשר ישיר בין יעדים (שאותם הארגון שואף להשיג) למרכיבים (המייצגים את מה שנדרש כדי להשיג את היעדים) ולמבנה הארגוני של הארגון. ניתן לתאר קשר זה בצורה של קובייה.
- שלוש הקטגוריות של היעדים: תפעולי (operations), דיווח ( (reportingוציות compliance)) מוצגים במעלה הקובייה.
- חמשת המרכיבים של הבקרה הפנימית מוצגים בקדמת הקובייה.
- המבנה הארגוני של הארגון מוצג בממד השלישי של הקובייה.
בתמונה: מודל COSO 2013.
מרכיבים ועקרונות
זהו למעשה החידוש המרכזי של המודל. המודל קובע 17 עקרונות המייצגים את מושגי היסוד הקשורים לכל אחד מהמרכיבים. מכיוון שעקרונות אלה נמשכים ישירות מהמרכיבים, ארגון יכול להשיג בקרה פנימית אפקטיבית רק על ידי יישום של כל העקרונות. כל העקרונות מתייחסים ליעדים תפעוליים, דיווח וציות. להלן העקרונות התומכים במרכיבי הבקרה הפנימית:
- סביבת בקרה (Control Environment)
- הארגון מפגין מחויבות ליושרה וערכים אתיים.
- הדירקטוריון מפגין עצמאות מההנהלה ומפקח על פיתוח ויישום בקרה פנימית.
- ההנהלה, תחת פיקוח הדירקטוריון, קובעת את המבנה, את ערוצי הדיווח, ואת הסמכות והאחריות להשגת יעדים.
- הארגון מפגין מחויבות למשוך, לפתח ולשמר אנשים מוכשרים בהתאמה ליעדי הארגון.
- הארגון משמר אחריות לבקרה פנימית בקרב עובדיו בהתאמה ליעדי הארגון.
- הערכת סיכונים (Risk Assessment)
- הארגון מפרט את יעדיו בבהירות מספקת כדי לאפשר זיהוי והערכת סיכונים הקשורים ליעדים.
- הארגון מזהה סיכונים להשגת יעדיו בכל רבדיו, ומנתח את הסיכונים כבסיס לקביעה כיצד על הסיכונים להיות מנוהלים.
- הארגון מתייחס לפוטנציאל להונאה בהערכת הסיכונים להשגת יעדים.
- הארגון מזהה ומעריך שינויים העלולים להשפיע באופן משמעותי על מערכת הבקרה הפנימית.
- פעילויות בקרה (Control Activities)
- הארגון בוחר ומפתח פעילויות בקרה המסייעות להוריד את הסיכונים להשגת יעדים עד לרמות מקובלות.
- הארגון בוחר ומפתח פעילויות בקרה כלליות על מערכות המידע כדי לתמוך בהשגת יעדיו.
- הארגון ממסד פעילויות בקרה במדיניות הקובעת את המצופה ובנהלים המפרשים את המדיניות לצעדים בפועל.
- מידע ותקשורת (Information and Communication)
- הארגון משיג או מפיק ומשתמש במידע רלוונטי ואיכותי כדי לתמוך בתפקוד הבקרה הפנימית.
- הארגון מְתקשר פנימה מידע נחוץ (לרבות יעדים ואחריות לבקרה הפנימית) כדי לתמוך בתפקוד הבקרה הפנימית.
- הארגון מתקשר עם גורמים חיצוניים בעניינים המשפיעים על תפקוד הבקרה הפנימית.
- פעולות ניטור (Monitoring Activities)
- הארגון בוחר, מפתח ומבצע הערכות שוטפות ו/או אחרות של מרכיבי בקרה פנימית, כדי לוודא כי מרכיבי הבקרה הפנימית קיימים ומתפקדים.
- הארגון מעריך ומתקשר ליקויי בקרה פנימית בזמן לגורמים האחראים על תיקונם, כולל להנהלה הבכירה ולדירקטוריון, לפי העניין.
בקרה פנימית אפקטיבית
המודל קובע את הדרישות למערכת יעילה של בקרה פנימית. מערכת יעילה מְספקת מידה סבירה של ביטחון לגבי השגת יעדי הארגון. מערכת אפקטיבית של בקרה פנימית מפחיתה לרמה רצויה את הסיכון לאי השגת יעדי הארגון ועשויה להתייחס לקטגוריה אחת, לשתיים או לכל שלוש קטגוריות היעדים. זה דורש כי:
- כל אחד מחמשת המרכיבים והעקרונות הרלוונטיים קיים ומתפקד. "קיים" מתייחס לקביעה כי המרכיבים והעקרונות הרלוונטיים קיימים בעיצוב ויישום של מערכת הבקרה הפנימית להשגת יעדים. "מתפקד" מתייחס לקביעה כי המרכיבים והעקרונות הרלוונטיים ממשיכים להתקיים כחלק ממערכת הבקרה הפנימית כדי להשיג יעדים.
- חמשת המרכיבים פועלים יחד בצורה משולבת. כלומר, כל חמשת המרכיבים מפחיתים לרמה נדרשת את הסיכון לאי השגת יעד. יש תלות הדדית ויחסי גומלין בין המרכיבים.
מגבלות המודל
המודל מכיר בכך שבעוד שבקרה פנימית מספקת מידה סבירה של ביטחון להשגת היעדים של הארגון, היא איננה יכולה למנוע שיקול דעת מוטעה, החלטה מוטעית או אירועים חיצוניים שיכולים לגרום לארגון לאי השגת יעדיו. במילים אחרות, אפילו מערכת יעילה של בקרה פנימית יכולה לחוות כשל.
מגבלות אלו מוֹנעות מהדירקטוריון וההנהלה מלקבל ביטחון מוחלט בהשגת יעדי הארגון – בקרה פנימית מספקת ביטחון סביר אך לא מוחלט. על אף המגבלות הללו, ההנהלה צריכה להפעיל שיקול דעת בעת בחירה, פיתוח ויישום של בקרות הממזערות ככל שניתן מגבלות אלו.
המסמכים הנלווים למודל
נוסף על המודל, ארגון ה-COSO פיתח את המסמכים הבאים:
- Illustrative Tools for Assessing Effectiveness of a System of Internal Control (Illustrative Tools) – כולל תבניות (Templates) ותרחישים העשויים להיות שימושיים ליישום המודל. תבניות אלו אינן חלק אינטגרלי מהמודל והן אינן מתיימרות לכלול את כל הנושאים הנדרשים להיבחן כאשר מעריכים את מערכת סביבת הבקרה. הנהלת הארגון יכולה להתאים את התבניות כדי לשקף סוגיות ייחודיות. התרחישים מציגים כמה דוגמאות פרקטיות לשימוש בתבניות לצורך הערכת האפקטיביות של מערכת הבקרה הפנימית בהתבסס על דרישות המודל.
- Internal Control over External Financial Reporting: A Compendium of Approaches and Examples (ICEFR Compendium) – כולל גישות ודוגמאות פרקטיות הממחישות את יישום מרכיבי ועקרונות המודל בהכנת הדוחות הכספיים החיצוניים. הגישות מתארות בקצרה את הפעילויות והדוגמאות והן ספציפיות ופרקטיות בנוגע לכל עיקרון של המודל. המסמך אינו מתיימר לכלול את כל ההיבטים של המרכיבים והעקרונות הדרושים לבקרה פנימית אפקטיבית, ולכן איננו מספק כדי לקבוע כי כל אחד מחמשת המרכיבים והעקרונות הרלוונטיים קיימים ומתפקדים.
יישום המודל
- ה-COSO מאמינים כי כל עיקרון מוסיף ערך, מתאים לכל הארגונים ולכן רלוונטי. במקרים שבהם ההנהלה קובעת כי עיקרון מסוים איננו רלוונטי לארגון, יש צורך לתעד את הרציונל.
- העקרונות המפורטים במודל צפויים להבהיר כיצד ליישם את המודל בעיצוב ויישום של מערכת בקרה פנימית ובהערכת האפקטיביות שלה. בנוסף, הגישה מבוססת העקרונות מסייעת להבחין מה מכוסה ומה חסר.
- המודל מתאר גם נקודות למיקוד שהן מאפיינים חשובים של העקרונות. נקודות למיקוד עשויות לעזור להנהלה בעיצוב ויישום בקרה פנימית ובהערכה האם העקרונות הרלוונטיים קיימים ומתפקדים.
המודל מכיר באפשרות כי חלק מהנקודות למיקוד אינן מתאימות או אינן רלוונטיות לכל הארגונים, וכי הארגון יכול להתייחס לנקודות מיקוד אחרות.
- אחד הדגשים החשובים של המודל החדש הוא בכך שיש לרדת מרמת יעדי הארגון לרמת הסיכונים ומשם לרמת הבקרות. הבקרות החשובות הן אלה שמנטרלות סיכונים הנוגעים ליעדים מרכזיים של הארגון.
- בעוד שהמודל שב ומדגיש כי הקמה ותחזוקה של סביבת הבקרה היא באחריותה הבלעדית של ההנהלה, לביקורת הפנימית יש תפקיד מפתח בהערכת סביבת הבקרה. פירוט העקרונות במודל מגדיל את השימוש בו על ידי הביקורת הפנימית ומסייע בבואה להעריך את העיצוב ואת האפקטיביות של הבקרה הפנימית.
- נשמרת ההבחנה בין מערך בקרה על פיCOSO ובין ניהול סיכונים כולל "ERM", והתובנה היא ששתי מסגרות עבודה אלו משלימות זו את זו.
- SOX 404דורש כי הנהלת ארגון ציבורי תאמץ מסגרת בקרה פנימית להערכה ולדיווח על עיצוב ותפעול אפקטיבי של הבקרה הפנימית. רוב החברות הציבוריות מאמצות את מודל ה-COSO.
- במעבר מהמודל הישן לחדש ובנוגע לדיווח על הבקרה הפנימית על הדיווח הפיננסי, על ההנהלה (כאמור) להעריך כיצד מערכת הבקרה הפנימית מיישמת את 17 העקרונות הקשורים לחמשת מרכיבי הבקרה הפנימית. ההנהלה צריכה לדון עם הדירקטוריון לגבי התכנית לאימוץ המודל החדש, ועל הדירקטוריון לפקח על ההנהלה בבואה ליישם את המודל החדש.
- שלבי עבודה ראשוניים:
להנהלת הכספים בארגונים המאמצים את המודל החדש (במסגרת הדיווח הפיננסי החיצוני – SOX) מומלץ לפעול כדלהלן:
- קראו את המודל החדש וזהו רעיונות חדשים ושינויים.
- בצעו סקירה ראשונית. קבעו כיצד המודל החדש משפיע על העיצוב וההערכה של הבקרה הפנימית. העריכו את רמת כיסוי עקרונות המודל על ידי התהליכים והבקרות הקיימים וקחו בחשבון את הנקודות למיקוד.
- זהו את הצעדים שיש לבצע במעבר למודל החדש.
- פתחו תכנית מעבר למודל החדש.
- שקלו לבצע walkthrough, טסטים של בקרות והערכה של ליקויי בקרה, כדי לזהות שינויים דרושים.
- הקפידו על גילוי נאות של המודל שבו נעשה שימוש בתקופת המעבר.
- תקשרו והדריכו את הדירקטוריון, את ההנהלה ועובדים רלוונטיים.
- דונו לגבי התהליך עם הביקורת הפנימית ועם המבקר החיצוני.
תחולה
ארגון ה-COSO הכריז כי המודל הישן יהיה זמין בתקופת מעבר שתימשך עד 15 בדצמבר 2014, שלאחריה יוחלף במודל החדש. ב-COSO מאמינים כי שימוש במודל הישן הולם בתקופת המעבר, וכי על שימוש במודל הישן הקשור בדיווח חיצוני נדרש גילוי.
ביבליוגרפיה
- COSO Internal Control – Integrated Framework, Frequently Asked Questions, COSO, May 2013.
- Internal Control – Integrated Framework – Executive Summary, COSO, May 2014.
- The 2013 COSO Framework & SOX Compliance, One Approach to an Effective Transition, by J. Stephen McNally, CPA, June 2013.