חוות דעת – מעורבות הביקורת הפנימית במאמצי הציות לדרישות ה SOX

הנדון: פנייתך ל- IIA ישראל – איגוד מבקרים פנימיים בישראל

  1. התייחסות זו ניתנת במענה לפנייתך לאיגוד בו נשאלה השאלה הבאה:

האם מבקר פנימי של חברה יכול לספק לאותה חברה שירותי ייעוץ/בחינת אפקטיביות הבקרות של תהליכים בקשר עם הבקרה הפנימית על הדוח הכספי של החברה (SOX/iSOX) והאם אין בכך בכדי לפגוע באי התלות של המבקר הפנימי בחברה?

  1. לצורך מתן מענה נבחנו חוק הביקורת הפנימית, חוות דעת מטעם לשכת המבקרים הפנימיים העולמית – IIA[1] ופרקטיקות מקובלות בארץ ובעולם כפי שהן מוכרות לחברי הוועדה למענה לשאלות מקצועיות של חברים וכפי שמוזכרות לעיתים בביאורים לדוחות הכספיים של חברות ציבוריות בנוגע לביקורת הפנימית ובמקורות אחרים המוזכרים להלן.
  2. ניתוח
    • בסעיף 8א בחוק הביקורת הפנימית, מצוין, כימבקר פנימי לא ימלא, בגוף שבו הוא משמש מבקר, תפקיד נוסף על הביקורת הפנימית, זולת תפקיד הממונה על תלונות הציבור או הממונה על תלונות העובדים, ואף זאת – אם מילוי תפקיד נוסף כאמור לא יהיה בו כדי לפגוע במילוי תפקידו העיקרי. לאור זאת לדעת האיגוד, על המבקר הפנימי להימנע מלכהן בתפקיד האחראי על תהליך הציות לדרישות הSOX/ISOX.
    • בחוות הדעת של ה- IIA המוזכרת לעיל, מצוין בין היתר:
      • כי זו אחריות ההנהלה לוודא כי הארגון מציית לדרישות הSOX ולא ניתן להאציל אחריות זאת לגורמים אחרים. עם זאת מצוין, כי תמיכה בהנהלה במאמצי הציות הינה פעילות לגיטימית של הביקורת הפנימית המשיקה לתחומי מומחיותה. תמיכה שכזו יכולה להיות משמעותית אך חייבת להיות בתאימות, ולא לסתור את המשימה הכוללת ואת כתב האמנה (צ'רטר) של הביקורת הפנימית. כמו כן הכרחי שפעילות זו לא תפגע באובייקטיביות של הביקורת הפנימית וביכולתה לכסות את הסיכונים המהותיים של הארגון.
  • תוכנית העבודה השנתית של הביקורת הפנימית חייבת להיות נגזרת של הערכת כלל סיכוני הארגון.
  • על המבקר הפנימי לדון עם ועדת הביקורת, בטרם קבלת אחריות על תמיכה במאמצי הציות, לגבי ההשלכות של תמיכה זו על אי תלותו ועל האובייקטיביות שלו ומשמעותה לגבי יכולתו לבצע את שאר תפקידיו. הערכה כזו אף צריכה להתבצע מעת לעת.
  • זהו תפקיד ההנהלה לפתח את התהליכים הדרושים לצורך ציות לדרישות החוק, תפקידה האידיאלי של הביקורת הפנימית הוא תמיכה באמצעות מתן שירותי יעוץ והבטחה.
  • תפקידים מומלצים של הביקורת הפנימית לתמיכה במאמצי הציות:
    • ניהול אדמיניסטרטיבי של פרויקט הציות לרבות מעקב אחר התקדמות, מתאם בין המבקר החיצוני וההנהלה וכיו"ב; ניהול זה לא צריך להיות כרוך בתפקיד מקבל ההחלטות על-מנת שלא לפגוע באובייקטיבית הביקורת הפנימית.
    • ייעוץ ותמיכה בצוות הפרויקט – לרבות יעוץ על פרקטיקות יישום מובילות, מתן הדרכות, בחינת איכות התיעוד לגבי בקרות המפתח, בטרם העברה למבקר החיצוני.
    • ניטור ובחינה שוטפים – לרבות ייעוץ לגבי סוגי הבחינות הנדרשות, היקפן ומועדן, ביצוע בחינת אפקטיביות של בקרות ומתן המלצות לתיקונים, וידוא כי פערי בקרה שהתגלו טופלו.
    • ביקורת על צוות פרויקט הSOX לצורך מתן הבטחה להנהלה הבכירה והדירקטוריון, כי מאמצי הציות מתבצעים באופן אפקטיבי בהתאם לפרקטיקות מיטביות. מוצע, כי פעילות זו תתבצע בזמן אמת ולא רק בדיעבד.
  • שיקולים אותם יש לקחת בחשבון
  • מידת התמיכה של הביקורת הפנימית בתהליך- תלויה במאפייני הארגון, משאבי הביקורת הפנימית היבטים טכנולוגיים וגאוגרפים וכיו"ב.
  • אם הביקורת הפנימית מקבלת אחריות על פעילות מסוימת ומקבלת ההחלטות בתחום, הנחת הבסיס היא כי האובייקטיביות שלה נפגמת.
  • האובייקטיביות אינה נפגמת אם הביקורת ממליצה על יישום תקן או שיפור בקרה בטרם יישומה. או נותנת ייעוץ לגבי הבקרה הפנימית, אך עיצוב הבקרה, הטמעתה, ניסוח התהליכים והפעלתם משמעותם היא פגיעה באובייקטיביות הביקורת. כך לעיתים הביקורת הפנימית מתבקשת לסייע בהערכה ויישום בקרות לאחר ביצוע הערכת סיכונים; פעילות זו אפשרית כל עוד ההנהלה היא זו שמקבלת את ההחלטה האם ליישם את הבקרות המוצעות או אם לאו.
  • על המבקר הפנימי לשקול את השפעת התמיכה במאמצי הציות ל SOX על כלל פעולות ארגונו.
  • כאשר הביקורת הפנימית מבצעת את בחינת אפקטיביות הבקרות (Controls Testingׂ(, זו עדין אחריות ההנהלה לקבוע האם הבקרות אפקטיביות.
  1. הפרקטיקה בארץ

בהתאם לבחינה עם חברי הוועדה למענה לשאלות מקצועיות של חברים וחלק מחברי דירקטוריון האיגוד, ומסקירה של דוגמאות לביאורים לדוחות הכספיים של חברות ציבוריות לגבי הביקורת הפנימית, נמצא, כי הנוהג בו הביקורת הפנימית מבצעת את בחינת אפקטיביות הבקרות לתהליכים הקשורים לבקרה הכספית הוא נפוץ. מרבית חברי הוועדה הדגישו את הערך המוסף שיש לביקורת הפנימית לאור התמחותה בהערכות סיכונים ובשיפור בקרות, אך מאידך- את הזהירות שעל הביקורת לנקוט מקבלת אחריות על תהליך הציות ומקבלת החלטות במקום ההנהלה, על-מנת שלא לפגוע באי התלות ובאובייקטיביות הביקורת הפנימית.

במאמר מוסגר, נציין, כי רשות החברות הממשלתיות הוציאה חוזר 2014-4-4 מיום 22/5/2014, בנושא "מינוי מבקר פנימי ובדיקת איכות הביקורת הפנימית בחברות הממשלתיות". במסגרת זו נקבעו הנחיות לבדיקת איכות הביקורת הפנימית, ובין היתר נקבע, כי יש לבצע את הבדיקות הבאות:

  1. האם נבדק על ידי האורגנים בחברה קיומן של בקרות פנימיות אפקטיביות בנוגע לשמירה על החוק, הניהול התקין, טוהר המידות והדיווח הכספי.
  2. האם נבדק קיומם של מנגנונים בחברה לתיקון הליקויים שהועלו, בין היתר, בבקרה הפנימית על דיווח כספי בהתאם להוראות רשות החברות הממשלתיות בדבר יישום הוראות SOX404, SOX302, חוזרי הרשות בנוגע ל: ניהול סיכונים, דוחות כספיים, דוחות הדירקטוריון….

5. הפרקטיקה בעולם

בהתאם לתקן ביקורתSAS 5 , סעיפים 18-17 מטעם הגוף המפקח על רואי החשבון של חברות המדווחות בארה"ב (PCAOBׂׂ), רואה החשבון המבקר יכול להסתמך על עבודתם של גורמים מטעם החברה המבוקרות לבחינת אפקטיביות הבקרות, לרבות על המבקרים הפנימיים, כאשר מידת ההסתמכות שלו גדלה ככל שהגוף אותו מינתה החברה הוא אובייקטיבי יותר. בסעיף 18 בתקן נאמר שככלל, המבקרים הפנימיים מצופים להיות בעלי רמת אובייקטיביות וכישורים גבוהים יותר לביצוע בחינת אפקטיביות הבקרות מגופים אחרים בחברה המבוקרת.

סקר שבוצע מטעם ארגון המחקר של ה IIA בקרב מבקרים פנימיים של חברות תעשיה[2] בשנת 2017 מצביע על כך שמעל ל70% מהמבקרים הפנימיים מעורבים בצורה כלשהי במאמצי הציות לדרישות ה-  SOX , כאשר כ-29% מהנסקרים ציינו שהם אחראים על כל ההיבטים הקשורים ל.SOX

  1. סיכום

המבקר הפנימי הוא גורם, אשר לאור מומחיותו בתחומים כגון בחינת אפקטיביות בקרות, ולאור מידת האובייקטיביות הגבוהה שלו ביחס לאורגנים אחרים בארגון, הוא גורם טבעי ורצוי לתמיכה במאמצי הארגון לציות לדרישות ה-SOX/ISOX .

תמיכת המבקר הפנימי במאמצי הציות של הארגון מומלצת בבדיקת אפקטיביות הבקרות (testing), מתן ייעוץ, ביצוע הדרכות, סיוע בהיבטים אדמיניסטרטיביים שונים של ניהול הפרויקט וכו' . כמו כן, הוא יכול לתת שירותי הבטחה לגבי האפקטיביות, בה צוות פרויקט הSOX  מנהל את מאמצי הציות.

עם זאת, לאור הנחיית  הIIA וסעיף ייחוד הפעולות של המבקר הפנימי בחוק הביקורת הפנימית המוזכרים לעיל, על המבקר הפנימי להימנע מלקיחת אחריות על התהליך הציות לדרישות ה- SOX/ISOX לרבות הימנעות מקבלת החלטות לגבי עיצוב הבקרות, יישומן, היבטי דיווח וכדומה. בנוסף, על המבקר הפנימי לדאוג לכך שתמיכתו במאמצי הציות לדרישות ה- SOX/ISOX לא תבוא על חשבון תפקידו העיקרי, כפי שמוגדר בחוק הביקורת הפנימית, בתקנים המקצועיים ובכתב האמנה של הביקורת הפנימית; באופן שיגרום לכך שסיכונים משמעותיים של הארגון לא מכוסים ע"י הביקורת הפנימית.

 

בברכה,

רו"ח אורן שחר, CIA,CISA

יו"ר הועדה למענה שאלות מקצועיות של חברים, IIA ישראל – איגוד מבקרים פנימיים בישראל.

 

העתק: רו"ח דורון רונן (MA, LLM, CIA, CRMA, QAR, CRISC,  (- CFE- משנה לנשיא ויו"ר הוועדה המקצועית, IIA ישראל.

 

[1] Internal Audit Role In section 302 and 404 of the Sarbanes Oxley Act of 2002 , May 26, 2004

[2] Benchmarking report Share, Compare Validate June 10 2017 IIA – The Institute of Internal Auditors