טסטים בדבר אפקטיביות הבקרה הפנימית על הדיווח הכספי
בתאריך 24/12/09 פורסמו תקנות ניירות ערך (דוחות תקופתיים ומיידיים), התש״ע-2010 (להלן ״התקנות״), אשר אימצו את המלצות דוח הוועדה לבחינת כללי ממשל תאגידי בישראל (להלן ״ועדת גושן״) בדבר הערכת אפקטיביות הבקרה הפנימית והצהרת המנהלים.
תכלית התקנות היא שיפור איכות הדיווח הכספי והגילוי בתאגידים מדווחים, כמשמעותם בחוק ניירות ערך, התשכ״ח-1968 (להלן ״החוק״), וזאת באמצעות שיפור תשתית הבקרה הפנימית על הדיווח הכספי והגילוי בתאגיד, והגברת מחויבות ההנהלה להשגת תכלית זו.
כפועל יוצא מכך, נדרשת הנהלת התאגיד לקבוע בקרה פנימית על הדיווח הכספי והגילוי, אשר נועדה לספק בטחון סביר בדבר נכונות ומהימנות הדיווח הכספי והגילוי בהתאם להוראות הדין. בנוסף, נדרשת ההנהלה לבצע מעקב שוטף אחר הבקרה הפנימית בתאגיד ולהבטיח את התאמתה של הבקרה הפנימית לשינויים החלים בתאגיד ובפעילותו.
בקרה פנימית על הדיווח הכספי והגילוי (להלן גם ״בקרה פנימית״) בהתאם לתקנות, מורכבת משני נדבכים:
האחד – בקרות ונהלים אשר נועדו לספק להנהלת התאגיד בטחון סביר בדבר מהימנות הדיווח הכספי ובדבר הכנת הדוחות הכספיים בהתאם להוראות הדין (להלן ״בקרה פנימית על הדיווח הכספי״).
השני – בקרות ונהלים אשר נועדו להבטיח כי מידע שהתאגיד נדרש לגלות במכלול הדוחות העיתיים שהוא מפרסם על פי הוראות הדין (דוח תקופתי ודוח רבעוני) נאסף, מעובד, מסוכם ומדווח במועד ובמתכונת הקבועים בדין, וכי מידע כאמור מועבר להנהלה, וכל זאת על מנת לאפשר קבלת החלטות במועד המתאים, בהתייחס לדרישת הגילוי (להלן ״בקרה פנימית על הגילוי״).
מטרתו העיקרית של הדוח בדבר אפקטיביות הבקרה הפנימית על הדיווח הכספי והגילוי היא חיזוק מערך הבקרה הפנימית בתאגיד. מטרה נוספת של דוח זה הינה להביא לתיקון ליקויים בבקרה הפנימית ובדוחות התאגיד, וזאת באמצעות דרישה למתן גילוי בדבר חולשות מהותיות בבקרה הפנימית, ככל שקיימות, ודרישה לביצוע פעולות לתיקונן.
מרכיבי התוכנית בהתאם לוועדת גושן:
המודל מושתת על ארבעת הרכיבים הבאים:
בקרות ברמת הארגון (Entity Level Controls):
הבקרות ברמת הארגון (ELC) הן בקרות אשר עשויה להיות להן השפעה כוללת על הארגון. בקרות אלה מהוות את התשתית להלך הרוח ולאופי הפעילות המבוצעת בתאגיד. ככל שתשתית זו מבוססת יותר, צפויה גישה זו לחלחל במורד המבנה הארגוני ולהביא לחיזוק מערך הבקרה הפנימית ולשיפור יעילותו.
בקרות ברמת הארגון כוללות, בין היתר:
- בקרות הקשורות לסביבת הבקרה – לדוגמא נהלים ובקרות בקשר עם יישום כללי ממשל תאגידי: תהליכי קבלה ואישור של החלטות בתאגיד לרבות עצם יחסה של הנהלת החברה לחשיבות של ממשל תאגידי נאות, קיום תכנית אכיפה פנימית (ציות) ויישומה, איכות הנהלים לאיתור, אישור ודיווח על עסקאות עם בעלי עניין, עסקאות שלבעלי שליטה עניין אישי בהם, ולאיתור ואישור פעולות בניגוד עניינים; נאותות התפקוד של הדירקטוריון וועדותיו, ובתוך כך, יעילות פעילות ועדת הביקורת וועדת המאזן (לרבות תכיפות התכנסותן והנושאים בהן דנו), הגדרת חלוקת סמכויות ברורה בין הדירקטוריון וההנהלה, מידת עצמאות הדירקטוריון, ועוד.
- תהליך הערכת הסיכונים וניהולם – האם קיים בתאגיד הליך מיפוי סיכונים כולל המנוהל על ידי ההנהלה הבכירה ונדון על ידי הדירקטוריון; האם נקבעה תכנית להתמודדות עם סיכונים כאמור; האם תכניות העבודה נקבעות בהתחשב במיפוי זה; האם תכנית העבודה של מבקר הפנים מבוססת על מיפוי הסיכונים כאמור, ועוד.
- תקשורת ומידע – האם מערכות המידע מספקות בסיס נאות לדיווח הכספי והגילוי (רלוונטי גם עבור ITGC – ראה להלן); האם ובאיזו מידה קיימים ערוצי תקשורת וזרימת מידע בין העובדים וההנהלה; האם נקבעו בתאגיד נהלי דיווח פנימי ברורים, ועוד.
- פיקוח – האם ובאיזו מידה מפקח הדירקטוריון באופן אקטיבי על תפקוד ההנהלה; האם ובאיזו מידה מעריך הדירקטוריון את תפקוד המבקר הפנימי; האם ועדת המאזן והדירקטוריון בוחנים באופן סדיר את הממצאים שעלו בביקורת רואה החשבון המבקר; האם קיים ערוץ תקשורת ישיר בין הדירקטוריון למבקר הפנימי ובין הדירקטוריון לרואה החשבון המבקר, ועוד.
הערכת ה-ELC כשלעצמה אינה מספקת הבנה מספיקה על נאותות הבקרה הפנימית בארגון, אולם היא מהווה נקודת פתיחה טובה להבנה והערכה של נאותות הבקרה הפנימית, היות ולהערכת בקרות אלה (במיוחד כאשר נמצאו בהן ליקויים) יש השפעה רבת חשיבות על ההערכה הכוללת של אפקטיביות הבקרה הפנימית בדבר הדיווח הכספי והגילוי.
תהליך עריכת וסגירת הדוחות הכספיים:
תהליך זה מתייחס לבחינת המקטע האחרון של תהליך הדיווח הכספי והגילוי, אשר כולל, בין היתר, את הפעולות הבאות:
- איסוף הנתונים למאזני הבוחן וביצוע בדיקות מבססות לנאותות הנתונים שהתקבלו (למשל באמצעות בדיקות סבירות, התאמת יתרות בין ספרי העזר למאזן הבוחן וכד׳);
- קביעה ויישום של המדיניות החשבונאית בידי התאגיד;
- ביצוע התאמות לצורך עריכת הדוחות הכספיים השנתיים או הרבעוניים, לרבות התאמות לצורך איחוד הדוחות הכספיים;
- הכנה ועריכה של הדוחות הכספיים לרבות הגילויים הרלוונטיים;
- דיון ואישור הדוחות הכספיים במוסדות הרלוונטיים.
בקרות כלליות על מערכות המידע (ITGC):
מערכות המידע מהוות חלק מרכזי ובלתי נפרד בתהליך הדיווח של התאגיד, ולפיכך נדרשת התייחסות מיוחדת אליהן במסגרת תהליך הערכת האפקטיביות של הבקרה הפנימית.
במסגרת זו על ההנהלה לבחון למשל נהלי בקרה הנוגעים להרשאות גישה למערכת וביצוע פעולות בה ולבדיקה של קונפליקטים בעת מתן הרשאות כאמור; בדיקת קיומם של נהלים מסודרים לניהול שינויים במערכת וגיבוי ושיחזור מידע; הפרדה בין סביבת ה-Production לסביבת ה-Testing, וכד׳.
תהליכים מהותיים מאוד לדיווח הכספי והגילוי:
תהליכים מהותיים מאוד לדיווח הכספי והגילוי אלה הם תהליכים שעשויה להיות להם השפעה מהותית מאוד על הדיווח הכספי והגילוי בדוחות התאגיד (להלן גם ״תהליכים מהותיים מאוד״).
"תהליך" לעניין זה הוא רצף של פעולות, המבוצעות על ידי גורמים בתאגיד או מערכות המידע בו, מרגע הייזום של עסקה (או אירוע) ועד למתן הביטוי ו/או גילוי לה בדוחות התאגיד.
דוגמאות לתהליכים מהותיים מאוד לדיווח הכספי והגילוי עשויות להיות למשל בחברה תפעולית – תהליך המכירות, תהליך הרכוש הקבוע או תהליך המלאי; ובחברות החזקה והשקעה – תהליך ביצוע השקעות ומכירתן, זאת, כמובן בהתאם לאופי החברה ופעילותה.
למשרדינו ניסיון רב מאוד בביצוע טסטים לבחינת עמידת החברה בדרישות ה- ISOX בקרב חברות ישראליות הנסחרות בבורסה בת"א.
ניתן לבצע את הטסטים כחלק מתוכנית (תקציב) הביקורת הפנימית או כרכיב בדיקה נפרד.
בכבוד רב,
דורון יוניסי, מבקר פנימי