בשנים האחרונות אנו עדים להתרחשויות רבות בעולם, כדוגמת פרשת אנרון בארה"ב ופרשת הבנק למסחר בארץ, אשר הביאו בעקבותיהם שורה של אירועים רגולטורים במטרה להסדיר את הפעילות הכרוכה בתפקוד הבקרות בתהליכי העבודה והכל במטרה למנוע הצגה מוטעית בדוחות הכספיים.
במאמר הנוכחי נתמקד בהשפעתה של הרגולציה הגוברת בשנים האחרונות על תחום ניהול הסיכונים בחברות ציבוריות בארץ ובארצות הברית ונבחן באם יש חפיפה או אפילו כפילות בין פעילות ניהול הסיכונים לפעילויות הנדרשות על ידי הרגולטור או שלמעשה מדובר בפעילויות שונות שיתכן אף כי באות להשלים האחת את השניה.
הוראות הרגולציה בעקבות פרשיות שחיתות ומעילות – בעולם ובארץ
ביולי 2002 בעקבות פרשות אנרון, וורלקום ואחרות, נחקק בארה"ב Sarbanes-Oxley Act המטיל חובה על נושאי משרה בחברות הכפופות לחוקי הרשות לניירות ערך בארה"ב, ובראשם המנכ"ל וסמנכ"ל הכספים, לחתום על הצהרת מנהלים בדבר קיום וטיב הבקרות הפנימיות המבוצעות בארגון.
במהלך השנים הבאות ומתוך ההשפעה בין השווקים ובעקבות האירועים שהתרחשו בארץ, אומצו עיקרי חוק Sarbanes-Oxley על ידי המפקח על הבנקים, המפקח על חברות הביטוח ורשות החברות הממשלתיות באופן שיחולו (בוריאציות שונות התואמות את הנחיות החוק) על הבנקים, חברות הביטוח, והחברות הממשלתיות.
בנוסף, בחודש דצמבר 2006 הגישה ועדת גושן, שהתמנתה על ידי יו"ר הרשות לניירות ערך דאז, מר משה טרי, במטרה להתייחס למבנה ומתכונת אימוץ קוד ממשל תאגידי לתאגידים בישראל והמלצותיה של הועדה הובילו בחודש פברואר 2008 להגשת הצעה לתקנות לחוק החברות (הוראות ותנאים לעניין הליך אישור הדוחות הכספיים), התשס"ח - 2008 (להלן: ההצעה לתקנות").
במסגרת ההצעה לתקנות מוצע, בין היתר, לקבוע בדומה לסעיף 404 לחוק Sarbanes-Oxley כי גם רואה החשבון המבקר של חברות ציבוריות בישראל יבקר את האפקטיביות של הבקרות הפנימיות על הדיווח הכספי. יחד עם זאת, בשונה מחוק Sarbanes-Oxley המחייב בדיקה של הבקרות הטמונות בתהליכי העבודה הכרוכים בתפעול השוטף של הארגון, ההצעה לתקנות בישראל מחייבת בדיקה של רואה החשבון המבקר את אפקטיביות הבקרות הטמונות בתהליכי העבודה הכרוכים בדיווח הכספי בלבד. כך למשל, רואה החשבון לא יחויב לבדוק את הבקרות בנוגע למניעת גניבות ומעילות, אך הוא יהיה חייב לבחון האם בקרות הדיווח אפקטיביות דיין, על מנת שאירועים יקבלו ביטוי נאות בדוחות הכספיים.
מכאן, שחוק Sarbanes-Oxley והוריאציות השונות אשר אומצו בארץ, לרבות קוד לממשל תאגידי לאחר שההצעה לתקנות תאושר על ידי משרד המשפטים, יהוו גורם משפיע בהכרח על שיפור בקרות פנימיות בתהליכי העבודה בארגון. כמו כן, יתכן שאף ייעלו את תהליכי העבודה בארגון ויצמצמו סיכונים של הארגון. בנוסף, הם בהכרח יאפשרו שקיפות גבוהה יותר של המידע והידע הקיימים בארגון ויאפשרו פיקוח ושליטה גבוהים על הפעילויות בארגון. יחד עם זאת, ראוי להדגיש כי בקוד ממשל תאגידי לא מדובר בבקרות על כלל תהליכי התפעול אלא על בקרות הדיווח בלבד.
פעילות ניהול הסיכונים
בעלי מניות אופייניים לא מחבבים סיכונים וזה בלשון המעטה. יחד עם זאת, ברור כי לקיחת סיכונים אסטרטגיים הינה גורם חיוני וכמעט הכרחי להתפתחות עסקים ולהשאת הרווחים בארגונים. לפרשת דרכים זו נכנס תהליך ניהול הסיכונים. תהליך זה כולל איתור והערכה של הסיכונים בארגון וקבלת החלטה של מנהלי הארגון על אופן הטיפול בסיכונים.
הדינמיות בעולם העסקים בכלל ובארגונים בפרט יצרה מצב בו קיימת השתנות מתמדת בסיכוני הארגון באופן הדורש מהארגון לבחון באופן תדיר את הסיכונים ולהיות ערניים לשינויים החלים בהם. בהתאם, תהליך ניהול הסיכונים הינו תהליך מתמשך וראוי שינוהל במהלך החיים השוטף של הארגון על ידי בחינה מתמדת של הסיכונים מידי תקופה שנקבעת על ידי החברה. לפי הבחינה האמורה, מבוצע עדכון של הסיכונים הרלוונטיים תוך התייחסות לשינויים שחלו בארגון במהלך התקופה וכן, לשינויים בתהליכי העבודה בארגון.
לדוגמא: באם ארגון הטמיע מערכת ERP הרי שתהליכי העבודה בו השתנו וסביר שסיכונים רבים שהיו קודם להטמעת המערכת צומצמו ויתכן אף שמוגרו לחלוטין. לפיכך, ראוי לעדכן את מערך הסיכונים של החברה ולבחון אילו סיכונים קיימים לאחר הטמעת מערכת ה – ERP, אליהם מנהלי הארגון צריכים להיות ערים ולבחון את אפשרות החברה לטפל בהם.
שינוי של פעילויות יכול אף הוא להוות קטליזטור נוסף לשינויים בסיכוני החברה שכן, פעילויות חדשות יתכן ויחשפו את הארגון להתמודדות בשוק חדש שמאופיין בסיכונים חדשים שלא היו ממשיים לחברה בפעילויות הקודמות שלה. מכאן שראוי בהכרח לבחון את הסיכונים של החברה עם כניסתו של הארגון לשווקים או לפעילויות חדשות.
ניהול סיכונים בארגון ישפר את הבקרות הפנימיות בתהליכי העבודה בארגון, ייעל את תהליכי העבודה בארגון, יתכן ויצמצם סיכונים תפעוליים וסיכונים למעילות והונאות, יאפשר שקיפות גבוהה יותר של המידע והידע הקיימים בארגון ויאפשר פיקוח ושליטה גבוהה על פעילויות עובדי הארגון.
בין ניהול הסיכונים להוראות הרגולציה
כפי שציינו לעיל, ההצעה לתקנות שגובשה בעקבות המלצות ועדת גושן, בנושא הממשל התאגידי, עוסקת בנושא אפקטיביות הבקרות הפנימיות, בדומה להנחיות חוק .Sarbanes-Oxley בהתאם, קיימים מספר נושאים חופפים בין השניים כדלקמן:
- אתיקה וציות – הרגולציה שמה דגש על נושא האתיקה והציות שבחלק ניכר מהארגונים לא היה מפותח עד כה. הדרישות הפרטניות כוללות קיום קוד אתי למנהלי החברה ואנשי הכספים באופן שיהיה נגיש לכלל עובדי החברה לרבות הנחיות בנושא מעילות והונאות. כמו כן נקבע הצורך בישום תהליך של "מלשינון" בארגונים לצורך הגנה על עובדים המדווחים באמצעותו.
- שקיפות וגילוי - הדרישות הרגולטוריות כוללות אחריות של הנהלת החברה למתן גילוי בגין מידע מהותי בדוחות הכספיים ואחריותם על מהימנות המידע, הרחבת הגילוי בגין דיונים של ההנהלה, מדידות לא חשבונאיות שנעשו והסכמים חוץ מאזניים. בעקבות הדרישות, חברות שונות הקימו ועדות גילוי הדנות בהיקף המידע הנדרש במסגרת הדיווח הכספי.
- תפקוד ואחריות הדירקטוריון - הועלו דרישות חדשות להערכת תפקוד הדירקטוריון, יסוד ועדות משנה חדשות ודרישות נוספות לגילוי. בנוסף חוק Sarbanes-Oxley דורש קבלת אישור מועדת הביקורת בנוגע לשירותים נלווים הניתנים על ידי רואה החשבון המבקר, הגדלת אי תלות ועדת הביקורת, פיקוח על רואה החשבון המבקר, יצירת תהליך של קיום "מלשינון", בחברה ומתן גילוי בדבר קיומו של מומחה פיננסי כחבר בועדת הביקורת.
- ניהול סיכונים ובקרות – הדרישות הרגולטוריות כוללות דרישה מההנהלה לישום בקרות פנימיות בתהליכי הדיווח הכספי ומתן הצהרה, בצירוף לדוח המנהלים, על אפקטיביות הבקרות. כמו כן, מתן חוות דעת מבקר חיצוני על אפקטיביות בקרות הדיווח. כאמור לעיל, דרישות חוק Sarbanes-Oxley מפורטות יותר בנושא האמור וכוללות גם את בקרות התפעול. בישראל ההצעה לתקנות כוללת רק את בקרות הדיווח. בנוסף, כללו הדרישות הצעה לישום תהליך של ניהול סיכונים בחברה וקביעת מדיניות בנושא זה על ידי ועדת הביקורת.
כאמור לעיל, הרגולטור קובע תהליך של ניהול סיכונים ובקרות אשר מטרתו לוודא אפקטיביות של הבקרות בארגון. קרי, הדרישות מחייבות את הארגון ואת רואה החשבון המבקר למפות את הסיכונים המאיימים על הארגון במטרה לבחון את אפקטיביות הבקרות הפנימיות. מכאן, שהדגש בתהליך ישום הוראות הרגולציה הינו אפקטיביות הבקרות הפנימיות בתהליכים ולאו דווקא ניהול הסיכונים.
נראה שחברות הנדרשות ליישם את הוראות הרגולציה בנושא אפקטיביות הבקרות הפנימיות בתהליכים, יכולות לנהל ביתר קלות במקביל לתהליך זה, תהליך יעיל ואפקטיבי של ניהול סיכונים. כמו כן, ארגון הנמצא תחת תהליך של ניהול סיכונים יהיה לו קל יותר ליישם את הוראות הרגולציה.
שני פרויקטים אלו יכולים לזרום זה לצד זה ולהזין האחד את השני. הדגש בתהליך ניהול הסיכונים הינו איתור הסיכונים הטמונים בפעילות ובתהליכי העבודה המבוצעים בארגון ו"מציאת" הבקרות שיכולות להוות חסם או יכולות לסייע בצמצום הסיכון. הנ"ל הינו בשונה מהתהליך הנדרש על ידי הרגולטור במסגרתו הדגש הינו על קיומן של הבקרות שכן, דרישת הרגולטור הינה בחינת אפקטיביות הבקרות על הדיווח הכספי. מכאן, שבתהליך האמור יש לאתר את הסיכונים ואת הבקרות ולבחון את האפקטיביות שלהן.
יש לציין כי תהליך ניהול הסיכונים הינו תהליך מתמשך הדורש בחינה של הסיכונים אחת לתקופה וכן לפי אירועים שונים הקורים בחברה, כפי שצויינו לעיל. כמו כן, ישום הוראות הרגולציה נדרשות אף הן מידי תקופת דיווח כך שבהכרח הסיכונים והבקרות נדרשים להיבחן אחת לתקופה ולפיכך, גם תהליך זה הינו מתמשך. מכאן, שאף מפאת הצורך בניהול התהליכים באופן שוטף ובחינת ממצאיהם אחת לתקופה יש הלימות בין שני התהליכים האמורים.
המסקנה העיקרית הינה כי קיימים ממשקים רבים בין תהליך ניהול הסיכונים ותהליך ישום הוראות הרגולציה באשר להערכת אפקטיביות הבקרות. יחד עם זאת, כל אחד מהתהליכים שם את הדגש על נושא אחר באופן שבדרישות הרגולטור איתור הסיכונים ובחינת אפקטיביות הבקרות יכול לסייע לתהליך ניהול הסיכונים ולהיפך. לפיכך, נראה כי על מנת למקסם את התהליכים בארגון כדאי לארגונים לנהל את שני התהליכים במקביל כאשר תהליך אחד מזין את התהליך האחר על מנת להימנע מכפילויות ועבודת יתר. לצורך ישום זה ניתן אף להיעזר במערכות מחשוביות ייעודיות שפותחו לאור הוראות הרגולציה ומהוות כיום כלי יעיל לניהול שני התהליכים במקביל באופן שמידע רלוונטי זורם לשני התהליכים באופן דו כיווני.
לסיכום,
נראה כי הרגולציה שתפקידיה העיקריים הינם חיזוק התרבות הארגונית, שיפור הדיווח הכספי והחזרת אמון ציבור המשקיעים, לא באה להחליף את תהליך ניהול הסיכונים. על אחת כמה וכמה במקרה של ההצעה לתקנות בישראל, שהפוקוס הניתן בהן הינו על בקרות הדיווח בלבד ולא על בקרות התפעול כפי שמחויב בחוק Sarbanes-Oxley. יתרה מזו, נראה כי ההצעה לתקנות בישראל ממעטת כלל ועיקר את נושא המעילות והונאות, להבדיל מההנחיות והתקנים בארצות הברית השמים כיום דגש על נושא זה.
כמו כן, ההצעה של הרגולטור לישום תהליך של ניהול סיכונים וקביעת מדיניות בנושא זה על ידי ועדת הביקורת מחזקת אף היא את הדעה שאין זהות מלאה בין שני התהליכים ויתרה מכך, יתכן שאף מחזקת את הצורך בניהול תהליך נפרד לנושא של ניהול הסיכונים.
נדגיש כי חברות הנדרשות ליישם את הוראות הרגולציה בנושא אפקטיביות הבקרות הפנימיות בתהליכים, יכולות לנהל ביתר קלות במקביל לתהליך זה, תהליך יעיל ואפקטיבי של ניהול סיכונים. כמו כן, ארגון הנמצא תחת תהליך של ניהול סיכונים יהיה לו קל יותר ליישם את הוראות הרגולציה.
מאחר וקיימים ממשקים רבים בין תהליך ניהול הסיכונים ותהליך ישום הוראות הרגולטור באשר לבחינת אפקטיביות הבקרות הפנימיות על הדיווח הכספי וכל אחד מהתהליכים שם את הפוקוס על נושא אחר הנגזר מהנושא המקביל, נראה כי כדאי לארגונים לנהל את שני התהליכים במקביל. יתכן וגורמים שונים יטענו כי המדובר בתהליכים כפולים אך יש לתת את הדעת שכל נושא בסיומו של תהליך יוצר תוצר שונה. כמו כן, ניתן כיום, בימים של עידן הטכנולוגיה המתקדמת, להיעזר באמצעים טכנולוגיים ליצירת ממשק יעיל ומירבי לשני התהליכים על ידי ניהולם באמצעות מערכות ייעודיות שפותחו אשר ידעו לשלב בין הנתונים של שני התהליכים לטובת הארגון.