מאמרים:

גזרה מחו"ל- האם אנו ערוכים ליישום COSO 2013

02 אוגוסט 2014

רו"ח ווידאד אלטוחי, מנהלת בכירה, אשכול בנקאות ופיננסים, BDO זיו האפט |

השנים האחרונות בשוק הפיננסי בארץ ובעולם התאפיינו ברגולציה חדשה, יש כאלו שיטענו כי מדובר בעודף רגולציה וכי זו מכבידה ומחטיאה את מטרתה ואחרים אשר טוענים כי רגולציה זו הינה הכרחית לצורך מניעת ומזעור מעילות שונות אשר עולות לכותרות בתדירות גבוהה מידי. במקביל לרגולטורים השונים, הרשות לניירות ערך תרמה לעידן הרגולציה, ולאחר מכן גם לתוכנית דה רגולציה. אך הפעם הגזרה שעומדת על מפתן דלתנו מקורה דווקא מעבר לים. 

ארגון COSO א(Committee of Sponsoring Organisation of the Treadway Commission) עדכן את מסגרת ה-COSO אשר שימשה כמסגרת אחידה להערכת אפקטיביות הבקרה. 

החל מדצמבר 2014, המודל המעודכן (COSO 2013) מחליף את המודל אשר ליווה את עולם הבקרה ובפרט SOX 404 כשני עשורים. האם מדובר במודל אשר יצריך משאבים ומקורות מימון ליישומו? האם קיימות השלכות מהותיות על תהליך הערכת אפקטיביות הבקרה? האם כתוצאה מיישום המודל יאותרו ליקויים, ואף חמור מכך ליקויים משמעותיים או חולשה מהותית? 
המאמר מפרט את עיקרי השינויים שחלו במודל, ואשר על החברות המשתמשות במודל זה ליישם כבר במהלך שנת 2014.

מדוע הוחלט ע"י ארגון COSO לעדכן את מסגרת העבודה?

מטרת עדכון מודל ה- COSOהינה שימור על ליבת המודל הישן (1992), ולחדד ולהבהיר את דרישות המודל על מנת להקל על המשתמשים במודל ביישומו. המודל החדש עודכן על מנת להתאים את עצמו לשינויים הבלתי פוסקים החלים בסביבה העסקית המתפתחת, והרחבת השימוש במודל ליעדי דיווח שונים, כספיים ותפעוליים.

1. מה הם ההבדלים העיקריים בין מודל COSO 1992 למול COSO 2013? יישום גישה מבוססת עקרונות- הגדרת 17 עקרונות במסגרת 5 רכיבי הבקרה הפנימית (סביבת הבקרה, הערכת סיכונים, מידע ותקשורת, פיקוח ובקרה, ופעילות בקרה).  העקרונות נועדו להבהיר את אופן יישום רכיבי הבקרה בהערכת אפקטיביות.

2. מתן ביטוי לשינויים בסביבה העסקית והסביבה התפעולית - המודל משקף את השינויים האמורים תוך מתן דגש לממשל תאגידי, גלובליזציה של הסביבה העסקית ותפעולית, מורכבות פעילות החברה, דרישות רגולטוריות וציות, נאותות ואחריות דיווח, הסתמכות על גורמים חיצוניים/ מערכות מידע.

3. הרחבת הדיון בנושא איתור ומניעת תרמיות - המודל מתייחס נרחבות לסוגי תרמיות שונות, תרמיות דיווח, מעילות נכסים, שחיתויות וגורמים המשפיעים על סיכון מעילות.

4. הכרה ברלוונטיות הגוברת של מערכות מידע.

5. הרחבת העקרונות המתייחסים ליעדי דיווח שונים - רכיב הבקרה המתייחס לדיווח כספי הורחב כדי לאגד בתוכו גם דיווחים חיצוניים ופנימיים בנושאים כספיים ושאינם כספיים.  

מה השפעת 17 העקרונות אשר הוגדרו במודל COSO 2013 על חמשת רכיבי הבקרה המוכרים ממודל COSO1992?
במסגרת המודל החדש, יש לבחון את קיום ותפקוד (present and functioning) 
17 העקרונות אשר הוגדרו כאמור, וכי חמשת רכיבי הבקרה, קיימים ומתפקדים יחד ובאופן אינטגרטיבי. 

מה תחולת COSO 2013?
החל מיום 15 בדצמבר 2014 מודל 2013 COSO מחליף אשר מודל 1992 COSO. על כן, על הארגונים אשר אימצו את מסגרת ה-COSO להערכת אפקטיביות הבקרה הפנימית, לעדכן בהתאם את מסגרת הבקרה ולהעריך את הפערים כתוצאה מיישום המודל החדש. כיצד יושפע תהליך הערכת וסיווג ממצאי הבקרה הפנימית ביישום SOX 404?

מודל COSO 2013 הגדיר "ליקוי בבקרה הפנימית" ו"ליקוי מהותי" לצורך הערכת אפקטיביות הבקרה הפנימית. יחד עם זאת המודל מכיר בהגדרת ליקויים ודירוגם בהתאם לרגולציה אשר חלה על הארגונים (ליקוי, ליקוי משמעותי, חולשה מהותית).

במידה ונמצא ליקוי מהותי ברכיב בקרה, מודל לא ניתן לפצות על כך ברכיב בקרה אחר. יש לבחון את קיום ותפקוד רכיבי הבקרה יחד ולחוד.

מה הם צעדי ההנהלה המוצעים ליישום מודל COSO 2013?
על ההנהלה לפעול להטמעת מודעות לנושא מודל COSO 2013:
א. הדרכת ההנהלה ודירקטוריון לצורך פיקוח על הטמעת המודל, 
ב. ניתוח פערים בין דרישות המודל החדש למול יישום המודל הישן,
ג. הכנת תוכנית עבודה לרענון עיצוב בקרות ותיעוד נדרש על מנת לעמוד ב-17 העקרונות ובדיקת אפקטיביות הבקרות במסגרת COSO 2013.

לסיכום - לא ניתן להעריך את מידת ההיערכות הנדרשת והיקף המשאבים שירתמו ליישום, שכן כל ארגון נערך בצורה שונה כבר במודל COSO 1992. לצורך הערכת המשאבים הנדרשים והתשומות השונות יש להתחיל בביצוע ניתוח הפערים הנדרש לצורך יישום המודל החדש. לכן, יש להקדים ולהיערך ליישום מסגרת הבקרה החדשה על מנת להגיע לישורת של דצמבר 2014 כאשר המודל יושם במלואו ומשמש את הארגון להערכת אפקטיביות הבקרה הפנימית.