המושגים החדשים אשר חדרו אל אוצר המילים של עולם הביקורת וניהול הסיכונים – SOX, מודל COSO, באזל 2, הדו"ח של ועדת גושן ועוד מושגים רבים אחרים – מלמדים על העלייה בחשיבותם של תהליכי הביקורת השונים וניהול הסיכונים בשנים האחרונות. תהליכי ביקורת אלו משקפים מחד את מעורבותה הגוברת של הרגולציה בשוק הפיננסי ואת דרישתה מארגונים להחמיר את תהליכי הבקרה והביקורת, אך מנגד ניתן לראות כי בשנים האחרונות, גם ארגונים אשר הרגולציה לא חלה עליהם, מפנימים את החשיבות שבהעלאת רמת הבקרה הפנימית בארגון ובשיפור מערך הביקורת. היתרונות הם ברורים: ייעול תהליכים, התמודדות עם סיכונים ואתגרים ורווחיות גבוהה יותר. לצד זאת, דווקא בעיתות משבר, ארגונים רבים קיצצו בתחומים אלו, למרות שדווקא אז חשיבותם גבוהה אף יותר, כיוון שביקורות ויישום בקרות בארגון יכולות לייעל תהליכים, לחסוך כספים ולאתר או למנוע קיומן של מעילות פנים ארגוניות. במאמר זה נסקור את סוגי הביקורת השונים וננסה להציג את יתרונותיהם ומטרותיהם השונות.
כל ארגון מכיר ומיישם את ביקורת הספרים – ביקורת על הדיווח הכספי אשר מטרתה לבדוק האם הדוחות מוצגים באופן נאות ובהתאם לכללי חשבונאות מקובלים. היא מתבצעת על ידי רואי חשבון החיצוניים של הפירמות אשר חותמים על הדוחות הכספיים של החברה לצד מנהליה. חשוב לציין כי ביקורת זו מתמקדת אך ורק באופן הצגת הדוחות הכספיים.
עם השנים הבינו כי ביקורת זו אינה מספיקה ויש להוסיף תהליכי בקרה נוספים, זאת בעקבות "פגמים" בדיווח הכספי שנתגלו במסגרת שערוריות שונות ברחבי העולם. הממשל בארה"ב נקט בצעד דרסטי לפתרון בעיות אלו ובשנת 2002 נחקק חוק סרבנס אוקסלי (SOX), אשר כולל תקנות מחייבות בנושא שקיפות פיננסית המחייבות ארגונים הנסחרים בבורסה האמריקאית. במסגרת סעיף 404 לחוק, נדרשות החברות הציבוריות בארה"ב לא רק לספק דוח כספי נאות ומהימן, אלא אף להוכיח כי קיימות בקרות פנימיות מספקות ליצירתו של דוח כספי שכזה.
הבקרות הפנימיות צריכות להתקיים על התהליכים ועל מערכות המידע הרלוונטיות לדיווח הכספי, וזאת מתוך מטרה לשפר את דיוק, אמינות ושקיפות הדוחות הכספיים. בשונה מביקורת הספרים תהליך ביקורת זה הינו באחריות רו"ח, אך לא רו"ח המבקר של הפירמה, אלא רו"ח נוסף וחיצוני.
יתרונות ה-SOX הם ברורים – זוהי הכרה ראשונה בכך שדוח כספי אינו נעשה רק בעבודה מאומצת בסופו של כל רבעון, אלא באופן שוטף.
לעומת זאת, כאשר ארגון מחליט לבחון את תהליכי העבודה רק דרך המשקפת הצרה של מהימנות הדוח הכספי והתהליכים בעריכתו, הוא מזניח עקרונות רבים אחרים אשר קשורים באופן הדוק לרווחיותו ויעילותו התפעולית: יעילותם של תהליכי העבודה, עמידת התהליך בחוקים ותקנות, טוהר מידות, דיווח ותיעוד מתאים, התאמתו לצורכי הארגון וכד'. הבחינה של עקרונות אלו נעשית על ידי תהליך נוסף בארגון, וזוהי הביקורת הפנימית.
מטרתה של הביקורת הפנימית הינה לבחון את תהליכי הארגון ולהצביע על ליקויים שקיימים בכל אחד מהעקרונות אשר צוינו לעיל, תוך מתן המלצות לתיקונם. לרוב ביקורת זו אינה מבוצעת רק על ידי רו"ח, אלא גם על ידי אנשי מקצוע אחרים בעלי השכלה בכלכלה, הנדסת תעשייה וניהול ומשפטים, אשר מספקים פנים שונים ומגוונים ליעילות התהליך. הביקורת הפנימית היא דיסציפלינה עמוקה ומורכבת, אשר הקוד האתי שלה ועקרונותיה נקבעו בסטנדרטים בינלאומיים של לשכת המבקרים הבינלאומית (IIA) שאומצו על ידי לשכת המבקרים הפנימיים בישראל אשר מטילים את החובות החלות על המבקר הפנימי ובראשן חובתו לתת חוות דעת אובייקטיבית ובלתי תלויה על פעילות הארגון. במסגרת הביקורת הפנימית נשאלות שאלות כגון: האם תהליך איתור וגיוס עובדים בחברה מותאם לצרכים של החברה? האם מערך הגיוס עמד ביעדים שהוצבו לו על ידי ההנהלה? האם תהליך הרכש נעשה בחסכון ויעילות ותוך קיום מכרזים הוגנים? שאלות רבות ומגוונות אשר אינן נשאלות על ידי רואה החשבון המבקר את הדוחות הכספיים של הפירמה.ביקורת פנימית כוללת מספר תתי תחומים אשר הינם כלים חשובים בידי המבקר הפנימי:
- ביקורת ענ"א (עיבוד נתונים אלקטרוני) – כלי ביקורת ייחודי שמיושם על בסיס מסדי הנתונים שבארגון. באמצעות ביקורת זו ניתן לבקר את אמינות המידע שבשימוש החברה. כשם שקיימים ליקויים בתהליכי העבודה בארגון, קיימים גם ליקויים רבים במערכות המידע ובבסיסי הנתונים, אשר מאיימים על פעילותה העסקית של החברה: זליגת מידע עסקי, ליקויים ברישום ואחזור הנתונים, הונאות ומעילות, טעויות בחישובי גבייה והעברות כספים וכד'. כל אלו ניתנים לגילוי בביקורת ענ"א.
- ביקורת מערכות מידע – ביקורת מערכות מידע נועדה לאתר ולטפל בתפקוד בלתי תקין של מערכות מידע בארגון ותהליכי עבודה ממוחשבים .כיום, תהליכים רבים מבוססים על מערכות מידע שונות ולפיכך עולים נושאים שונים הנוגעים לתקינות תהליך העבודה: אבטחת מידע, בקרות, ממשקים בין מערכות שונות, וכד'.
- ביקורת הונאות ומעילות – ביקורת זו מתמקדת באיתור מעילות והונאות בארגון ופרצות אשר דרכן ניתן לבצע מעילות והונאות. במעילות והונאות כלולים מגוון של אירועים, כגון: גניבות כספים, דיווחים כספיים כוזבים, העברת מידע על פרטי לקוחות, גניבת מידע אודות הארגון, מתן הטבות שלא כדין ללקוחות וספקים וכד'. ביקורת זו נחוצה לתהליכים בהם יש בין היתר העברות כספים, ממשקים עם חשבונות בנקים ועבודה מול ספקים. ביקורת זו מתבצעת במטרה למנוע אירועים חריגים ואי סדרים, לאתר כאלו ולכמת נזקים לארגונים אשר חוו אותם.
אילו ארגונים מבצעים ביקורת פנימית? על פי החקיקה בארץ, רק ארגונים וחברות ממשלתיות וציבוריות מחויבות במינוי מבקר פנימי. אך כאמור, ביקורת פנימית הינה הכרחית לכל ארגון אשר מעוניין לשפר את ארגונו ויעילותו התפעולית.
ארגונים גדולים יותר, בהם קיימים סיכונים רבים ומספר רב של עובדים, אינם מסתפקים רק בביקורת פנימית ומקימים מחלקה של ניהול הסיכונים שמטרתה לטפל בסיכונים באופן שוטף (ארגונים פיננסיים גדולים אף מחויבים להקמת מחלקה כזו). אחריות מנהל הסיכונים היא לאתר את הסיכונים, להעריך את עוצמת השפעתם, ולבחור את אופן הטיפול בהם תוךביצוע בקרה על תהליכי העבודה. ניהול סיכונים הינו חלק ממערך הניהול של הארגון והוא נועד לספק למנהלים כלי שיסייע בהערכת ומזעור הסיכונים המאיימים עליו. ניהול הסיכונים יהווה קרקע על בסיסה יוכל הארגון להפעיל שיקול דעת נכון יותר בקבלת ההחלטות ובמיצוי ההזדמנויות העסקיות.
ניהול סיכונים מתחלק לשני תחומים עיקריים – סיכונים פיננסים וסיכונים תפעוליים. סיכונים פיננסים כוללים סיכוני אשראי (מתייחסים לתמהיל האשראי ורמת הסיכון של כל עסקת אשראי), סיכוני מטבע וסיכוני שוק. סיכונים תפעוליים מקיפים מגוון נושאים שאינם פיננסיים במהותם, הנוגעים לתהליך העבודה עצמו – כגון הונאה פנימית או חיצונית, ניהול לקוי, עבודה לקויה של עובדים, כשלים במערכות המידע וכו'. מודל COSO משמש עבור רבים כמתודולוגיה על בסיסה מקימים את מערך ניהול הסיכונים בארגון.
לסיכום, עולם הביקורת וניהול הסיכונים הינו עולם רחב המורכב מתחומים רבים. חלקם של התחומים חופפים ביניהם, אך החפיפה מדגישה את העובדה שאף תחום אינו עומד בפני עצמו. שילוב התחומים השונים יביא לביצוע ביקורת יעילה ומקיפה, ולפיכך יש לעשות זאת בחוכמה ובהתאם לצרכי הארגון ותקנות הרגולציה. לכן, חייבת להתקיים אינטראקציה בין מנהלי התחומים השונים, הן בבניית תוכנית העבודה של כל תחום והן בעבודה השוטפת. בבניית תוכנית העבודה השנתית חשוב לבדוק כי כל תחום מתמקד בנושא אחר, כך בכל שנה יהיה ניתן לכסות מספר רב יותר של נושאים בארגון, וכך ימנע עומס על מבוקר אחד אשר יכול לפגוע בשיתוף הפעולה. גם בעבודה השוטפת ניתן למצוא כי תוצרים של התחומים השונים יכולים להיות לעזר.
עולם הביקורת וניהול הסיכונים הוא אינו עומד בפני עצמו אלא יש לו מטרה מאוד ברורה, והיא הצלחתו העסקית של הארגון. לפיכך, ארגון החושב לטווח ארוך ישכיל להשקיע את משאביו לא רק בהרחבת פעילותו העסקית, אלא גם על ידי בחינת הפעילות העסקית הקיימת ויעילותה.
פורסם במקור: בטאון רואי חשבון אוקטובר 2010