ייעול עבודת יישום הנחיות הממונה על שוק ההון בגופים מוסדיים בנושא בקרה

ייעול עבודת יישום הנחיות הממונה על שוק ההון בגופים מוסדיים בנושא בקרה

רו"ח ויקטור אליהו, CIA, שותף ורו"ח ישראל גבירץ, מנהל ביקורת, פאהן קנה ניהול בקרה בע"מ

אפריל 2009

אם הנך מנהל בגוף מוסדי (חברת ביטוח, קרן פנסיה, קופת גמל) לא יכולת שלא לשים לב בשנים האחרונות למטר של חוזרים המגיע מכוונו של הממונה על שוק ההון. מטרת ההנחיות של הממונה על שוק ההון הינה חיזוק הבקרה הפנימית באותם גופים מוסדיים, לטובת בעלי המניות, המבוטחים, העמיתים וכו'. בשנים האחרונות משרדנו משמש כיועץ לגופים מוסדיים ביישום הנחיות הממונה על שוק ההון בתחום הבקרה. במסגרת העבודה נתקלנו פעמים רבות בתופעה של חוסר תיאום ביישום הוראות הממונה. חוסר זה בתיאום גורר מצד החברות השקעת משאבים גבוהה אשר לא בהכרח תורמת לחיזוק הבקרה. במאמר זה נציג את הבעיות העולות ביישום החוזרים וננסה לתת מספר טיפים כיצד ניתן לשלב בין יישום החוזרים השונים, לייעל את התהליך, ולחסוך לגוף המוסדי משאבי זמן וכסף.

להלן סקירה של מספר הנחיות הממונה על שוק ההון בתחומי הבקרה:

  • בקרה פנימית על הדיווח הכספי -  חוזר מספר 9-2-2006, דורש ליישם את הוראות סעיף 404 מחוק Sarbanes Oxley (SOX) בחוזר זה הדגש הינו על בקרות פנימיות הרלוונטיות לדיווח. הכספי, אולם יישומו דורש גם בחינה מקיפה של תהליכי העבודה הכלל ארגוניים, בקרות על מערכות המידע, ממשל תאגידי (בקרות על), מעילות והונאות ועוד.
  • מערך הביקורת הפנימית – חוזר מספר 2007-9-14, קובע את הסטנדרטים הנדרשים לביצוע ביקורת פנימית בגופים מוסדיים. החוזר דורש מהמבקר הפנימי לערוך סקר סיכונים מפורט שעליו תתבסס תכנית העבודה הרב שנתית שלו, מפרט את אופן ביצוע הביקורת, היקף הביקורת (מספר שעות הביקורת השנתיות עלה באופן דרמטי), דיווח על הביקורות ועוד.
  • מעילות והונאות - חוזר מספר 3-9-2006, קובע עקרונות בסיסיים להתמודדות עם מעילות והונאות בארגונים, לרבות: קביעת מדיניות לדיווח על אירועים של מעילות, ביצוע סקרי מעילות מונעים לאיתור חשיפות אפשריות ועוד.
  • אבטחת מידע - חוזר מספר 6-9-2006, מגדיר רשימה מפורטת של עשרות בקרות שהגוף המוסדי נדרש ליישם על מנת להעמיד מערך אבטחת מידע, הראוי לאבטחת המידע הרגיש בגופים המוסדיים (פרטים אישיים, הצהרות בריאות, נתונים על שארים, מספרי כרטיסי אשראי וכדו').

ישנם מספר חוזרים נוספים, כגון בנושאים של ניהול סיכוני אשראי והשקעות והרחבות של החוזרים המפורטים לעיל, אשר מטילים הוראות נוספות הקשורות לבקרה הפנימית בארגונים, אולם קצרה היריעה מלפרט את כולם.
מרבית הגופים המוסדיים בחרו ליישם חלק מהוראות הממונה על שוק ההון על ידי מינוי יועצים חיצוניים המתמחים במתן פתרונות בתחומים השונים, כגון: יועצים בתחום אבטחת המידע, מומחים בתחומי חקירת ומניעת מעילות והונאות, מומחים ליישום הוראות חוק Sarbanes Oxleyועוד. לעיתים רבות, נלקח יועץ נפרד בכל תחום.  כמובן, שבנוסף לכל היועצים, המבקר הפנימי – לעיתים  יועץ לענייני בקרה אף הוא - המשיך בעבודתו, ולאור הגדלת היקפי שעות הביקורת אף העמיק אותה. כל אחד מהגורמים לעיל, אף דיווח לפונקציה שונה בארגון – מבקר הפנים דיווח למנכ"ל ולוועדת הביקורת, היועץ שנבחר ליישם את חוזר ה - SOX דיווח (דה פקטו) לסמנכ"ל הכספים, היועץ שעסק בהטמעת הוראות חוזר אבטחת המידע דיווח לסמנכ"ל מערכות המידע וכו'.
תהליך זה גרם לכך שמספר יועצים העלו, במקביל, ליקויים בתהליכי העבודה והצעות לפתרונם. במקרים רבים ניתנו מסקנות זהות לאלו שנתקבלו בעבר ובמקרים אחרים התקבלו המלצות שונות (חליפיות ולפעמים אף סותרות) ממספר יועצים. לא פעם, צוות עבודה אחד נדרש לעבור תהליך של מיפוי תהליכים ובדיקות על ידי מספר גופים, כאשר כל אחד יישם חוזר אחר. עומס יתר זה נפל פעמים רבות על צוותי עבודה מסוימים (כגון: כספים, מערכות מידע, תביעות וכו'). חשוב לציין שתהליכים מעין אלו דורשים השקעת זמן יקר של דרג ניהולי בכיר, מעבר לעלויות הישירות של היועצים. בנוסף, עקב חפיפה חלקית בין הוראות החוזרים השונים, חוסר תיאום בתהליך תיקון הליקויים הביא ליישום של בקרות מיותרות.

להלן מספר דוגמאות להיעדר תיאום ביישום והטמעה של החוזרים, שנתקלנו בהן במסגרת עבודתנו:

במהלך עבודה בחברת ביטוח מצאנו כי במיפוי תהליך התביעות יועץ ה - SOX  נתן המלצות זהות להמלצותיו של מבקר הפנים, אשר בדק את מחלקת התביעות מספר חודשים קודם לכן. בבירור שערכנו, עלה שיועץ ה- SOX לא קיבל לידיו את דוחות הביקורת של מבקר הפנים, ולכן ערך מיפוי מחדש של תהליכי העבודה (תהליך אשר דרש פגישות נוספות עם ראשי צוותים ומנהל המחלקה) ולבסוף המליץ את אותן המלצות שכבר היו בידי הארגון.
במקרה אחר, צוות מערכות מידע של יועץ ה- SOX ביצע ניתוח של הרשאות הגישה במערכת הביטוחית. עם סיום עבודתו ומתן המלצותיו, התברר שהמלצות דומות העלינו אף אנו במסגרת ביצוע סקר מעילות והונאות. מכיוון שסקר המעילות לא הגיע לידיו של יועץ ה-SOX, הדבר גרר עבודה כפולה.
במקרה נוסף, בו סייענו למבקר הפנים של הארגון, איתרנו בעיה של חוסר בהפרדת תפקידים באגף הכספים והמלצנו על בקרה מפצה של דוחות חריגים בנושא. מסתבר שיועץ ה-SOX של הארגון איתר את אותה בעיה והמליץ על הוספת עובד למחלקה. נציין כי מחלקת הכספים של אותו ארגון מנתה עובדים ספורים בלבד והוספת עובד נוסף למחלקה היתה גוררת תוספת של עשרות אחוזים לעלויות השכר.
מיותר לציין שהדוגמאות לעיל הינן בתחומים הדורשים שינוי בתהליכי העבודה בארגון. שינויים כאלו דורשים זמן ולעיתים משאבים. בתפר שבין קבלת ההערות ועד ליישומן החברה השקיעה משאבים נוספים לשווא.
נשאלת השאלה, כיצד ניתן לפתור את הבעיות שהוצגו לעיל? ובכן, המשותף לבעיות שהוצגו, הינו היעדר יד מכוונת אשר תסנכרן ותשלב את כל התהליכים הקשורים לבקרות הפנימיות בארגון.

להלן שתי גישות שונות אשר יישומן או שילוב ביניהן יאפשרו לארגונים לחסוך בעלויות, ובמקביל לייעל את תהליכי העבודה הקשורים לבקרות הפנימיות:

  1. מינוי מתאם של עבודת היועצים בארגון ("מנהל בקרה") ניצול יעיל של עבודת היועצים מחייב מינוי גורם מתאם אשר תפקידו לקבל את התוצרים מכל היועצים ולפקח על עבודתם. גורם זה יוכל לספק ליועץ, בטרם יתחיל את עבודתו, את כל הרקע המקצועי שכבר בוצע בתחום המבוקר. באופן זה עבודת היועץ תהיה ממוקדת ותמשיך מנקודת הסיום של עבודת היועץ הקודם. כמו כן, רצוי שהמתאם בארגון יהיה גם הגורם האחראי על יישומן של ההמלצות השונות, כולל ריכוז ההמלצות מכל היועצים (או מבקר הפנים) לכל מחלקה או צוות בארגון, לוחות הזמנים לביצוען וסדר העדיפויות ליישום ההמלצות. מכיוון שאין אפשרות לארגון ליישם בו זמנית את כל ההמלצות הנדרשות, ישנה חשיבות רבה לתעדוף הליקויים ובהתאם לכך יישום הפתרונות.
  2. מינוי יועץ יחיד אשר יכול להעניק לארגון מגוון רחב של שירותים – יועץ יחיד אשר יעזור לארגון ליישם מספר הוראות במקביל, יאפשר צבירת ידע ביחס לארגון, וימנע עבודה כפולה בנושאים חופפים. יועץ כזה, אשר מספק פתרונות בתחום ה - SOX, אבטחת מידע, מניעת מעילות ואף ביקורת פנימית, יכול להעניק לגוף מוסדי פתרון מקיף. פיתרון זה יקטין את העלויות הישירות הנובעות מבחירת מספר יועצים במקביל, יחסוך בזמן מנהלים (על ידי קיום פגישה אחת לצורך מספר מטרות) ובנוסף יחסוך את העלויות העקיפות הנובעות מהצורך ללמוד מחדש את פעילות הארגון בכל פעם שהיועץ נדרש לסקור את אותה פעילות. ניתן להביא מקרה לדוגמא, בו נשכרנו לבצע עבודת SOX בחברה בה ערכנו ביקורות בתחום מערכות מידע באותה שנה. היכרותנו עם תחום מערכות המידע, שהגיעה מביצוע הביקורות, אפשרה לנו לחסוך בשעות עבודה ביישום הוראות ה - SOX, ובכך נחסכו לארגון עלויות יישום. בנוסף ואף חשוב מכך, נחסכו למנהלי הארגון שעות עבודה, שהינן כידוע משאב יקר מפז.

לסיכום, בפני הגופים המוסדיים עומד אתגר לא מבוטל של יישום והטמעה של חוזרי הממונה על שוק ההון. יישום והטמעת החוזרים עלול לגרור עלויות כספיות משמעותיות אשר ניתן לצמצמן בעזרת תכנון וניהול נכונים של התהליך. אנו משוכנעים שבחירה באחד מהפתרונות, שהומלצו לעיל, יביא לארגון תועלת ויסייע לו ביישום חכם ויעיל של הוראות הממונה.

 להורדת המאמר בפורמט PDF לחץ/י כאן

 

© 2012 Fahn Kanne & Co. Grant Thornton Israel – All rights reserved