האם אפשר ליישם SOX מבלי לצאת מהכלים / איך לבצע SOX יעיל?
האם אפשר ליישם SOX מבלי לצאת מהכלים / איך לבצע SOX יעיל?
רו"ח דורון כהן, שותף, פאהן קנה ניהול בקרה בע"מ
מאי 2009
חוק סרביינס אוקסלי (SOX), אימתן של החברות הציבוריות בארה"ב, יצא לאוויר העולם כבר בשנת 2002 לאחר הנפילות הגדולות של חברות בארה"ב ומאז הספיק לעבור תהפוכות בגישת היישום, בתקינה ובפרקטיקה. בישראל, מבלי שרבים שמו לב, נכנס ישומו של החוק דרך "הדלת האחורית" ומספר מגזרים שאינם בהכרח ציבוריים מיישמים אותו כבר מספר שנים.
בשנת 2004 החלו ליישם את החוק החברות הישראליות שנסחרות בנאסד"ק ובהמשך אומץ החוק על ידי רשות החברות הממשלתיות, המפקח על הבנקים והמפקח על שוק ההון (ביטוח, פנסיה, גמל).
נראה שבקרוב תצטרף גם הרשות לניירות ערך ליישום סרביינס אוקסלי בחברות ציבוריות הנסחרות בישראל.
בחודש פברואר 2008 פרסמה הרשות לניירות ערך טיוטה לתקנות אשר בין היתר כוללות דרישה להצהרה של המנהלים בחברה בדבר אפקטיביות הבקרה הפנימית על הדיווח הכספי, בדומה לסעיף 302 של החוק האמריקאי. בנוסף נדרשים בעלי התפקידים הרלוונטיים להצהיר על שלמות ונאותות הגילוי אודות ליקויים שעלו, מעילות והונאות וכו'. בהתאם לטיוטה, רואה החשבון המבקר נדרש לאשר את האפקטיביות של הבקרות והנהלים לגבי הגילוי הנדרש בדוחות.
הטיוטה שפורסמה עוררה ביקורת רבה הן מצד החברות והן מצד רואי החשבון שאמורים לבקר את התהליך.בין היתר נטען כי קיים חוסר בהירות לגבי דרישות הרשות, ההוראה אינה מתאימה לחברות בישראל, לא ניתן זמן מספיק להיערכות – הן לחברות והן לרואי החשבון, יישום החוק בארה"ב לא הניב את התוצאות המיוחלות (ולראיה המשבר הפיננסי הנוכחי) ועוד. אחת הטענות שנשמעו רבות הינה שהעלות והמשאבים הנדרשים לצורך יישום SOX בחברה אינם פרופורציונאליים לתועלת. עוד נטען כי במקרים רבים יישום החוק גורם לבירוקרטיה מיותרת בארגון שאינה תורמת לאיכות הבקרה. בחודשים האחרונים התייעצה הרשות עם נציגי לשכת רואי החשבון במטרה לגבש תקנה אשר תתאים לחברות הציבוריות הישראליות תוך איזון בין הצורך לבקרה ושקיפות לבין מגבלות המשאבים בחברות.
גם בעולם נעשו מאמצים רבים לצמצם חלקים "כואבים" בחוק או לפחות להוציא את החברות הקטנות מתחולתו. אולם בסופו של יום, החוק נותר בתוקף ובחברות רבות השתלב במהלך החיים השוטף כאילו היה שם מאז ומעולם.
נראה אם כן, שהרגולטורים בעולם וגם בארץ אינם מתכוונים לבטל את יישום החוק וניתן לשמוע גם קולות הקוראים לחיזוק מערך הבקרה על הדיווח הכספי דווקא בתקופה זו. מניסיוננו ביישום SOX בעשרות חברות בארץ ובחו"ל, ניתן ליישם SOX באופן שפוי תוך התאמה לגודל החברה, התמקדות בעיקר, ויצירת ערך מוסף להנהלה.
במהלך השנים אספנו עצות והמלצות אשר יסייעו לחברה להתמודד טוב יותר עם הפרויקט, אותן ריכזנו ב "צרור עצות" ליישום SOX יעיל שלהלן:
- חזק את הבקרה ברמת כלל החברה (שלטון תאגידי). באמצעות יצירת בקרות רוחביות (כגון: בקרה תקציבית, קוד אתי אפקטיבי, בניית מערך דיווח יעיל, פעילות שוטפת של הביקורת הפנימי וכו') ניתן לצמצם סיכונים במספר תהליכים במקביל, לחסוך ביישום בקרות פרטניות בתהליכים, וכך לחסוך במשאבים.
- כאמור, בקרות ברמת כלל החברה הינן מרכיב קריטי ביישום SOX יעיל. הנטייה בעולם היום הינה לתת משקל רב ל"בקרות- על ישירות". כלומר, בקרות המבוצעות ברמת ההנהלה, שמטרתן הינה ניטור וסקירה של נתונים פיננסיים ואימות של ביצוע בקרות ברמת התהליך העסקי. על כן השקע בבניית מערך בקרות-על ישירות, דוגמת: סקירות אנליטיות, סקירות של מידע תפעולי, רשימות תיוג המרכזות ביצוען של בקרות מפורטות וכו'
- חזק את הבקרות הכלליות בתחום מערכות המידע (ITGC) לרבות אבטחת המידע, בקרות על ביצוע שינויים במערכות ועוד. חברה בה הבקרות במערכות המידע חלשות תידרש לבצע בדיקות מבססות לנתונים המדווחים, להגדיל מדגמי בדיקות ולהוסיף בקרות ידניות מסורבלות.
- שתף את כלל מנהלי החברה בתהליך. פרויקט ה- SOX אינו פרויקט של מחלקת הכספים לבדה. רק עם שיתוף פעולה של כלל המנהלים בחברה ניתן לעמוד בדרישות מחד ולייצר ערך מוסף לחברה. הגבר את מעורבות המנהלים באמצעות הצגת היתרונות שיצמחו לכל אחד מהם (ויש יתרונות רבים). בין היתר הצג לכל מנהל את השיפור שיצמח לו בתחום השליטה והבקרה על התהליכים שבאחריותו.
- שאף למקסימום בקרות ממוחשבות בתהליכים. בקרות ממוחשבות קל יותר לתחזק ולבדוק.
- העדף בקרות מונעות על בקרות מגלות. בקרה מונעת אחת יכולה "לחסוך" ביצוע של מספר בקרות מגלות.
- בניתוח הסיכונים והבקרות, בצע ניתוח אמיתי של תהליך העבודה בחברה שלך ואל תתפתה להשתמש ברשימות תיוג כלליות, אשר ככל הנראה יובילו אותך להוספת בקרות מיותרות. זה אולי חוסך זמן בעת תיעוד התהליכים אבל גורם לבזבוז משאבים ובעיות בשלב היישום.
- הקדש משאבים ניהוליים ראויים לצורך ניהול פרויקט ה- SOX.
יישום SOX בחברה הינו פרויקט מורכב שדורש תיאום בין הגורמים השונים בתוך החברה לבין גורמים חיצוניים בהם יועצים, ורואי החשבון. בניית תוכנית מפורטת הכוללת לוחות זמנים, תחומי אחריות, תוצרים לכל שלב וכו', תאפשר זיהוי בעיות בזמן אמת ומניעת בזבוז של משאבים. - הקם ועדת היגוי הכוללת מנהלים בכירים אשר באפשרותם להניע תהליכים בזמן אמת. ועדת היגוי חזקה אשר תקבל דיווחים בזמם אמת ויש לה היכולת לקבל החלטות ולוודא את יישומן, הינה מה שמפריד לעיתים בין פרויקט מוצלח לפרויקט שנכשל. עדכן את ועדת הביקורת באופן שוטף אודות התקדמות הפרויקט, ליקויים שאותרו ותוכנות ההנהלה להמשך טיפול.
- עדכן את רואה החשבון המבקר בתהליך מתחילתו על מנת לתאם ציפיות ולוודא כי העבודה מבוצעת בהתאם למתודולוגיה מקובלת מבחינתו. יש לקחת בחשבון שלצורך תיקון ליקויים שעולים במסגרת ה- SOX, נדרשים לעיתים 2 רבעונים ואף יותר.
- נצל את התהליך, שכעיקרון מתמקד בבקרה על הדיווח הכספי, לשיפור תהליכים נוספים בארגון. מניסיוננו תהליך מיפוי התהליכים, הסיכונים והבקרות מוביל במקרים רבים גם לייעול תהליכים תפעוליים ואיתור סיכונים עסקיים. אם כבר חייבים ליישם אז לפחות נפיק את המיטב.
- מנה מיישם SOX בעל יכולת מקצועית אשר תאפשר עמידה וטיעון מול רואה החשבון המבקר שלך. רואה החשבון, אשר אמור לחתום על חוות דעת באשר לטיב הבקרה הפנימית בחברתך, תמיד ירצה מערכת בקרה טובה יותר מאשר האמצעים הכספיים של החברה יכולים להרשות. דע, כי ביכולתך ליישם SOX בהצלחה גם בהיקף משאבים מוגבל.
לדוגמא, ישום דווקני של SOX ידרוש אולי גיוס כח אדם נוסף למחלקת הכספים. מיישם מנוסה, יציע אלטרנטיבות אשר יאפשרו הפרדת תפקידים טובה גם ללא תוספת כח אדם.
ולסיכום,
יישום SOX בחברה הינו פרויקט מורכב אשר דורש השקעת משאבים ניכרת. עם זאת, ניתן לבצע תהליך יעיל ומאוזן אשר מאפשר עמידה בדרישות תוך הקצאת משאבים ביחס לגודל החברה ויצירת ערך מוסף רב לכלל המנהלים בארגון.
יתכן שתקופת המשבר בה אנו נמצאים היא המתאימה ביותר לביצוע מיפוי מעמיק של מערך הבקרה בחברה שכן מיפוי כזה יאפשר בין היתר ייעול תהליכים, צמצום חשיפות והכנת החברה לתקופת הצמיחה הבאה.
להורדת המאמר בפורמט PDF לחץ/י כאן