1. היבטים פרקטיים ביישום תקנות
ה-SOX הישראלי
כנס פורום CFO, ספטמבר 2009
רו"ח יגאל טולדנו

2. על מה נדבר? ארבעת המרכיבים של מודל ה SOX הישראלי
הגדרת "יחידות עסקיות מהותיות"
הגדרת "תהליכים עסקיים קריטיים"
לוחות זמנים ואבני דרך
רואה החשבון המבקר וסוגיית אי תלות
פרמטרים להצלחת הפרויקט

3. ארבעת המרכיבים במודל ה-SOX הישראלי
מודל העבודה שהתקבל והוגדר על ידי הרשות מורכב מארבעה חלקים עיקריים:
ELC ((Entity Level Control – בקרות ברמת הארגון.
FS ((Financial Statements – תהליך הסגירה והדיווח של הדוחות הכספיים.
ITGC ((Information Technology General Controls – בקרות תשתית המחשוב הקשורה לדיווח הכספי.
תהליכים עסקיים קריטיים (= מהותיים מאד) – בהתאם לגישה מבוססת סיכונים עפ"י הנחיות ה- PCAOB באופן המותאם לפעילות התאגיד, גודלו ומורכבותו.

4. הבדלים בין תקנות ה-SOX השונות
תקנות ישנות
SOX ישראלי
SOX אמריקאי
תחולה
סגירת הדוחות הכספיים
סביבת הבקרה
מערכות מידע
תהליכים עסקיים קריטיים
תהליכים עסקיים מהותיים
לוחות זמנים
מלא בדצמבר 2009
מדורג עד דצמבר 2010
מדורג עד דצמבר 2010:
12/09 – תיעוד וניתוח פערים
12/10 – בדיקות
חוות דעת
שנתי – חוות דעת
רבעוני – חוות דעת
רבעוני – דיווח פסיבי
רבעוני – אין דיווח
אבחנה בין חברות לפי גודל
אין
יש השפעה על עיתוי הכניסה לתחולה

5. הגדרת יחידות עסקיות מהותיות
הצהרת החברה הינה ברמת המאוחד. על מנת להשיג ביטחון סביר במתן ההצהרה הגורפת על כלל מערך הבקרה על הדיווח הכספי, על החברה ליישם את פרקטיקת ה SOX גם בחברות בנות מהותיות. הגדרת המהותיות לעניין זה צריכה להיות משולבת (כמותית ואיכותית) כחלק מניהול הסיכונים של הארגון. נקודה לדיון – האם מהותיות לעניין "יחידות עסקיות מהותיות" היא אותה מהותיות שנבדקת על ידי רואה החשבון?

6. הגדרת יחידות עסקיות מהותיות
בבחינת מאפייני הפעילות בחברת הבת נלקחים בחשבון פרמטרים כגון:
נפח הפעילות בחברת הבת לעומת נפח הפעילות במאוחד.
מידת השליטה והבקרה של חברת האם בפעילות חברת הבת.
מיקום הפעילות (מרכיב סיכון של מקום הפעילות והרגולציה
המקומית).
התאימות של סוג הפעילות לפעילות החברה האם.
סוגיות חשבונאיות המאפיינות את החברה הבת ואינן קיימות
בחברה האם.
מידת התאימות של תהליכי העבודה.
מערכות מידע זהות/שונות.

7. הגדרת יחידות עסקיות מהותיות
בנוסף, יש לקחת בחשבון סיכונים איכותיים הטמונים בפעילותה של חברת הבת כגון:
פעילות חדשה שנרכשה.
השקעות מסוכנות.
חילופי הנהלה.
טעויות, הונאות או מעילות שהתגלו בחברת הבת.
חשש לאי גילוי מחויבויות שלא נרשמו בחברת הבת.
קיום עסקאות עם צדדים קשורים בחברת הבת.

8. הגדרת יחידות עסקיות מהותיות
כלל אצבע כמותי מסייע ניתן לקבוע כי יחידה מהותית (לעניין תקנות ה SOX בלבד) הינה יחידה אשר פעילותה (רווח לפני מס, מחזור, נכסים, הון) הינה מרכיב מהותי מתוך פעילות המאוחד (רווח לפני מס, מחזור, נכסים, הון). יחס של 15% (או 10% - לדיון) לפחות מסכום בסיס ההתייחסות (רווח לפני מס/ מחזור/ נכסים/ הון) מהווה את הסף לסיווג יחידה כמהותית. יחידה, שיחס זה מתקיים בה, חזקה שהיא תחשב כמהותית, אלא אם קיימים משתנים ייחודיים שיכללו במבחן האיכותי, המוציאים אותה מהגדרה זו. "מסייע" – משני בחשיבותו למבחנים האיכותיים.

9. הגדרת תהליכים עסקיים קריטיים
תהליך עסקי
תהליך עסקי, לעניין זה, הוא רצף של פעולות מרגע ייזום הפעולה/ העסקה ועד לרישומה בספרים. לדוגמא: קניה/מכירה/יצור/שיווק/ השקעה/מתן או קבלת הלוואות.
דוגמאות לתהליכים עסקיים
מכירות וגביה
שכר ומשאבי אנוש
רכש ותשלום לספקים
מלאי

10. הגדרת תהליכים עסקיים קריטיים
מה לא יחשב כתהליך עסקי?
תהליך האיחוד בדוחות כספיים
עמידה בקובננטים
התחייבויות תלויות
ירידת ערך של השקעות
נקודה לדיון – האם לחברות אחזקה יש בהכרח תהליך עסקי?

11. הגדרת תהליכים עסקיים קריטיים
תהליכים עסקיים "קריטיים"
תהליך עסקי "קריטי" הוא תהליך עסקי הנחשב בעייני ההנהלה ככזה והוא מרכז סביבו מאמצים ניהוליים ותשומות כספיות של החברה.
תהליך עסקי קריטי יוגדר בין היתר בעזרת הפרמטרים הבאים:
תהליך עסקי המצוי בליבת הפעילות העסקית.
תהליך עסקי אשר היתרות הכספיות הנגזרות ממנו (או הגילוי
הנדרש בדוחות) הינן מהותיות מאד במאזן החברה ו/או בדוח רווח
והפסד שלה.
תהליך אשר מטבעו מסוכן או מורכב.
תהליך עסקי אשר מורכב ממספר רב של טרנזקציות.
קיימת רגישות להפסדים כתוצאה מטעויות או הונאות.

12. הגדרת תהליכים עסקיים קריטיים
תהליכים עסקיים "קריטיים"- המשך
הסיכון להונאה או מעילה הגלום בו הינו גבוה.
הוא כולל שיקול דעת משמעותי או מורכב או שלובים בו אומדנים
משמעותיים.
הטיפול החשבונאי בגינו הינו מורכב, בהשוואה ליתר תחומי
הפעילות.
מערכות המידע, עליהן מושתת התהליך, אינן מאפשרות עיבוד מידע
המתאים למורכבות התהליך או שעיבוד המידע הגלום בו מצריך ידע
ייחודי או מומחיות.

13. SOX ישראלי – רשת בקרות FS ELC ITGC
תהליך עסקי קריטי – מכירות וגביה מלקוחות
תהליך עסקי קריטי – רכש , מלאי ותשלום לספקים
תהליך עסקי קריטי – מזומנים וחוב
תהליך עסקי קריטי – שכר ומשאבי אנוש

14. תיחום הפרויקט ב SOX הישראלי
חברת האם
(מטה)
חברת בת
מהותית
שאינה מהותית
ELC +
ITGC FS
OTC
תהליך קריטי
PTP HR
תהליך מהותי שאינו קריטי
אין תהליך FS עצמאי. בקרות מעטפת על האיחוד, סבירות והגילוי הנדרש תיבדקנה במסגרת FS בחברת האם.
תהליכי מעטפת
תהליך שהוגדר כמהותי אך לא קריטי לא יטופל באופן פרטני אלא ע"י בקרות המעטפת.
תהליכים עסקיים

15. לוחות זמנים ואבני דרך שלב ראשון- ליישום עד דצמבר 2009:
1. הצהרה על-ידי המנכ"ל וסמנכ"ל הכספים על נאותות הגילוי בדיווח הכספי.
2. במסגרת דוח הדירקטוריון לשנת 2009, על החברה לתת גילוי בדבר הפעולות שביצעה עד למועד זה ובין היתר את הפרטים הבאים:
ציון כי נקבעה תוכנית היערכות ליישום הפרויקט;
ציון שם האחראי ליישום הפרויקט בחברה;
מיפוי התהליכים, היחידות העסקיות והחשבונות בחברה המהותיים לדיווח הכספי.

16. לוחות זמנים ואבני דרך שלב שני – ליישום עד יוני 2010:
במסגרת דוח הדירקטוריון לרבעון, על החברה לתת גילוי בדבר הפעולות שביצעה עד למועד זה ובין היתר את הפרטים הבאים:
ביצוע הערכת סיכונים.
תיעוד תהליכים (תהליך עריכת הדוחות הכספיים, ITGC, בקרות ברמת החברה ותהליכים עסקיים קריטיים)
ניתוח הסיכונים והבקרות העיקריות בכל תהליך.
ניתוח הפערים (ליקויים) בין הבקרות הרצויות לבקרות המצויות (Gap Analysis).

17. לוחות זמנים ואבני דרך שלב שלישי – ליישום עד דצמבר 2010
1. הצהרה מלאה של המנכ"ל וסמנכ"ל הכספים על אפקטיביות הבקרות הפנימיות על הדיווח הכספי.
2. יצורף לדוחות התקופתיים של החברה דוח נוסף של הדירקטוריון והנהלת החברה בנוגע לאפקטיביות הבקרה הפנימית על הדיווח הכספי ועל הגילוי.
3. תצורף חוות דעת של רואה החשבון המבקר, אשר נפרדת מחוות הדעת הרגילה, על אפקטיביות הבקרות ועל חולשות מהותיות שזוהו על ידו.

18. לוחות זמנים ואבני דרך

19. משתתפי ועדת היגוי לפרויקט
סמנכ"ל כספים
יועץ מלווה
מנהל פרויקט
מטעם החברה
מערכות מידע
נציג רו"ח המבקר
מנהל תהליך (PO)
מבקר הפנים 19

20. מתחילים לעבוד האפשרויות העומדות בפני החברה ביישום תהליך ה- SOX:
ביצוע עצמי (חשב, מנהל כספים, או"ש, מהנדס תעשיה וניהול)
יועץ
מבקר פנים
רו"ח מבקר

21. אז את מי ניקח? משרד רו"ח המבקר:
מכיר את הארגון, מאפשר תהליך לימוד של צוותי הSOX מבלי לצרוך משאבי ארגון מיותרים.
מקטין את הסיכון לאי הסכמות במועד החתימה על הדוחות הכספיים.
אין כניסה של גורם "חדש" לחברה, אין חשיפה של מידע עסקי רגיש לגורמים נוספים. כל זאת במידה ואין גורם נוסף המבצע את הטסטים. אזי מתבטל היתרון.
אין מאבקי כוחות "פוליטיים" בין המשרדים מעל ראשה של החברה.
מניעת "משברים" ולחצים מרו"ח המבקר
יועץ חיצוני , שאינו משרד רו"ח המבקר:
מבצע את כל התהליך מתחילתו ועד סופו ולכן אין צורך בכפילות לימוד החברה ותהליכיה.
יש התאמה והמשכיות בין שלב התיעוד לבין שלב הבדיקות.
החברה מקבלת ייעוץ מירבי (עצה, תוצר לדוגמא, רשימות תיוג גנריות, נוהל עבודה לדוגמא, יעוץ בבקרה ממוחשבת הקשורה למערכת המידע וכו' ).
מגדיל הסיכויים לערך מוסף לתהליך – מתן בקרה אמיתית על ידי ראייה חדשה, נייטרלית ולא משוחדת
ניתן ייעוץ אמיתי לרבות הדרכה ותמיכה בחברה לקראת הניהול המתמשך, תוך שימת דגש בייחוד לשיקולי עלות תועלת בעיני החברה.

22. אי תלות - כללי
החלטת רשות ניירות ערך, לפי סעיף 9ב לחוק ניירות ערך, 1968 מאוגוסט 1992 בנושא אי תלות המבקר, אוסרת על המבקר לעסוק בשירותים נלווים הבאים:
מתן שירותים נלווים בידי המבקר למבוקר, אשר בפועל או במראית חורגים ממתן יעוץ ומהווים למעשה השתתפות בניהול ובקבלת החלטות של המבוקר.
מתן שירותים נלווים בנושאים אשר על פי טיבם עשויים להיות מבוקרים בידי המבקר (לדוגמא: ניהול החשבונות של המבוקר).
כהונת המבקר כמבקר פנים של המבוקר. ?
אין התייחסות
לשרותי יעוץ SOX

23. רשות החברות הממשלתיות אוסרת את ביצוע העבודה ע"י רואה החשבון המבקר!
אי תלות –SOX ממשלתיות
רשות החברות הממשלתיות אוסרת את ביצוע העבודה ע"י רואה החשבון המבקר!

24. אי תלות –SOX בנקים
בהוראות המפקח על הבנקים: "תקנות בנושא רואה החשבון המבקר של תאגיד בנקאי" בנספח א: "הוראות בדבר ניגוד עניינים ופגיעה באי תלות כתוצאה מעיסוק אחר של רואה חשבון מבקר של תאגיד בנקאי" קובע סעיף 2 (ב) (10) כי אי תלות של רו"ח תפגע כאשר: "אדם ממשרד רואי החשבון השתתף או משתתף בפועל, במהלך תקופת הביקורת, בקבלת החלטות ניהוליות בעבור הלקוח."
הותר לרואה החשבון
המבקר לבצע עד שליש
מהיקף העבודה

25. אי תלות - SEC
“We believe that designing and implementing internal accounting and risk management controls impaires the accountant independence because it places the accountant in the role of management.”
“…we believe that designing and implementing these controls is fundamentally different from obtaining an understanding of the controls and testing the operation of the controls which is an integral part of any audit of the financial statements of a company. Likewise, design and implementation of these controls involves decision-making and, therefore, is different from recommending improvements in the internal accounting and risk management controls of an audit client…”
Rule S-X 2-01 (c) (4)(vi) Management Function

26. אל תהיו תוכים

27. לסיכום: פרמטרים להצלחת פרויקט
תיכנון, תיכנון, תיכנון.
שיטת עבודה כמו SOX אמריקאי אך ממוקדת לתהליכים קריטיים.
דגש על תתי תהליכים קריטיים.
חשיבות התיעוד היא בהבנת התהליך בלבד.
דגש על בחירת בקרות המפתח, מספרן ואופיין.
מנהל פרויקט מטעם הארגון עם גיבוי הנהלה.
הכנת תשתית טובה לניהול המתמשך.
קיום ישיבות היגוי חודשיות והשארת רואה החשבון המבקר בתמונה.
מיישם מנוסה מייעל את התהליך.

28. תודה!