ביקורת הפנים מהווה כלי יעיל לסקירת תהליכי מפתח בחברה, תוך איתור פרצות בבקרה הפנימית, זיהוי מוקדי סיכון אפשריים וניהולם באופן מושכל. אנו, בחייקין כהן רובין, מאמינים כי הבסיס לביקורת פנים מונח על ידי יסודות של עבודה משותפת עם הלקוח, תיאום ציפיות, ומתן דגש לצרכיו. מניסיוננו, אימוץ דרכי עבודה אלה מוביל להישגים ולשיפורים משמעותיים בכל תחומי הפעילות של החברה.
צוות ביקורת הפנים מורכב על ידינו על פי המאפיינים הספציפיים של משימת הביקורת. לרוב, נכללים בצוות רואי חשבון, מבקרי פנים מוסמכים, מהנדסים ואנשי מקצוע, מבקרי מערכות מידע וכן מומחים בניהול עסקי. לצורך ביצוע הביקורות, אנו משתמשים בתכנת הביקורת הייעודית IDEA וכן בכלים ובשיטות ביקורת המשמשים ארגונים ופירמות ראיית חשבון מובילים בארץ ובעולם.
אנו מעניקים שירותי ביקורת פנים למגוון רחב של לקוחות, הפועלים במגזרים שונים ובעלי מאפיינים מגוונים: חברות ציבוריות הנסחרות בנאסד"ק או בבורסה לניירות ערך בתל- אביב, מלכ"רים וחברות לתועלת הציבור, מוסדות פיננסיים, חברות היי-טק, חברות קמעונאיות, חברות תעשייתיות ועוד.
כיום, מספר הולך וגדל של בעלי תפקידים ומנהלים מבינים את חשיבותה של ביקורת פנים ככלי הכרחי להצלחתו של כל ארגון חפץ חיים בעולם העסקים.
מתודולוגיית העבודה: מהמיפוי והניתוח - ועד לביצוע
גיבוש תכנית הביקורת הרב-שנתית המפורטת נעשה, לאחר ביצוע סקר סיכונים בחברה הכולל תיאור התהליכים העיקריים, ובכלל זה חשיפות פוטנציאליות ונושאים נוספים שייבדקו בביקורת וכנגזרת של הציון המשוקלל לכל תהליך, תוך תיאום עם הנהלת החברה כפי שמתואר בסעיפים הבאים:
- שיחות מיפוי עם מנהלי היחידות הארגוניות.
- עיון בדו"חות הכספיים, בתקציבים, בפרוטוקולים, בקבצי הנהלים, בהסכמים העיקריים ובדו"חות ביקורת קודמים.
- זיהוי תהליכים עיקריים בארגון, תהליכי משנה של כל תהליך וזיהוי האחראי על התהליך.
- ניתוח החשיפה לסיכון וקביעת ציון משוקלל לכל תהליך.
- רמת ההסתברות למקרה של ליקוי מהותי.
- רמת הנזק העלולה להיגרם מאותו ליקוי.
- ציון משוקלל, המבוטא בצורת מטריצה של הסתברות ורמת הנזק הפוטנציאלי.
תוצר זה משפיע על תדירות הביקורת ותעדופה.
שיטת העבודה שלנו בתחום ביקורת הפנים היא מעמיקה ויסודית, וכוללת את השלבים הבאים:
- מיפוי תהליכי עבודה ושיחות עומק עם בעלי תפקידים רלוונטיים.
- איתור נקודות התורפה הפוטנציאליות – "What Can Go Wrong".
- זיהוי והערכת הבקרות הקיימות בכל נקודת WCGW, הערכת רמתן ובחינת רמת הציות והעמידה ביישום החוקים, התקנות והתקנים המקצועיים הרלוונטיים.
- ביצוע מדגם לבדיקת האפקטיביות של הבקרות הקיימות.
- גיבוש המלצות לשיפור הבקרות הקיימות, והוספת בקרות חדשות.
- דיון על הדו"ח, לרבות קביעת אחריות ולו"ז לביצוע ההמלצות.
- ביצוע ביקורת מעקב בשנים עוקבות והגשת מסקנות ודו"ח סטטוס.
ניהול סיכונים (ERM)
ניהול סיכונים הפך בשנים האחרונות לחלק אינטגרלי ממפת התפקוד של כל ארגון אחראי.
ניהול הסיכונים בארגון מהווה כלי ניהולי המסייע בהתייעלות מבחינה תפעולית, מאפשר להגביר את היציבות של הארגון, ובטווח הרחוק יותר – מהווה בסיס בריא למימוש ולקידום המטרות לשמן הוקם הארגון.
סקר סיכונים
המטרה: מיפוי, הערכה והעלאת מודעות
סקר הסיכונים משמש בסיס לניהול סיכונים בארגון ונערך על מנת לקבל את מפת הסיכונים המלאה, כולל הערכת משקלו של כל סיכון והכנת התשתית להתמודדות מערכתית עם הסיכונים. סקר הסיכונים כולל את המרכיבים הבאים:
- מיפוי תחומי הפעילות המרכזיים של הארגון בהם קיימת חשיפה לסיכונים - רגולטוריים, תפעוליים (לרבות מערכות מידע), כספיים, אנושיים (מעילות והונאות) וכן סיכונים ייחודיים לענף בו הארגון פועל.
- הערכת הסיכונים אשר מופו, והערכת רמת הסיכון השיורי של מכלול הסיכונים.
- הצגת הסיכונים באופן שיעלה את המודעות אליהם בקרב מקבלי ההחלטות בארגון, ובכך לסייע להנהלה בצמצומם ואף בהסרתם לצמיתות.
במסגרת ניהול הסיכונים נזהה ונעריך באופן שוטף את מרחב הסיכונים לליבת הפעילות העסקית של הארגון ונתעדף את הטיפול במניעתם. בשיתוף עם הנהלת הארגון נפעל לצמצם את החשיפה לסיכונים אלו ונגדיר את אסטרטגיה להתמודד איתם, אם יתרחשו.
ניהול סיכונים בארגון מאפשר להנהלה לטפל באפקטיביות בחוסר וודאות, דהיינו עם הסיכונים וההזדמנות של הארגון, כדי להגיע לשווי משקל אופטימאלי בין צמיחה לסיכונים, ויעילות האפקטיביות בפריסת משאבים במטרה להשיג את יעדי הארגון.
שילוב חכם של אמצעי בקרה ופיקוח ישיג הקטנה מהותית של הסיכונים שאותרו. מסיבות אלו, מספר הולך וגדל של בעלי תפקידים ומנהלים מבינים את חשיבותה של מדיניות ניהול סיכונים ככלי הכרחי להצלחתו של כל ארגון חפץ חיים בעולם העסקים.
יישום SOX ו-ISOX
בשנת 2002 חוקק הקונגרס האמריקאי חוק שנועד לשפר את אמינות הדיווחים החשבונאיים של חברות ציבוריות. בציבור נודע החוק על שם יוזמיו, חברי הקונגרס פול סרבנס ומייק אוקסלי, וזכה לקיצור SOX. החוק חל באופן מלא על חברות הנסחרות בבורסות לניירות ערך בארצות הברית, ולכן גם על חברות "דואליות" הנסחרות גם בבורסת תל אביב;
לאורך השנים הוטמעו חלקים מרכזיים מדרישות החוק האמריקאי גם בישראל, בתחילה על ידי המפקח על הבנקים והמפקח על הביטוח, והחל משנת 2010 – אומצו על ידי הרשות לניירות ערך והוחלו על כל החברות הציבוריות, וכן על חברות ממשלתיות. מטרת התקנות הינה שיפור איכות הדיווח הכספי והגילוי בדוחות הכספיים ע"י חיזוק מערך הבקרה הפנימית על הדיווח הכספי בארגון.
משרדנו מסייע ומלווה חברות בישום הוראות סעיף 302 ו-404 לחוק סרבנס אוקסלי, בין היתר על ידי ייעוץ לשיפור ולהתייעלות של תהליכים פיננסיים, עסקיים, תפעוליים וניהוליים וכן במתן המלצות לשיפור בקרות על פי הפרקטיקה המתקדמת ביותר בשוק (Best Practices).
מטרות יישום SOX ו-ISOX: עמידה בדרישות החקיקה – וערך מוסף לחברה
תהליך היישום נועד להביא את החברה לעמידה בדרישות החוק המחייב את החברה (על פי מדינת הרישום בה היא רשומה), מבחינת רמת הבקרה הפנימית הקיימת, בתהליכי הליבה ובתהליכים העסקיים המהותיים/ קריטיים (בהתאם לדרישות היישום) והכל בהתאם למסגרת העבודה של COSO2013.
כתוצר-לוואי של שיפור רמת הביקורת הפנימית והתהליכים הפיננסיים, מפיקה החברה ערך מוסף רב בתיקון ליקויים, בקבלת ייעוץ ובשיפור תהליכי העבודה בעקבות הטמעת שיטות העבודה העדכניות, המשפיעות לא רק על הדיווח הכספי אלא גם על תפקודה העסקי/תפעולי של החברה.
מתודולוגיית העבודה ביישום SOX ו-ISOX
- מיפוי וקביעת היקף היישום.
- תיעוד תהליכים וניתוח פערים.
- ביצוע בדיקות (טסטים) לצורך אימות המידע והנתונים.
- הערכת אפקטיביות הבקרות.
- דיווח על פי כללי הדיווח המקובלים
טכנולוגיות מידע
בעולם העסקים המודרני, אבטחת המידע היא אחת הנקודות הקריטיות ביותר בכל ארגון. מרבית הכשלים באבטחת מידע בארגון יכולים להימנע על- ידי בניית מערך מחשוב יעיל והקפדה על תחזוקה עקבית ברמה גבוהה. מטרת תהליך ביקורת IT היא לספק להנהלה מידע וכלים להערכת מערך המחשוב, ובכך לאפשר לארגון להגיב במועד לסיכונים האפשריים, ולהיערך בהתאם. התוצר הסופי של ביקורת IT שיטתית היא מערכות מידע תקינות, אמינות ומניעת זליגת מידע או אובדן מידע.
למשרדנו צוות עובדים מיומן המורכב מרואי חשבון בעל השכלה וניסיון בתחום המחשוב. צוות העובדים ביצע מספר רב של עבודות בתחום מערכות המידע במגוון רחב של ארגונים ובמערכות מידע שונות.
שירותי ביקורת מערכות מידע המסופקים על ידי משרדנו:
- ביצוע ביקורות IT – מטרת הביקורת לוודא את נכונות, שלמות, דיוק ושרידות המידע הנקלט והופק ממערכות המידע של הארגון.
- יעוץ בנושאי ישימות והטמעה של מערכות מידע חדשות או החלפה והעמקת יישום של מערכות קיימות.
- סיוע בעיצוב בקרות אוטומטיות ובחינת יעילות של תהליכים ממוחשבים.
- ביצוע סקרי סיכונים טכנולוגיים והנדסיים – זיהוי הבקרות הממוחשבות והידניות במערכות המידע הארגוניות ואיתור מוקדי הסיכון בתהליכים השונים ובתהליכים העסקיים.
- ביצוע סקרי סיכונים בתחום אבטחת המידע ברמת האפליקציה, השרת ובסיס הנתונים.
- ביצוע סקרי הרשאות והפרדת תפקידים עפ"י עיקרון “הצורך לדעת” (Need to Know) והימנעות מיצירת תלות בפונקציה עיקרית ושליטת גורם יחיד על תהליך שלם.
- ייעוץ בהגדרת תהליכי עבודה במחלקת מערכות מידע, כגון: ממשל ואסטרטגיית טכנולוגיית המידע, ניהול שינויים ופיתוח. תפקודי חדר שרתים (DATACENTER), תכנית הערכות לשעת חירום (DRP), ניהול אבטחת המידע הפיזית והלוגית, ניהול ספקי שירות חיצוניים וכד'.
- ייעוץ בתחום הסייבר - ביצוע מבדקי חדירה מרשת האינטרנט ומהרשת הפנימית.
שיטת העבודה בביקורת IT
שיטת העבודה בתחום ביקורת IT מבוססת על תכנית עבודה רב-שנתית, על סקר סיכונים ארגוני ועל ביצוע בדיקות וטסטים על ידי מומחים בתחום מערכות המידע. בסיום שלב הבדיקות, אנו מגישים לחברה דו"ח מפורט הכולל תיאור המצב הקיים, פירוט החשיפות שאותרו והמלצות מעשיות לתיקון הליקויים.
ביקורת חקירתית
למשרדנו ניסיון רב שנים בתחום הביקורת החקירתית. במהלך השנים טיפל צוות המשרד בעשרות חקירות של מעילות בארגונים שונים בארץ ובעולם, תוך שימוש בטכניקות חקירה ובכלים המתקדמים ביותר, כל זאת במגוון רחב של סוגי המעילות וארגונים. המשרד מעניק שירותים לחברות ציבוריות, פרטיות וכן לגופים ציבוריים מוכרים במשק. משרדנו מלווה משרדי עורכי דין הגדולים בארץ העוסקים בתחומי הליטיגציה, בהכנת חוות דעת מומחה, סיוע חשבונאי חקירתי בהליך ומתן עדות בבית משפט. צוות המשרד מורכב מרואי חשבון וחוקרים בעלי ניסיון פרקטי בניהול חקירות בגופי אכיפה שונים בהם: משטרת ישראל וגופי ביטחון נוספים.
שירותי הביקורת החקירתית המסופקים על ידי משרדנו
- איסוף מידע ממערכות ה-IT באמצעות כלי ביקורת ממוחשבים.
- כימות הנזקים שנגרמו.
- תשאול וחקירה של חשודים בביצוע מעילות והונאות:
- חקירות סמויות.
- ציתותים.
- מעקבים.
- בדיקות כלכליות.
- פוליגרף.
- ניתוח הכשלים בתהליכי העבודה ובבקרות אשר הביאו לביצוע המעילה.
- ביצוע סקרים לאיתור נקודות תורפה בארגון החשופים להונאות ומעילות.
- ליווי שוטף של ארגונים בהליך חקירת מעילות.
- ליווי משרדי עורכי דין בניהול תיקים בעלי נגיעה חשבונאית.
- מתן ייעוץ וסיוע בשדרגו והטמעת בקרות ובפיתוח נהלים הולמים.
מטרות הביקורת החקירתית
- ביקורת חקירתית מיועדת לחשוף אי סדרים שמקורם בתוך הארגון (עובדים והנהלה) ומחוץ לארגון (ספקים ולקוחות).
- חקירת מעילה כוללת חשיפת זיהוי המבצע, הערכת הנזק הכספי, איסוף ראיות להליכים משפטיים וסיוע בהשבת הנכסים לארגון.
- הצעת תכנית למניעת הונאות ומעילות תוך שיפור רמת הבקרות הקיימות.
שיטת העבודה בביקורת חקירתית
- ביצוע שיחות ותשאולים של בעלי תפקידים בתחום הנבדק.
- ביצוע ניתוחי התאמה, עיון במסמכים ובדיקת תהליך העבודה.
ביקורת במגזר הממשלתי
ממשלות ברחבי העולם מתמודדות עם מורכבות גוברת של אתגרים. במקביל, קיים ביקוש גובר לשקיפות ואחריות בנושאים ציבוריים. אנו, במשרד חייקין כהן רובין ושות' מבינים את הלחץ הגובר המופעל על המגזר הממשלתי להעניק שירותים ציבוריים טובים יותר, בעלות נמוכה יותר, תוך הגדלת הערך לציבור.
חוק הביקורת הפנימית, התשנ"ב-1992 קובע כי בכל גוף ציבורי תתבצע ביקורת פנימית ע"י מבקר הפנים. בשנים האחרונות אימצו הרגולטורים בישראל כללים דומים לעקרונות הממשל התאגידי בכל הנוגע לרשויות ציבוריות וגופים ציבורים אחרים. אנו בחייקין, כהן רובין ושות' מציעים בין מגוון שירותינו למגזר הציבורי שירותי ביקורת פנים המאפשרים לקיים את הוראות החוק והדרישות הרגולטוריות השונות.
לצד מתן שירותי ביקורת, אנו מסייעים ללקוחותינו במגזר ייחודי זה ליישם מדיניות ולנצל יתרונות וצמיחה דרך יעילות פיננסית, השגת יעילות בביצועים תפעוליים והצעת תכניות חיוניות בזמן ובמסגרת התקציב. כמו-כן, אנו מציעים שירותי חשבות, ליווי מקצועי, עריכת דוחות כספיים בהתאם לתקני החשבונאות הממשלתיים ועוד. בין לקוחותינו במגזר הממשלתי – בנק ישראל, משרדי ממשלה, חברות ממשלתיות, מוסדות אקדמיים נבחרים וגורמים שלטוניים נוספים.
מוסדות ללא כוונת רווח וחברות לתועלת הציבור
הליווי החשבונאי של מוסדות ללא כוונת רווח ושל חברות לתועלת הציבור הוא שונה משמעותית מליווי חשבונאי של כל ארגון אחר. אנשי הצוות המקצועי שלנו המתמחים בליווי מלכ"רים וחל"צים הם בעלי ניסיון רב בטיפול במוסדות אלה. אנו מאמינים כי ניסיון זה מהווה יתרון משמעותי בעבודה עם ארגונים אלה, בכל סדר גודל ובכל תחום עיסוק.
שירותים אלו כוללים, בין היתר:
- ביקורת ועריכת דו"חות כספיים שנתיים ותקופתיים, על פי כללי החשבונאות הרלוונטיים למלכר"ים וחל"צים.
- הכנת דו"חות שנתיים למס הכנסה.
- סיוע וייעוץ בפתיחת תיקי חל"צ או מלכ"ר ברשויות המס השונות - מס ערך מוסף, מס הכנסה, מס הכנסה וביטוח לאומי.
- לווי הפעילות הפיננסית של הארגון.
- סיוע והדרכה בעמידה בדרישות רשם העמותות, חוק העמותות, אישור ניהול תקין לעמותות נתמכות ועוד.
- סיוע בקבלת אישור על פי הוראות סעיף 46 לפקודת מס הכנסה (אישור זיכוי תרומות).
- ייעוץ בנוגע לעמידה בדרישות חשבונאיות של החשב הכללי.
- ייעוץ וסיוע בעריכת תקציב פעילות שנתי ומעקב שוטף אחר ביצועו.
- ייעוץ שוטף בעמידה בדרישות החוק למוסדות הארגון, הועד המנהל וכן וועדת ביקורת.
- הפקת אישורים ודוחות מיוחדים הנדרשים מגופים המתקצבים את הארגון.
- ייעוץ וליווי היישום וההטמעה של מערכות מידע בארגון והתאמתם לצרכים הייחודיים.
ביקורת בחברות בנות
המבקר הפנימי הממונה בקבוצת חברות, לא אחת נתקל בסוגיית אחריותו כמבקר פנים של חברת האם בחברות הבנות, ולא בכדי. תפקידו של מבקר הפנים עוגן סטטוטורית בישראל בחוק הביקורת הפנימית, התשנ"ב – 1992 (להלן – חוק הביקורת הפנימית) ובחוק החברות, התשנ"ט – 1999 (להלן – חוק החברות). עם השנים, ולאור השינויים בחקיקה הישראלית, תפקידו הפך למרכזי בחייה של חברה ציבורית.
במסגרת בחינת אפקטיביות הבקרה הפנימית על הדיווח הכספי, נדרשת ההנהלה להעריך את תפקודו של המבקר הפנימי כחלק מהערכת אפקטיביות הבקרה הפנימית בארגון. רואי החשבון החיצוניים נדרשים לחוות דעתם בדבר רכיבי הבקרה הפנימית הנדרשים בדוחות הכספיים. עפ"י חוק הביקורת הפנימית, חברת בת מהווה אחד מהנכסים של חברת האם ולפיכך נשאלת השאלה, מה אחריותו של מבקר הפנים בחברת אם, לה חברות בנות בהן ממונה מבקר פנים אחר?
מבקר הפנים זכאי להיחשף למידע המצוי ברשות הגוף בו הוא ממונה ומשמש כמבקר פנימי, מכאן שהיקף האחריות של מבקר הפנים ביחס לפעולותיה של חברת הבת, נגזר מזכויותיה של חברת האם ונושאי המשרה בה, ביחס לקבלת מידע בחברת הבת. בעוד שבתחום הביקורת החיצונית נושא זה הוסדר במסגרת תקן ביקורת 9 ובהבהרה מספר 1 לתקן, של לשכת רואי החשבון, הרי שנושא זה לא הוסדר עד כה סטטוטורית בתחום הביקורת הפנימית בישראל.
ישנן שתי גישות להתייחס לנושא זה בתחום הביקורת הפנימית וההבדל העיקרי ביניהן הוא גבולות האחריות של מבקר הפנים כנושא משרה בארגון. גישה אחת גורסת שהמחוקק התכוון במונח "ניהול הנכס", למובן הנכס הפיזי, קרי המנייה – ובכך על מבקר הפנים להתייחס בתוכנית עבודתו לפעולות המבוצעות בחברת האם בלבד וכאן תחומים גבולות אחריותו. ישנה גישה אחרת הגורסת כי המחוקק התכוון במונח "ניהול הנכס" למהות הנכס, דהיינו הפעולות המבוצעות בחברת הבת – ובכך על מבקר הפנים להיות מעורב בעבודת מבקר הפנים בחברת הבת ובכלל זה: בקביעת התכנים, בעצם העיון בדוחות המוגשים, בחינת אופן יישום ההמלצות, נוכחות בוועדות הביקורת בחברה הבת ועוד, כאן גבולות אחריותו נרחבים למדי.
בהתקיים ואקום סטטוטורי כאמור, ועפ"י המתודולוגיה שגובשה במשרדנו, חזקה עלינו, כמבקרי פנים של חברות ציבוריות גדולות במשק בהן אנו ממומנים, להעלות נושא זה לדיון בדירקטוריונים ובוועדות הביקורת, לצד יועציהן המשפטיים ולעגן מעין צ'רטר עבודה מוסכם עם הדירקטוריון וועדותיו בדבר יחסי הגומלין בין מבקר הפנים בחברת אם למבקר הפנים בחברת הבת.
בחייקין, כהן רובין ושות' אנו מאמינים כי מבקר הפנים בחברה האם נדרש לקיים ערוץ תקשורת עם מבקרי הפנים בחברות הבנות בארץ ובחו"ל ובכלל זה: שליחת שאלונים חצי שנתיים, קיום פגישות עם מבקרי הפנים ועריכת בירורים כחלק מפיקוח כללי לגבי תהליך עבודתו של מבקר הפנים בחברת הבת. עוד אנו גורסים כי בחברת אם, לה חברות בנות פרטיות בהן לא ממונה מבקר פנים, על מבקר הפנים לראות את הקבוצה כמכלול אחד באופן קביעת עבודתו ומכאן נגזרת גם אחריותו הכוללת על פעילות כל הקבוצה.