תפריט נגישות

It's SOX Time - ראיון עם שירלי כהן שוורץ ונטע דקל, מנהלי חברת טוליפ

SOX הפך למעין ISO חשבונאי של הדיווח הכספי. בראיון מסבירים שירלי כהן שוורץ ונטע דקל את משמעויות החוק ומדוע חברות רבות רוצות לעמוד בתנאי ה SOX גם אם אין להן מחויבות חוקית לכך.

  

שמואל: מהו SOX ?

 

נטע: SOX הוא חוק אמריקאי שנכון לעכשיו חל על חברות הנסחרות בארה"ב. היבטי החוק מוכלים כיום בישראל על חברות נוספות במגזר הבנקאי, בטוח וחברות ממשלתיות. במילה אחת, החוק בא להבטיח את נכונות הדיווח הכספי של הארגון ועל בסיס זה נבנתה מתודולוגיה שתומכת במטרה זו.

 

החידוש בחוק היא החובה, המוטלת על מנכ"ל החברה וסמנכ"ל הכספים, לאשר בחתימה את אפקטיביות הבקרה הפנימית שנבנתה, שמטרתה להבטיח את נכונות הדיווח הכספי. בנוסף, נדרש אישור רו"ח חיצוני  כי בדק את הבקרה הפנימית בחברה וכי היא אפקטיבית.

 

בחוק ישנם סעיפי הנחיה שונים כגון: ועדת ביקורת של הדירקטוריון ש ה-CFO  מדווח אליה ישירות, בניית הרכב הדירקטוריון כך שיכלול דירקטור מומחה פיננסי, מנגנונים טכניים של דיווחי כשל בארגון על ידי גורמים פנימיים ועוד. כעקרון, היבטים אלה דנים בהתאמת חיי החברה לנושא נכונות הדיווח הכספי של הארגון וזאת מעבר לדיווח הפיננסי היבש. 

 

שירלי: בעבר רואי החשבון היו מסתכלים על המספרים, כעת הדגש הוא על בחינת  תהליכי העבודה הרוחביים של הארגון  והגדרת בקרות על תהליכים אלו. מטרת הבקרות לאתר חריגות ואי סדרים, המשליכים בסופו של דבר על הדיווח הכספי והתנהלות העסקית התקינה של החברה.

 

שמואל: מהם השלבים העיקרים של פרויקט SOX ?

 

נטע: במהלך שלבי העבודה של פרויקט יישום החוק,  מתבצעת בחינה של הדוח המאוחד של החברה, מזהים את החברות המהותיות ואת הסעיפים המהותיים. לגבי כל סעיף, בוחנים מהם התהליכים הנגזרים המשפיעים על סעיף זה – כדוגמת השפעת תהליכי הקניות/רכש על סעיף המזומנים וכיו"ב.   בהמשך, מבצעים תיאור ותיעוד של התהליכים, ומזהים את אותן נקודות קריטיות בתהליך בהן חשוף הארגון לסיכונים. לגבי כל סיכון, מגדירים את הבקרות לשם ניטור הסיכון.  

 

שלושת סוגי הבקרות הנן:

בקרה מונעת – מונעת את הסיכון מבעוד מועד

בקרה מפצה – אינה מבטלת אך מפצה על הסיכון באופן אחר.

בקרה מגלה – מגלה את הבעיה (בדיעבד)

 

כל בקרה מוגדרת כבקרה עיקרית או משנית.  בהתאם לסוג הבקרה, על הארגון לבצע בדיקות אפקטיביות – לתכנן את הבדיקות (כתיבת TEST PLAN), ביצוע הבדיקות בפועל, ולטפל בליקויים.

 

שמואל: מהי ההשלכה על מערכות המידע?

 

נטע: ההשלכה הנה בשני כיוונים:

 

א. הדיווח הכספי מושתת על מערכות המידע ובהקשר זה נבחנים היבטי אבטחת מידע פיסית, לוגית, נוהל התקשרות עם קבלני משנה, נוהל רכש ציוד/תוכנה, SLA מול נותני שירותים ועוד.

 

ב. מערכות המידע היישומיות נבחנות במסגרת בחינת התהליכים העסקיים  והבקרות. ככל שהבקרות בארגון ממוחשבות ו ON LINE, מדגם הבדיקה פשוט יותר על פני בקרות ידניות בהן גודל המדגם יהיה גדול יותר.  

 

שמואל :מהן הפעילויות שבאחריות הארגון, במהלך פרויקט SOX,  וכיצד הוא נערך לביצוען ?

 

שירלי: כל הפעילויות של: תיעוד תרשימי הזרימה, תהליכי העבודה (Narrative & Flow Charts) , הגדרת מטריצת הסיכונים והבקרות ((What Can Go Wrong Table וביצוע תהליך הבדיקות הפנים ארגוניות ((Internal Test  הן פעילויות שבאחריות הארגון. רואה החשבון החיצוני קובע למעשה את מסגרת סביבת הבקרה ((Scoping, מהן החברות והחשבונות המהותיים, מהם התהליכים המשפיעים על החשבונות ועושה בקרה כוללת על כל החומרים שהוכנו על ידי הארגון, כולל שלב נוסף של בדיקות (External Tests).

לטובת פעילות ,SOX הארגון בדרך כלל ממנה פונקציה ייעודית לניהול התהליך בארגון. בצוע המהלך אפשרי באמצעות משאבים פנימיים או בסיוע של גורמי OUTSOURCING או משרדי רו"ח.

 

נטע: SOX הפך למעין ISO חשבונאי של הדיווח הכספי. הרבה חברות שחושבות על הנפקה, מחפשות השקעות, רוצות לעמוד בתנאי ה SOX גם אם אין להן מחויבות חוקית לכך. אנו עוסקים לעיתים בחברות כאלה, ביישום חלקי של היבטי הטפול בסיכונים והבקרות. יישום זה הנו יישום מקוצר, אך הוא מטפל בנאותות הבקרה הפנימית ומאפשר לארגון לטפל ולשפר סוגיה זו.

שמואל: האם יש קשר בין SOX ל מערכות ה ERP ?

 

שירלי: הפרויקטים שאנו מלווים ומיישמים בתחום ה ERP, נעשים תוך כדי תשומת לב  לדרישות ה SOX ומימוש הבקרות שהוגדרו בתהליכי העבודה, בתשתיות והגדרות המערכת. בצורה זו הארגון עובד עם מערכת מבוקרת, דבר המקל על הארגון בשלב הבדיקות.

לגבי ארגונים העובדים עם מערכות ERP שהוטמעו ועלו לאוויר בעבר , יש לבצע את יישום הבקרות שהוגדרו במסגרת תהליכי העבודה הממוכנים הקיימים. יישום הבקרות מתבצע על ידי הכנת טריגרים שנותנים בקרת ON LINE  בתהליכים, בקרת דוחות, ומימוש מערך הרשאות קפדני לטובת נושא הפרדת סמכויות (Segregation of Duties).  

 

שמואל: איך נעשה ניהול המידע של כל תוצרי ה  SOX בארגון ?

 

שירלי: למעשה ישנן שתי אוכלוסיות:

אוכלוסיה ראשונה מקיפה ארגונים אשר מתעדים את כלל תוצרי הפרויקט בכלי OFFICE (VISIO, EXCEL, WORD) ולמעשה ההיבט הניהולי-אדמיניסטרטיבי נעשה באמצעות תוכנית עבודה המנוהלת ידנית.

אוכלוסיה שנייה, הינה של ארגונים המטמיעים מערכת SOX או מיישמים מודול SOX באחת ממערכות ה - ERP הגדולות. ארגונים אלו נהנים ממרכוז כל הנתונים במאגר מידע מרכזי ומקבלים התראות על מועדי בדיקות וחתימות אלקטרוניות להצהרה על מימוש הבקרה. המערכת, מאפשרת לסמנכ"ל הכספים בכל נקודת זמן לבחון מנתוני הדוח הכספי הממוחשב את מצב הבקרה הפנימית.

 

מניסיוננו, רוב הארגונים בשלב הראשון מתחילים באופציה הראשונה וזאת  בכדי לעמוד בדרישות  החוק.  בשנה השנייה ליישום, כשהנם מיוצבים יותר עם החומרים ונכנסים לשלבי הבדיקות השוטפות, בוחנים הארגונים הטמעתם של כלים ממוכנים לניהול התהליך.

 

ליצירת קשר: 

shirley@tulip.co.il 

neta@tulip.co.il

פרסום באתר