יש להניח שאילו המנהל האמריקאי היה נתקל בכותרת מאמר זה, הוא היה מדלג עליו. ה-CCO Chief Compliance Officer), האחראי על נושא הציות לרגולציה ולכללי הממשל התאגידי, ה-RMO (Risk Management Officer), האחראי על ניהול הסיכונים בארגון, וה- RCO Risk & Compliance Officer, שהינו שילוב בין שני התפקידים הנ"ל - כולם בעלי תפקיד מקובלים בחברות ציבוריות ובמוסדות בארה"ב בעידן של פוסט סרבנס-אוקסלי.
ה-CCO הוא תפקיד המצוי זה שנים רבות בעיקר בארגונים שיש להם חשיפה לרגולציה מרובה, כגון מוסדות פיננסים וחברות תקשורת. השדרוג שקיבל תפקיד זה בשנים האחרונות הוא האחריות ליישום של כללי ממשל תאגידי בארגון ורגולציות נוספות כגון סרבנס-אוקסלי, באזל, רגולציות חדשות של שוקי ההון השונים ועוד.
ה-CCO הוא האחראי הישיר בארגון על כתיבת עקרונות ונהלי הממשל התאגידי של הארגון, בכל הרמות. הוא אחראי לפיקוח על שמירת הנהלים, לחידושם ועדכונם ולדיווח השוטף להנהלת החברה ולדירקטוריון החברה.
לעומת זאת, ה-RMO, כתפקיד האוחז משרה מלאה, הוא חדש יותר. ה-RMO הוא האחראי הישיר בארגון לכתיבת תוכנית ניהול הסיכונים של הארגון, לפיקוח על שמירתם, לחידוש נהלים ולדיווח השוטף להנהלת החברה ולדירקטוריון החברה ולוועדותיו. תפקיד ה-RMO לוודא כי בכל עת הארגון מכיר ומתמודד מול כל הסיכונים החלים עליו, תפעוליים, פיננסיים, מסחריים ומשפטיים.
בארה"ב מקובל לעיתים לאחד תחת בעל תפקיד אחד הן את נושא ניהול הסיכונים והן את נושא הציות לרגולציה ולכללי הממשל התאגידי, לתפקיד הקרוי Risk & Compliance Officer(RCO).
אם שאלתם עצמכם כמה בעלי תפקיד מכהנים כ-CCO במשרה מלאה בחברות ציבוריות בישראל, כאשר הגדרת התפקיד כוללת לא רק ציות לרגולציה ייעודית (למשל מוסד פיננסי שכפוף לכללי המפקח על הבנקים), אלא גם אחריות להטמעה ושמירה כללי ממשל תאגידי בארגון - התשובה היא מעט מאוד. ולגבי השאלה, כמה RMO או RCO מכהנים בתפקידים אלה במשרה מלאה בחברות ציבוריות בישראל, התשובה היא - כנראה שעוד פחות.
המצב המתואר לעיל זו נגזר משאלה מקדימה - בכמה חברות ציבוריות קיימות תוכניות סדורות להטמעה וניהול של כללי ממשל תאגידי וניהול סיכונים, כאלו המקיפות את כל שדרות הארגון ושלהכנתן היה אחראי מנכ"ל החברה, והיא אושרה ע"י דירקטוריון החברה? התשובה היא מספר מצומצם של חברות.
פרשת הבונוסים בחברת "בזק", בעקבותיה פרש מנכ"ל החברה ומונה חוקר חיצוני לבדיקת הנסיבות שהביאו לאישור הבונוסים לנושאי משרה שונים בחברה, היא דוגמא טובה לנחיצותם של CCO ו-RMO (או RCO) במשרה מלאה.
בדו"ח החוקר ניתן למצוא את הקביעות הבאות:
1. החלטות הטעונות אישור דירקטוריון, התקבלו במסגרת ישיבות של בעלי השליטה.
2. בונוסים לבכירים לא אושרו כנדרש בועדת ביקורת ובדירקטוריון.
3. החברה לא הקפידה לקיים את נוהל עבודת הדירקטוריון לענין העברת מידע לדירקטורים טרם ישיבות הדירקטוריון.
4. ניהול ההליכים בועדות הדירקטוריון השונות היה בלתי תקין.
5. נפלו פגמים באופן תפקודם של מגנני ההגנה והבקרה של החברה.
ה-CCO וה-RMO הם שומרי סף, ותפקידם למנוע בדיוק את מה שהחוקר החיצוני מצא ב"בזק", או לפחות להתריע מבעוד מועד על קיומם של כשלים כאלה. המניעה מבוצעת באמצעות הטמעה של עקרונות ממשל תאגידי בתוכנית בת 10 שלבים עיקריים שיגבש ה-CCO:
1. קביעת נהלים למבנה הדירקטוריון:
· קביעת מספר הדירקטורים בדירקטוריון תוך הקפדה על עקרון עצמאות הדירקטורים.
· נהל לבחירת דירקטורים באסיפת בעלי מניות.
· נהל לכשירות דירקטורים לכהונה בדירקטוריון ובועדות הדירקטוריון.
· נהל לפיקוח ובקרה של הדירקטוריון על עבודת ועדות הדירקטוריון.
2. קביעת נהלים לעבודת הדירקטוריון:
· קביעת סמכויות ואחריות הדירקטוריון וחלוקת תפקידים
· נהל ליו"ר דירקטוריון.
· נהל לניהול ישיבת דירקטוריון.
· נהל לעדכון והכשרת דירקטור.
3. קביעת נהלים לעבודת ועדת ביקורת, הכולל בין היתר את האחריות על:
· תפקוד בקרות פנימיות.
· בדיקת ניהול סיכונים של החברה.
· בדיקת כשלים בדיווח הכספי וכשלים אחרים.
· עבודה מול מבקר פנימי ורואה חשבון מבקר.
· נהל לגבי עסקאות חריגות ועסקאות עם בעלי עניין.
4. קביעת נהל לעבודת החברה מול רואה חשבון מבקר ומול מבקר פנימי.
5. קביעת נהל לעבודת המנכ"ל מול הדירקטוריון וועדות הדירקטוריון.
6. קביעת נהל לעבודת הנהלת החברה בנושא ניהול סיכונים, פיתוח והפעלה של מערך הבקרה הפנימית.
7. קביעת נהל לניהול אסיפות בעלי מניות והקשר מול החברה.
8. הקמת ועדה/ועדת משנה לענייני ממשל תאגידי וניהול סיכונים.
9. קביעת קוד אתי.
10. הצהרת מנכ"ל ומנהל/סמנכ"ל כספים ("הצהרת מנהלים" כפי שהומלצה ע"י ועדת גושן) לגבי אפקטיביות הבקרות הפנימיות, ואמיתות הנתונים והמידע הכלול בדיווחים הכספיים.
ה-RMO יגבש את תוכנית ניהול כל הסיכונים של הארגון, מרמת הדירקטוריון ועד אחרונת המחלקות, הכוללת 3 שלבים עיקריים:
1. הליך הערכת הסיכונים ("סקר סיכונים"), הכולל:
· מיפוי וזיהוי של הסיכונים.
· הערכת הסיכונים.
· תיעוד.
2. קביעת דרכי טיפול בסיכונים וצמצום החשיפה לסיכונים.
3. נהל לפיקוח, בקרה ועדכונים שוטפים.
חשיבות לקיומם של CCO ו-RMO כבעלי תפקיד במשרה מלאה אינה מתמצת בכתיבת נהלים.
בלא מעט חברות ציבוריות קיימים נהלים הקשורים לעבודת הדירקטוריון וועדות הדירקטוריון ונהלים אחרים. לא די בקיומם של נהלים (אם כי גם בתחום זה רחוק מאוד המצב המצוי מן הרצוי בקרב החברות הציבוריות בישראל), אלא שיש לקיים בקרה ופיקוח שוטפים על האופן בו החברה מיישמת את הנהלים, יש צורך לאתר כשלים בנהלים ויש צורך לעדכן ולהחליף נהלים.
כישלונה העיקרי של "בזק" לא היה בהעדר נהלים, אלא בהעדר הטמעה ושמירה של כללי ממשל תאגידי (ו"בזק" אף הודתה בכך בדיווח לבורסה). כשיש נהלים, אבל אין אינטגרציה של תהליכים ונהלים, ובראש ובראשונה אין בעל תפקיד במשרה מלאה שיכול (וחייב) לומר בכל רגע נתון כיצד מתפקד הארגון מול הסיכונים שלו, כיצד מתפקדים האורגנים במסגרת סמכויותיהם, ומה יש לעשות כדי לשפר ולהתחדש בתחומים הללו, אזי ככל שהארגון מורכב יותר, כך הכשלון הוא רק ענין של זמן.
קיומו של "דירקטוריון צללים", כפי שמצא החוקר החיצוני ב"בזק", הוא תוצאה של קשר ישיר בין בעלי השליטה למנכ"ל החברה, מעל לראשו של הדירקטוריון, מציאות שיכולה להתרחש כשהתנהלותו של מנכ"ל החברה אינה חלק ממתודה של תהליכים ונהלים שכל הארגון כפוף לה וקיים בעל תפקיד שאחראי לבדוק שהמנכ"ל, כמו גם אחרון העובדים, פועל על פיה.
במסגרת המלצות ועדת גושן, הנהלת החברה היא האחראית להטמעת עקרונות הממשל התאגידי ולבניית תוכנית ניהול הסיכונים בחברה. המלצות ועדת גושן בתחום זה עומדות בקנה אחד עם המקובל בתחום בארה"ב ובמדינות ה-OECD ומן הראוי שיותר חברות ציבוריות בישראל, ודאי אלה הנסחרות במדד ת"א 100, יאמצו את הסטנדרט המקובל כיום בארה"ב ואת המלצות ועדת גושן בענין זה, ויקדישו את תשומת הלב והמשאבים הנחוצים לנושא הממשל התאגידי וניהול הסיכונים.
ומה היה קורה אילו בבזק היו CCO ו-RMO (או RCO) במשרה מלאה, מצוידים בסמכויות ובתוכניות שפורטו לעיל? יתכן בהחלט שמרבית הכשלים שנמצאו ע"י החוקר החיצוני היו נמנעים.
ה-CCO הוא תפקיד המצוי זה שנים רבות בעיקר בארגונים שיש להם חשיפה לרגולציה מרובה, כגון מוסדות פיננסים וחברות תקשורת. השדרוג שקיבל תפקיד זה בשנים האחרונות הוא האחריות ליישום של כללי ממשל תאגידי בארגון ורגולציות נוספות כגון סרבנס-אוקסלי, באזל, רגולציות חדשות של שוקי ההון השונים ועוד.
ה-CCO הוא האחראי הישיר בארגון על כתיבת עקרונות ונהלי הממשל התאגידי של הארגון, בכל הרמות. הוא אחראי לפיקוח על שמירת הנהלים, לחידושם ועדכונם ולדיווח השוטף להנהלת החברה ולדירקטוריון החברה.
לעומת זאת, ה-RMO, כתפקיד האוחז משרה מלאה, הוא חדש יותר. ה-RMO הוא האחראי הישיר בארגון לכתיבת תוכנית ניהול הסיכונים של הארגון, לפיקוח על שמירתם, לחידוש נהלים ולדיווח השוטף להנהלת החברה ולדירקטוריון החברה ולוועדותיו. תפקיד ה-RMO לוודא כי בכל עת הארגון מכיר ומתמודד מול כל הסיכונים החלים עליו, תפעוליים, פיננסיים, מסחריים ומשפטיים.
בארה"ב מקובל לעיתים לאחד תחת בעל תפקיד אחד הן את נושא ניהול הסיכונים והן את נושא הציות לרגולציה ולכללי הממשל התאגידי, לתפקיד הקרוי Risk & Compliance Officer(RCO).
אם שאלתם עצמכם כמה בעלי תפקיד מכהנים כ-CCO במשרה מלאה בחברות ציבוריות בישראל, כאשר הגדרת התפקיד כוללת לא רק ציות לרגולציה ייעודית (למשל מוסד פיננסי שכפוף לכללי המפקח על הבנקים), אלא גם אחריות להטמעה ושמירה כללי ממשל תאגידי בארגון - התשובה היא מעט מאוד. ולגבי השאלה, כמה RMO או RCO מכהנים בתפקידים אלה במשרה מלאה בחברות ציבוריות בישראל, התשובה היא - כנראה שעוד פחות.
המצב המתואר לעיל זו נגזר משאלה מקדימה - בכמה חברות ציבוריות קיימות תוכניות סדורות להטמעה וניהול של כללי ממשל תאגידי וניהול סיכונים, כאלו המקיפות את כל שדרות הארגון ושלהכנתן היה אחראי מנכ"ל החברה, והיא אושרה ע"י דירקטוריון החברה? התשובה היא מספר מצומצם של חברות.
פרשת הבונוסים בחברת "בזק", בעקבותיה פרש מנכ"ל החברה ומונה חוקר חיצוני לבדיקת הנסיבות שהביאו לאישור הבונוסים לנושאי משרה שונים בחברה, היא דוגמא טובה לנחיצותם של CCO ו-RMO (או RCO) במשרה מלאה.
בדו"ח החוקר ניתן למצוא את הקביעות הבאות:
1. החלטות הטעונות אישור דירקטוריון, התקבלו במסגרת ישיבות של בעלי השליטה.
2. בונוסים לבכירים לא אושרו כנדרש בועדת ביקורת ובדירקטוריון.
3. החברה לא הקפידה לקיים את נוהל עבודת הדירקטוריון לענין העברת מידע לדירקטורים טרם ישיבות הדירקטוריון.
4. ניהול ההליכים בועדות הדירקטוריון השונות היה בלתי תקין.
5. נפלו פגמים באופן תפקודם של מגנני ההגנה והבקרה של החברה.
ה-CCO וה-RMO הם שומרי סף, ותפקידם למנוע בדיוק את מה שהחוקר החיצוני מצא ב"בזק", או לפחות להתריע מבעוד מועד על קיומם של כשלים כאלה. המניעה מבוצעת באמצעות הטמעה של עקרונות ממשל תאגידי בתוכנית בת 10 שלבים עיקריים שיגבש ה-CCO:
1. קביעת נהלים למבנה הדירקטוריון:
· קביעת מספר הדירקטורים בדירקטוריון תוך הקפדה על עקרון עצמאות הדירקטורים.
· נהל לבחירת דירקטורים באסיפת בעלי מניות.
· נהל לכשירות דירקטורים לכהונה בדירקטוריון ובועדות הדירקטוריון.
· נהל לפיקוח ובקרה של הדירקטוריון על עבודת ועדות הדירקטוריון.
2. קביעת נהלים לעבודת הדירקטוריון:
· קביעת סמכויות ואחריות הדירקטוריון וחלוקת תפקידים
· נהל ליו"ר דירקטוריון.
· נהל לניהול ישיבת דירקטוריון.
· נהל לעדכון והכשרת דירקטור.
3. קביעת נהלים לעבודת ועדת ביקורת, הכולל בין היתר את האחריות על:
· תפקוד בקרות פנימיות.
· בדיקת ניהול סיכונים של החברה.
· בדיקת כשלים בדיווח הכספי וכשלים אחרים.
· עבודה מול מבקר פנימי ורואה חשבון מבקר.
· נהל לגבי עסקאות חריגות ועסקאות עם בעלי עניין.
4. קביעת נהל לעבודת החברה מול רואה חשבון מבקר ומול מבקר פנימי.
5. קביעת נהל לעבודת המנכ"ל מול הדירקטוריון וועדות הדירקטוריון.
6. קביעת נהל לעבודת הנהלת החברה בנושא ניהול סיכונים, פיתוח והפעלה של מערך הבקרה הפנימית.
7. קביעת נהל לניהול אסיפות בעלי מניות והקשר מול החברה.
8. הקמת ועדה/ועדת משנה לענייני ממשל תאגידי וניהול סיכונים.
9. קביעת קוד אתי.
10. הצהרת מנכ"ל ומנהל/סמנכ"ל כספים ("הצהרת מנהלים" כפי שהומלצה ע"י ועדת גושן) לגבי אפקטיביות הבקרות הפנימיות, ואמיתות הנתונים והמידע הכלול בדיווחים הכספיים.
ה-RMO יגבש את תוכנית ניהול כל הסיכונים של הארגון, מרמת הדירקטוריון ועד אחרונת המחלקות, הכוללת 3 שלבים עיקריים:
1. הליך הערכת הסיכונים ("סקר סיכונים"), הכולל:
· מיפוי וזיהוי של הסיכונים.
· הערכת הסיכונים.
· תיעוד.
2. קביעת דרכי טיפול בסיכונים וצמצום החשיפה לסיכונים.
3. נהל לפיקוח, בקרה ועדכונים שוטפים.
חשיבות לקיומם של CCO ו-RMO כבעלי תפקיד במשרה מלאה אינה מתמצת בכתיבת נהלים.
בלא מעט חברות ציבוריות קיימים נהלים הקשורים לעבודת הדירקטוריון וועדות הדירקטוריון ונהלים אחרים. לא די בקיומם של נהלים (אם כי גם בתחום זה רחוק מאוד המצב המצוי מן הרצוי בקרב החברות הציבוריות בישראל), אלא שיש לקיים בקרה ופיקוח שוטפים על האופן בו החברה מיישמת את הנהלים, יש צורך לאתר כשלים בנהלים ויש צורך לעדכן ולהחליף נהלים.
כישלונה העיקרי של "בזק" לא היה בהעדר נהלים, אלא בהעדר הטמעה ושמירה של כללי ממשל תאגידי (ו"בזק" אף הודתה בכך בדיווח לבורסה). כשיש נהלים, אבל אין אינטגרציה של תהליכים ונהלים, ובראש ובראשונה אין בעל תפקיד במשרה מלאה שיכול (וחייב) לומר בכל רגע נתון כיצד מתפקד הארגון מול הסיכונים שלו, כיצד מתפקדים האורגנים במסגרת סמכויותיהם, ומה יש לעשות כדי לשפר ולהתחדש בתחומים הללו, אזי ככל שהארגון מורכב יותר, כך הכשלון הוא רק ענין של זמן.
קיומו של "דירקטוריון צללים", כפי שמצא החוקר החיצוני ב"בזק", הוא תוצאה של קשר ישיר בין בעלי השליטה למנכ"ל החברה, מעל לראשו של הדירקטוריון, מציאות שיכולה להתרחש כשהתנהלותו של מנכ"ל החברה אינה חלק ממתודה של תהליכים ונהלים שכל הארגון כפוף לה וקיים בעל תפקיד שאחראי לבדוק שהמנכ"ל, כמו גם אחרון העובדים, פועל על פיה.
במסגרת המלצות ועדת גושן, הנהלת החברה היא האחראית להטמעת עקרונות הממשל התאגידי ולבניית תוכנית ניהול הסיכונים בחברה. המלצות ועדת גושן בתחום זה עומדות בקנה אחד עם המקובל בתחום בארה"ב ובמדינות ה-OECD ומן הראוי שיותר חברות ציבוריות בישראל, ודאי אלה הנסחרות במדד ת"א 100, יאמצו את הסטנדרט המקובל כיום בארה"ב ואת המלצות ועדת גושן בענין זה, ויקדישו את תשומת הלב והמשאבים הנחוצים לנושא הממשל התאגידי וניהול הסיכונים.
ומה היה קורה אילו בבזק היו CCO ו-RMO (או RCO) במשרה מלאה, מצוידים בסמכויות ובתוכניות שפורטו לעיל? יתכן בהחלט שמרבית הכשלים שנמצאו ע"י החוקר החיצוני היו נמנעים.
משרד שטיינברג, רבינוביץ מתמחה, בין היתר, בייעוץ לתאגידים בתחום ממשל תאגידי (corporate Governance), ניהול סיכונים, compliance ורגולציה.
http://www.sr-law.co.il / office@sr-law.co.il
http://www.sr-law.co.il / office@sr-law.co.il
