מודל ניהול הסיכונים של COSO
דף הבית  >>  >>  הרשם  |  התחבר
מאמרים

מודל ניהול הסיכונים של COSO 

מאת    [ 26/05/2012 ]
מילים במאמר: 1712   [ נצפה 8513 פעמים ]

 
 

מודל ניהול הסיכונים של COSO

 

 

 

 כללי

השערוריות החשבונאיות בארה"ב ובעולם ושינויי הרגולציה בעקבותיהם, העלו על סדר היום את ההכרה בצורך בניהול סיכונים.  ארגונים החלו להבין כי סיכון הוא דבר שצריך לנהל אותו לא לברוח מפניו. התחום צבר תאוצה בעיקר עקב התערבות הרגולטור בארה"ב באמצעות החוק  Sarbanes-Oxley אשר קבע כי על הפירמה ליישם מערכת בקרה, ומסקנות ועדת באזל השנייה.

 

 גם בישראל זכה התחום לתהודה לאחר פרסום מסקנות ועדת גלאי, ב- 8/99, שדנה בניהול החשיפה לסיכונים פיננסיים והדיווח עליהם. בעקבות כך הוציאו רגולטורים ובהם המפקח על הבנקים והמפקח על שוק ההון הנחיות המחייבות מוסדות פיננסים לנהל את סיכוניהם.

 

גם תחום הביקורת הפנימית לא נפקד ממהפכת ניהול הסיכונים. הרשות לניירות ערך הרחיבה בתקנות את החובה לדווח על פעילות המבקר הפנימי: "השיקולים בקביעת תכנית הביקורת, השוטפת והרב שנתית ,בתאגיד", וכן "האם היקף, אופי ורציפות הפעילות ותכנית העבודה של המבקר הפנימי, הנם סבירים בנסיבות העניין ויש בהם כדי להגשים את מטרות הביקורת הפנימית בתאגיד". בשנת 2002 חשף מבקר המדינה כי מרבית המבקרים ברשויות המקומיות עורכים את תוכניות העבודה שלהם לא ע"פ ממצאי סקר סיכונים. בעקבות חשיפה זו הוציא, במאי 2004, משרד הפנים הוראות המחייבות מבקרים הפנימיים לערוך סקר סיכונים.

 

ניהול הסיכונים אינו נפקד מתחום הביקורת הפנימית. כפונקציה האמונה על בחינת יעילותן והלימותן של מערך הבקרות בארגון, הביקורת הפנימית מכירה בחשיבותו של ניתוח שיטתי ומיפוי הסיכונים בארגון. ואכן נושא זה מעוגן הן בתקנים המקצועיים והן בהנחיות המקצועיות. יתרה מזאת נקבעה הנחיה מקצועיות (מס' 18) מיוחדת המציגה את כל ההיבטים השונים הקשורים לניהול סיכונים בעבודתו של המבקר הפנימי. 

 

על COSO

COSO   הוא ראשי תיבות של (the Committee of Sponsoring Organizations of the Treadway Commission), דהיינו הועדה של הארגונים נותני החסות לנציבות Treadway. גוף זה הוקם בשנת 1985, על-ידי חמישה גופים מקצועיים בניהם לשכת המבקרים הפנימיים IIA, כדי לעסוק "בדיווח כספי שקרי". ועדה זו, המכונה ע"ש היו"ר הראשון שלה James C. Treadway, Jr, המשיכה לפעול ועם השנים הוציאה עוד 2 דוחות מרכזים, בשנת 1992 הבקרה הפנימית ? מסגרת אינטגרטיבית (Internal Control ? Integrated Framework), ובשנת 2001 את "המסגרת האינטגרטיבית ? ניהול סיכונים בארגון (Enterprise Risk Management ? Integrated Framework).

 

בשנת 2001 יזם COSO פרויקט לפתח מסגרת שתסיע למנהלים להעריך ולשפר את ניהול הסיכונים בארגון. כלי זה שפיתח COSO אומץ על ידי ארגונים רבים והפך למסגרת מקובלת. עם חקיקת חוק סרבנס אוקסלי (SOX) בשנת 2002 וחוקים דומים בארצות אחרות, שהטילו חובה חוקית לנהל מערך בקרה פנימית, הטילו חובה על מנהלי הארגונים לדווח על איכות הבקרה, וגופי ביקורת בלתי תלויים, עלה עוד יותר הצורך במסגרת מנחה.

 

 ERM

ניהול סיכונים הוא סוגיה חשובה לכל ארגון המבקש להתקיים ולספק ערך לבעלי העניין (Stakeholders). כל הארגונים חשופים לאי וודאות, והאתגר להנהלות לקבוע כמה אי וודאות לקבל כדי שהערך של הארגון יגדל. אי וודאות מייצג מחד סיכון ומאידך הזדמנות להגביר או להפחית את ערך החברה. ניהול סיכונים בארגון (ERM) מאפשר להנהלה לטפל באפקטיביות בחוסר וודאות, דהיינו עם הסיכונים וההזדמנות של הארגון, כדי להגביר את היכולת להוסיף ערך לארגון.

 

 מקסום ערך של ארגון קורה כאשר הנהלה מגבשת אסטרטגיה ויעדים כדי להגיע לשווי משקל אופטימאלי בין צמיחה לסיכונים, ויעילות האפקטיביות בפריסת משאבים במטרה להשיג את יעדי הארגון. ניהול סיכונים ארגוני מקיף את הבאים:

 

קביעה הרמת הסיכון הנסבלת וגיבוש אסטרטגיה  - הנהלה קובעת מהי רמת הסיכון הנסבלת תוך בחינת אלטרנטיבות אסטרטגיות, קביעת יעדים בהתאם, ופיתוח מכנזמים לטיפול בסיכונים.

  • הגברת היכולת לקבל החלטות בתגובה לסיכונים ? ניהול הסיכונים בארגון מספק את הדחף לזהות ולבחון בתגובה המתאימה לסיכון.
  • צמצום הפתעות תפעוליות ו"קצוות רפויים" ? ארגונים נהנים מיכולת טובה יותר לזהות אירועים פוטנציאלים ולגבש תגובות, להפחית סיכונים והוצאות ואובדן.
  • זיהוי וניהול מספר רב של גורמי סיכון חוצי ארגון ? כל ארגון חשוף לשלל סיכונים המשפיעים על חלקים שונים בארגון. ניהול הסיכונים הארגוני מאפשר לארגון להגיב באפקטיביות לתוצאות ולהגיב באופן אינטגרטיבי (מערכתי) למספר רב של סיכונים.
  • ניצול הזדמנויות ? כשבוחנים תחום רחב של סיכונים פוטנציאלים, ההנהלה יכולה לזהות הזדמנויות לשיפור וניצול טוב יותר של משאבים.
  • שיפור בהקצאת משאבים ? ניהול סיכונים מאפשר להעריך את הצרכים הנדרשים כדי לשפר את הקצאת המשאבים בארגון.

 

יכולות אלה, הטבועות בניהול הסיכונים הארגוני, מסייעות להנהלה להשיג את יעדי הארגון ובמניעת איבוד משאבים.

 

אירועים ? סיכונים והזדמנויות

לאירועים תיתכן השפעה שלילית,  השפעה חיובית, או שתיהן גם יחד. אירועים עם השפעה שלילית מייצגים סיכונים, שיכולים למנוע יצירת ערך או לפגוע בערך קיים. אירועים עם השפעה חיובית יכולים לבטל סיכונים או להוות הזדמנות לשיפור הערך בארגון.  הזדמנויות הן האפשריות שאירוע יתרחש או בוודאות יפגע בהשגת היעדים, וכן ביכולת ליצור ערך לארגון או במניעתו. הנהלה יכולה לתעל את ההזדמנות לתוך האסטרטגיה הארגונית או לקביעת יעדים תוך תהליך, קביעת תוכניות וניצול הזדמנויות.

 

ניהול סיכונים בארגון ? הגדרה

ניהול סיכונים בארגון (ERM) עוסק בסיכונים ובהזדמנויות שמשפיעים על יצירת ערך או בשימורו, מוגדר כלהלן:

 

ניהול סיכונים בארגון זהו תהליך, המשפיע על הנהלת הארגון ועובדים אחרים, המיושם בגיבוש האסטרטגיה הארגונית, מתוכנן לזהות את האירועים הפוטנציאלים העשויים להשפיע על הארגון, ולנהל סיכון לרמה בה הוא נסבל, ולספק הבטחה לגבי יכולת הארגון להשיג את מטרותיו.

 

מההגדרה עולה כי ניהול סיכונים בארגון הוא:

  •  תהליך עוקב ונמשך דרך כל יחידות הארגון.
  • מושפע על-ידי עובדי הארגון בכל הרמות.
  • ישים בשלב קביעת האסטרטגיה של הארגון.
  • ישים ורלבנטי לכל רמות הארגון
  • נועד לזהות אירועים פוטנציאלים באם הם יתקיימו אזי הם ישפיעו על יכולת הארגון להשיג את מטרותיו.
  • יכול לספק הבטחה סבירה למנהלים.
  • מסייע בהשגת יעדים.

 

הגדרה זו הנה כוללנית. היא מכילה את העקרונות היסוד של איך ארגונים מנהלים את סיכוניהם. היא מתמקדת בקביעת יעדים ומספקת כלים בסיסים לעריכת ניהול סיכונים אפקטיבי.

 

השגת יעדים

המסגרת לניהול הסיכונים בארגון (ERM) מאפשרת להשיג  את יעדי הארגון, באמצעות 4 קטגוריות, כלהלן:

 

  • אסטרטגיה ?יעדים ברמה הארגונית הגבוהה ביותר.
  • תפעולי ? יעילות ואפקטיביות בניצול משאבים.
  • דיווח ? מהימנות הדיווח.
  • ציות ? ציות בהתאמה להוראות החוק, תקנות וכו'.

 

קטגוריות אלה של יעדים ארגונים מאפשרים להתמקד על היבטים שונים של ניהול הסיכונים הארגוני. החלוקה בין הקטגוריות הללו אינה מוחלטת, כל שבהחלט ניתן יהיה לשייך אירוע מסוים ליותר מקטגוריה אחת, ו/או האחריות לפעולה ביחידה אחת תהייה נתונה בידי יחידה אחרת. חלוקה לקטגוריות אלה מאפשרת להבין מה ניתן לצפות מכל קטגוריה של יעדים.

 

מכיוון שיעדים המתייחסים למהימנות  הדיווח ולציות לחוק ולתקנות מתייחסים לגורמים שבשליטת הארגון, ניתן לצפות מניהול הסיכונים הבטחה סבירה ליעדים אלה. השגת יעדים אסטרטגים ויעדים תפעולים, לעומת זאת, הם מותניים באירועים חיצוניים, שאינם בהכרח בשליטת הארגון;  ליעדים אלה, ניהול הסיכונים יכול לספק הבטחה סבירה שההנהלה מודעת לכך והיא לוקח זאת בחשבון בעת ניהול הארגון   לקראת היעדים שנקבעו.

 

מרכיבי ה ERM (מודל הקובייה)

מודל ניהול הסיכונים בארגון, המכונה ע"ש צורתו כמודל הקובייה, מכיל 8 מרכיבים. אלה נובעים מהדרך בה ההנהלה מנהלת את משאבי הארגון והיא אינטגראלית לתהליך הניהולי. להלן המרכיבים:

 

  • הסביבה הפנימית ? הסביבה הפנימית מקיפה את "הטון בצמרת". , ואת הדרך בה נתפשים הסיכונים בקרב אנשי הארגון, היא כולל את פילוסופית הניהול בארגון, אתיקה וערכי מוסר  בארגון ובסביבתו.
  • הגדרת יעדים ? יעדים מוגדרים טרם הליך זיהוי בסיכונים. ניהול הסיכונים מבטיח שבידי ההנהלה ישנו תהליך לקביעת יעדים ולבחירת היעדים התומכים במשימות ומתאימות לרמת הסיכונים שמוכן הארגון לקחת.
  • הערכת סיכונים ? הסיכונים ינותחו, בהתחשב בסיכוים להתרחש ובזק שעתיד להיגרם, כבסיס לבחירת הדרך התאימה לניהול. הערכת סיכונים תתבצע על בסיס קבוע.
  • תגובה לסיכונים ? הנהלה בוחרת את הדרך להגיב לסיכון ? הימנעות, קבלה, הפחתה או שיתוף סיכון ? פיתוח סדרה של פעולות כדי להתמודד עם סיכונים.
  • פעילויות בקרה ? פיתוח תוכניות ונהלים וישומן כדי לסייע להבטיח שהארגון יגיב באפקטיביות לסיכונים.
  • מידע ותקשורת ? זיהוי מידע רלבנטי, תפיסתו, ותקשורת   בצורה של מסגרות זמן שמאשרים לאנשים למלא אחר האחריות המוטלת עליהם. תקשורת אפקטיבית המתרחשת בכל רמות הארגון ולאורך מדרגות ההיררכיה הארגונית.
  • ניטור ? ניהול הסיכונים הארגוני, כולו, מנוטר ושינויים נערכים בו בהתאם לצורך. הניטור מושג על-ידי פעולות מתמשכות של הנהלה, הערכות נפרדות, או שניהם גם יחד.

 

ניהול סיכונים הוא לא בהכרח תהליך סדרתי, שמרכיב אחד משפיע רק על המרכיב הבא אחריו, אלא זה תהליך רב כיווני, הדורש בדיקות חוזרת שבו כל מרכיב יכול להשפיע על רעהו.

 

היחסים בין יעדי הארגון לרכיבי המודל

ישנו יחס ישיר בין היעדים השונים שהארגון שואף להשיג, ומרכיבי מודל ניהול הסיכונים, שמציג את מה שצריך כדי להגשימם. מערכת היחסים הנ"ל מוצגת במטריצה תלת ממדית, המוצגת בקובייה.

 ישנם 4 קטגוריות יעדים ? אסטרטגיה, תפעולי, דיווח וציות ? אלה מיוצגים על-ידי העמודות האנכיות,  שמונת המרכיבים מיוצגים בשורות האופקיות, ויחידות הארגון בפאה השלישית של הקובייה. תאור זה ממחיש את ניהול הסיכונים הארגוני, או ביעדים, במרכיבים, ביחידות הארגון, או כל נגזרת אחרת בשל כך.

 אפקטיביות

הקביעה מתי ניהול סיכונים ארגוני "אפקטיבי", נשענת על הערכה האם 8 המרכיבים מוצגים נכונה ומתפקדים באופן אפקטיבי. דהיינו, המרכיבים הם קריטיים לניהול סיכונים אפקטיבי. כדי שהמרכיבים יוצגו ויתפקדו כראוי חיוני שתוצג בו חולשות מוחשיות ושרמת הסיכון המוצגת בו היה קבילה, דהיינו כזו שלא מחייבת את התייחסות הארגון.

 כשניהול הסיכונים בארגון מנוהל אפקטיביות בכל אחת מהקטגוריות היעדים, להנהלת הארגון יש בטחון סביר שהם מכירים את היקף האסטרטגיה והיעדים התפעולים מושגים, ושהדיווח הארגוני הנו מהימן ותואם לדרישות חוק והנהלים.

 שמונת המרכיבים  לא יפעלו באורח דומה בכל ארגון וארגון. היישום בארגונים קטנים ובינוניים לדוגמא יהיה פחות פורמאלי ופחות מובנה. למרות האמור, ארגונים קטנים יכולים לקיים ניהול סיכונים אפקטיבי,ככול שכול מרכיב ומרכיב מיוצג  וזוהה כראוי.

 מגבלות

למרות העובדה שניהול סיכונים ארגוני מקנה יתרונות חשובים, קיימים גם מוגבלויות. מעבר למה שנאמר עד כה, המגבלות הם תוצאה של המציאות בה שיקול דעת בקבלת החלטות יכול להיות מוטעה, החלטות כיצד להגיב לסיכונים וקביעת בקרות שצריכה להתאים לעלות מול התועלת מהן, טעיות יכולות להתרחש כתוצאה מטעויות אנוש, בקרות יכולות להיות לא יעילות כתוצאה ממחדל או מעשה מכוון של שנים או יותר עובדים, ולהנהלה יש את היכולת לעקוף החלטות שהתקבלו במסגרת ניהול הסיכונים הארגוני. מגבלות אלה מונעות  מהנהלות את האפשרות להשיג הבטחה לגבי היכולת לעמוד ביעדי הארגון.

 ERM והביקורת הפנימית

מודל ה ERM נועד לשרת המנהלים ולא מבקרים פנימיים. ברם, הוא כלי שרת בידי הביקורת כיוון שהוא מהווה כלי שלם לעריכת סקר סיכונים. מודל הקובייה של COSO   צריך לשמש מבקרים פנימיים כמעין רשימת תיוג אליה צריכה להתייחס סקר הסיכונים שהם עורכים, כדי לבסס את תוכנית הביקורת על בסיס אמפירי. יתרה מזאת מבקרים פנימיים צריכים  להכיר את גישת ה ERM היטב וזאת כדי, מחד להיות מסוגלים לקיים ביקורת  על הליך ניהול הסיכונים בארגון, ומאידך כדי לסייע לארגון בהליך ניהול הסיכונים שהוא עורך.

  

המאמר פורסם  :אלון קוחלני,  המבקר הפנימי, לשכת המבקרים הפנימיים ישראל, גליון מס' 97, עמ' 43?45, מאי 2007.

 

עו?ד אלון קוחלני (. LL.B ) עוסק זה כשני עשורים בביקורת פנימית ובקרה, ולמעלה מעשור בתחומי ניהול סיכונים וציות. הוא משמש שנים רבות מבקר פנימי ראשי ברשויות מקומיות וביצע פרויקטים של ביקורת וסקרי סיכונים בגופים שונים. המחבר הינו בעל הסמכה CRMA בתחום ניהול הסיכונים ובעל תואר MA בביקורת פנימית (אוניברסיטת חיפה). הוא פרסם מאמרים בתחומים אלה.


למאמרים נוספים של המחבר ראה באתר http://www.grc-c.co.il/ ובבלוג http://risk-audit.blogspot.com/

מאמרים נוספים שעשויים לעניין אותך:

שליחת המאמר שלח לחבר  הדפסת המאמר הדפסת המאמר  קישור ישיר למאמר קישור ישיר למאמר  דווח מאמר בעייתי דווח על מאמר בעייתי  כתוב לכותב המאמר פניה לכותב המאמר  פרסום המאמר פרסום המאמר 

©2017
כל הזכויות שמורות

מורנו'ס - שיווק באינטרנט

אודותינו
שאלות נפוצות
יצירת קשר
יתרונות לכותבי מאמרים
מדיניות פרטיות
רשימת כותבים
כותבים מומחים
עלינו בעיתונות
מאמרים חדשים
פרסם אצלנו
לכותבי מאמרים: פתיחת חשבון חינם
כניסה למערכת
יתרונות לכותבי מאמרים
תנאי השירות
הנחיות עריכה
לבעלי אתרים:



מדיה חברתית:
חלון מאמרים לאתרך
תנאי שימוש במאמרים
ערוצי מאמרים ב-RSS Recent articles RSS


מאמרים בפייסבוק מאמרים בטוויטר מאמרים ביוטיוב