מודל ניהול הסיכונים של COSO
<   +  גודל טקסט  - 
articles.co.il

מודל ניהול הסיכונים של COSO 

מאת   26/05/2012 |  נצפה 9123 פעמים

מודל ניהול הסיכונים של COSO

 

 

 

 כללי

השערוריות החשבונאיות בארה"ב ובעולם ושינויי הרגולציה בעקבותיהם, העלו על סדר היום את ההכרה בצורך בניהול סיכונים.  ארגונים החלו להבין כי סיכון הוא דבר שצריך לנהל אותו לא לברוח מפניו. התחום צבר תאוצה בעיקר עקב התערבות הרגולטור בארה"ב באמצעות החוק  Sarbanes-Oxley אשר קבע כי על הפירמה ליישם מערכת בקרה, ומסקנות ועדת באזל השנייה.

 

 גם בישראל זכה התחום לתהודה לאחר פרסום מסקנות ועדת גלאי, ב- 8/99, שדנה בניהול החשיפה לסיכונים פיננסיים והדיווח עליהם. בעקבות כך הוציאו רגולטורים ובהם המפקח על הבנקים והמפקח על שוק ההון הנחיות המחייבות מוסדות פיננסים לנהל את סיכוניהם.

 

גם תחום הביקורת הפנימית לא נפקד ממהפכת ניהול הסיכונים. הרשות לניירות ערך הרחיבה בתקנות את החובה לדווח על פעילות המבקר הפנימי: "השיקולים בקביעת תכנית הביקורת, השוטפת והרב שנתית ,בתאגיד", וכן "האם היקף, אופי ורציפות הפעילות ותכנית העבודה של המבקר הפנימי, הנם סבירים בנסיבות העניין ויש בהם כדי להגשים את מטרות הביקורת הפנימית בתאגיד". בשנת 2002 חשף מבקר המדינה כי מרבית המבקרים ברשויות המקומיות עורכים את תוכניות העבודה שלהם לא ע"פ ממצאי סקר סיכונים. בעקבות חשיפה זו הוציא, במאי 2004, משרד הפנים הוראות המחייבות מבקרים הפנימיים לערוך סקר סיכונים.

 

ניהול הסיכונים אינו נפקד מתחום הביקורת הפנימית. כפונקציה האמונה על בחינת יעילותן והלימותן של מערך הבקרות בארגון, הביקורת הפנימית מכירה בחשיבותו של ניתוח שיטתי ומיפוי הסיכונים בארגון. ואכן נושא זה מעוגן הן בתקנים המקצועיים והן בהנחיות המקצועיות. יתרה מזאת נקבעה הנחיה מקצועיות (מס' 18) מיוחדת המציגה את כל ההיבטים השונים הקשורים לניהול סיכונים בעבודתו של המבקר הפנימי. 

 

על COSO

COSO   הוא ראשי תיבות של (the Committee of Sponsoring Organizations of the Treadway Commission), דהיינו הועדה של הארגונים נותני החסות לנציבות Treadway. גוף זה הוקם בשנת 1985, על-ידי חמישה גופים מקצועיים בניהם לשכת המבקרים הפנימיים IIA, כדי לעסוק "בדיווח כספי שקרי". ועדה זו, המכונה ע"ש היו"ר הראשון שלה James C. Treadway, Jr, המשיכה לפעול ועם השנים הוציאה עוד 2 דוחות מרכזים, בשנת 1992 הבקרה הפנימית ? מסגרת אינטגרטיבית (Internal Control ? Integrated Framework), ובשנת 2001 את "המסגרת האינטגרטיבית ? ניהול סיכונים בארגון (Enterprise Risk Management ? Integrated Framework).

 

בשנת 2001 יזם COSO פרויקט לפתח מסגרת שתסיע למנהלים להעריך ולשפר את ניהול הסיכונים בארגון. כלי זה שפיתח COSO אומץ על ידי ארגונים רבים והפך למסגרת מקובלת. עם חקיקת חוק סרבנס אוקסלי (SOX) בשנת 2002 וחוקים דומים בארצות אחרות, שהטילו חובה חוקית לנהל מערך בקרה פנימית, הטילו חובה על מנהלי הארגונים לדווח על איכות הבקרה, וגופי ביקורת בלתי תלויים, עלה עוד יותר הצורך במסגרת מנחה.

 

 ERM

ניהול סיכונים הוא סוגיה חשובה לכל ארגון המבקש להתקיים ולספק ערך לבעלי העניין (Stakeholders). כל הארגונים חשופים לאי וודאות, והאתגר להנהלות לקבוע כמה אי וודאות לקבל כדי שהערך של הארגון יגדל. אי וודאות מייצג מחד סיכון ומאידך הזדמנות להגביר או להפחית את ערך החברה. ניהול סיכונים בארגון (ERM) מאפשר להנהלה לטפל באפקטיביות בחוסר וודאות, דהיינו עם הסיכונים וההזדמנות של הארגון, כדי להגביר את היכולת להוסיף ערך לארגון.

 

 מקסום ערך של ארגון קורה כאשר הנהלה מגבשת אסטרטגיה ויעדים כדי להגיע לשווי משקל אופטימאלי בין צמיחה לסיכונים, ויעילות האפקטיביות בפריסת משאבים במטרה להשיג את יעדי הארגון. ניהול סיכונים ארגוני מקיף את הבאים:

 

קביעה הרמת הסיכון הנסבלת וגיבוש אסטרטגיה  - הנהלה קובעת מהי רמת הסיכון הנסבלת תוך בחינת אלטרנטיבות אסטרטגיות, קביעת יעדים בהתאם, ופיתוח מכנזמים לטיפול בסיכונים.

 

יכולות אלה, הטבועות בניהול הסיכונים הארגוני, מסייעות להנהלה להשיג את יעדי הארגון ובמניעת איבוד משאבים.

 

אירועים ? סיכונים והזדמנויות

לאירועים תיתכן השפעה שלילית,  השפעה חיובית, או שתיהן גם יחד. אירועים עם השפעה שלילית מייצגים סיכונים, שיכולים למנוע יצירת ערך או לפגוע בערך קיים. אירועים עם השפעה חיובית יכולים לבטל סיכונים או להוות הזדמנות לשיפור הערך בארגון.  הזדמנויות הן האפשריות שאירוע יתרחש או בוודאות יפגע בהשגת היעדים, וכן ביכולת ליצור ערך לארגון או במניעתו. הנהלה יכולה לתעל את ההזדמנות לתוך האסטרטגיה הארגונית או לקביעת יעדים תוך תהליך, קביעת תוכניות וניצול הזדמנויות.

 

ניהול סיכונים בארגון ? הגדרה

ניהול סיכונים בארגון (ERM) עוסק בסיכונים ובהזדמנויות שמשפיעים על יצירת ערך או בשימורו, מוגדר כלהלן:

 

ניהול סיכונים בארגון זהו תהליך, המשפיע על הנהלת הארגון ועובדים אחרים, המיושם בגיבוש האסטרטגיה הארגונית, מתוכנן לזהות את האירועים הפוטנציאלים העשויים להשפיע על הארגון, ולנהל סיכון לרמה בה הוא נסבל, ולספק הבטחה לגבי יכולת הארגון להשיג את מטרותיו.

 

מההגדרה עולה כי ניהול סיכונים בארגון הוא:

 

הגדרה זו הנה כוללנית. היא מכילה את העקרונות היסוד של איך ארגונים מנהלים את סיכוניהם. היא מתמקדת בקביעת יעדים ומספקת כלים בסיסים לעריכת ניהול סיכונים אפקטיבי.

 

השגת יעדים

המסגרת לניהול הסיכונים בארגון (ERM) מאפשרת להשיג  את יעדי הארגון, באמצעות 4 קטגוריות, כלהלן:

 

 

קטגוריות אלה של יעדים ארגונים מאפשרים להתמקד על היבטים שונים של ניהול הסיכונים הארגוני. החלוקה בין הקטגוריות הללו אינה מוחלטת, כל שבהחלט ניתן יהיה לשייך אירוע מסוים ליותר מקטגוריה אחת, ו/או האחריות לפעולה ביחידה אחת תהייה נתונה בידי יחידה אחרת. חלוקה לקטגוריות אלה מאפשרת להבין מה ניתן לצפות מכל קטגוריה של יעדים.

 

מכיוון שיעדים המתייחסים למהימנות  הדיווח ולציות לחוק ולתקנות מתייחסים לגורמים שבשליטת הארגון, ניתן לצפות מניהול הסיכונים הבטחה סבירה ליעדים אלה. השגת יעדים אסטרטגים ויעדים תפעולים, לעומת זאת, הם מותניים באירועים חיצוניים, שאינם בהכרח בשליטת הארגון;  ליעדים אלה, ניהול הסיכונים יכול לספק הבטחה סבירה שההנהלה מודעת לכך והיא לוקח זאת בחשבון בעת ניהול הארגון   לקראת היעדים שנקבעו.

 

מרכיבי ה ERM (מודל הקובייה)

מודל ניהול הסיכונים בארגון, המכונה ע"ש צורתו כמודל הקובייה, מכיל 8 מרכיבים. אלה נובעים מהדרך בה ההנהלה מנהלת את משאבי הארגון והיא אינטגראלית לתהליך הניהולי. להלן המרכיבים:

 

 

ניהול סיכונים הוא לא בהכרח תהליך סדרתי, שמרכיב אחד משפיע רק על המרכיב הבא אחריו, אלא זה תהליך רב כיווני, הדורש בדיקות חוזרת שבו כל מרכיב יכול להשפיע על רעהו.

 

היחסים בין יעדי הארגון לרכיבי המודל

ישנו יחס ישיר בין היעדים השונים שהארגון שואף להשיג, ומרכיבי מודל ניהול הסיכונים, שמציג את מה שצריך כדי להגשימם. מערכת היחסים הנ"ל מוצגת במטריצה תלת ממדית, המוצגת בקובייה.

 ישנם 4 קטגוריות יעדים ? אסטרטגיה, תפעולי, דיווח וציות ? אלה מיוצגים על-ידי העמודות האנכיות,  שמונת המרכיבים מיוצגים בשורות האופקיות, ויחידות הארגון בפאה השלישית של הקובייה. תאור זה ממחיש את ניהול הסיכונים הארגוני, או ביעדים, במרכיבים, ביחידות הארגון, או כל נגזרת אחרת בשל כך.

 אפקטיביות

הקביעה מתי ניהול סיכונים ארגוני "אפקטיבי", נשענת על הערכה האם 8 המרכיבים מוצגים נכונה ומתפקדים באופן אפקטיבי. דהיינו, המרכיבים הם קריטיים לניהול סיכונים אפקטיבי. כדי שהמרכיבים יוצגו ויתפקדו כראוי חיוני שתוצג בו חולשות מוחשיות ושרמת הסיכון המוצגת בו היה קבילה, דהיינו כזו שלא מחייבת את התייחסות הארגון.

 כשניהול הסיכונים בארגון מנוהל אפקטיביות בכל אחת מהקטגוריות היעדים, להנהלת הארגון יש בטחון סביר שהם מכירים את היקף האסטרטגיה והיעדים התפעולים מושגים, ושהדיווח הארגוני הנו מהימן ותואם לדרישות חוק והנהלים.

 שמונת המרכיבים  לא יפעלו באורח דומה בכל ארגון וארגון. היישום בארגונים קטנים ובינוניים לדוגמא יהיה פחות פורמאלי ופחות מובנה. למרות האמור, ארגונים קטנים יכולים לקיים ניהול סיכונים אפקטיבי,ככול שכול מרכיב ומרכיב מיוצג  וזוהה כראוי.

 מגבלות

למרות העובדה שניהול סיכונים ארגוני מקנה יתרונות חשובים, קיימים גם מוגבלויות. מעבר למה שנאמר עד כה, המגבלות הם תוצאה של המציאות בה שיקול דעת בקבלת החלטות יכול להיות מוטעה, החלטות כיצד להגיב לסיכונים וקביעת בקרות שצריכה להתאים לעלות מול התועלת מהן, טעיות יכולות להתרחש כתוצאה מטעויות אנוש, בקרות יכולות להיות לא יעילות כתוצאה ממחדל או מעשה מכוון של שנים או יותר עובדים, ולהנהלה יש את היכולת לעקוף החלטות שהתקבלו במסגרת ניהול הסיכונים הארגוני. מגבלות אלה מונעות  מהנהלות את האפשרות להשיג הבטחה לגבי היכולת לעמוד ביעדי הארגון.

 ERM והביקורת הפנימית

מודל ה ERM נועד לשרת המנהלים ולא מבקרים פנימיים. ברם, הוא כלי שרת בידי הביקורת כיוון שהוא מהווה כלי שלם לעריכת סקר סיכונים. מודל הקובייה של COSO   צריך לשמש מבקרים פנימיים כמעין רשימת תיוג אליה צריכה להתייחס סקר הסיכונים שהם עורכים, כדי לבסס את תוכנית הביקורת על בסיס אמפירי. יתרה מזאת מבקרים פנימיים צריכים  להכיר את גישת ה ERM היטב וזאת כדי, מחד להיות מסוגלים לקיים ביקורת  על הליך ניהול הסיכונים בארגון, ומאידך כדי לסייע לארגון בהליך ניהול הסיכונים שהוא עורך.

  

המאמר פורסם  :אלון קוחלני,  המבקר הפנימי, לשכת המבקרים הפנימיים ישראל, גליון מס' 97, עמ' 43?45, מאי 2007.

 

עו?ד אלון קוחלני (. LL.B ) עוסק זה כשני עשורים בביקורת פנימית ובקרה, ולמעלה מעשור בתחומי ניהול סיכונים וציות. הוא משמש שנים רבות מבקר פנימי ראשי ברשויות מקומיות וביצע פרויקטים של ביקורת וסקרי סיכונים בגופים שונים. המחבר הינו בעל הסמכה CRMA בתחום ניהול הסיכונים ובעל תואר MA בביקורת פנימית (אוניברסיטת חיפה). הוא פרסם מאמרים בתחומים אלה.


למאמרים נוספים של המחבר ראה באתר http://www.grc-c.co.il/ ובבלוג http://risk-audit.blogspot.com/

מאמרים נוספים שעשויים לעניין אותך:

מאמרים במדיה:
פייסבוק - טוויטר - יוטיוב - גוגל-פלוס

 פרסם את המאמר   הדפס את המאמר   שלח לחבר   קישור ישיר למאמר   פניה לכותב המאמר   דווח מאמר בעייתי 

עבור לגירסה המלאה

הרשם | התחבר  | גרסא מלאה