טיוטת תקנות ה-SOX לשיפור בקרה פנימית בחברות ציבוריות מכה גלים בענף החשבונאות

הטיוטה שפרסמה רשות ני"ע מעוררת מחלוקת: לצד היתרונות שבשיפור איכות הדיווח ובמניעת מעילות, נמתחת ביקורת על העלות הגבוהה לחברות הציבוריות ועל היעדר יישום מדורג בהתאם לגודל החברה כנהוג בארה"ב

רשות ניירות ערך פרסמה ב-25 במאי טיוטת תקנות בדבר הערכת אפקטיביות הבקרה הפנימית על הדיווח הכספי ובקרות הגילוי בחברה (תקנות הסרבנס-אוקסלי - SOX). יישום התקנות יבוצע באופן מדורג, כאשר בדו"חות השנתיים לשנת 2009 תידרש הצהרה על-ידי מנכ"ל החברה וסמנכ"ל הכספים שלה על נאותות הגילוי בדיווח הכספי בלבד, ואילו בדו"חות לשנת 2010 תידרש הצהרה מלאה על אפקטיביות הבקרות הפנימיות על הדיווח הכספי.

הכוונה המקורית של רשות ניירות ערך היתה ליישם את ה-SOX כבר בדו"חות לשנת 2009, אך הרשות קיבלה את עמדת פורום ה-CFO (פורום ישראלי למנהלי כספים ראשיים), לפיה יש לדחות בשנה את היישום לאור המעמסה הדיווחית הכבדה החלה על החברות הציבוריות.

לתקנות משמעויות מרחיקות לכת על מערכי הבקרה של החברות הציבוריות. עם כניסה לתוקף של היישום המלא, יצורף לדו"חות התקופתיים של התאגיד דו"ח נוסף של הדירקטוריון והנהלת התאגיד בנוגע לאפקטיביות הבקרה הפנימית על הדיווח הכספי ועל הגילוי. בנוסף, תצורף חוות דעת נפרדת של רואה החשבון המבקר על אפקטיביות הבקרות.

רו"ח יגאל טולדנו, שותף בחברת הייעוץ והניהול של BDO - זיו האפט, הינו חבר הוועדה שהקימה לשכת רואי החשבון בשת"פ עם רשות ניירות ערך לגיבוש המודל. הוא מוביל בפירמה את תחום ה-SOX והממשל התאגידי, ומעניק ייעוץ לחברות ביישום התקנות.

לדעת טולדנו, תקנות ה-SOX הישראליות במתכונתן הנוכחית הן האלטרנטיבה המיטבית במונחי עלות-תועלת להנהלות של חברות ציבוריות, לדירקטוריון ולבעלי המניות.

לדבריו, מחד, בתקנות אין הפרזה מיותרת בתיחום ובדרישות, מה שיכול היה להשית על החברות עלויות גבוהות מאוד. מאידך, לא היתה הסתפקות במודל בקרות הגילוי בלבד, שלא הביא תועלת ממשית במגזרי הבנקאות ובחברות הממשלתיות בהם המודל יושם, מה שמבטיח מודל מאוזן.

"במודל שהתקבל נלמדו הלקחים מהיישום המופרז של ה-SOX האמריקאי בתחילת דרכו, וגובש מודל המתמקד בנושאים המהותיים והמסוכנים בלבד בכל הקשור לדיווח הכספי. לכן אני מאמין שהתקנות כפי שהתקבלו יעשו את העבודה", אומר טולדנו.

רו"ח טולדנו מבדיל בין החברות הציבוריות הגדולות, הקטנות והבינוניות. לדבריו, בחברות הגדולות, הגלובליות, היישום אמנם מורכב ויקר אך הוא מעניק לקבוצת החברות ביטחון ויכולת שליטה במידע הכספי, ויותר אחידות בכל אחת מהחברות בתוך הקבוצה. החברות הגדולות, לדבריו, כבר החלו ביישום התקנות בשל גודלן.

מנגד עומדות החברות הציבוריות הקטנות, שלרוב במערך הכספים שלהן עומדים אדם אחד עד שלושה. יישום התקנות בחברות מסוג זה הוא פשוט יחסית, אך נדרש לעיתים רה-ארגון במערך הכספים על מנת ליישם את התקנות, לרבות עריכת הדו"חות והבקרה עליהם בחברה עצמה, ולא על-ידי גורמי חוץ.

בחברות הבינוניות, שהן רוב החברות הציבוריות, היישום לדבריו חשוב ונדרש, מכיוון שהוא יגרום לשיפור משמעותי בטיב הבקרה על הדיווח הכספי בארגון כולו. בחברות אלה היישום יגרור גם שינוי תפיסתי וחשיבתי. להערכת טולדנו, עלויות היישום בחברות הבינוניות ינועו בין 200 אלף שקל ל-400 אלף שקל לשנת היישום הראשונה.

שיפור איכות הדיווח

רו"ח אירנה בן-יקר, דירקטורית בקבוצת ניהול הסיכונים בפירמת Deloitte בריטמן אלמגור זהר, ורו"ח לינור דלומי, דירקטורית בקבוצת ניהול הסיכונים בפירמה, מסבירות את מטרות התקנות: שיפור הממשל התאגידי ואיכות הדיווח הכספי בתאגידים המדווחים.

לדבריהן, השיפור יושג באמצעות 3 מרכיבים: דו"ח ההנהלה והדירקטוריון על אפקטיביות הבקרה הפנימית על הדיווח הכספי והגילוי; הצהרות אישיות של המנכ"ל וסמנכ"ל הכספים לגבי נאותות הדו"חות הכספיים ואפקטיביות הבקרה הפנימית על הדיווח הכספי והגילוי; וחוות דעת רואה החשבון המבקר על אפקטיביות הבקרה הפנימית על הדיווח הכספי.

"לכן, התקנות הינן צעד ראשון בדרך ליישום הוראות דו"ח ועדת גושן, המתייחסות לקוד ממשל תאגידי. הוראות ממשל תאגידי אלה מיישרות קו עם המקובל בעולם לעניין העקרונות והכללים לפיהם ראוי שתתנהלנה החברות הציבוריות בכל הקשור להליכי הבקרה והפיקוח. בארץ החלו רגולטורים שונים בשנים האחרונות לאמץ את תקנות ה-SOX, ביניהם הפיקוח על הבנקים, הממונה על שוק ההון, הביטוח והחיסכון וכן רשות החברות הממשלתיות", אומרות בן-יקר ודלומי.

בעקבות קריסת אנרון

רו"ח יוסי גינוסר, מנכ"ל פאהן קנה ניהול בקרה, חברה-בת של משרד רואי החשבון פאהן קנה ושות' Grant Thornton, הקים את פאהן קנה ניהול בקרה לפני 18 שנה. ב-5 השנים האחרונות יישמה פאהן קנה ניהול בקרה, יחד עם שותפיו רוה"ח דורון כהן, ויקטור אליהו ושי מדינה, את תקנות ה-SOX בעשרות חברות ממשלתיות, חברות היי-טק שנסחרות בנאסד"ק וחברות ביטוח ופיננסים.

לדברי רו"ח גינוסר, "לתקנה משמעויות רבות ודרמטיות על מערכי הבקרה של חברות ציבוריות בישראל, על האחריות האישית של הנהלות החברות הציבוריות, השפעות על תחום מניעת המעילות ועל תעשיית המחשוב בארץ, בכל הנוגע להטמעת מערכות מחשוב. כמו כן, לתקנה יהיו השפעות רבות על ענף ראיית החשבון בישראל, והמשרדים הגדולים עסוקים בהיערכות למתן שירותים בהיקפים גדולים בתחום ה-SOX ובתחומי הבקרה השונים".

* מהו הרקע לתקנה בנושא יישום SOX בחברות ציבוריות?

גינוסר: "התקנה ממשיכה תהליך שתחילתו בקריסת אנרון וורלדקום, ובעקבותיו חיקוק החוק בארה"ב בשנת 2002. לאחר מכן חל יישום הדרגתי של החוק בארץ. בתחילה נדרשו הבנקים ליישום, ולאחר מכן גופים מוסדיים וחברות ממשלתיות גדולות. למעשה, הטריגר לתקנת רשות ניירות ערך שפורסמה לאחרונה היה דו"ח גושן, שפורסם הרבה לפני פרוץ המשבר הפיננסי. הטריגר איננו המשבר הנוכחי. יישום חלקי של התקנות מתבצע כבר בבריטניה ובשוויץ".

* האם התקנה תוכל בפועל לשפר את שקיפות הדו"חות, שקיפות הביקורת הפנימית בדו"חות ותמנע מעילות?

גינוסר: "התקנה תגדיל את השקיפות למשקיעים. יחד עם זאת, היא עלולה להעמיד משקיע סביר בהתלבטות שלא היה חשוף אליה קודם לכן. אם חברה שמשקיע התלבט האם להשקיע בה תציג "חולשה מהותית", יהיה על המשקיע להחליט האם חולשה זו אמורה להשפיע על נכונות הדו"חות הכספיים והאם כתוצאה מכך תפגע במחיר המניה. מלבד זאת, בתקנה הישראלית קיים חידוש אשר לא מוכר לנו בחוק האמריקאי: אם קיימת חולשה מהותית אשר לגביה החברה אינה מציגה אילו פעולות נקטה לצורך תיקונה, לא ניתן יהיה לפרסם את הדו"חות הכספיים. תקנה זו פוגעת במידת מה במשקיע, כיוון שיתכן והמשקיע היה מעדיף לקבל לידיו דו"חות בידיעה שקיימת חולשה מהותית שלא תוקנה, מאשר לא לקבל את הדו"חות כלל.

"באשר למניעת מעילות, חלק מהבקרות ברמת כלל החברה הן בקרות מניעת מעילות (Anti-fraud). על החברות יהיה לאמץ מדיניות כזו שתכלול סקרי סיכוני מעילות, קוד אתיקה, קו חם לדווח על תלונות עובדים וביקורת חקירתית מונעת. כך גם לגבי ביקורת פנים".

* מהי "חולשה מהותית" עליה חלה חובת דיווח?

"חולשה מהותית מוגדרת כ"ליקוי או צירוף של ליקויים בתכנון או בהפעלה של הבקרה הפנימית, כך שקיימת אפשרות סבירה שהצגה מוטעית מהותית בדו"חות התאגיד לא תימנע או תתגלה במועד". הדוגמה הפשוטה ביותר הינה מקרה בו חברה נאלצת לבצע הצגה מחדש ("ריסטייטמנט") בדו"חותיה, כי אז ברור שהיתה טעות מהותית בדו"חות שלא התגלתה. קשה לתת דוגמאות, היות והבדיקה הינה פרטנית עבור כל חברה, אבל נניח כי לחברה יש יתרות מלאי גבוהות אך אין כל בקרה על נכונות רמות המלאי בספרים, כגון: ספירות מלאי מחזוריות ו/או תקופתיות, אבטחה פיזית לקויה וכו'. דוגמה אפשרית נוספת הינה חברת תוכנה שאין לה בקרות המבטיחות את נכונות ההכרה בהכנסה".

* האם ישנם צעדים משלימים שחסרים בטיוטת התקנה?

גינוסר: "רשות ניירת ערך האמריקאית אפשרה לחברות לרוץ עם היישום של החוק שנה ללא קבלת חו"ד של רו"ח המבקר, והסתפקו בהצהרת הנהלה, מכיוון שהבינו כי יישום התקנה יוצר מהפיכה בתפיסת הבקרה הפנימית וחברות נאלצו לשנות תהליכי עבודה ולבצע השקעות בכוח אדם ותוכנה, שלוקחים זמן. לדעתנו, היה נכון לנקוט גם בגישה זו. בנוסף, חברות לא הבינו מה נדרש מהן כדי לעמוד בחוק, ורואי החשבון האמריקאים נטו לשמרנות יתר וגרמו לחברות לאבד עשתונות ולהשתולל עם השקעות ושינויים מבניים. כתוצאה מכך, פרסם ה-SEC הנחיה להנהלות החברות המפרטת מה נדרש מהן. ה-SEC הבהיר כי דין חברות קטנות אינו כדין חברות הענק, ופרסם הנחיות ספציפיות לחברות קטנות המקלות משמעותית את הדרישות. לדעתנו, גם בישראל דרושה אבחנה כזו".

* האם להגדלה הדרמטית הנוספת באחריות האישית של מנהלי החברה לא עלולות להיות השפעות שליליות?

גינוסר: "אכן לא ברור האם מנהלים בחברות ציבוריות הפנימו את תוספת האחריות עליהם. עד עתה הם חתמו כאורגן של החברה. עתה הם חותמים כאדם פרטי, דבר המאפשר לתבוע אותם באופן ישיר. גם יו"ר הדירקטוריון חייב לחתום על הצהרה דומה באשר לטיב הבקרה על הדיווח הכספי, בשם הדירקטוריון. אם בעבר סמנכ"ל הכספים חתם רק על הדו"חות הכספיים, עתה עליו לחתום גם על נכונות דו"ח הדירקטוריון, וזוהי אכן תוספת אחריות משמעותית".

דלומי: "ההבדל המשמעותי הנובע מהתקנות של הרשות הינו שמרגע יישומן תידרש הצהרה על אפקטיביות הבקרה הפנימית במסגרת הדו"חות, קרי ההצהרה תהיה גלויה לציבור. בנוסף, בחברות תיווצר אחריות מובנית גם בקרב המנהלים הבכירים בחברה אשר אינם מתחום הכספים, כגון מנהלי רכש ומכירות. הם יצטרכו להיות מעורבים בפרויקט ההיערכות, שכן הרבה מהפעולות שהם אמונים עליהן משפיעות בפועל על הדיווח הכספי ועל הגילוי בדו"חות החברה. מעת יישום התקנות הלכה למעשה, מנהלים אלה יהפכו חלק ממערך הגילוי בחברה".

* האם מדובר בתוספת עלות גדולה עבור החברות הציבוריות?

גינוסר: "תוספת העלות על החברות הציבוריות ב-2009 לא תהיה משמעותית. באשר לשנת 2010, בה תבוצע רוב העבודה, תוספת העלות עלולה להיות משמעותית. נציין כי יש לחלק את תוספת העלות לשלוש: 1. תוספת שכר-טרחה לרואה החשבון המבקר בגין הגדלת היקף הביקורת ותוספת האחריות. 2. עלויות שישולמו לגורם המיישם את ה-SOX. 3. עלויות תיקון ליקויים ושינויים שיידרשו בתהליכי עבודה.

"רשות ניירות ערך הישראלית לא יצרה בידול בין חברות ציבוריות קטנות וגדולות, וכולן צריכות לעמוד במלוא התקנות. יחד עם זאת, אני סבור כי ניתן לבצע את העבודה באופן טכני ודווקני וניתן לבצעה באופן מושכל, דבר אשר יפחית משמעותית מעלות היישום והסרבול שבנהלים החדשים. ישנם מנהלים אשר בוחרים ביועץ באמצעות השוואת עלויות הייעוץ, מבלי לדעת שדווקא עלויות ההטמעה הן המשמעותיות".

בן-יקר: "נראה שהקשר בין גודל החברה לבין היכולת שלה להפנות משאבים הוא הפוך. בחברה ציבורית קטנה יחסית, ההיערכות אינה בהכרח פחות משמעותית היות שכמות המשאבים הפנויים לניהול הפרויקט קטנה יותר. העלות שחברות קטנות מאוד ישקיעו ביישום התקנות תהיה רבה מן התועלת שתצמח להן".

ההשפעה על הפירמות: יותר ביזנס לרואי החשבון

משרדי רואי חשבון שוב יהיו אלה אליהם יפנו החברות לצורך יישום התקנות, והם מתחילים להיערך.

רו"ח גינוסר: "רואי החשבון יצטרכו לתת חוות דעת על נכונות עבודת ההנהלה באשר לניתוח ושיפור מערך הבקרה הפנימית. בנוסף, משרדים שאינם מצויים בתחום ה-SOX (משרדים שלא מבקרים חברות נסדא"ק), יידרשו להכשרות נרחבות בנושא. כמו כן, רוב החברות יזדקקו למשרדי רואי החשבון שיסייעו להן לבצע את העבודה עצמה. נשאלת השאלה, האם רואי החשבון יוכלו גם לבצע את העבודה וגם לאחר מכן לחוות דעה על טיבה. רשות ניירות ערך טרם אמרה את דברה לגבי זאת".

רו"ח בן-יקר: "אין כל חובה לבצע את היערכות ההנהלה באמצעות outsourcing יקר. למעשה, הדרך הנכונה ביותר להיערך הינה ליצור את השילוב הנכון לחברה ולתרבות הארגונית שלה, בין אנשי החברה לבין היועץ שההנהלה תבחר לליווי התהליך. אין ספק כי למשרדי רואי החשבון ניסיון של מספר שנים ביישום תהליכים אלה, אך כדי להפיק את המיטב מהתהליך, מעבר לעמידה ברגולציה, יש ליצור את התמהיל הנכון בין ידע היועץ לצרכי החברה.

"כך, למשל, חברה אחת תזדקק בעיקר למשאב הניהולי ביישום התקנות, וחברה אחרת תמצא לנכון דווקא להסתייע באמות מידה מקובלות לצורך השוואה של התהליכים והבקרות המצויות אצלה לאלה הרצויות. מעבר לכך, משרדי רואי החשבון יהיו מעורבים בביקורת הבקרה הפנימית על הדיווח הכספי והגילוי, היות וזו אחת הדרישות של התקנות החדשות".