שינוי שם החברה
ביקורת פנימית
שירותי ביקורת פנימית
כספיים ופיננסים
הנדסיים ובטיחות
שרשרת האספקה
שלבי הביקורת הפנימית
בניית תוכנית ביקורת פנימית
ביקורת מערכות מידע
בקרה פנימית
שירותי בקרה פנימית
בחינת תהליכים
בקרת תשלומים
תהליכי תכנון, מדידה ובקרה
ניהול סיכונים
ניתוח אסטרטגי וקביעת מטרות ויעדים
תוכנת IDEA
הדרכות וסדנאות
מאמרים ופרסומים
אודות GRC
GRC מציעה שירותים בתחומי הבקרה הפנימית, הביקורת הפנימית והערכת סיכונים.

החברה מציבה לעצמה כמטרה לסייע ללקוחותיה להשיג את יעדי הארגון ביתר אפקטיביות ומועילות, תוך זיהוי ומזעור סיכונים, על ידי מגוון כלי בקרה וביקורת פנימית.
מהו מודל COSO ? PDF Print E-mail
מהו מודל COSO ?
מודל COSO לבקרה
מאת משה מזרחי, מנכ"ל אודיט פלוס
בקרה פנימית היא רכיב חיוני ביכולת הארגון להשיג את יעדיו. ללא בקרה פנימית הולמת, הסיכויים להצלחה קטנים יותר.
כתוצאה מדיווחים כספיים כוזבים והונאות, עלה הצורך לקבוע מסגרות בקרה רגולטוריות המחייבות את הארגונים. חמישה ארגונים מקצועיים מהמגזר הפרטי בארה"ב שיתפו פעולה במטרה לשפר את השלטון התאגידי (Governance):
American Institute of Certified Public Accountants
American Accounting Association
The Institute of Internal Auditors
Institute of Management Accountants
Financial Executives Institute
בשנת 1987 הם פרסמו מסמך שכותרתו "Treadway Report". לקבוצה זו קוראים
the Committee of Sponsoring Organizations (COSO) of the Treadway Commission.
המסמך המליץ על
ועדת ביקורת חזקה ועצמאית
פונקצית ביקורת-פנים חזקה
בקרה פנימית חזקה
בהיעדר שפה משותפת המגדירה בקרה פנימית, החליטה הוועדה להגדיר את המושג "בקרה פנימית" ולקבוע מסגרת ליישום. בשנת 1992 הם הפיצו את דוח ה-COSO המהווה מסגרת אינטגרטיבית לבקרה פנימית.
COSO הגדירו בקרה פנימית כדלקמן:
"Internal Control is a process, effected by an entity's board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in the following categories:
Effectiveness and efficiency of operations
Reliability of financial reporting
Compliance with applicable laws and regulations"
בתרגום לעברית:
בקרה פנימית היא תהליך, בידי הדירקטריון, בידי ההנהלה ובידי כוח אדם אחר, ואשר נועד להבטיח באופן סביר את השגת היעדים בקטגוריות הבאות:
מועילות ויעילות של פעולות הארגון
אמינות הדיווח הפיננסי
ציות לחוקים ולתקנות רלוונטיים.
מסגרת הבקרה של COSO מחלקת את הבקרה הפנימית לחמישה רכיבים:
סביבת הבקרה (Control Environment)
הערכת סיכונים (Risk Assessment)
פעילות בקרה (Control Activities)
מידע ותקשורת (Information and Communication)
ניטור (Monitoring)
סביבת הבקרה
הבסיס לבקרה הפנימית בארגון הוא סביבת הבקרה. זהו הרכיב החשוב ביותר מבין רכיבי המודל, שכן, ללא בסיס מוצק, האפקטיביות של יתר רכיבי הבקרה תהיה פחותה. הליבה של הארגון היא אנשיו - תכונותיהם, ובכלל זה, יושרה, ערכים ואתיקה, יכולות, והסביבה שבה הם פועלים. הסביבה כוללת את סגנון הפעולה ופילוסופיית הניהול של ההנהלה, האופן שבו ההנהלה מחלקת אחריות וסמכות ומפתחת את עובדיה, ותשומת הלב וההכוונה של  הדירקטוריון.
הערכת סיכונים
הארגון עומד בפני מגוון סיכונים מגורמים פנימיים וחיצוניים. על הארגון לקבוע מטרות ויעדים שהוא רוצה להשיג. ללא הגדרת המטרות והיעדים, קיים קושי להגדיר סיכונים. בארגון צריך מנגנון לזיהוי, להערכה ולטיפול בסיכונים העלולים לפגוע בהשגת המטרות או היעדים. הערכת הסיכונים מספקת את הבסיס להחלטות לגבי אופן הטיפול בסיכונים. זאת ועוד, בארגונים העומדים בפני שינויים יש צורך גם במנגנונים המאפשרים טיפול בסיכונים הקשורים לשינויים.
פעילויות בקרה
על הארגון לקבוע מדיניות ונהלים להקטנת הסיכונים. הבקרות נדרשות בכל רמות הארגון וכוללות פעילויות, כגון: אישורים, אימותים, התאמת נתונים, בחינת ביצועים, אבטחת נכסים והפרדת סמכויות. להלן מספר דוגמאות לפעילויות בקרה:
סקירה בידי ההנהלה הבכירה - בחינת התכנון לעומת הביצוע של התקציב ושל תחזיות והשוואה לתקופות קודמות;
הנהלת הביניים - בקרות שוטפות שמבצעת הנהלת הביניים;
בקרות במערכות המידע;
בקרות פיזיות;
מדדי ביצוע;
הפרדת תפקידים.
מידע ותקשורת
התקשורת בארגון מאפשרת העברת מידע בין הגורמים השונים בארגון לצורך ניהול ובקרה של פעילות הארגון. מידע חיוני צריך להגיע למקבלי ההחלטות בעיתוי הנכון ובאיכות טובה. מידע זה כולל דוחות על הנעשה בארגון ומידע על התרחשויות מחוץ לארגון שהן בעלות השלכות על הארגון. התקשורת מאפשרת גם העברת מסרים חשובים מההנהלה לעובדים ומידע חיוני להנהלה מהעובדים להנהלה. כמו כן, חשוב שתהיה תקשורת טובה בין הארגון לבין גורמים חיצוניים כגון לקוחות, ספקים, רגולטורים ובעלי מניות.
ניטור
קיים צורך לנטר את כל תהליכי הבקרה כדי לוודא שהם ממשיכים להיות אפקטיביים, ולבצע שינויים בבקרות במידת הנדרש. הניטורים מורכבים מניטור שוטף ומתמיד ומהערכות תקופתיות.
פעילות ניטור שוטפת
הערכות נפרדות
ליקויים בדיווח
מה ניתן לצפות מבקרה פנימית המופעלת כראוי?
היא תסייע לארגון לעמוד בתכנון (השגת מטרות ללא אבדן משאבים, תוך דיווח אמין) ולהימנע מנפילה לתוך "בורות" בדרך.
היא לא יכולה להבטיח את הצלחת הארגון, אף על פי שהיא יכולה למנוע חלק מהכישלונות.
מאחר שליישום בקרות יש עלות כספית, נדרש להפעיל שיקולי עלות-תועלת בהפעלתן.
מי אחראי לבקרה הפנימית?
האחריות הכוללת לבקרה היא של הנהלת הארגון, כולל הדירקטוריון ומנהלים בכל הרמות.
מקור למאמר: Internal Control Integrated Framework, Committee of Sponsoring Organizations of the Treadway Commission
מהו מודל COSO ?

מודל COSO לבקרה
מאת משה מזרחי, מנכ"ל GRC

בקרה פנימית היא רכיב חיוני ביכולת הארגון להשיג את יעדיו. ללא בקרה פנימית הולמת, הסיכויים להצלחה קטנים יותר.

כתוצאה מדיווחים כספיים כוזבים והונאות, עלה הצורך לקבוע מסגרות בקרה רגולטוריות המחייבות את הארגונים. חמישה ארגונים מקצועיים מהמגזר הפרטי בארה"ב שיתפו פעולה במטרה לשפר את השלטון התאגידי (Governance):
  • American Institute of Certified Public Accountants
  • American Accounting Association
  • The Institute of Internal Auditors
  • Institute of Management Accountants
  • Financial Executives Institute

בשנת 1987 הם פרסמו מסמך שכותרתו "Treadway Report". לקבוצה זו קוראים the Committee of Sponsoring Organizations (COSO) of the Treadway Commission. 

המסמך המליץ על
  • ועדת ביקורת חזקה ועצמאית
  • פונקצית ביקורת-פנים חזק
  • הבקרה פנימית חזקה
בהיעדר שפה משותפת המגדירה בקרה פנימית, החליטה הוועדה להגדיר את המושג "בקרה פנימית" ולקבוע מסגרת ליישום. בשנת 1992 הם הפיצו את דוח ה-COSO המהווה מסגרת אינטגרטיבית לבקרה פנימית. 

COSO הגדירו בקרה פנימית כדלקמן:
"Internal Control is a process, effected by an entity's board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in the following categories:
  • Effectiveness and efficiency of operations
  • Reliability of financial reporting
  • Compliance with applicable laws and regulations
בתרגום לעברית:
בקרה פנימית היא תהליך, בידי הדירקטריון, בידי ההנהלה ובידי כוח אדם אחר, ואשר נועד להבטיח באופן סביר את השגת היעדים בקטגוריות הבאות:
  • מועילות ויעילות של פעולות הארגון
  • אמינות הדיווח הפיננסי
  • ציות לחוקים ולתקנות רלוונטיים.
מסגרת הבקרה של COSO מחלקת את הבקרה הפנימית לחמישה רכיבים:
  • סביבת הבקרה (Control Environment)
  • הערכת סיכונים (Risk Assessment)
  • פעילות בקרה (Control Activities)
  • מידע ותקשורת (Information and Communication)
  • ניטור (Monitoring)

סביבת הבקרה
הבסיס לבקרה הפנימית בארגון הוא סביבת הבקרה. זהו הרכיב החשוב ביותר מבין רכיבי המודל, שכן, ללא בסיס מוצק, האפקטיביות של יתר רכיבי הבקרה תהיה פחותה. הליבה של הארגון היא אנשיו - תכונותיהם, ובכלל זה, יושרה, ערכים ואתיקה, יכולות, והסביבה שבה הם פועלים. הסביבה כוללת את סגנון הפעולה ופילוסופיית הניהול של ההנהלה, האופן שבו ההנהלה מחלקת אחריות וסמכות ומפתחת את עובדיה, ותשומת הלב וההכוונה של  הדירקטוריון.  

הערכת סיכונים
הארגון עומד בפני מגוון סיכונים מגורמים פנימיים וחיצוניים. על הארגון לקבוע מטרות ויעדים שהוא רוצה להשיג. ללא הגדרת המטרות והיעדים, קיים קושי להגדיר סיכונים. בארגון צריך מנגנון לזיהוי, להערכה ולטיפול בסיכונים העלולים לפגוע בהשגת המטרות או היעדים. הערכת הסיכונים מספקת את הבסיס להחלטות לגבי אופן הטיפול בסיכונים. זאת ועוד, בארגונים העומדים בפני שינויים יש צורך גם במנגנונים המאפשרים טיפול בסיכונים הקשורים לשינויים.  

פעילויות בקרה
על הארגון לקבוע מדיניות ונהלים להקטנת הסיכונים. הבקרות נדרשות בכל רמות הארגון וכוללות פעילויות, כגון: אישורים, אימותים, התאמת נתונים, בחינת ביצועים, אבטחת נכסים והפרדת סמכויות. להלן מספר דוגמאות לפעילויות בקרה:
  • סקירה בידי ההנהלה הבכירה - בחינת התכנון לעומת הביצוע של התקציב ושל תחזיות והשוואה לתקופות קודמות;
  • הנהלת הביניים - בקרות שוטפות שמבצעת הנהלת הביניים;
  • בקרות במערכות המידע;
  • בקרות פיזיות;
  • מדדי ביצוע;
  • הפרדת תפקידים.

מידע ותקשורת
התקשורת בארגון מאפשרת העברת מידע בין הגורמים השונים בארגון לצורך ניהול ובקרה של פעילות הארגון. מידע חיוני צריך להגיע למקבלי ההחלטות בעיתוי הנכון ובאיכות טובה. מידע זה כולל דוחות על הנעשה בארגון ומידע על התרחשויות מחוץ לארגון שהן בעלות השלכות על הארגון. התקשורת מאפשרת גם העברת מסרים חשובים מההנהלה לעובדים ומידע חיוני להנהלה מהעובדים להנהלה. כמו כן, חשוב שתהיה תקשורת טובה בין הארגון לבין גורמים חיצוניים כגון לקוחות, ספקים, רגולטורים ובעלי מניות. 


ניטור
קיים צורך לנטר את כל תהליכי הבקרה כדי לוודא שהם ממשיכים להיות אפקטיביים, ולבצע שינויים בבקרות במידת הנדרש. הניטורים מורכבים מניטור שוטף ומתמיד ומהערכות תקופתיות.
  • פעילות ניטור שוטפת
  • הערכות נפרדות
  • ליקויים בדיווח

מה ניתן לצפות מבקרה פנימית המופעלת כראוי?
  • היא תסייע לארגון לעמוד בתכנון (השגת מטרות ללא אבדן משאבים, תוך דיווח אמין) ולהימנע מנפילה לתוך "בורות" בדרך.
  • היא לא יכולה להבטיח את הצלחת הארגון, אף על פי שהיא יכולה למנוע חלק מהכישלונות.
  • מאחר שליישום בקרות יש עלות כספית, נדרש להפעיל שיקולי עלות-תועלת בהפעלתן.


מי אחראי לבקרה הפנימית?
האחריות הכוללת לבקרה היא של הנהלת הארגון, כולל הדירקטוריון ומנהלים בכל הרמות.

מקור למאמר: Internal Control Integrated Framework, Committee of Sponsoring Organizations of the Treadway Commission

 
 
H.L.C מיתוג אתרי אינטרנט