התפתחות ה- SOX הישראלי

בשנת 2006 הוגש דוח הועדה לבחינת קוד ממשל תאגידי בישראל (“דוח גושן”) ליו”ר רשות ניירות ערך. בין היתר ועל רקע חקיקת Sarbanes-Oxley Act (SOX) of 2002 בארצות הברית, המליץ דוח גושן לאמץ באופן חלקי, ותוך ביצוע התאמות, את הוראות סעיפים 302 ו-404 ל-SOX האמריקאי. בהתאם לסעיף 302 נדרש כי במסגרת כל דוח שנתי או רבעוני תימסר הצהרה חתומה על ידי המנכ”ל וסמנכ”ל הכספים של התאגיד, בה יצהירו כי הם בחנו את הדוחות הכספיים, כי לא נכלל בהם פרט מטעה וכי הדוחות משקפים את המצב הכספי של החברה. בהתאם לסעיף 404 לאותו חוק נקבעה החובה להעריך את אפקטיביות הביקורת והנהלים, הן לגבי תפעול החברה והן לגבי הגילוי הנדרש בדוחות.

ביחס לסעיף 302 ל-SOX, המליץ דוח גושן לקבוע דרישה דומה במהותה, לפיה בדוחות התקופתיים והרבעוניים של תאגידים מדווחים תיכלל הצהרת מנהלים בדבר נכונות הדוחות והמידע הגלום בהם. יחד עם זאת, ובשונה מסעיף 302 לחוק האמריקאי, המלצות דוח גושן לעניין הצהרת המנהלים הן למקד את ההצהרה על בקרות הדיווח ולא על בקרות התפעול בתאגיד; לא לכלול במסגרת ההצהרה דרישה לגילוי בדוח של כל שינוי בבקרה הפנימית על דיווח כספי שאירע בתקופת הדוח; ולבסוף, להחיל את ההצהרה גם ביחס לאפקטיביות הבקרות ולא רק לעצם קיומן הפורמאלי.

ביחס לסעיף 404 ל-SOX, המליץ דוח גושן על אימוץ חלקי בלבד, אשר יתמקד בבקרות על הדיווח ולא בבקרות התפעול. זאת לנוכח הביקורות שנמתחו בקשר לסעיף 404 האמריקאי, לפיהן הדבר מטיל על החברות עלויות גבוהות, מצריך השקעת תשומות זמן וכוח אדם ניכרות ומכבידות מאוד על החברות בכלל ועל חברות קטנות בפרט.

בדצמבר 2009, פורסמו תקנות ניירות ערך (דוחות תקופתיים ומיידיים)(תיקון), התש”ע – 2009  אשר אימצו את המלצות דוח הועדה לבחינת כללי ממשל תאגידי בישראל (“ועדת גושן”) בדבר  הערכת אפקטיביות הבקרה הפנימית והצהרת המנהלים.

התקנות קבעו כי הנהלת התאגיד נדרשת לקבוע בקרה פנימית על הדיווח הכספי והגילוי כדי לספק בטחון סביר בדבר נכונות ומהימנות הדיווח הכספי והגילוי בהתאם להוראות הדין. בנוסף, ההנהלה נדרשת לבצע מעקב שוטף אחר הבקרה הפנימית בתאגיד ולהבטיח את התאמתה של הבקרה הפנימית לשינויים החלים בתאגיד ובפעילותו.

במאמר מוסגר נציין, כי יש להבחין בין בקרה פנימית כאמור לבין ביקורת פנימית אשר מבוצעת בחברות ציבוריות על ידי מבקר פנימי מכוח חוק הביקורת הפנימית, התשנ”ב – 1992, ומכוח חוק החברות, התשנ”ט – 1999.

בשונה מהבקרה הפנימית, ביקורת פנימית אינה עוסקת בהבטחת נאותות הדיווח הכספי והגילוי בתאגיד בלבד, אלא מרחיבה גם לבדיקת תקינות פעולות החברה מבחינת שמירה על החוק ונוהל עסקים תקין, שמירה על טוהר המידות, חסכון ויעילות. כמו כן, עוסקת הביקורת הפנימית בבחינת אופן ניהול הנכסים וההתחייבויות בתאגיד ואופן קבלות ההחלטות בו. לעומת זאת, בקרה פנימית על הדיווח הכספי והגילוי, מורכבת משניים: האחד, בקרה פנימית על הדיווח הכספי – תהליך שמתכננת הנהלת התאגיד ומיישמת אותו, בפיקוח דירקטוריון התאגיד ובאישורו, אשר נועד לספק להנהלת התאגיד מידה סבירה של ביטחון בהתייחס למהימנות הדיווח הכספי ולהכנת הדוחות הכספיים בהתאם להוראות הדין. השני, בקרה פנימית על הגילוי – תהליך שמתכננת הנהלת התאגיד ומיישמת אותו, בפיקוח דירקטוריון התאגיד ובאישורו, אשר נועד להבטיח כי מידע שהתאגיד נדרש לגלות בדוחות שהוא מפרסם על פי הוראות הדין נאסף, מעובד, מסוכם ומדווח במועד ובמתכונת הקבועים בדין, וכי מידע שהתאגיד נדרש לגלות בהתאם להוראות הדין מועבר להנהלה, וזאת על מנת לאפשר קבלת החלטות במועד המתאים, בהתייחס לדרישת הגילוי.

בהתאם לתקנות האמורות, יש לכלול במסגרת הדוח התקופתי את כל אחד מהדיווחים הבאים:

א. דוח הדירקטוריון והנהלת התאגיד בנוגע לאפקטיביות הבקרה הפנימית על הדיווח הכספי ועל הגילוי

במסגרת הדוח התקופתי יש לכלול דוח של הדירקטוריון והנהלת התאגיד בנוגע לאפקטיביות הבקרה הפנימית על הדיווח הכספי ועל הגילוי. לצורך כך, נדרשים דירקטוריון והנהלת התאגיד להעריך את אפקטיביות התכנון והביצוע של הבקרה הפנימית על הדיווח הכספי ועל הגילוי ולהציג את מסקנותיהם בדבר אפקטיביות הבקרה הפנימית. במקרה שבו נמצאה הבקרה הפנימית כלא אפקטיבית, יש לפרט את החולשות המהותיות שנמצאו והפעולות שינקטו לתיקונן. כאשר בעבר דווחו חולשות מהותיות, יש לדווח אודות חולשות מהותיות שתוקנו במהלך שנת הדיווח עד מועד הדיווח.

ב. הצהרות אישיות של המנכ”ל ואיש הכספים הבכיר בתאגיד

יש לצרף הצהרות אישיות של המנכ”ל ואיש הכספים הבכיר בתאגיד בהן הם מצהירים כל אחד מהם בנפרד, בין היתר, כי למיטב ידיעתם, הדוחות אינם כוללים כל מצג שווא ולא חסרות בהם עובדות מהותיות; כי הם גילו לדירקטוריון, לוועדת הביקורת ולרואה החשבון כל ליקוי משמעותי בבקרה הפנימית וכל תרמית; וכן כי הם העריכו את האפקטיביות של הבקרה הפנימית והציגו את מסקנותיהם לגבי האפקטיביות של הבקרה הפנימית למועד הדיווח.

ג. דוח של רואה החשבון המבקר

במסגרת הדוח התקופתי יש לכלול דוח של רואה החשבון המבקר של התאגיד שיכלול את חוות דעתו בנוגע לאפקטיביות הבקרה הפנימית על הדיווח הכספי בתאגיד ובדבר חולשות מהותיות שהוא זיהה, לרבות כאלה שלא ניתן להן גילוי נאות בדוח בדבר הערכת הדירקטוריון וההנהלה את אפקטיביות הבקרה הפנימית.

בתקנות נקבעו הוראות דומות לגבי הדוחות הרבעוניים בשינויים המחויבים, וזאת לאור השוני הקיים, באופי ובמהות, בין דוחות רבעוניים ובין דוחות תקופתיים.

לצורך יישום ההוראות הנ”ל, נדרשת הנהלת התאגיד לבצע מספר תהליכים ופעולות, ובין היתר: זיהוי ומיפוי תהליכים מהותיים מאוד לדיווח הכספי והגילוי בתאגיד וזיהוי הבקרות הקשורות בתהליכים אלה. שלב זה כולל, בין היתר, ביצוע הערכת סיכונים ומיפוי יחידות עסקיות מהותיות וחשבונות המהותיים לדיווח הכספי; מיפוי ותיעוד תהליכים, הערכת סיכונים ובקרות פנימיות קיימות; הערכת אפקטיביות התכנון ואפקטיביות התפעול של הבקרות וניתוח פערי הבקרה הקיימים; תיקון ליקויי הבקרה; ניתוח הסבירות לטעות והשפעתה על הדוחות, כתוצאה מליקויי הבקרה שנותרו בלתי מתוקנים על ההערכה הכוללת של אפקטיביות הבקרה הפנימית.

בחודש נובמבר 2010, פורסמה עמדה משפטית מספר 199-9: “עקרונות מנחים ליישום הערכת אפקטיביות של בקרה פנימית על הדיווח הכספי והגילוי על ידי הדירקטוריון וההנהלה, בהתאם לתקנה 9ב’ לתקנות ניירות ערך (דוחות תקופתיים ומיידיים), התש”ל 1970”. בעמדה זו נקבעו עקרונות מנחים לעיצוב המודל להערכת אפקטיביות הבקרה הפנימית על הדיווח הכספי והגילוי.

הרשות ציינה בעמדה כי הפרקטיקה שהשתרשה ביישום הוראות סעיף 404 בארה”ב, ובפרט במסגרת בחינת האפקטיביות של הבקרה הפנימית כוללת דרישות רישום, תיעוד, בחינה וניתוח פערים בכל תהליך עסקי הקשור (לפעמים רק בעקיפין) בדיווח הכספי, אולם, הוראות אלה זכו לביקורת על כך שהשיתו עלויות גבוהות והכבידו על חברות בכלל ועל חברות קטנות בפרט.

כמו כן, נטען כי פרקטיקה זו מביאה לתיחום עבודה גדול ולעיתים אף לחוסר מיקוד בנושאים המהווים את לב ליבו של העסק ולפיזור משאבים לנושאים שאינם בראש תעדוף ניהול הסיכונים בארגון. לדעת סגל הרשות, הערכת האפקטיביות של הבקרה הפנימית עשויה להתבצע במספר אופנים. סגל הרשות סבור כי על ההנהלה והדירקטוריון של התאגיד לאמץ מודל להערכת אפקטיביות הבקרה הפנימית שהינו מבוסס סיכונים וליישמו בהתייחס לסיכונים הייחודיים לתאגיד הקשורים בדיווח הכספי ובגילוי, וכל זאת תוך מתן דגש על היבט המהותיות.

על פי מודל זה, על התאגיד לבחון, לכל הפחות, ארבעה רכיבים עיקריים:

  1. בקרות ברמת הארגון (ELC – Entity Level Controls) – בקרות אשר עשויה להיות להן השפעה כוללת על הארגון. בקרות אלה מהוות את התשתית להלך הרוח ולאופי הפעילות המבוצעת בתאגיד. ככל שתשתית זו מבוססת יותר, צפויה גישה זו לחלחל במורד המבנה הארגוני ולהביא לחיזוק מערך הבקרה הפנימית ולשיפור יעילותו.
  2. בקרות על תהליך עריכת הדוחות וסגירתם – תהליך זה מתייחס לבחינת המקטע האחרון של תהליך הדיווח הכספי והגילוי, אשר כולל, בין היתר, את הפעולות הבאות: איסוף הנתונים למאזני הבוחן וביצוע בדיקות מבססות לנאותות הנתונים שהתקבלו (למשל באמצעות בדיקות סבירות, התאמת יתרות בין ספרי העזר למאזן הבוחן וכדומה); קביעה ויישום של המדיניות החשבונאית בידי התאגיד; ביצוע התאמות לצורך עריכת הדוחות הכספיים השנתיים או הרבעוניים, לרבות התאמות לצורך איחוד הדוחות הכספיים; הכנה ועריכה של הדוחות הכספיים לרבות הגילויים הרלוונטיים; דיון ואישור הדוחות הכספיים במוסדות הרלוונטיים.
  3. בקרות כלליות על מערכות המידע (ITGC – Information Technology General Controls) – מערכות המידע מהוות חלק מרכזי ובלתי נפרד בתהליך הדיווח של התאגיד ולפיכך נדרשת התייחסות מיוחדת אליהן במסגרת תהליך הערכת האפקטיביות של הבקרה הפנימית. על ההנהלה להפעיל שיקול דעת בקביעתה אילו מערכות מידע יכנסו לתחולת בדיקת הבקרות הכלליות על מערכות המידע. לצורך הערכת האפקטיביות של הבקרה הפנימית, על ההנהלה לבחון רק את אותן מערכות מידע הנוגעות לדיווח הכספי והגילוי. לעניין הערכת אפקטיביות הבקרה הפנימית, אין צורך לבחון מערכות מידע הנוגעות בעיקר בהיבטים התפעוליים של התאגיד ושאינן נוגעות ישירות לדיווח הכספי ולגילוי.
  4. בקרות על תהליכים מהותיים מאוד לדיווח הכספי ולגילוי – תהליכים שעשויה להיות להם השפעה מהותית מאוד על הדיווח הכספי והגילוי בדוחות התאגיד. תהליך לעניין זה הוא רצף של פעולות, המבוצעות על ידי גורמים בתאגיד או מערכות המידע בו מרגע הייזום של עסקה (או אירוע) ועד למתן הביטוי ו/או גילוי לה בדוחות התאגיד.

ביולי 2011, פורסמו תקנות ניירות ערך (דוחות תקופתיים ומיידיים)(תיקון מס’ 2), התשע”א – 2011. בתיקון זה הוסרה הדרישה לפיה הדוח הרבעוני על הבקרה הפנימית ייסקר בידי רואה החשבון המבקר של התאגיד. בנוסף, במקום הקביעה לפיה בהתקיים חולשה מהותית בבקרה הפנימית, לא תיחשב הבקרה הפנימית כאפקטיבית נקבע כי רק בהתקיים חולשה מהותית באחד מרכיבי הבקרה הפנימית המוגדרים (רכיבי הבקרה הפנימית שהוזכרו לעיל) לא תיחשב הבקרה הפנימית כאפקטיבית, כמו כן התייחסות הרואה חשבון בחוות דעתו תתייחס אך ורק לרכיבים אלו.

במרס 2014, פורסמו תקנות ניירות ערך (דוחות תקופתיים ומיידיים)(תיקון), התשע”ד – 2014. בתיקון זה בוטלה החובה של תאגיד קטן לפרסם דוח על הבקרה הפנימית ואת הדוח של רואה החשבון המבקר על הבקרה הפנימית. יוצא כי תאגידים קטנים מחויבים בצירוף הצהרות מנהלים מצומצמות בלבד.

באפריל 2016, פורסמו תקנות ניירות ערך (דוחות תקופתיים ומיידיים)(תיקון מס’ 4), התשע”ו – 2016. בתיקון זה נקבע כי במהלך חמש השנים הראשונות ממועד ההנפקה לראשונה (IPO) חברה תהא פטורה מקבלת חוות דעת של רואה החשבון המבקר בדבר אפקטיביות הבקרה הפנימית.