לאחרונה פרסמה לשכת המבקרים הפנימיים העולמית IIA (להלן - הלשכה) הנחיה המסדירה את יחסי הגומלין בין קצין ציות למבקר פנימי
1 שנועד לסייע באי הבהירות והמורכבות הקיימת בין התפקידים האלה, שלא אחת מעלה את השאלה האם לא מדובר בכפילות מיותרת.
כזכור, שנה שעבר פרסמה הלשכה עידכון למודל שלושת הקווים המסדיר את האחריות בין האורגנים השונים מתקיימים בגוף ומהווים את הבסיס לממשל אפקטיבי (קוחלני, News1, 31.8.2021). מודל זה מסייע להנהלות לקבוע מבנה ארגוני, להגדיר תהליכים ולחלק תחומי אחריות המסייעים להשגת מטרות הארגון. זה כולל את ניהול סיכוני הציות, שהוא באחריות ההנהלה אך מושגת באמצעות מאמץ משותף ושתוף פעולה של יתר הגורמים בארגון.
ציות
פונקציית הציות צריכה לתת מענה במתן הבטחה (assurance) כי הארגון עומד, הן בדרישות של גורמים חיצונים כגון חוקים, תקנות ורגולציה, והן בדרישות פנים ארגוניות כגון מדיניות, תקנים, נהלים וקודי התנהגות/אתיקה. הוראות אלה יכולות להיות מוגדרות באופן רשמי ומפורש או להיות מרומזים יותר, כגון קודים חברתיים, אתיים או תרבותיים.
בעלי עניין מצפים שהארגון יממש את מטרתו וימקסם ערך מבחינה משפטית ואתית. ולכן ארגונים צריכים לעסוק בניטור אחר תחומי מפתח בציות כגון בטיחות וגהות; תעסוקה; הגנת הפרטיות; חוקים וקודים מסחריים, תקנות, סטנדרטים של איכות, חוקים נגד שוחד ואנטי שחיתות, חוקי הגנת הצרכן, דיווח כספי ומיסוי, וקודי התנהגות אישיים.
ארגונים גם חייבים לדבוק (או לציית) בחוקים החלים עליהם ועל דרישות חיצוניות אחרות שהן תנאי בסיסי להתנהלותם. דרישות הציות הללו מכסות הכל, החל מיחסי עובדים ועד לתשלום מיסים. ישנם ארגונים שבהם יש מספר רב של גופים רגולטורים הקובעים כללים ומפקחים עליהם בעוד שישנם מגזרים אחרים הנתונים פחות הגבלות משפטיות ורגולטוריות. עם זאת, לא ניתן למצוא ארגון במגזר הציבורי או הפרטי שאינו כפוף לדרישות ציות חיצוניות. במקביל, ארגונים מעצבים, מפתחים ומיישמים נורמות פנימיות בצורה של מדיניות ונהלים ומציבים לעצמם סטנדרטים להתנהגות אתית.
ציות כקטגוריית סיכון
סיכון מוגדר כאפשרות שיתרחש אירוע, שישפיע על השגת יעדי ארגון. השפעות אלו עשויות להיות חיוביות או שליליות. לכן, בעת הערכת סיכון חיוני לשקול את דרישות הציות יחד עם הסבירות של אי-התאמה ושלה השפעה אפשרית על יעדים.
השפעה של הסיכונים הקשורים לציות יכולים לבוא לידי ביטוי בצורה של עיצומים, אכיפה פלילית וכיוצ'ב. ומאידך-גיסא, ציות לנורמות יכול להבטיח יעילות תפעולית ותועלות אחרות. מצבים של אי-ציות פוגעים ביכולת הארגון ליהנות מהטבות רגולטוריות ואף עלול לגרום לנזקים/פגיעה לרבות ספיגה של סנקציות ועונשים כגון הטלת קנסות, שלילת רישיונות, הפסקת פעילות, או העמדה לדין פלילי, ואובדן כתוצאה מכך של מימון או תמיכה. בנוסף, אי-ציות עלול לגרום לפגיעה במוניטין וכן לחוסר שביעות רצון של בעלי עניין פוטנציאליים וביקורת ציבורית. הזיהוי, המדידה וההערכה של סיכון ציות וקביעת התיאבון לסיכון לציות עוזרים גם לקבוע תגובות מתאימות, וכן לקבוע מדיניות, נהלים, הגבלות ובקרות.
ציות כתפקיד או מחלקה ארגונית
ארגונים מקיימים פונקציית ציות, כדי לעמוד בדרישות, ציפיות או לספק פיקוח, מומחיות, בדיקה, ניטור, או הבטחה בנושאי ציות. גורם הממלא פונקציה זו יכול למלא גם תפקידים אחרים, הכל כפוף לדרישות החוק והרגולציה, ולגודל ולמורכבות הארגון. כפוף לדרישות החוק והרגולציה ולמגזר, לגודל ומורכבות הארגון, הגורם הממלא פונקציה זו, בהתאם לאחריות הספציפית שלו, עשוי לדווח לאחד ממספר תפקידים שונים בארגון, כגון: הנהלה בכירה (למשל, המנכ"ל, קצין ניהול סיכונים הראשי, קצין התפעול, היועץ המשפטי הכללי או אחרים) ו/או ישירות לדירקטוריון או לוועדת משנה ייעודית. במקרים מסוימים, שוב כפוף לגורמים שזוהו לעיל ולמנגנון להבטיח עצמאות של פונקציית הביקורת הפנימית, קצין ציות עשוי גם לדווח למבקר הפנים או לגורם המפקח הן על מחלקת הציות והן על מחלקת הביקורת הפנימית.
כדי להעריך את התאמת האחריות של כל תפקיד לעמידה בדרישות צריך ליישם את ששת העקרונות המתוארים במודל שלושת הקווים. כפי שמתואר במודל, צעדים מצמצמי סיכון יש לבחון אם יש פוטנציאל לניגוד עניינים או חשש לפגיעה ממשית באובייקטיביות או בעצמאות. יש לדווח גם על פגיעה באובייקטיביות לדירקטוריון זאת לצורך בחינת הצעדים הנדרשים, לרבות דיווח לרגולטור.
ציות כמכלול של פעילויות
פונקציית הציות עשויה להתייחס לתהליכים ולבקרות שנועדו להשיג, לתמוך, לנטר, לפקח, לבדוק, לאתגר, או לאשר ציות. האנשים שאמונים על כך עוזרים להבטיח שהארגון ועובדיו עומדים בדרישות החוק. ציות מושג באמצעות פעולות והתנהגויות של כל מי שעובד עבור או עם הארגון.
האחריות לתהליכים, נהלים ובקרות שגרתיות שנועדו לספק דרישות וציפיות ספציפיות לרמה נתונה ובמידה מקובלת של ודאות עשוי להיות ממוקדמים במקומות שונים בתוך המדרג הארגוני ויכול גם להיות במיקור חוץ.
יישום ששת העקרונות
מודל שלושת הקווים מעודד גישה מבוססת עקרונות להערכת ותיאום התפקידים והאחריות, לרבות דרישות הציות והציפיות הספציפיות שלו, זאת תוך נטילת התחשבות בנסיבות בהם שרוי הארגון. ניתן להשתמש בששת העקרונות של המודל כדי להבין טוב יותר ציות, כדלקמן:
עקרון מס' 1: קבע דרישות ממשל
העיקרון מתאר את הדרישות המינימליות של ממשל תאגידי: מחד הגדרת אחריות, קביעת פעולות והקצאת משאבים כדי להבטיח עמידה ביעדים, ומאידך הבטחה וייעוץ. הנהלה אחראית בסופו של דבר להבטיח שהארגון יפעל בהתאם לסטנדרטים המקובלים ולנורמות רלוונטיות. ההנהלה חייבת גם לנהל סיכונים הקשורים לציות בהתאם לתיאבון לסיכון שנקבע על-ידה. אשר על כן הנהלה צריכה להקים פונקציית ציות. ביקורת פנימית צריכה לספק הבטחה להנהלה על הלימות והיעילות של בקרות לציות וכן במתן ייעוץ המציע שיפור מתמיד וחדשנות.
עיקרון 2: שמירה נאותה על פיקוח ממשל
העיקרון מגדיר את תפקידי הנהלה הבכירה לקיים פיקוח על הניהול, כולל הסדרים לציות וכן פיקוח על תפקיד הביקורת הפנימית. הנהלה צריכה לוודא שהביקורת הפנימית ממוקמת באופן המאפשר לה לפעול באופן עצמאי וכי עומדים לרשותה משאבים המאפשרים לה לספק הבטחה וייעוץ לגבי ציות.
עקרון 3: הגדר תפקידי הנהלה מעבר לקו הראשון והשני
עיקרון זה מתאר תפקידי הניהול המשקפים את האחריות של הקו הראשון לספק את המוצרים ושירותים ללקוחות, והקו השני לספק פיקוח, הערכת סיכונים, וניהול סיכונים. כמו-כן יש להקים פונקציה נפרדת ועצמאית לציות. הביקורת פנימית מספקת, בנוסף לאי תלות בהנהלה, מידה נוספת של עצמאות. בהתאם לכך, ניתן לנסח את המאפיינים של תפקידים על פני הקווים באופן הבא:
· תפקידי קו ראשון: השגת ציות לחוקים, תקנות, קודי התנהגות, מדיניות ארגונית וכו', במתן מוצרים ושירותים. הציות נותר באחריות ההנהלה.
· תפקידי קו שני: תפקידי ציות בודדים ומחלקות מקימות מסגרות, מבצעות פיקוח, מספקות ייעוץ, ניטור ומעקב, לבצע בדיקות, שעשויות באופן כללי להחזיק בניהול קבלת החלטות תפעוליות, סמכויות, בעלות על סיכונים (למשל, עשויות לכלול החלטה האם לקבל לקוח, מוצר חדש או אישור שירות, אישור עסקה, הגבלת אישור עודף, חריגות מדיניות וכן הלאה).
· תפקידי קו שלישי: ביקורת פנימית מספקת הבטחה בלתי תלויה לגבי ציות, האפקטיביות של מאמצי הנהלה להשיג ציות, ואילו העבודה של קצין הציות לפקח, לספק הבטחה על ציות, לקיים בקרה על ניהול סיכונים, אך לא להפך.
אם כן, באמצעות מודל שלושת הקווים, ארגון יכול להשיג עמידה בדרישות ובציפיות, כמו גם לתרום למשילות יעילה ובר קיימא ולהילחם באי חוקיות ובשחיתות. הציות חייב להתבסס על שקיפות, הצבת סטנדרט מתאים בתוך ארגון. בנוסף, לבעלי עניין חיצוניים, לרבות בעלי מניות, גופים ממשלתיים, סוכנויות רגולטוריות ובורסות, ספקים ושרשרת האספקה, תוכנית ציות המקדמת שקיפות משרה אמון בארגון.
עקרון 4: הגדר את תפקיד השורה השלישית
עיקרון המתאר את תפקידה של הביקורת הפנימית כספק של הבטחה וייעוץ עצמאיים. מודל שלושת הקווים מגביר את הצורך הקריטי בהבטחה לגבי הלימות והיעילות של תגובות לסיכון, כולל בקרות, כמרכיב בסיסי בממשל תאגידי. התגובות והבקרות לסיכון כוללות את אלה המתייחסות של השגה, ניטור ומתן פיקוח על ציות וניהול סיכוני ציות. זה מושג באמצעות יישום בלתי תלוי בהנהלה של תהליכים, מומחיות ותובנה שיטתיים על-ידי ביקורת פנימית.
ניתן להשיג תיאום ושיתוף פעולה יעילים בין תפקידי ציות לתפקידי ביקורת פנימית לתועלת של ארגון מבלי לפגוע באפקטיביות של כל אחד מהם במילוי תפקידים הייחודיים. מבקרים פנימיים, בהערכת האפקטיביות של תפקידי ציות ומחלקות, צריכים לתאם ולשתף פעולה על-מנת להשיג יישום יעיל של מודל שלושת הקווים וכן לקדם תרבות של ציות ובקרה.
עקרון 5: שמור על עצמאות קו שלישי
עיקרון זה מתאר את החשיבות של עצמאות הביקורת הפנימית. לביקורת הפנימית יש כמה מאפיינים המסייעים להגדיר את עצמאותה. אלה כוללים קו דיווח ישיר לדירקטוריון או לוועדת ביקורת, ובעיקר, עצמאות בקבלת החלטות.
פונקציות ניהול סיכונים (כולל פונקציות ניהול סיכוני ציות), תוך דיווח פונקציונלי לדירקטוריון או לוועדה שלו, בדרך כלל יש גם, במסגרת תפקידיהם, אחריות לקבלת החלטות, במיוחד בכל הנוגע לנטילת סיכונים, ניהול, הפחתה, שליטה ודיווח, כולל סיכון ציות.
הקו השני יכול לשמור על אחריותו לספק פיקוח יעיל ואמין עם הקו הראשון. אולם, האי תלות הביקורת הפנימית בקבלת החלטות ההנהלה מהווה הבדל משמעותי בין תפקיד הקו השלישי ותפקידי הקו השני והראשון, כמפורט לעיל.
עקרון 6: צור והגן על ערך באמצעות שיתוף פעולה
עיקרון זה מתאר את החשיבות של הבטחת תיאום ושיתוף פעולה בין כל הפונקציות. ממשל אפקטיבי מצריך לא רק הקצאה מתאימה של אחריות אלא גם שיתוף פעולה של פעילויות באמצעות תיאום, שיתוף פעולה ותקשורת. גופי הניהול ובעלי עניין מסתמכים על הדוחות מההנהלה, הביקורת פנימית, וגורמים אחרים, להפעיל פיקוח כדי לוודא שההנהלה אכן פועלת להשגת יעדים, מנהלת סיכונים ויוצרת ערך.
סיכום
כפי שראינו, הנחיה של לשכת המבקרים הפנימיים מבקשת בראש ובראשונה להבהיר, בהתבסס על מודל שלושת הקווים, מהן גזרות האחריות של כל פונקציה ופונקציה, וכן להגדיר את תחומי האחריות ויחסי הגומלין בניהם, תוך כדי כך שהיא קובעת את העקרונות הראויים לקיומה של פונקציית ציות. ניתן לסכם את העקרונות של ההנחיה, ברשימת עשרת הדברים שיש, על-פי הנחיה, חובה לשים לב אליהם, והם:
1. לא כל הארגונים מסוגלים או צריכים להקצות משאבים כדי לקיים מחלקה העוסקת רק בציות. בד"כ ככל שהארגונים הופכים מורכבים יותר, כפופים לרגולציה סבוכה השרויים בפיקוח קפדני ו/או שמתחילים לפעול בסביבות המשתנות במהירות (רגולטורי, מסחרי וכו'), הם מתחילים להקצות משאבים לציות. משאבים כאלה עשויים יכולים להינתן כחלק מהארגון או באמצעות מיקור חוץ של ניטור ציות מסוים או ייעוץ בתחום ספציפי.
2. ביישום ששת העקרונות של מודל שלושת הקווים, כדי להעריך תפקוד פונקציית הציות, חשוב לשקול את תוצאות עליהן מופקדת פונקציית הציות:
· השגת ציות לחוקים, תקנות, חוזים, מדיניות, נהלים, קודי התנהגות או דרישות אחרות באספקת מוצרים ושירותים.
· מתן פיקוח מקצועי; הערכת סיכונים וניהול סיכונים; קיום ציות ברחבי הארגון בהתאם לקודי התנהגות ישימים או לתקנים, ולדרישות ולציפיות בעלי עניין.
· מתן הערכה לגבי הלימות והיעילות של תוכנית הציות.
· מתן הערכה (חוות דעת) על האפקטיביות תוכנית הציות ומרכיביה בארגון.
3. פונקציית ציות בארגון עלולה לא לכסות את כל התחומים הקשורים לציות ולכן במקרים כאלה, להגדיר בבירור את היקף תפקידי הציות והאחריות ו/או הציפיות שיש להנהלה מאורגן זה. דבר זה חשוב הן עבור ארגונים קטנים שבהם מטילים על גורם אחד מספר תחומי אחריות ותפקידים שעשויים להיות מיקור חוץ, והן עבור ארגונים גדולים שבהם עשויים להיות מספר תפקידים או מחלקות המופקדות על פעילויות ציות.
4. ערוצי הדיווח של קצין הציות, אם אינם קבועים על-ידי חקיקה או הוראות רגולציה צריכים להיות מוסדרים על-ידי הארגון ולהבטיח כי תוצרי הציות מגיעים להנהלה הבכירה.
5. קצין הציות עשוי לדווח לעדה של הדירקטוריון או ליו"ר ועדת דירקטוריון או גם, ויש להבטיח כי חובת דיווח זו אינה פוגעת בעצמאות או בשקול הדעת שלו, וכי הדבר אינו מאיין את הצורך במתן הבטחה (assurance) בלתי תלויה של הביקורת הפנימית.
6. הגדרת אחריות של קצין ציות יכולה להקיף, אך לא להגביל, את הבאים: ניהול סיכוני ציות, ניטור, בדיקות, ניתוח, הערכה, ייעוץ, הבטחה, קביעת מדיניות, פיתוח ויישום של מערכות בקרה, החלטות ניהוליות ביחס לציות, פיקוח והדרכה.
7. תפקידים של יחידות ציות עשויים לכלול גם אחריות לתחומים שאינם קשורים באופן הדוק או ישיר למתן שירותי ציות. הטלת אחריות שכזו מחייבת בהגדרה ותיעוד ברורה של האחריות והסמכות.
8. יש להפריד בין תפקידי קו ראשון ושני. חברי הקו הראשון צריכים להיות הבעלים של הסיכון שהם לוקחים, בעוד אלה שנמצאים הקו השני צריך להקים ולפקח על המסגרות והתקנים שיסייעו לקו הראשון בניהול הסיכונים בבעלותם.
9. ללא קשר לאופן שבו ארגונים קובעים את המשאבים שהם מקצים עבור ציות, על ההנהלה מוטלת האחריות לוודא שהארגון עומד בדרישות ובציפיות של בעלי עניין בכל הקשור לסיכוני ציות.
10. עיקר האחריות של פונקציית הציות בקו השני היא הערכת האפקטיביות של תוכנית הציות ומאמצי הארגון שנקבעו כדי להשיג את דרישות הציות והציפיות של בעלי עניין.
לשכת המבקרים הפנימיים העולמית (IIA) קנתה לעצמה מעמד של גוף ידע שתרומתו בפיתוח ידע בתחום הממשל תאגידי הנו רב. כך ה-IIA מכהן כחבר ב-COSO, הגוף שקבע את מודל לניהול סיכונים כולל (ERM) ופיתח את מודל שלושת הקווים, שזכה בתחום זה להכרה בינ"ל. יש להניח שגם מסמך זה, יהווה נורמה המסייעת לא רק למבקרי הפנים, אלא גם להנהלות בעיצוב פונקציית ציות עצמאית, תוך הסתייעות בביקורת הפנימית לצורך לקבל הבטחה בתחום זה.
