-
שירותים נוספים במסגרת תהליך הביקורת
במסגרת תהליך הביקורת המחלקות מסתייעות בתמיכתן השוטפת של מחלקת המיסים והמחלקה המקצועית ומספקות מגוון שירותי ייעוץ ומידע חשבונאי
-
עריכת דוחות כספיים
עקרון אי התלות נשמר. חברות צריכות להתרגל לעידן בו רואה החשבון המבקר לא יסייע להן בעריכת הדוחות, לאור דרישות רגולטוריות.
-
ביקורת דוחות כספיים
הדוחות הכספיים הינם כלי ניהולי חשוב התורם ליכולת הניתוח והערכת ביצועי הארגון, בתחום התפעולי והפיננסי. לצוות מחלקות הביקורת החשבונאית במשרדנו- פאהן קנה Grant Thornton Israel, ניסיון רב בביצוע ביקורת דוחות כספיים לפי התקינה החשבונאית הישראלית, הבינלאומית (IFRS) והאמריקאית (US GAAP). צרו קשר: info@il.gt.com
-
ביקורת פנימית
מטרתה של הביקורת הפנימית היא לצמצם את הסיכונים אליהם חשוף הארגון. משרדנו פאהן קנה ניהול בקרה ביקורת פנים ,ביקורת פנימית, Grant Thornton Israel מדורג במקום הראשון בדירוג מבקרי פנים בחברות ציבוריות לפי דירוג גלובס DUN'S 100. האם זוהו תחומי הסיכון בעסק שלכם? האם פותחו בקרות מתאימות? האם ניתן לשפר את החיסכון בארגון באמצעות ייעול תהליכים? התשובה לשאלות אלו הנה ביקורת פנימית טובה!
-
בדיקת אפקטיביות הבקרה הפנימית (SOX)
משרדנו מסייע לך להכין את החברה לדרישות סעיף 404 ב -"Sarbanes Oxley Act" ובקיצור SOX וכן ליישום תקנות רשות ני"ע בישראל בדבר אפקטיביות הבקרה הפנימית\ביקורת פנים על הדיווח הכספי, הידוע בשם: ISOX. לפאהן קנה ניהול בקרה Grant Thornton Israel התמחות מיוחדת ביישום SOX ו- ISOX אשר מהווים כיום סטנדרט מקובל בכל הקשור לניתוח סיכונים תיעוד ובדיקה של סביבת הבקרה
-
בדיקת איכות הביקורת הפנימית (QAR)
ביקורת פנימית, ביקורת פנים, ניהול סיכונים לשכת המבקרים הפנימיים העולמית קבעה תקנים מקצועיים, מעל מנת לבדוק את איכות הביקורת הפנימית, אחת ל-5 שנים. משרדנו מבצע בקרת איכות על מערך הביקורת הפנימית ביקורת פנים, ביקורת פנימית
-
ניהול סיכונים
לצוות שלנו בפאהן קנה Grant Thornton Israel ניסיון רב בהערכה וניהול של סיכונים ובקרות. אנו נעזרים במתודולוגיה בינלאומית מהמתקדמות בעולם. אנו יכולים לעזור לארגונך לזהות ולהבין את הסיכונים הגלומים בתהליכים מרכזיים, והאם הבקרות הקיימות בארגון הן נאותות ויעילות בהקשר של הפחתת אותם הסיכונים. ביקורת פנים
-
ביקורת חקירתית מגלה
למשרדנו פאהן קנה ניהול בקרה Grant Thornton Israel התמחות מיוחדת בתחום ביקורת חקירתית, במטרה לחשוף, לאתר ולסייע במניעת הונאות ומעילות, חריגות ואי סדרים בתחום הפיננסי. למחלקה ניסיון רב באיתור ומניעת מעילות, בביצוע חקירות חשבונאיות ועוד
-
מניעת הונאות ומעילות
תוכנית מתמשכת למניעת הונאות ומעילות הינה חלק מה- Entity Level Controls אשר נדרש על ידי ה-SOX ומהווה חלק אינטגראלי מניהול הסיכונים בארגון
-
ייעוץ מערכות מידע וסייבר
מערכות המידע הן אחד המשאבים החיוניים ביותר בארגון, אך הן נתונות לאיומים רבים. בדיקת וביקורת מערכות מידע דורשות ידע תאורטי מתאים וניסיון מעשי. במשרדנו פאהן קנה ניהול בקרה בע"מ Grant Thornton Israel מחלקה המתמחה בביקורת מערכות מידע המעניקה שירותים: אבטחת מידע, סקרי סיכונים, ניהול פרויקטים ופיתוח מערכות, ייעוץ בתחום ה- IT לרבות עמידה בדרישות החוק, GRC
-
לשכות שירות SOC1,SOC2,SOC3
קיימים 3 סוגי דוחות SOC וחשוב לזהות מה מתאים עבור הארגון. SOC 1 מצהיר על מערכת הבקרות הפנימיות בארגון נותן שירות. SOC2 אינו נוגע לתהליכים כספיים אלא לתהליכים מבוססי עקרונות של שירותי אמון. תכולתו של SOC 3 זהה ל- SOC 2, אך הוא מיועד לפרסום בציבור. איזה SOC מתאים לכם?
-
בלוקצ'יין ומטבעות קריפטוגרפיים
פאהן קנה Grant Thornton Israel מתמחה במתן שירותים לגופים בתחום הבלוקצ'יין, להלן מספר שירותים עיקריים: גיבוש אסטרטגיה חשבונאית - שלמות בהצהרות החשבונאיות לבין הלוגיקה של הפעולות המבוצעות בארנק האלקטרונים של החברות, ניתוח טכני של קוד חוזים חכמים בפעילות מימון ICO - Initial coin offering, תכנון תזרים מזומנים שנתי בהתבסס על תנודות מטבע, שמירה והגנה על מטבעות החברה, ניתוח טכני של חוזים חכמים ועוד
-
תקנות הגנת הפרטיות הישראליות GDPR / CCPA
תקן GDPR להגנה על הפרטיות נכנס לתוקף וחל על כל ארגון אשר בא במגע עם מידע אישי של אזרחי האיחוד האירופאי. על פי רגולציה GDPR, המידע שאוסף הארגון שייך באופן בלעדי לנושאי המידע ועל החברה להתייחס לכך בעת השימוש במידע. אנו מסייעים לארגונים שונים בבחינת העמידה בהוראות התקנות בנושא הגנת הפרטיות - GDPR
-
בקרת שכר
הוצאות השכר הינן בדרך כלל הוצאות מהותיות לארגונים רבים, אולם הבקרה עליהן מוגבלת למדי. שילוב של מערכות מידע ושכר מאפשר להפיק דוחות בקרה לצורך זיהוי חריגות במערך השכר ולא להסתפק בבדיקות ידניות מדגמיות. בפאהן קנה ניהול בקרה מחלקה ייעודית לבקרת שכר אשר תסייע לכל ארגון להדק את הפיקוח ולמנוע חריגות בשכר
-
ייעוץ /ביקורת בתחום בטיחות
הבטיחות בשנים האחרונות משנה פניה במהירות דבר הבא ליידי ביטוי במודעות הציבור לתחום חשוב זה, אך גם ובעיקר לשינויים מרחיקי הלכת בתהליכי האכיפה של רשויות החוק והמדינה דבר הבא לידי ביטוי גם בהקמה של יחידה ייעודית בלהב 433 שממוקדת בתחום תאונות העבודה, פסקי דין תקדימיים בנושא וגם בהתייקרויות פרמיות הביטוח בענף עתירי סיכונים בתחום הבטיחות.
-
סיקור בטיחות
סיקור בטיחות
-
ביקורות פתע
מערך בטיחות טוב, נבחן בשני מבחנים מרכזיים האחד ביכולות שלו להפחית למינימום את היקף תאונות העבודה והתחלואה שקשורה לעיסוק העובדים בארגון, ומצד שני, היכולת להתמודד מול חקירה/תביעה לאור אירוע בטיחותי ולשכנע שהארגון ביצע את כל הנדרש בכדי למנוע את האירוע ועמד בדרישות החוק, בזמן התרחשות התאונה. בכדי לקיים מערך כזה, אנו מספקים ללקוחותינו, שירות של "ביקורות פתע" – צוות המומחים שלנו מגיע בהפתעה לארגון ומבצע ביקורות מדגמית של הבטיחות – תהליך זה, בו מערך הבטיחות לא מודע למועד הביקורות, אך מודע לכך שצפויה להתבצע ביקורת בהפתעה, מייצר "מתח עבודה חיובי" שמשפר את ערנותו של מערך הבטיחות בארגון, משפר את תרבות הבטיחות, מספק "תמונת מצב בטיחות " נכונה ואובייקטיבית למנהלי הארגון, ומגדיל את הסיכויים להתמודדותו של הארגון עם תביעה אזרחית או פלילית בהתרחשותה של תאונה. שירות זה ניתן רק לארגונים אשר ביצענו להם סקר בטיחות ולכן הם מוכרים לנו היטב.
-
תוכנית ניהול בטיחות
תוכנית ניהול בטיחות
-
בקרה מקצועית על תרגיל מערך החירום של הארגון
מערך הבטיחות של הארגון מחויב לכלול צוות חירום שתפקידו לפעול באופן מידי ומיטבי בהתרחשו של אירוע בטיחותי או סביבתי (שריפה, התחשמלות, חורים מסוכנים וכו' ). תכליתו של צוות זה, הינה מצד אחד להציל חיים ומצד שני לצמצם את ממדי האירוע והשלכותיו על הארגון והסביבה עד הגעת כוחות החירום. מעבר להקמתו של צוות זה, נידרש לנתח ולבנות מאגר של "מיקרים ותגובות" שעל פיהם יפעל הצוות ואחת לשנה נידרש לתרגל צוות זה. ממונה הבטיחות הוא, בד"כ, זה שבונה את הצוות, מתרגל אותו ומפיק דו"ח על ביצועיו. בכדי לבחון באופן אובייקטיבי ומזווית הראייה הנכונה להנהלת הארגון, אנו מלווים את מערך הבטיחות בבניית תרחיש תרגול מתאים, ומשמשים כבקרה עליונה על איכות ביצועי הצוות והתאמתו לצרכי הארגון האמתיים.
-
חקירה מקצועית של אירועי בטיחות ותאונות עבודה
הנהלת הארגון ומערך הבטיחות שלו מחויבים לחקור אירועי בטיחות שונים בארגון, זאת במטרה לברר את הנסיבות שהובילו להתרחשות התאונה, אך עוד יותר מכך בכדי שיוכלו לפעול באופן מושכל להפיק לקחים ולמנוע התרחשותה שלתאונה דומה בעתיד. לא אחת קיים ניגוד עניינים בקרב הגוף החוקר את התאונה (בד"כ ממונה הבטיחות או וועדת הבטיחות) שכן הגוף שחוקר את האירועים הינו למעשה אותו גוף שהיה אמור לעזור למערך ההנהלה למנוע את התרחשותם של התאונה שאותו הוא נידרש לחקור. לא זאת ועוד, הרי שקיימת חשיבות גם לאופן ביצוע התחקיר והניסיון של החוקר בתחום זה. מנהל התחום בפאהן קנה ניסיון עשיר מאוד בחקירת אירועי בטיחות ומיצוי תהליך הפקת הלקחים מהם ,הן מתפקידיו השונים בצה"ל, כדוגמא ראש ענף ניסויים, הן מתפקידו כחוקר תאונות ראשי והן מחקר אירועים אזרחיים שונים להם נדרשנו בשנים האחרונות). שירות זה יעזור למנהלים להבין את שורש הנסיבות שהובילו לאירוע ויעזור לארגון להוביל מהלך שימזער את הסיכוי להתרחשותו של אירוע בטיחותי זהה או דומה לו.
-
ייעוץ בגיבוש תכנית אכיפה פנימית
הנהלת הארגון ומערך הבטיחות שלו מחויבים לחקור אירועי בטיחות שונים בארגון, זאת במטרה לברר את הנסיבות שהובילו להתרחשות התאונה, אך עוד יותר מכך בכדי שיוכלו לפעול באופן מושכל להפיק לקחים ולמנוע התרחשותה שלתאונה דומה בעתיד. לא אחת קיים ניגוד עניינים בקרב הגוף החוקר את התאונה (בד"כ ממונה הבטיחות או וועדת הבטיחות) שכן הגוף שחוקר את האירועים הינו למעשה אותו גוף שהיה אמור לעזור למערך ההנהלה למנוע את התרחשותם של התאונה שאותו הוא נידרש לחקור. לא זאת ועוד, הרי שקיימת חשיבות גם לאופן ביצוע התחקיר והניסיון של החוקר בתחום זה. מנהל התחום בפאהן קנה ניסיון עשיר מאוד בחקירת אירועי בטיחות ומיצוי תהליך הפקת הלקחים מהם ,הן מתפקידיו השונים בצה"ל, כדוגמא ראש ענף ניסויים, הן מתפקידו כחוקר תאונות ראשי והן מחקר אירועים אזרחיים שונים להם נדרשנו בשנים האחרונות). שירות זה יעזור למנהלים להבין את שורש הנסיבות שהובילו לאירוע ויעזור לארגון להוביל מהלך שימזער את הסיכוי להתרחשותו של אירוע בטיחותי זהה או דומה לו.
-
ייעוץ עסקי
ייעוץ עסקי בפאהן קנה מסתמך על מקסום הערך המתקבל בהשוואה למחיר העסקה. הצוות המקצועי של משרדנו יוצר ערך ע"י מתן הצעות פרקטיות, ולא ע"י אימות של מה שאתה כבר יודע.
-
ייעוץ בהליך ישוב סכסוך
ייעוץ בהליך ישוב סכסוך
-
בדיקת נאותות פיננסית | פאהן קנה
לצוות בפאהן קנה יועצים Grant Thornton Israel ניסיון רב בביצוע בדיקות נאותות (Due Diligence). חברות אשר ביצעו בדיקת נאותות לפני רכישת חברה שיפרו את רווחיותם בעסקה. בדיקת הנאותות באה לזהות ולכמת מצד אחד את הסיכון ומצד שני את הפוטנציאל של העסק הנרכש עבור הרוכשים העתידיים.
-
תמריצים וחדשנות
במשרדנו מחלקת תמריצים וחדשנות המעניקה שירותי ליווי וייעוץ לגיוס וניהול מענקי מו"פ מקומיים ובינלאומיים, הגשות למכרזים בינלאומיים ועוד. למחלקה ניסיון בעבודה מול עשרות ארגונים עתירי טכנולוגיה בתעשיות מגוונות כגון: טכנולוגיות מידע ותקשורת, אנרגיה, תעופה, חינוך, תחבורה, אבטחה וביטחון ועוד.
-
הערכת שווי חברה-הערכת שווי עסק | פאהן קנה יועצים
הערכת שווי חברה היא כלי חיוני היכול לעזור בהפקת ערך מקסימאלי בעת מכירה או רכישה של עסק. מוזמנים להתייעץ אעם פאהן קנה בכדי לעשות זאת נכון
-
פירוקים וכינוסים
למשרדנו ניסיון רב בליווי פעילות מול מפרקים, בניהול פירוק הליכים בעסקים בעלי היקפי פעילות גדולים ובביצוע עבודות מיוחדות עבור בתי משפט
-
בדיקת נאותות המשאב האנושי בארגון
ייעוץ עסקי
-
הבראה והשבחת חברות
ייעוץ וליווי לחברות בקשיים פיננסיים, בניית תכניות הבראה ושינוי המבנה המימוני, ניהול כינוסים ופירוקים, ניהול וייעוץ בהקפאת הליכים ובניית מודלים כלכליים
-
מכשירים ומודלים פיננסיים
הדרישות המורכבות של הרפורמות והרגולציות הציבוריות בתחום הפיננסי גדלות ועל כן בנקים, חסכונות, איגודי אשראי ומוסדות פיננסיים אחרים נדרשים לתת מענה לרגולציות הללו. לפאהן קנה יועצים היכרות מעמיקה עם מודלים ומכשירים ופיננסים ואף היא פיתחה מודל ייחודי לציטוט ריביות וקביעת פרמיות סיכוני אשראי (spreads). בנוסף מספקת החברה שערוכי שווי הוגן וציטוטי שערי ריבית חסרת סיכון ופרמיות סיכון לטובת שערוך נכסים פיננסים עבור המשקיעים המוסדיים וגופים פיננסיים, כולל בנקים.
-
חוות דעת מומחה לבתי משפט ויישוב סכסוכים
חוות דעת מומחה לבתי משפט ויישוב סכסוכים
-
מס במטבעות וירטואליים בישראל
המטבעות הווירטואליים זוכים להתעניינות גוברת בקרב מצד גורמים רבים במשק העולמי, למטרות השקעה ומסחר. כמו כן, בשנים האחרונות הוקמו חברות סטארט אפ רבות בישראל בתחום הבלוקציין, הטכנולוגיה עליה מבוסס תחום המטבעות הווירטואליים, מטרה להציע פתרונות טכנולוגיים מתקדמים לסוגיות שונות. מיסוי קריפטו וביטקוין
-
מיסוי בינלאומי
חיפוש אחר הזדמנויות עסקיות בינלאומיות טומן בחובו התמודדות עם קשת רחבה של סוגיות מס בינלאומיות. המומחים של פאהן קנה Grant Thornton Israel בתחום מיסוי בינלאומי יסייעו לכם לנהל את מדיניות המסים של החברה הן בשוק המקומי והן בפעילויות בחו"ל תוך ראייה כוללת של כל הפעילות. צרו איתנו קשר: Shay.Moyal@il.gt.com
-
מחירי העברה
מחלקת מחירי העברה בפאהן קנה Grant Thornton Israel עובדת בשיתוף פעולה עם המשרדים החברים ברשת Grant Thornton International. מבין השירותים: תכנון אסטרטגיית מחירי העברה, תיעוד מחירי ההעברה ותאימות וכן ליווי לקוחות למציאת פתרונות למחלוקות מחירי העברה אל מול רשויות המס. צרו קשר: Benjamin.Gandz@il.gt.com
-
מיסוי נאמנויות
למחלקת המסים התמחויות ספציפיות הפונות לקהל מוגדר, לרבות: סוגיות מס לחברות בבעלות פרטית, מיסוי עולים חדשים ותושבים חוזרים, מסים עקיפים ומיסוי נאמנויות
-
מסים עקיפים
תחום המסים העקיפים כולל מע"מ, מס קניה ומכס. מחלקת המסים של משרדנו פאהן קנה Grant Thornton Israel מספקת מכלול שירותים בתחום המיסוי העקיף לחברות ויחידים.
-
מיסוי אמריקאי
חטיבת המיסוי האמריקאי שלנו מספקת מגוון רחב של שירותי דיווח מס ללקוחות תאגידיים ועסקיים. קבוצת מומחים זו מבינה את חוקי ורגולציות המס המשתנים ויכולים לסייע ללקוחות בשמירה על חובות דיווחי המס האמריקאים
-
עידוד השקעות הון
הזכאות ליהנות מהטבות המס עוברת בשנים האחרונות ועם המעבר מהתמקדות בפעילות יצור המיועדת ליצוא, למתן הטבות מס נדיבות להכנסות שמקורן בנכס לא מוחשי בבעלות החברות. כמו כן, חברות נדרשות לבחן מחדש את זכאותם להטבות המס ואת התנהלותן הכללית לאור אימוץ כללי BEPS במסגרת הדין הישראלי. בנוסף, צוות המשרד הינו בעל ניסיון רב בטיפול בבקשות למענקים ובמסלולים מועדפים, אשר מבטיח ייעוץ מקצועי, מדויק וליווי אישי עד קבלת המענק.
-
מיסוי פרט
אנו מספקים מכלול שירותים בתחום מיסוי הפרט ליחידים וניהול ספרים לחברות וליחידים, ומטפלים בסוגיות מס כגון: מתן יעוץ בנושאי מיסוי ישראלי, ישיר ועקיף, למגוון רחב של חברות, מלכ"רים ויחידים, ליווי בהכנת דוחות אישיים ליחידים והצהרות הון, עריכת ביקורות ניהול ספרים בחברות מלכ"רים ויחידים וכתיבת חוות דעת בנושא, ליווי חברות ויחידים בביקורת ניהול ספרים המתנהלות ברשות המיסים, ליווי הליכי דיוני שומות מס הכנסה, ניכויים וביטוח לאומי, טיפול בבקשות מקדמיות (פרה רולינג), בנושאים של ניהול ספרים, פטור מניכוי במקור בגין חלוקת מלגות ועוד, ליווי וטיפול במלכ"רים לקבלת אישור כמוסד ציבורי לעניין תרומות בהתאם לסעיף 46 לפקודת מס הכנסה.
-
Startup
Full package of services for Startup companies
עדכון עמדה משפטית מספר 105-33
גילוי בנושא סייבר
בשים לב לחשיבות המתעצמת של נושא ההתמודדות מול איומי הסייבר, פרסם סגל רשות ניירות ערך ביום 21 באוקטובר 2018 את עמדה משפטית מספר 105-33: גילוי בנושא סייבר (להלן - "עמדת הסגל").
עמדת הסגל פורסמה לאור טיבם ומאפייניהם הייחודיים של סיכוני הסייבר - גודל הסיכון הפוטנציאלי, מערכות וגורמי הגנה שהנם בשלבי התהוות והתמקצעות, ההיקף ההולך וגדל של הגורמים המעוניינים לנצל את הסייבר ככלי עוין או כלי פשע, האפשרות להפעילו ממיקום חוץ טריטוריאלי ועוד ומטרת פרסומה היה להגביר את מודעות התאגידים המדווחים לסיכון זה ולתת דגש להיבטים מסוימים אשר הגילוי לגביהם עשוי להידרש על פי הוראות דיני ניירות ערך.
תקיפת סייבר יכולה להתבטא בנזקים ישירים ועקיפים ובהם - אובדן הכנסות, פגיעה ברכוש מוחשי (כגון גניבת כסף, אובדן מלאי) וברכוש בלתי מוחשי (כגון במקרה של גניבת פטנטים או זכויות יוצרים), פיצוי ללקוחות נפגעים, עלויות משפטיות בשל תביעות צדדי ג' שניזוקו וכדומה.
פגיעה במוניטין, הוצאות השיקום ובהם שחזור מידע, הגדלת פרמיות ביטוח ועלויות להגברת הגנות סייבר במקרה של נזקי סייבר, עלולות אף הן להיות מהותיות. כמו-כן, קיים סיכון בתקיפת סייבר למהימנות המערכות החשבונאיות בארגון, באופן שעלול לפגוע בדיווח הכספי או ביכולת הבקרה עליו. במקרים מסוימים עלולים הנזקים הכלכליים והעסקיים כתוצאה מתקיפות הסייבר להגיע להיקף משמעותי ביותר ועד כדי פגיעה ביכולת של התאגיד לעמוד בהישגים וביעדי שירות (רציפות תפקודית) ובהמשכיות העסקית שלו. בנוסף, התאוששות וריפוי הנזקים יכול שיִמשכו זמן רב עד חזרת התאגיד לפעילות תקינה, אם בכלל.
זאת ועוד, השפעת איומי הסייבר כסיכון משתנה תדיר, עלולה להיות מהותית לתאגיד אף אם לא התממשו האיומים וזאת למשל כתוצאה מעלויות הכרוכות בשיפור או בחיזוק מערך הגנת הסייבר. ייתכנו גם עלויות עקיפות נוספות כגון כתוצאה מהאטת תהליכים בתאגיד שתנבע משינוי נהלי האבטחה הפנים ארגוניים.
בישראל קיימים מספר גופים המפקחים, במישרין או בעקיפין, על חשיפת המשק לאיומי סייבר או תקיפות סייבר, מניעתם וההתמודדות איתם. לגופים אלו השפעה על הנעשה בתחום הסייבר בהיבטים שונים, החל מהגברת המודעות לחשיפות לסיכוני סייבר ועד לקביעת הוראות ביצוע לגופים שתחת פיקוחם. מבין הגופים האמורים, ניתן למנות מפקחים בתחום הפעילות הפיננסית כגון המפקח על הבנקים, רשות שוק ההון ביטוח וחיסכון, ורשות ניירות ערך.
ביום 25 בינואר 2023 עודכנה עמדת הסגל (להלן - "עדכון ינואר 2023") על מנת להטמיע במסגרתה תמצית ממצאי ביקורת סייבר שנערכה בתאגידים מדווחים, עדכון הגדרת "תקיפת סייבר", הוספת פרק גילוי על מדיניות ניהול סיכוני סייבר, הוספת פרק גילוי על מומחיות נושאי משרה וחברי דירקטוריון בפיקוח וניהול סיכוני סייבר, הבהרת אופן בחינת מהותיות דיווח מיידי אודות אירוע סייבר.
מסקירת ההתפתחויות שחלו בשנים האחרונות בשוק ההון בישראל נמצא, כי איומי סייבר הפכו לסיכון משמעותי ומוגבר עבור חברות במגוון ענפי משק ומעגל התאגידים שחוו תקיפת סייבר אחת או יותר הולך ומתרחב. לאור זאת, תהליך הערכת סיכוני סייבר וגילוי בנוגע לאירועי סייבר שחוו תאגידים כמו גם הטיפול בהם, הופכים להיות משמעותיים יותר לצורך הערכת כדאיות ההשקעה בניירות הערך של התאגידים המדווחים והבנת רמת הסיכון והחשיפה שלהם לאיומי סייבר.
בנוסף, מחלקת ביקורת והערכה ברשות ניירות ערך, ביצעה ביקורת רוחב בנושא סיכוני סייבר בתאגידים מדווחים. הביקורת נועדה לבחינת תהליך הערכת סיכוני סייבר, מתודולוגיית קביעת מהותיותם ואופן ניהולם בתאגידים המדווחים וכן בחינה של תהליך הגילוי והדיווח של התאגידים המדווחים בנוגע לסיכוני סייבר ואירועי סייבר.
ממצאי הביקורת הניבו את התובנות הבאות:
- מעורבות הדירקטוריון בפיקוח על ניהול סיכוני סייבר - קיימת חשיבות גדולה בקבלת עדכונים שוטפים מבעלי התפקידים הרלוונטיים בתאגיד ולמעורבות של הדירקטוריון ונושאי המשרה בתאגיד באיתור, ניהול ופיקוח של סיכוני סייבר ואבטחת מידע. מעורבות זו, תסייע בבניית מערך יעיל לניהול סיכונים ולתיאום בין היעדים העסקיים לבין המערך הטכנולוגי.
- הערכת סיכוני סייבר וניהולם - יש חשיבות לביסוס מרכיבי ניהול סיכוני הסייבר בהתאם לכלים מקובלים, כגון: הערכת סיכונים באמצעות מתודולוגיה מקובלת דוגמת סקר סיכונים, קביעת תכנית עבודה שנתית/רב שנתית בתחום הסייבר וביצוע בקרות על ביצועה בפועל. בנוסף, קיימת חשיבות בהפעלת מערך אבטחת מידע תוך הסתייעות, במידת הצורך, בשירותי מיקור חוץ ומומחים בתחום אבטחת מידע וכן בביצוע בקרה על בחינת אופן הניהול של סיכוני סייבר באמצעות ביקורת פנים.
- גילוי בנוגע לסיכוני סייבר ומתקפות סייבר - יישום תהליך הערכת סיכונים סדור המבוסס על מתודולוגיה מקובלת דוגמת סקר סיכונים, מסייע לתאגיד להבטיח מתן גילוי נאות על סיכוני סייבר ואבטחת מידע כמו גם על גורמי סיכון אחרים הרלוונטיים לתאגיד. תהליך כאמור מאפשר בסיס לדיון בדירקטוריון בנוגע לגורמי הסיכון של התאגיד, דירוגם וגילוים בדוחות התקופתיים. לעניין זה, דירוג השפעת הסיכון מחייב התייחסות לסיכון השיורי לו חשוף התאגיד הלכה למעשה, בהתחשב בבקרות הקיימות ובמאפיינים הייחודיים של התאגיד ולא לסיכון השורשי (הסיכון הגולמי המובנה בהתעלם מהבקרות המופעלות להפחתת סיכון).
- היערכות מוקדמת וגילוי על מתקפות סייבר בעת התרחשותן - היערכות מוקדמת של התאגיד להתמודדות עם תקיפת סייבר, הכוללת הסדרה מראש של נהלים ותהליכי עבודה שיטתיים לטיפול ותגובה בנוגע לאירוע סייבר, וכן עיגון התהליכים הנדרשים לעניין גילוי ודיווח לציבור המשקיעים על התרחשות אירוע סייבר מהותי, יאפשרו לתאגידים לנהל ולהתמודד בצורה אפקטיבית יותר עם תקיפת סייבר בפועל ומתן הגילוי הנאות לציבור המשקיעים.
עמדת הסגל הובאה כאמור, לאור טיבם ומאפייניהם הייחודיים של סיכוני הסייבר - גודל הסיכון הפוטנציאלי, מערכות וגורמי הגנה שהנם בשלבי התהוות והתמקצעות, ההיקף ההולך וגדל של הגורמים המעוניינים לנצל את הסייבר ככלי עוין או כלי פשע, האפשרות להפעילו ממיקום חוץ טריטוריאלי ועוד. מטרת העמדה היא להגביר את מודעות התאגידים המדווחים לסיכון זה ולתת דגש להיבטים מסוימים אשר הגילוי לגביהם עשוי להידרש על פי הוראות דיני ניירות ערך.
לקישור לדוח ממצאי ביקורת הרוחב בנושא סיכוני סייבר בתאגיד מדווח בפורמט PDF לחץ/י כאן.
בשים לב להתפתחויות שחלו בתחום בעמדת הסגל הוטמעו במסגרתה, בין היתר, ממצאי ביקורת המתייחסים לדרישות הגילוי והדיווח אשר חלות על התאגידים המדווחים.
להלן סקירה משולבת של עיקרי עמדת הסגל, תוך הדגשת ההיבטים אשר התווספו במסגרת עדכון ינואר 2023:
גילוי בתשקיף ובדו"ח התקופתי
א. גורמי סיכון
סעיף 39 לתוספת הראשונה לתקנות ניירות ערך (פרטי התשקיף וטיוטת התשקיף - מבנה וצורה), התשכ"ט - 1969 (להלן - "התוספת הראשונה") מסדיר, בין היתר, את חובות הגילוי ביחס לגורמי הסיכון של התאגיד. הסעיף האמור דורש מתן סיכום קצר של האיומים, החולשות וגורמי הסיכון האחרים של התאגיד הנובעים מסביבתו הכלכלית, הענף והמאפיינים הייחודיים שבפעילותו. בהתאם לסעיף האמור, בין היתר, נדרש להציג את גורמי הסיכון, במתכונת טבלאית, על פי טיבם - סיכוני מקרו, סיכונים ענפיים, סיכונים מיוחדים לחברה - תוך דירוגם בקטגוריות על פי מידת השפעת כל גורם סיכון, ככל שניתן לגבי עסקי התאגיד (השפעה גדולה, בינונית וקטנה).
עמדת הסגל מבהירה בהקשר זה כי סיכוני סייבר הנם גורם סיכון ככל סיכון אחר. לפיכך, אם קיים בתאגיד סיכון סייבר מהותי הרלוונטי לפעילות, הגילוי אודות גורמי סיכון יכלול תיאור בגינו תוך ציון מידת השפעתו, וכן יכלול התייחסות לקיומה של מדיניות הגנה, פיקוח על יישומה ובדיקת האפקטיביות שלה.
עמדת הסגל מוסיפה בהקשר זה כי כאשר תאגיד בוחן את מהותיות סיכוני הסייבר, רצוי לשקול, בין היתר, את הגורמים הבאים:
- התרחשות תקיפות סייבר קודמות, לרבות חומרתן ותדירותן;
- ההסתברות להתרחשות תקיפות סייבר;
- אפקטיביות יכולות התאגיד למנוע או להקטין את החשיפה לסיכוני הסייבר;
- היבטים עסקיים של התאגיד ופעילותו, היוצרים סיכונים מהותיים בתחום הסייבר, והעלויות וההשלכות הפוטנציאליות של סיכונים אלה, לרבות סיכונים ספציפיים לתחום פעילותו וסיכונים של ספקי שירות וצדדים שלישיים אחרים עימם התאגיד בא במגע;
- המשאבים הכרוכים בשמירה על הגנות סייבר לרבות קיומו של כיסוי ביטוחי המתייחס לתקיפות סייבר;
- הפוטנציאל לפגיעה בנכסים ובכללם קנין רוחני ומוניטין, וכן עוצמת הפגיעה האפשרית ביתרונות תחרותיים שיש לתאגיד;
- חוקים ותקנות קיימים או תלויים ועומדים, אשר עשויים להשפיע על העלויות הנלוות לתאגיד בקשר עם אותה רגולציה
עדכון ינואר 2023 הוסיף לעמדת הסגל את סעיף ב להלן עניין גילוי על מדיניות ניהול סיכוני סייבר ואבטחת מידע:
ב. גילוי על מדיניות ניהול סיכוני סייבר ואבטחת מידע
היערכות מוקדמת של התאגיד להתמודדות עם סיכון הסייבר בכלל ועם תקיפת סייבר בפרט וקביעת מדיניות לניהול הסיכון, עשויות להקל על התנהלות התאגיד בעת משבר. בהתאם, אם קיים בתאגיד סיכון סייבר מהותי הרלוונטי לפעילותו, על התאגיד:
- לפרט את אסטרטגיית ניהול הסיכונים בנושא, הכוללת את מדיניות ניהול הסיכון, מתודולוגיות, נהלים, תהליכי עבודה, פעולות ובקרות לשם ניהול והתמודדות עם סיכון הסייבר בתאגיד ואת הערכתו בדבר אפקטיביות מדיניות ניהול הסיכונים בהתמודדות והפחתת סיכון הסייבר.
- לציין אילו משאבים מוקצים על ידו לניהול סיכוני סייבר, ובפרט זהות הגורם המאשר את מדיניות ניהול סיכון הסייבר בתאגיד, בעל התפקיד בתאגיד אשר אחראי ליישום המדיניות, ככל שקיימת, הגדרת תפקידו ולמי הוא כפוף בתאגיד. ככל שמדובר בשירותי מיקור חוץ יש לציין זאת ולפרט את מהות השירותים שמתקבלים.
עדכון ינואר 2023 הוסיף לעמדת הסגל את סעיף ג להלן עניין גילוי על מומחיות נושאי משרה וחברי דירקטוריון בתחום הסייבר:
ג. גילוי על מומחיות נושאי משרה וחברי דירקטוריון בתחום הסייבר
לדירקטוריון התאגיד תפקיד חיוני בכל הנוגע לפיקוח והשפעה על התוויית ותפעול מערך ניהול סיכוני סייבר יעיל ומיקסום התיאום בין היעדים והצרכים העסקיים לבין המערך הטכנולוגי. הנהלת התאגיד היא הגורם אשר מנהל ומיישם בפועל את מדיניות ניהול הסיכונים. על כן, קיימת חשיבות לקיומם של תקשורת, תיאום ושיתוף פעולה הדוק בין הדירקטוריון לבין ההנהלה הבכירה בנוגע לזיהוי הסיכון והערכתו, ניהול הסיכון וקיום בקרות שוטפות.
- על כן, במסגרת מתן מידע על השכלתם ועיסוקם של הדירקטורים ונושאי המשרה ב-5 השנים האחרונות, כנדרש בתקנה 26(א)(9) ו- 26א(5) לתקנות ניירות ערך (דוחות תקופתיים ומיידיים), תש"ל - 1970 (להלן - "תקנות הדוחות"), אם לנושא המשרה בתאגיד יש ניסיון, מומחיות או מיומנות בנושא אבטחת מידע או סייבר, על התאגיד לציין עובדה זו ולפרטה.
- יצוין בזאת, כי על אף היתרונות בידע ובמיומנות של חברי הדירקטוריון ונושאי המשרה בתחום הסייבר, בפני התאגיד פתוחות אפשרויות נוספות לקבלת סיוע מקצועי נדרש בנושא הסייבר ובכלל זה האפשרות להיוועץ עם מומחים חיצוניים במידת הצורך. בהתאם, אם בחר התאגיד להשתמש בשירותי מיקור חוץ ובמומחים חיצוניים, עליו לפרט שימוש בסיוע כאמור כחלק ממדיניות ניהול הסיכון.
ד. גילוי על אירועים החורגים מעסקי התאגיד הרגילים
סעיף 36 לתוספת הראשונה מסדיר את חובות הגילוי במקרה של אירוע או ענין החורגים מעסקי התאגיד הרגילים (ואשר לא ניתן לו גילוי מכוח דרישה אחרת בתוספת הראשונה). בהתאם לסעיף זה נדרש מתן פרטים בדבר כל אירוע או ענין, החורגים ממהלך העסקים הרגיל של התאגיד בשל טיבם, היקפם או תוצאתם האפשרית, ואשר יש להם או עשויה להיות להם השפעה מהותית על התאגיד.
כך, במקרה של תקיפות סייבר מהותיות בתקופת הדוח, על התאגיד לכלול במסגרת הגילוי תיאור תמציתי של עיקרי האירועים שהתרחשו בתקופת הדוח או לחילופין לכלול על דרך של הפניה לדוחות מידיים שפרסם התאגיד שבמסגרתם נכלל תיאור אודות אירועים כאמור.
עדכון ינואר 2023 הבהיר כי אם פורסם דוח מיידי על אירוע סייבר, על התאגיד לבחון האם התגלה מידע מהותי נוסף בנוגע לאירוע ולפרטו במסגרת הדוח התקופתי. מידע נוסף כאמור יכול שיכלול השפעות על המצב הפיננסי של התאגיד, שינוי במדיניות החברה בעקבות האירוע וכיוצא בזה.
התיאור יכלול, בהתאם לנסיבות ולעובדות ולמיטב ידיעת התאגיד, פרטים רלוונטיים כגון - זהות או סוג התוקפים, נסיבות התקיפה, כמות התקיפות ומשך זמן התקיפה, האם להערכת התאגיד היא הסתיימה, היקף וסוג הנזק שאירע לרבות השלכות עקיפות, הערכת התאגיד האם אותר מלוא הנזק הישיר, התמודדות התאגיד עם התקיפה, הפקת לקחים והאמצעים שננקטו כדי למנוע תקיפה חוזרת מסוג זה ועוד. אף אם לא קיים אירוע בודד מהותי אך התאגיד חווה מספר אירועים אשר במקובץ נחשבים כמהותיים, נדרש לבחון גילוי בגינם.
תקנה 8א לתקנות הדוחות קובעת כי תיאור התאגיד והתפתחות עסקיו במסגרת הדו"ח התקופתי יובא בהתאם לפרטים ולעקרונות של התוספת הראשונה. לפיכך האמור לעיל הינו בתוקף גם לדוח התקופתי.
גילוי בדו"ח דירקטוריון
תקנה 10 לתקנות הדוחות מסדירה את ההתייחסות למצב ענייני התאגיד בדו"ח דירקטוריון, וקובעת, בין היתר, כי דו"ח הדירקטוריון על מצב ענייני התאגיד בשנת הדיווח יכלול הסברים של הדירקטוריון על מצב עסקי התאגיד, תוצאות פעולותיו, הונו העצמי ותזרימי המזומנים שלו.
ההסברים יתייחסו לאופן השפעתם של אירועים על הנתונים שבדו"חות הכספיים ועל הנתונים שבתיאור עסקי התאגיד, אם השפעה זו מהותית, ולסיבות שהביאו לשינויים שחלו במצב ענייני התאגיד בהשוואה לשנות הדיווח הכלולות בדו"חות הכספיים.
דו"ח הדירקטוריון יתייחס לנתונים העיקריים בדוחות הכספיים ובתיאור עסקי התאגיד, ויכלול מידע נוסף המצוי בידי התאגיד לגבי שנת הדיווח, אם לדעת הדירקטוריון הם חשובים להבנת מצב ענייני התאגיד.
לפיכך, ככל שתאגיד סבור שחשיפתו לסיכוני סייבר הפכה בשנת הדוח למהותית יותר להבנת פעילותו באופן כללי, או אם אירעו תקיפה או תקיפות סייבר בעלי השפעה מהותית על אחד או יותר מסעיפי הדוחות הכספיים, יובאו הסברי הדירקטוריון בעניין.
במסגרת ההסברים תינתן התייחסות להשפעת האירועים על סעיפים מהדוחות הכספיים שהושפעו מהותית בשל סיכוני סייבר או תקיפות סייבר, כגון:
- השפעות על סעיפים מאזניים כדוגמת לקוחות, מלאי, רכוש בלתי מוחשי.
- השפעות על סעיפים תוצאתיים כדוגמת אובדן הכנסות, ירידות ערך, הפרשות, פגיעה ברווחיות.
- סך העלויות שנוצרו לתאגיד הנובעות מהיערכות בגין הגנת סייבר.
- השפעת תקיפה או תקיפות סייבר אשר טרם קיבלו או לא יקבלו ביטוי במסגרת הדוחות הכספיים אך הם מהותיים לפעילות התאגיד, כגון: הגשת תביעות, פגיעה בתיק הלקוחות, פגיעה במוניטין וכו'.
גילוי בדיווחים מידיים
תקנה 36(א) לתקנות הדוחות קובעת כי בדוח יובאו פרטים בדבר כל אירוע או ענין החורגים מעסקי התאגיד הרגילים בשל טיבם, היקפם או תוצאתם האפשרית ואשר יש להם או עשויה להיות להם השפעה מהותית על התאגיד, וכן בדבר כל אירוע או ענין שיש בהם כדי להשפיע באופן משמעותי על מחיר ניירות הערך של התאגיד.
בהתאם, בקרות תקיפת סייבר, תאגיד נדרש, בין היתר, לבחון את מהותיות האירוע לצורך קביעה האם האירוע מחייב פרסום דיווח מיידי ולשם כך לשקלל את מכלול הנזק ופוטנציאל הנזק שנגרם, הן במישרין והן בעקיפין.
עדכון ינואר 2023 הבהיר כי מהותיות של אירוע צריכה להיבחן הן בהתאם לפרמטרים כמותיים והן בהתאם לפרמטרים איכותיים ועל כן, יתכן שאירוע ייחשב כמהותי ובהתאם מחייב דיווח מיידי גם במקרים בהם מחד לא צפוי נזק כספי ממשי לתוצאות התפעוליות של התאגיד, אך מאידך קיימת השפעה מהותית על התאגיד במישור האיכותי.
להלן מספר דוגמאות, לא ממצות, לאירועים או עניינים בתחום הסייבר, אשר עשויים לחייב פרסום דיווח מיידי מכוח תקנה 36:
- פעילותו העסקית של תאגיד הופסקה לפרק זמן;
- מאגרי מידע נפרצו באופן אשר עלול להשפיע על פעילות התאגיד במישרין או בעקיפין. ככל שהמאגר מוגן על ידי דיני הגנת הפרטיות יש להתייחס לכך בנפרד ובנוסף;
- מערכת מחשוב של התאגיד, המהותית לפעילותו, ניזוקה באופן הפוגע מהותית בפעילות התאגיד;
- התאגיד נדרש לשלם כופר בסכום מהותי בעקבות תקיפת סייבר;
- תאגיד גילה כי גורמים עוינים "צותתו" למערכות המחשוב (כגון דואר אלקטרוני), ונחשפו לסודות העסקיים או גילה כי נגנב מידע עסקי פרטי שחשיפתו עלולה לפגוע מהותית בתאגיד;
- במוצרי החברה או במערכות שהחברה בנתה או הייתה אחראית להן התגלתה פרצת אבטחה מתחום הסייבר שבגינה קיימת לחברה חשיפה מהותית (כיצרנית, כספקית המוצר וכד').
עוד הבהיר עדכון ינואר 2023 כי למען הסר ספק, מקום שקמה לתאגיד חובת דיווח מיידי מכח תקנה 36 לתקנות הדוחות בקשר עם איומי או תקיפות סייבר, הרי שקיימת לו גם הזכות לעכב דיווח בהתאם לקבוע בתקנה 36(ב) לתקנות הדוחות ובפרט כאשר פרסום הדיווח עלול למנוע השלמת פעולה של תאגיד כקבוע בהוראות תקנה 36(ב1)(2) לתקנות הדוחות (כאשר בהתאם להוראות תקנה 36(ב) ו- 36(ב1)(ד) זכות העיכוב פוקעת אם המידע בדבר האירוע פורסם ברבים).
בדיווח מכוח תקנה 36(א) לתקנות הדוחות יכלול תאגיד כל פרט חשוב להערכת השלכות האירוע המדווח על עסקי התאגיד, ובכלל זה -
- תיאור האירוע - ייכלל מידע בקשר עם מועד תחילת האירוע ומועד סיומו, מה כלל האירוע, סוג הנתונים שנחשפו, הגורמים שהביאו לקרות האירוע וצעדים שננקטו בעניינו.
- תיאור הנזק והערכת הנזק - במסגרת זו ייכלל תיאור הפעילויות והנכסים שהושפעו מהאירוע והערכת הפגיעה בהם, השפעה אפשרית על תוצאות פעילות התאגיד ובכלל זה פגיעה אפשרית בהכנסות, מידת הפגיעה (ככל שישנה) ביחסי לקוחות או ספקים, או פגיעה במוניטין של התאגיד. עד כמה שניתן, על התאגיד לכלול התייחסות להערכה כוללת של הנזק הצפוי.
- דיווחים משלימים על האירוע - בגין אירועים מסוימים תיתכן פגיעה מאוחרת או נמשכת בנכסים, חשיפה לתביעות או עלויות מהותיות להקמת מערכות הגנה וכדומה. לפיכך, יש לבחון הצורך במידע משלים אודות התפתחויות מאוחרות הקשורות לאירוע.
לקישור לעמדה המשפטית במתכונתה המעודכנת לאחר עדכון ינואר 2023בפורמט PDF לחץ/י כאן.
יובהר כי האמור לעיל אינו בגדר ייעוץ מקצועי ואינו מהווה תחליף לקריאה מעמיקה ומלאה של עדכון התקינה ולבחינת מכלול ההשלכות הנגזרות מכוחו.
- "הגנת סייבר" - מכלול הפעולות הנדרשות למניעה, להתמודדות ולטיפול בתקיפת סייבר או איום סייבר, לצמצום השפעתם והנזק הנגרם מהם, במהלכם ואחריהם, ובכלל זה פעולות אבטחת מידע;
- "איום סייבר" או "סיכון סייבר" מוגדר בעמדת הסגל כסיכון להתרחשות תקיפת סייבר.
- במסגרת עדכון ינואר 2023 התווספה הגדרת "תקיפת סייבר" או "אירוע סייבר" - תקיפה במרחב הסייבר או פעילות אחרת אשר נועדה לסכן נכסי סייבר או מערכות ותשתיות הנתמכות על ידם.