Ład korporacyjny, zarządzanie ryzykiem i kontrole wewnętrzne

Transkrypt

1 Ład korporacyjny, zarządzanie ryzykiem i kontrole wewnętrzne Nowe regulacje i oczekiwania rynku czy jesteśmy przygotowani? Czy oceniliście Państwo wpływ nowych regulacji na Państwa organizację? Czy komitety audytowe właściwie wypełniają zadania i oczekiwania akcjonariuszy? Jak wdrożyć odpowiednie rozwiązania w zakresie zarządzania ryzykiem i kontroli wewnętrznej? W jaki sposób wykorzystujecie Państwo system kontroli wewnętrznej do zarządzania ryzykiem, usprawnienia procesów biznesowych i podniesienia wartości spółki?

2

3 Szanowni Państwo, Ostatnia dekada przyniosła w wielu krajach nowe regulacje w zakresie ładu korporacyjnego i nadzoru nad spółkami interesu publicznego, w szczególności odnoszące się do oceny skuteczności systemu zarządzania ryzykiem oraz kontroli wewnętrznej. Polską odpowiedzią obok obecnie obowiązujących przepisów i dobrych praktyk spółek notowanych na GPW jest ustawa o biegłych rewidentach i ich samorządzie, firmach audytorskich oraz o nadzorze publicznym, której projekt został w grudniu 2008 r. przyjęty przez Radę Ministrów. Celem niniejszej publikacji jest podsumowanie nowych obowiązków i zadań stojących przed zarządami i radami nadzorczymi oraz ogólna diagnoza stopnia przygotowania polskich spółek do wypełnienia nowych regulacji przeprowadzona na podstawie raportów bieżących spółek publicznych. Czy jednak efektywny nadzór, silne kontrole wewnętrzne i skuteczne zarządzanie ryzykiem to tylko kwestia spełnienia regulacji i dobrych praktyk czy raczej uzasadniona potrzeba biznesowa, której celem jest ochrona interesów akcjonariuszy oraz przeciwdziałanie praktykom mogącym skutkować poniesieniem strat, nadużyciami czy niekompletnym ujawnieniem informacji? Ostatnie miesiące były bogate w doniesienia o ryzykownych działaniach spółek czy nierzetelnym przekazywaniu informacji istotnych dla inwestorów. Niniejsza publikacja jest również odpowiedzią na pytania i wątpliwości zgłaszane przez rady nadzorcze, komitety audytu, zarządy, kierownictwa działów audytu wewnętrznego Jak wdrożyć skuteczny system kontroli wewnętrznej w sposób optymalny kosztowo?. Przedstawiamy przykładowe narzędzia i metodologie, jakie mogą być wykorzystane w celu wypełnienia nowych regulacji oraz w procesie wdrożenia i oceny efektywności systemów kontroli wewnętrznej i zarządzania ryzykiem, jak również korzyści biznesowe takich działań. Jeśli mają Państwo pytania dotyczące tematyki zawartej w niniejszej publikacji, zapraszamy do kontaktu z naszymi ekspertami do spraw ładu korporacyjnego, zarządzania ryzykiem i kontroli wewnętrznej. Jacek Socha Wiceprezes Krzysztof Szułdrzyński Partner

4 Tylko kwestia spełnienia regulacji czy uzasadniona potrzeba biznesowa? Rada nadzorcza (lub działający w jej strukturach komitet audytu) monitoruje skuteczność istniejących w spółce systemów kontroli wewnętrznej oraz zarządzania ryzykiem obecnie dobra praktyka, niebawem po przyjęciu ustawy o nadzorze publicznym będzie to przepis obowiązującego prawa Tylko 1% respondentów wskazało, iż rady nadzorcze nie muszą podejmować żadnych dodatkowych działań, aby spełnić wymogi nowych regulacji Czy jednak efektywny nadzór, silne kontrole wewnętrzne i skuteczne zarządzanie ryzykiem to tylko kwestia spełnienia regulacji i dobrych praktyk czy raczej uzasadniona potrzeba biznesowa, której celem jest ochrona interesów akcjonariuszy oraz przeciwdziałanie praktykom mogącym skutkować poniesieniem strat, nadużyciami czy niekompletnym ujawnieniem informacji? W czerwcu 2008 r. Stowarzyszenie Emitentów Giełdowych (SEG) wraz z Giełdą Papierów Wartościowych w Warszawie (GPW) zorganizowały pod patronatem merytorycznym PricewaterhouseCoopers konferencję z udziałem kierownictwa spółek giełdowych i przedstawicieli instytucji rynku kapitałowego na temat Corporate Governance w spółkach giełdowych. Głównymi punktami konferencji były dyskusje na temat Dobrych Praktyk Spółek Notowanych na GPW, rozwiązań w zakresie Corporate Governance w innych krajach oraz nowe regulacje i najlepsze praktyki w zakresie ładu korporacyjnego w Polsce. Istotną częścią spotkania były dyskusje panelowe przeprowadzone na podstawie interaktywnego badania w grupie prawie 100 uczestników. Poniższe wybrane odpowiedzi potwierdzają istotne znaczenie, jakie spółki giełdowe w Polsce nadają zagadnieniom ładu korporacyjnego, zarządzania ryzykiem i systemu kontroli wewnętrznej: 86% respondentów stwierdziło, że silny system kontroli wewnętrznej podnosi wartość spółki (bezpośrednio lub pośrednio poprzez odpowiednie wspieranie celów biznesowych oraz zarządzanie ryzykiem). 84% respondentów wskazało, że rada nadzorcza powinna dokonywać przynajmniej raz w roku niezależnej oceny efektywności budowy i działania kluczowych kontroli (poprzez np. cykliczny przegląd istotnych ryzyk, analizę raportów audytu wewnętrznego, wykorzystanie doradców do oceny systemu kontroli wewnętrznej, komunikację z zarządem). 63% respondentów stwierdziło, że jest zainteresowane usprawnieniami systemu zarządzania ryzykiem i kontroli wewnętrznej. Jednocześnie 62% wskazało, że spośród obszarów określonych w Dobrych Praktykach Spółek Notowanych na GPW, najtrudniejsze we wdrożeniu są te dotyczące członków rad nadzorczych. Spójrzmy na wybrane fragmenty artykułów prasowych z ostatnich miesięcy:

5 Ład korporacyjny, zarządzanie ryzykiem i kontrole wewnętrzne Nowe regulacje i oczekiwania rynku czy jesteśmy przygotowani? Zawartość Przegląd obowiązujących regulacji Ład korporacyjny, zarządzanie ryzykiem i kontrole wewnętrzne regulacje w wybranych krajach na świecie Dobre Praktyki Spółek Notowanych na GPW rekomendacje i zakres stosowania Kodeks spółek handlowych oraz inne przepisy prawa Nowe regulacje i oczekiwania rynku czy jesteśmy przygotowani? Nowelizacja ustawy o rachunkowości Przyjęty przez Radę Ministrów projekt ustawy z dnia 9 grudnia 2008 r. o biegłych rewidentach i ich samorządzie, firmach audytorskich oraz o nadzorze publicznym (ustawa o nadzorze publicznym ) Zadania komitetu audytowego Nowe regulacje i oczekiwania rynku - jakie działania podjąć? Diagnoza systemu kontroli wewnętrznej Samoocena efektywności komitetu audytu Przegląd systemu kontroli wewnętrznej i zarządzania ryzykiem na poziomie spółki (entity-level controls) Analiza ryzyk sprawozdawczości finansowej i ocena procesu raportowania finansowego Automatyzacja kontroli wewnętrznych Inne działania w kierunku oceny i optymalizacji kontroli wewnętrznej Efektywny system kontroli wewnętrznej korzyści biznesowe Identyfikacja ryzyk i obszarów, w których istnieje potrzeba wzmocnienia kontroli wewnętrznej Usprawnienia procesów biznesowych i optymalizacja kontroli wewnętrznych poprzez ich automatyzację, likwidację zbędnych i wdrożenie brakujących kontroli Efektywniejsze raportowanie finansowe Skuteczna kontrola kosztów Zwiększenie świadomości i wiedzy na temat zarządzania ryzykiem i kontroli wewnętrznej

6 Przegląd obowiązujących regulacji Ostatnia dekada przyniosła w wielu krajach nowe regulacje w zakresie ładu korporacyjnego i nadzoru nad spółkami interesu publicznego, zarządzania ryzykiem oraz systemów kontroli wewnętrznej. W 2002 r. Stany Zjednoczone uchwaliły ustawę Sarbanes-Oxley (SOX) wymagającą od spółek publicznych wdrożenia i corocznej oceny efektywności działania systemu kontroli wewnętrznej. Od tego czasu wiele krajów przyjęło podobne rozwiązania dotyczące ładu korporacyjnego i kontroli wewnętrznej. Przykłady obejmują Kanadę (National Instrument ), Unię Europejską (Directive 2006/43/EC), Szwajcarię (Code of Obligations oraz Swiss Exchange Directive 2002/2006), Niemcy (German Corporate Governance Codec), Australię (Australian Corporate Reporting and Disclosure Law), Francję (French Law on Financial Security), Włochy (L262/ Italian legislation for financial services institutions), Wielką Brytanię (Revised guidance for directors on the combined code the Turnbull Guidance), Japonię (the Financial Instruments and Exchange Law J-SOX ), Chiny (The Basic Standard for Enterprise Internal Control). Dobre Praktyki Spółek Notowanych na GPW Zgodnie z badaniem przeprowadzonym przez PricewaterhouseCoopers na dzień 30 września 2008 r., niewiele ponad 20% spółek giełdowych w Polsce wdrożyło Dobre Praktyki bez żadnych wyjątków (na podstawie raportów spółek notowanych na GPW) Największe problemy wystąpiły przy wdrożeniu zasad dotyczących funkcjonowania i działania rad nadzorczych. Ponad 50% spółek zadeklarowało odstępstwa w obszarach niezależności członków rady nadzorczej, funkcjonowania komitetów audytowych, niezależnego członka komitetu posiadającego kompetencje w dziedzinie rachunkowości i finansów oraz stosowania zaleceń dotyczących roli dyrektorów niewykonawczych Kodeks spółek handlowych oraz inne przepisy prawa Regulacje obowiązujące w Polsce mają charakter zarówno rekomendacji i dobrych praktyk, jak też przepisów prawa. Dobre Praktyki Spółek Notowanych na Giełdzie Papierów Wartościowych w Warszawie (GPW) to zbiór zasad ładu korporacyjnego oraz zasad określających normy kształtowania relacji przedsiębiorstw giełdowych z ich otoczeniem rynkowym. Celem Dobrych Praktyk jest umacnianie transparentności spółek giełdowych, poprawa jakości komunikacji spółek z inwestorami, wzmocnienie ochrony praw akcjonariuszy także w obszarach nieregulowanych przez prawo. Do ważnych z punktu widzenia nadzoru i systemu kontroli wewnętrznej należą m.in. następujące zapisy Dobrych Praktyk: Przynajmniej dwóch członków rady nadzorczej powinno spełniać kryteria niezależności. W ramach rady nadzorczej powinien funkcjonować co najmniej komitet audytu. W skład tego komitetu powinien wchodzić co najmniej jeden członek niezależny ( ), posiadający kompetencje w dziedzinie rachunkowości i finansów. W spółkach, w których rada nadzorcza składa się z minimalnej wymaganej przez prawo liczby członków, zadania komitetu mogą być wykonywane przez radę nadzorczą. Poza czynnościami wymienionymi w przepisach prawa rada nadzorcza powinna raz w roku sporządzać i przedstawiać walnemu zgromadzeniu zwięzłą ocenę sytuacji spółki, z uwzględnieniem oceny systemu kontroli wewnętrznej i systemu zarządzania ryzykiem istotnym dla spółki. W zakresie zadań i funkcjonowania komitetów działających w radzie nadzorczej powinien być stosowany Załącznik I do Zalecenia Komisji Europejskiej z dnia 15 lutego 2005 r. dotyczący roli dyrektorów niewykonawczych, m.in. w zakresie przeglądu, przynajmniej raz w roku, systemów kontroli wewnętrznej i zarządzania ryzykiem pod kątem zapewnienia, że główne ryzyka są prawidłowo identyfikowane, zarządzane i ujawniane. Kodeks spółek handlowych wskazuje, iż rada nadzorcza sprawuje stały nadzór nad działalnością spółki we wszystkich dziedzinach jej działalności. Do szczególnych obowiązków rady nadzorczej należy ocena i zatwierdzenie rocznych sprawozdań finansowych oraz sprawozdania zarządu z działalności spółki w zakresie ich zgodności z księgami i dokumentami, jak i ze stanem faktycznym. Dodatkowe regulacje w zakresie nadzoru, kontroli i zgodności z przepisami prawa istnieją w wybranych sektorach (np. sektor bankowy i ubezpieczeniowy, telekomunikacyjny, energetyczny, farmaceutyczny).

7 Nowe regulacje i oczekiwania rynku czy jesteśmy przygotowani? Projekt ustawy o biegłych rewidentach i ich samorządzie, firmach audytorskich oraz o nadzorze publicznym jest polską odpowiedzią na wymogi dyrektywy unijnej 2006/43/WE. Jednocześnie nowelizacja ustawy o rachunkowości rozszerza na radę nadzorczą obowiązek zapewnienia zgodności sprawozdania finansowego z ustawą. Czy jednak w kontekście obecnej wiedzy o stopniu wypełnienia Dobrych Praktyk Spółek Notowanych na GPW jesteśmy przygotowani na nowe regulacje i oczekiwania rynku? Ponad 50% spółek giełdowych zadeklarowało odstępstwa w obszarach niezależności członków rady nadzorczej, funkcjonowania komitetów audytowych, niezależnego członka komitetu posiadającego kompetencje w dziedzinie rachunkowości i finansów oraz stosowania zaleceń dotyczących roli dyrektorów niewykonawczych. Jednocześnie wiele spółek nie przedstawiło oceny systemu kontroli wewnętrznej i systemu zarządzania ryzykiem istotnym dla spółki. Ustawa o rachunkowości Nowelizacja ustawy o rachunkowości rozszerza od dnia 1 stycznia 2009 r. na radę nadzorczą obowiązek zapewnienia zgodności sprawozdania finansowego z ustawą Ustawa o nadzorze publicznym Rada Ministrów przyjęła projekt ustawy z dnia 9 grudnia 2008 r. o biegłych rewidentach i ich samorządzie, firmach audytorskich oraz o nadzorze publicznym (ustawa o nadzorze publicznym ) Art. 4a. Ustawy o rachunkowości: Kierownik jednostki oraz członkowie rady nadzorczej lub innego organu nadzorującego jednostki są zobowiązani do zapewnienia, aby sprawozdanie finansowe oraz sprawozdanie z działalności spełniały wymagania przewidziane w niniejszej ustawie. Kierownik jednostki oraz członkowie rady nadzorczej lub innego organu nadzorującego jednostki odpowiadają solidarnie wobec spółki za szkodę wyrządzoną działaniem lub zaniechaniem stanowiącym naruszenie obowiązku wynikającego z powyższego zapisu ustawy. Ustawa w artykule 77 przewiduje odpowiedzialność karną w przypadku nieprowadzenia ksiąg rachunkowych, prowadzenia ich wbrew przepisom ustawy lub podawania w tych księgach nierzetelnych danych, a także niesporządzenia sprawozdania finansowego, sporządzenia go niezgodnie z przepisami ustawy lub zawarcia w tym sprawozdaniu nierzetelnych danych. Art. 86 projektu ustawy o nadzorze publicznym przyjętego przez Radę Ministrów określa, iż w jednostkach zainteresowania publicznego (obejmujących m.in. spółki giełdowe, banki, zakłady ubezpieczeniowe) działa komitet audytu, którego członkowie powoływani są spośród członków rady nadzorczej (w jednostkach, w których rada nadzorcza składa się z nie więcej niż 5 członków, zadania komitetu audytu mogą zostać powierzone radzie nadzorczej). W skład komitetu audytu wchodzi co najmniej 3 członków, w tym przynajmniej jeden członek powinien spełniać warunki niezależności i posiadać kwalifikacje w dziedzinie rachunkowości lub rewizji finansowej. Zgodnie z zapisami powyższej ustawy, w spółkach giełdowych i innych jednostkach zainteresowania publicznego działa komitet audytu, który m.in. monitoruje skuteczność systemów kontroli wewnętrznej i zarządzania ryzykiem Do zadań komitetu audytu należy w szczególności: Monitorowanie procesu sprawozdawczości finansowej. Monitorowanie skuteczności systemów kontroli wewnętrznej, audytu wewnętrznego oraz zarządzania ryzykiem. Monitorowanie wykonywania czynności rewizji finansowej. Monitorowanie niezależności biegłego rewidenta i firmy audytorskiej.

8 Nowe regulacje i oczekiwania rynku jakie działania podjąć? Poniżej przedstawiamy przykładowe narzędzia i metodologie (szerzej omówione w dalszej części dokumentu), jakie mogą być wykorzystane przez zarządy i komitety audytowe w celu wypełnienia nowych regulacji oraz w procesie wdrożenia i oceny efektywności systemów kontroli wewnętrznej i zarządzania ryzykiem: Jak wdrożyć skuteczny i optymalny kosztowo system kontroli wewnętrznej? Podczas konferencji Corporate Governance w spółkach giełdowych wielu uczestników było zainteresowanych informacją na temat działań jakie zarządy i komitety audytowe powinny podjąć w celu sprostania nowym regulacjom i najlepszym praktykom, w szczególności jak wdrożyć skuteczny system kontroli wewnętrznej w sposób optymalny kosztowo Diagnoza i ocena systemu kontroli wewnętrznej. Samoocena efektywności funkcjonowania komitetu audytu. Przegląd systemu kontroli wewnętrznej i zarządzania ryzykiem na poziomie spółki (entity-level controls). Analiza ryzyk sprawozdawczości finansowej, przygotowanie macierzy ryzyk i kontroli oraz ocena skuteczności procesu raportowania finansowego. Automatyzacja kontroli wewnętrznych. Inne działania w kierunku oceny i optymalizacji kontroli wewnętrznej: Analiza ryzyk operacyjnych i niezgodności z przepisami prawa. Wzmocnienie funkcji audytu wewnętrznego. Ocena budowy kontroli w procesach biznesowych innych niż proces raportowania finansowego. Cykliczne testy efektywności operacyjnej kluczowych kontroli w istotnych procesach biznesowych. Przegląd kontroli nad działalnością przekazaną do innych podmiotów (np. outsourcing IT). Dobrze skonstruowany system kontroli wewnętrznej powinien zapewnić równowagę pomiędzy jego skutecznością i kosztem zastosowanych rozwiązań: Skuteczny System zarządzania ryzykiem i kontroli wewnętrznej Optymalny kosztowo Powiązanie z celami strategicznymi, pokrycie wszystkich istotnych ryzyk Zapobieganie wystąpieniu istotnych błędów, pomyłek i nadużyć Szybkie wykrycie istotnych błędów, pomyłek i nadużyć w przypadku wystąpienia Wdrożenie i bieżący monitoring działań naprawczych / optymalizujących funkcjonowanie systemu kontroli wewnętrznych Ukierunkowanie systemu na pokrycie istotnych ryzyk Zintegrowanie kontroli wewnętrznych tak, aby adresowały jednocześnie ryzyka operacyjne, raportowania finansowego i niezgodności z prawem Odpowiednia proporcja pomiędzy kontrolami manualnymi i automatycznymi Odpowiednia proporcja pomiędzy kontrolami wykrywającymi i prewencyjnymi

9 Diagnoza i ocena systemu kontroli wewnętrznej Pierwszym działaniem w zakresie oceny systemu kontroli wewnętrznej przeprowadzanej przez kierownictwo i komitet audytu może być diagnoza i samoocena na podstawie warsztatów z kierownictwem odpowiedzialnym za finanse i sprawozdawczość, IT, główne procesy biznesowe oraz audyt wewnętrzny lub komórkę kontroli wewnętrznej. Ocena koncentruje się na dojrzałości i złożoności systemu kontroli wewnętrznej biorąc pod uwagę: Strukturę organizacyjną Zasoby ludzkie Procesy biznesowe Technologię Wynik przedstawiany jest w formie wykresu określającego (przy użyciu kodów kolorystycznych) obszary działań naprawczych i/lub istniejących możliwości optymalizacji Możliwe jest również porównanie wyników organizacji ze średnimi wynikami pozostałych spółek w Polsce i za granicą, które poddały się takiej ocenie (benchmarking) Raport z przeprowadzonej samooceny kierownictwa na temat systemu kontroli wewnętrznej może stanowić jedno z narzędzi wykorzystywanych przez rady nadzorcze w monitorowaniu kontroli wewnętrznych organizacji Podejście do ryzyka IT Zarządzanie zmianą Optymalizacja procesów Raportowanie na temat kontroli Czynności naprawcze Ocena przypadków niedziałania kontroli Mechanizmy wczesnego ostrzegania Podejście do testowania kontroli Automatyzacja procesów Arkusze kalkulacyjne Technnologia wspierająca efektywność kontroli Technologia wykorzystywana do oceny kontroli Zarządzanie ryzykiem IT Umowy z podmiotami zewn. Podział obowiązków Kontrole kluczowe Niezawodność kontroli Zmiany w systemach Zaangażowanie kierownictwa Niezależny nadzór nad kontrolami Model zarządzania zasobam Rola audytu wewnętrznego Lokalne zasady ładu korporacyjnego Dokumentacja kontroli Mapowanie ryzyk i kontroli z Optymalizacja kontroli wewnętrznych Inne wymogi prawne Zarządzanie ryzykiem Koszt kontroli Podejście kierownictwa najwyższego szczebla Kultura świadomego podejścia do ryzyka Zrozumienie procesów Odpowiedzialność za kontrole Szkolenia w zakresie kontroli Transfer wiedzy Mierzenie i monitorowanie wiedzy nt. kontroli wewnętrznych Znaczenie efektywności kontroli w ocenie pracy Zakres kontroli wewn. Znajomość ryzyk w procesach Przeprowadzona diagnoza pomoże ustalić, na którym etapie dojrzałości systemu kontroli wewnętrznej organizacja obecnie się znajduje oraz jakie mogą być dalsze działania odzwierciedlające aspiracje kierownictwa w zakresie poprawy kontroli wewnętrznej w krótkim i średnim okresie. Etapy dojrzałości systemu kontroli wewnętrznych Niewiarygodny Nieformalny Formalny Monitorowany Optymalizowany Nieprzewidywalne środowisko, czynności kontrolne nie zostały zaprojektowane lub wdrożone Czynności kontrolne zostały zaprojektowane i wdrożone, ale nie są odpowiednio udokumentowane ani monitorowane Czynności kontrolne zostały zaprojektowane i wdrożone oraz są odpowiednio udokumentowane Budowa i działanie czynności kontrolnych są okresowo testowane. Kierownictwo otrzymuje raporty Zintegrowany system kontroli wewnętrznych, bieżąco monitorowany i stale usprawniany

10 Samoocena efektywności funkcjonowania komitetu audytu Komitet audytu pełni kluczową rolę w procesie nadzoru nad działalnością organizacji poprzez monitorowanie procesu sprawozdawczości finansowej, skuteczności systemów kontroli wewnętrznej oraz zarządzania ryzykiem. Poniżej prezentujemy główne obszary zainteresowania i odpowiedzialności komitetu audytu: Do zadań komitetu audytu zgodnie z projektem ustawy o nadzorze publicznym należy w szczególności: Monitorowanie procesu sprawozdawczości finansowej. Monitorowanie skuteczności systemów kontroli wewnętrznej, audytu wewnętrznego oraz zarządzania ryzykiem. Monitorowanie wykonywania czynności rewizji finansowej. Monitorowanie niezależności biegłego rewidenta i firmy audytorskiej. Proces sprawozdawczości finansowej Prawidłowość polityki (zasad) rachunkowości Uwzględnienie wymagań dotyczących ujawnień Prawidłowość i obiektywność sprawozdania z działalności jednostki Konwersja zapewniająca zgodność z GAAP Audyt zewnętrzny Wybór audytora i jego wynagrodzenie Zakres prac audytowych Wymogi dotyczące niezależności audytora Istotne obserwacje audytowe i rekomendacje Ocena jakości pracy audytora Analiza efektywności Potrzeby w zakresie szkoleń Dbałość o wiedzę w zakresie finansów Roczna ocena jakości pracy komitetu audytu Komitet audytu Główne zadania Komunikacja i raportowanie Relacje z kierownictwem Informowanie i przekazywanie rekomendacji Raportowanie do rady nadzorczej i akcjonariuszy Zarządzanie ryzykiem i system kontroli wewnętrznej Zrozumienie kluczowych obszarów ryzyka Skuteczność kontroli wewnętrznej Ryzyko nadużyć i działań niepożądanych Audyt wewnętrzny Statut audytu wewnętrznego, zadania i zasoby Zakres prac audytowych Efektywność audytu wewnętrznego Odpowiedzi na rekomendacje audytu wewnętrznego Regulacje i wymogi etyczne Skuteczność systemu zapewniającego zgodność z prawem Kodeks postępowania/etyki Przypadki naruszeń W szybko zmieniającym się środowisku biznesowym komitet audytu powinien regularnie dokonywać samooceny swoich działań w odniesieniu do głównych obszarów odpowiedzialności i oczekiwań ze strony akcjonariuszy. Proces samooceny może być wspierany przez podmiot zewnętrzny, co pomaga zapewnić jego obiektywizm oraz dokonanie porównania z najlepszymi praktykami. Dzięki bogatemu doświadczeniu w Polsce i innych krajach posiadających wieloletnią praktykę funkcjonowania komitetów audytu, wypracowaliśmy narzędzia wspierające ocenę efektywności działania komitetów audytu, w tym przykładowe regulaminy/statuty komitetów, programy do samooceny efektywności działania oraz zbiory najlepszych praktyk. Ref Praktyka Zaangażowanie Sposób oceny 4.1 Ocena adekwatności zarządzania ryzykiem i kontroli wewnętrznej na poziomie spółki (entity-level controls). 4.2 Zrozumienie i ocena wdrożonych przez kierownictwo systemów kontroli zapewniających prawidłowe rejestrowanie oraz właściwą autoryzację transakcji. 4.3 Ocena czy rekomendacje dotyczące zarządzania ryzykiem i kontroli wewnętrznych sformułowane przez audytorów zewnętrznych oraz wewnętrznych zostały wdrożone. Komitet audytu, dział audytu wewnętrznego, doradca zewnętrzny. Kierownictwo, dział audytu wewnętrznego, doradca zewnętrzny. PRZYKŁAD Komitet audytu, dział audytu wewnętrznego, doradca zewnętrzny. Niezależny przegląd i raport doradcy zewnętrznego. Przeglądy i raporty kierownictwa, audytu wewnetrznego oraz niezależnego doradcy. Przegląd podjętych działań przez kierownictwo, wyrywkowe sprawdzenie przez audyt wewnetrzny. 4.4 Ocena działań kierownictwa w zakresie analizy ryzyk i przeglądu adekwatności kontroli wokół bezpieczeństwa IT. Kierownictwo, dział IT Niezależny audyt bezpieczeństwa IT.

11 Przegląd systemu kontroli wewnętrznej i zarządzania ryzykiem na poziomie spółki (entity-level controls) Procedury oceny systemu kontroli wewnętrznej i zarządzania ryzykiem na poziomie spółki (entity-level controls) proponujemy przeprowadzić w oparciu o zintegrowany model kontroli wewnętrznej COSO (Internal Control Integrated Framework opublikowany przez Committee of Sponsoring Organizations of the Treadway Commission), który jest obecnie najczęściej wykorzystywanym modelem kontroli wewnętrznej i zarządzania ryzykiem. Dodatkowe wskazówki COSO zostały również zawarte w modelu ERM (Enterprise Risk Management Conceptual Framework, COSO II) oraz Internal Control over Financial Reporting Guidance for Smaller Public Companies. Środowisko kontroli wewnętrznej Kodeks etyczny Rola komitetu audytu / rady nadzorczej Praktyki zarządzania organizacją Rozwój kompetencji pracowników Adekwatność struktury organizacyjnej Delegowanie uprawnień, podział obowiązków i odpowiedzialności Polityki i praktyki w obszarze zasobów ludzkich Ocena ryzyka Ustalanie celów strategicznych i operacyjnych Proces identyfikacji, oceny i zarządzania ryzykami Zarządzanie zmianami Ocena ryzyka działań niepożądanych Czynności kontrolne Powiązanie z oceną ryzyka i adekwatność budowy Kontrole w procesach biznesowych (manualne i automatyczne) Kontrole w środowisku IT Informacja i komunikacja Efektywność pozyskiwania i przepływu informacji Efektywność systemów informacyjnych Sprawozdawczość finansowa Komunikacja wewnętrzna i zewnętrzna Bieżący nadzór Ciągły monitoring i okresowe oceny Raportowanie niezgodności i działania naprawcze Efektywność funkcji audytu wewnętrznego DZIAŁALNOŚĆ OPERACYJNA SPRAWOZDAWCZOŚĆ FINANSOWA Bieżący nadzór Informacja i komunikacja Czynności kontrolne Ocena ryzyka Środowisko kontroli wewnętrznej PRZESTRZEGANIE PRZEPISÓW Procedury oceny systemu kontroli wewnętrznej i zarządzania ryzykiem zwykle obejmują: Analizę istniejących polityk i procedur (np. mapy ryzyk, dokumentacja procesów, opis czynności kontrolnych, instrukcje). Warsztaty i spotkania z kierownictwem odpowiedzialnym za kluczowe obszary podlegające ocenie. Ocenę efektywności budowy przyjętych rozwiązań. Przygotowanie raportu wstępnego zawierającego zidentyfikowane obszary niezgodności i rekomendacje odnośnie działań naprawczych. Sporządzenie raportu końcowego zawierającego podsumowanie dla kierownictwa i/lub komitetu audytu oraz listę obserwacji i rekomendacji. Raport przedstawia również wyniki przeprowadzonych procedur w formie analizy poszczególnych elementów systemu kontroli wewnętrznej i zarządzania ryzykiem (w oparciu o model COSO) wraz ze wskazaniem, w jaki sposób zostały one wdrożone w organizacji. Raport stanowi dokumentację oceny istniejących kontroli na poziomie spółki (entity-level controls), która może zostać wykorzystana przez kierownictwo, zarząd i radę nadzorczą. ODDZIAŁ A ODDZIAŁ B Działanie 1 Działanie 2

12 Analiza ryzyk sprawozdawczości finansowej, przygotowanie macierzy ryzyk i kontroli oraz ocena skuteczności procesu raportowania finansowego Sprawozdawczość finansowa jest obszarem szczególnego zainteresowania akcjonariuszy i rynku kapitałowego z uwagi na wartość informacyjną o wynikach finansowych i sytuacji majątkowej spółek. Jednocześnie stanowi podstawę do podejmowania decyzji biznesowych przez kierownictwo i zarządy, a także organy nadzorcze. Dlatego jednym z kluczowych działań rekomendowanych w procesie wdrożenia i oceny skutecznych systemów kontroli wewnętrznej i zarządzania ryzykiem jest przygotowanie macierzy ryzyk i kontroli dla sprawozdawczości finansowej oraz ocena skuteczności procesu przygotowania raportów finansowych. Poniżej prezentujemy przykłady macierzy ryzyk i kontroli oraz sposobu dokumentowania procesów: Obszar sprawozdania finansowego Cel biznesowy Ryzyko dla raportowania biznesowego Poziom ryzyka Kluczowa kontrola / podjęte działania Należności handlowe Zwiększenie sprzedaży eksportowej do krajów Europy Wschodniej. Wzrost sprzedaży na rynkach eksportowych wiąże się ze zwiększonym ryzykiem ściągalności należności. Wysoki Dyrektor sprzedaży oraz kontroler finansowy dokonują co tydzień przeglądu analizy wiekowej należności w rozbiciu na odbiorców. Wyniki przeglądu są podstawą czynności windykacyjnych i/lub wstrzymania sprzedaży. Koszty operacyjne, zapasy, różnice kursowe Zakupy i zobowiązania Zwiększenie zakupów półproduktów i towarów z Chin Optymalizacja zarządzania kapitałem obrotowym Nieefektywna polityka zabezpieczeń przepływów pieniężnych. Nieprawidłowe zastosowanie rachunkowości zabezp Wysoki PRZYKŁAD Nadużycia i nieprawidłowości w procesie płatności Wysoki Strategia zakupów i zasad autoryzacji transakcji instrumentami pochodnymi zostały zdefiniowane i zatwierdzone przez zarząd i radę nadzorczą. Dzienne zestawienie transakcji jest raportowane do przeglądu dyrektora finansowego i drugiego członka zarządu. System proponuje płatności na podstawie pozytywnego uzgodnienia dokumentów zamówienia, dostawy i faktury. Podział obowiązków i autoryzacji w procesie zakupów i płatności został odpowiednio zaprojektowany. Wszystkie pozycje sprawozdania finansowego Sprawne zamknięcie okresu sprawozdawczego i sporządzenie raportów Błędy i przeoczenia wynikające z szybkiego zamknięcia przy jednoczesnym braku skutecznych kontroli Wysoki Proces zamknięcia miesiąca został przygotowany do raportowania wewnętrznego i zewnętrznego (automatyzacja przebiegu, zdefiniowanie czynności i punktów krytycznych oraz zaprojektowanie kluczowych kontroli w procesie). Cykl: 1 Zakupy i zobowiązania Proces: 1.1 Przyjęcie dostawy Właściciel procesu: XXX PRZYKŁAD Nr kontroli Cel kontroli Ryzyko Czynność kontrolna A C V R Otrzymane dostawy są zgodne z zatwierdzonym zamówieniem zakupu Otrzymane dostawy są zgodne z zatwierdzonym zamówieniem zakupu Nieprawidłowości w dostawach zakupowych są identyfikowane i odpowiednio zatwierdzane Zamówienia zakupowe są odpowiednio zatwierdzane Fikcyjne, nieuzgodnione dostawy są rejestrowane w systemie zakupowym Fikcyjne, nieuzgodnione dostawy są rejestrowane w systemie zakupowym Każda dostawa jest przeglądana pod względem jakościowym, ilościowym oraz jest uzgadniana z dokumentem zamówienia przez pracownika magazynu centralnego. System komputerowy nie zaakceptuje dostawy bez prawidłowej referencji do zatwierdzonego zamówienia zakupowego oraz uzgodnienia ilości otrzymanej z zamówioną. Fikcyjne, Kierownik działu zakupów autoryzuje nieuzgodnione otrzymane wyjaśnienia dotyczące dostawy są nieprawidłowości w dostawie i rejestrowane w ostatecznie zatwierdza przyjecie systemie zakupowym dostawy. Nieautoryzowane, fikcyjne zamówienia zakupowe są rejestrowane i realizowane PRZYKŁADx Kierownik działu zakupów akceptuje zamówienie zakupu w systemie komputerowym. Brak zatwierdzenia zamówienia uniemożliwia zarejestrowanie dostaw w systemie komputerowym. x x Kontrola aut/man P D x M D x x A P M P M P Częstotiwość Osoba wykonująca kontrolę kilka razy Pracownik dziennie magazynu kilka razy Kontrola dziennie systemowa kilka razy Kierownik dziennie działu zakupów kilka razy kierownik dziennie działu zakupów

13 Automatyzacja kontroli wewnętrznych Większość zintegrowanych systemów informatycznych posiada obecnie szerokie możliwości konfiguracji procesów wspomagających zarządzenie ryzykiem i automatyzację czynności kontrolnych. W porównaniu do czynności manualnych kontrole automatyczne cechują się większą niezawodnością oraz niższym kosztem utrzymania i testowania skuteczności ich działania. Systemy wspierają również procesy budżetowania i kontroli kosztów, analizy danych i bezpieczeństwa procesów. Pomimo wspomnianych funkcjonalności nadal obserwujemy jednak, iż w niewielkim stopniu organizacje przeprowadziły ocenę efektywności systemów pod kątem automatyzacji kontroli i przebiegu procesów. Poniżej przedstawiamy wybrane możliwości optymalizacji w tym zakresie. Czy poniższe przykładowe konfigurowalne kontrole automatyczne, raporty i statystyki oraz zasady bezpieczeństwa są wykorzystywane w Państwa organizacji i działają efektywnie? Kontrole automatyczne Limity kredytowe dla odbiorców. Kontrole nad limitami niezgodności dokumentów zamówienia, dostawy i faktur powodującymi blokadę płatności. Konfiguracja kont księgowych uniemożliwiająca ręczne księgowanie na kontach przeznaczonych jedynie do automatycznych zapisów. Wyłączenie możliwości modyfikacji danych stałych w przebiegu procesu. Automatyzacja procesu płatności. Analiza danych, raporty zdarzeń i wyjątków Raporty zmian danych stałych na przykład zmiany numerów rachunków bankowych dostawców, cen sprzedaży. Analiza potencjalnych duplikatów faktur, płatności, danych stałych. Raport zamówień i płatności o nietypowych charakterystykach, na przykład tuż poniżej limitów autoryzacji. Statystyki dotyczące nietypowych księgowań takich jak księgowania o nietypowych porach lub na nietypowe kombinacje kont. Uzgodnienia kont raporty przedstawiające szczegóły różnic pomiędzy kontami księgi głównej a księgami pomocniczymi. Bezpieczeństwo IT, prawa dostępu i odpowiedni poziom autoryzacji Zasady odpowiedniego podziału obowiązków, praw dostępu i poziomu autoryzacji transakcji. Kontrole nad dostępem do krytycznych funkcjonalności i danych poufnych. Monitorowanie przypadków naruszenia bezpieczeństwa. Zarządzanie zmianami w kluczowych aplikacjach i systemach. Planowanie ciągłości działalności.

14 Implementacja nowych rozwiązań kontrolnych Wdrożenie struktury operacyjnej Odpowiednia kultura korporacyjna w dziedzinie kontroli i ciągła poprawa W kierunku optymalizacji kontroli Ocena potrzeb klienta Ocena stanu istniejącego systemu kontroli Inne działania w kierunku oceny i optymalizacji kontroli wewnętrznej Racjonalizacja kontroli Wiedza i umiejętności, odpowiedzialność, system motywacyjny Ocena ryzyka Powiązanie ryzyka i kontroli Analiza ryzyk operacyjnych i niezgodności z przepisami prawa Skuteczne zarządzanie ryzykiem to poza obszarami sprawozdawczości finansowej i raportowania zarządczego (przedstawionych we wcześniejszych częściach dokumentu) także analiza ryzyk operacyjnych oraz niezgodności z obowiązującymi przepisami prawa. Kluczowym działaniem ze strony kierownictwa jest identyfikacja, zarządzanie i monitorowanie ryzyk oraz kontroli wewnętrznych we wszystkich obszarach istotnych dla organizacji. Wzmocnienie funkcji audytu wewnętrznego Audyt wewnętrzny odgrywa istotną rolę w procesie nadzoru, zarządzania ryzykiem i kontroli wewnętrznej. Właściwie zbudowana funkcja pod względem zasobów, kompetencji oraz miejsca w organizacji wraz z odpowiednim planowaniem audytów na podstawie analizy ryzyk, stanowi ważny element systemu i skuteczne narzędzie dla komitetu audytowego i zarządu w realizacji zadań związanych z zarządzaniem ryzykiem i oceną systemu kontroli wewnętrznych. Ocena budowy kontroli w procesach biznesowych Kluczowe procesy biznesowe - na przykład proces sprzedaży i należności, zakupów i płatności czy wynagrodzeń - powinny podlegać ocenie pod kątem istotnych ryzyk oraz prawidłowości budowy i działania czynności kontrolnych (zarówno manualnych jak też automatycznych). Do tego celu mogą zostać wykorzystane zaprezentowane wcześniej mapy i opisy procesów oraz matryce ryzyk i kontroli. Cykliczne testy efektywności operacyjnej kluczowych kontroli Ryzyka i kontrole podlegają zmianom wraz ze zmieniającym się otoczeniem biznesowym czy zmianami wewnątrz organizacji jak wdrożenie systemu, restrukturyzacja czy połączenie. To czy zaprojektowane i wdrożone kontrole działają skutecznie powinno podlegać okresowej ocenie z wykorzystaniem dostępnych narzędzi, takich jak samoocena kierownictwa, audyty wewnętrzne i zewnętrzne, raporty wyjątków. Przegląd kontroli nad działalnością przekazaną do innych podmiotów Strategie biznesowe wielu organizacji opierają się obecnie na skupieniu uwagi kierownictwa na głównych kompetencjach i uzyskiwaniu przewagi konkurencyjnej w obszarach strategicznych dla organizacji, natomiast inne funkcje są wydzielane i przekazywane do wyspecjalizowanych podmiotów, np. przetwarzanie transakcji finansowo-księgowych, działalność IT czy naliczanie płac. Czy jednak outsourcing funkcji biznesowych oznacza również przekazanie ryzyk, odpowiedzialności i kontroli? Jednym z najczęściej wykorzystywanych narzędzi monitorowania ryzyk i kontroli wydzielonych funkcji biznesowych jest raport SAS 70 lub inna forma audytu procesów, kontroli, poziomu świadczonych usług i skuteczności zarządzania ryzykiem.

15 Efektywny system kontroli wewnętrznej korzyści biznesowe Mamy nadzieję, że przedstawiony w niniejszym dokumencie materiał jest dla Państwa przydatnym podsumowaniem obowiązujących regulacji i praktyk dotyczących ładu korporacyjnego, zarządzania ryzykiem i kontroli wewnętrznych, a także zbiorem wskazówek na temat możliwych do podjęcia działań, które możecie Państwo wykorzystać w swoich organizacjach. Zarządzanie ryzykiem i kontrole wewnętrzne to jednak nie tylko kwestia regulacji i wymogów prawnych, ale przede wszystkim realne korzyści biznesowe i szansa na podniesienie wartości spółki dla akcjonariuszy. Korzyści biznesowe Zarządzanie ryzykiem i kontrole wewnętrzne Efektywne zarządzanie ryzykiem i poprawa bezpieczeństwa Skuteczna kontrola biznesu Mniejsze ryzyko wystąpienia działań niepożądanych i nadużyć Procesy biznesowe i czynności kontrolne Usprawnienie procesów biznesowych Optymalizacja kontroli (skuteczne i optymalne kosztowo) Zmniejszenie nakładu pracy np. poprzez automatyzację Raportowanie finansowe Skrócenie czasu zamknięcia okresu i sporządzenia raportów finansowych Mniejsze ryzyko błędów i przeoczeń Kompletność ujawnień Kontrola kosztów Wielopłaszczyznowe analizy wydatków i budżetowanie Lepsza informacja do podejmowania decyzji Raportowanie przypadków odstępstw od ustalonych zasad autoryzacji wydatków Świadomość i wiedza kierownictwa i pracowników Wdrożenie zasad kontroli biznesu do codziennych praktyk Podniesienie motywacji poprzez zróżnicowanie zadań Poprawa jakości wyników pracy

16 ł Krzysztof Szułdrzyński Partner kom: Piotr Urban Starszy Menedżer kom: Piotr Rówiński Menedżer kom: Jacek Masny Menedżer kom: Marcin Jędrkowiak Menedżer kom: PricewaterhouseCoopers. PricewaterhouseCoopers odnosi się do firm wchodzących w skład sieci PricewaterhouseCoopers International Limited, z których każda stanowi odrębny i niezależny podmiot prawny. Wszelkie prawa zastrzeżone.