Ład korporacyjny, zarządzanie ryzykiem i kontrole wewnętrzne
Transcript of Ład korporacyjny, zarządzanie ryzykiem i kontrole wewnętrzne
Ład korporacyjny, zarządzanie ryzykiem i kontrole wewnętrzneNowe regulacje i oczekiwania rynku – czy jesteśmy przygotowani?
Czy oceniliście Państwo wpływ nowych regulacji na Państwa organizację?
Czy komitety audytowe właściwie wypełniają zadania i oczekiwania akcjonariuszy?
Jak wdrożyć odpowiednie rozwiązania w zakresie zarządzania ryzykiem i kontroli wewnętrznej?
W jaki sposób wykorzystujecie Państwo system kontroli wewnętrznej do zarządzania ryzykiem, usprawnienia procesów biznesowych i podniesienia wartości spółki?
Ostatnia dekada przyniosła w wielu krajach nowe regulacje w zakresie ładu korporacyjnego i nadzoru nad spółkami interesu publicznego, w szczególności odnoszące się do oceny skuteczności systemu zarządzania ryzykiem oraz kontroli wewnętrznej. Polską odpowiedzią – obok obecnie obowiązujących przepisów i dobrych praktyk spółek notowanych na GPW – jest ustawa o biegłych rewidentach i ich samorządzie, firmach audytorskich oraz o nadzorze publicznym, której projekt został w grudniu 2008 r. przyjęty przez Radę Ministrów. Celem niniejszej publikacji jest podsumowanie nowych obowiązków i zadań stojących przed zarządami i radami nadzorczymi oraz ogólna diagnoza stopnia przygotowania polskich spółek do wypełnienia nowych regulacji przeprowadzona na podstawie raportów bieżących spółek publicznych.
Czy jednak efektywny nadzór, silne kontrole wewnętrzne i skuteczne zarządzanie ryzykiem to tylko kwestia spełnienia regulacji i dobrych praktyk czy raczej uzasadniona potrzeba biznesowa, której celem jest ochrona interesów akcjonariuszy oraz przeciwdziałanie praktykom mogącym skutkować poniesieniem strat, nadużyciami czy niekompletnym ujawnieniem informacji? Ostatnie miesiące były bogate w doniesienia o ryzykownych działaniach spółek czy nierzetelnym przekazywaniu informacji istotnych dla inwestorów.
Niniejsza publikacja jest również odpowiedzią na pytania i wątpliwości zgłaszane przez rady nadzorcze, komitety audytu, zarządy, kierownictwa działów audytu wewnętrznego – „Jak wdrożyć skuteczny system kontroli wewnętrznej w sposób optymalny kosztowo?”. Przedstawiamy przykładowe narzędzia i metodologie, jakie mogą być wykorzystane w celu wypełnienia nowych regulacji oraz w procesie wdrożenia i oceny efektywności systemów kontroli wewnętrznej i zarządzania ryzykiem, jak również korzyści biznesowe takich działań.
Jeśli mają Państwo pytania dotyczące tematyki zawartej w niniejszej publikacji, zapraszamy do kontaktu z naszymi ekspertami do spraw ładu korporacyjnego, zarządzania ryzykiem i kontroli wewnętrznej.
Szanowni Państwo,
Jacek SochaWiceprezes
Krzysztof Szułdrzyński Partner
W czerwcu 2008 r. Stowarzyszenie Emitentów Giełdowych (SEG) wraz z Giełdą Papierów Wartościowych w Warszawie (GPW) zorganizowały – pod patronatem merytorycznym PricewaterhouseCoopers – konferencję z udziałem kierownictwa spółek giełdowych i przedstawicieli instytucji rynku kapitałowego na temat „Corporate Governance w spółkach giełdowych”. Głównymi punktami konferencji były dyskusje na temat Dobrych Praktyk Spółek Notowanych na GPW, rozwiązań w zakresie Corporate Governance w innych krajach oraz nowe regulacje i najlepsze praktyki w zakresie ładu korporacyjnego w Polsce. Istotną częścią spotkania były dyskusje panelowe przeprowadzone na podstawie interaktywnego badania w grupie prawie 100 uczestników. Poniższe wybrane odpowiedzi potwierdzają istotne znaczenie, jakie spółki giełdowe w Polsce nadają zagadnieniom ładu korporacyjnego, zarządzania ryzykiem i systemu kontroli wewnętrznej: • 86% respondentów stwierdziło, że silny system kontroli wewnętrznej podnosi
wartość spółki (bezpośrednio lub pośrednio poprzez odpowiednie wspieranie celów biznesowych oraz zarządzanie ryzykiem).
• 84% respondentów wskazało, że rada nadzorcza powinna dokonywać przynajmniej raz w roku niezależnej oceny efektywności budowy i działania kluczowych kontroli (poprzez np. cykliczny przegląd istotnych ryzyk, analizę raportów audytu wewnętrznego, wykorzystanie doradców do oceny systemu kontroli wewnętrznej, komunikację z zarządem).
• 63% respondentów stwierdziło, że jest zainteresowane usprawnieniami systemu zarządzania ryzykiem i kontroli wewnętrznej. Jednocześnie 62% wskazało, że spośród obszarów określonych w Dobrych Praktykach Spółek Notowanych na GPW, najtrudniejsze we wdrożeniu są te dotyczące członków rad nadzorczych.
Tylko kwestia spełnienia regulacji czy uzasadniona potrzeba biznesowa?
Rada nadzorcza (lub działający w jej strukturach komitet audytu) monitoruje skuteczność istniejących w spółce systemów kontroli wewnętrznej oraz zarządzania ryzykiem – obecnie dobra praktyka, niebawem po przyjęciu ustawy o nadzorze publicznym będzie to przepis obowiązującego prawa
Tylko 1% respondentów wskazało, iż rady nadzorcze nie muszą podejmować żadnych dodatkowych działań, aby spełnić wymogi nowych regulacji
Czy jednak efektywny nadzór, silne kontrole wewnętrzne i skuteczne zarządzanie ryzykiem to tylko kwestia spełnienia regulacji i dobrych praktyk czy raczej uzasadniona potrzeba biznesowa, której celem jest ochrona interesów akcjonariuszy oraz przeciwdziałanie praktykom mogącym skutkować poniesieniem strat, nadużyciami czy niekompletnym ujawnieniem informacji?
Spójrzmy na wybrane fragmenty artykułów prasowych z ostatnich miesięcy:
• Ład korporacyjny, zarządzanie ryzykiem i kontrole wewnętrzne – regulacjew wybranych krajach na świecie
• Dobre Praktyki Spółek Notowanych na GPW – rekomendacje i zakres stosowania• Kodeks spółek handlowych oraz inne przepisy prawa
• Nowelizacja ustawy o rachunkowości• Przyjęty przez Radę Ministrów projekt ustawy z dnia 9 grudnia 2008 r. o biegłych
rewidentach i ich samorządzie, firmach audytorskich oraz o nadzorze publicznym (ustawa o „nadzorze publicznym”)
• Zadania komitetu audytowego
• Diagnoza systemu kontroli wewnętrznej• Samoocena efektywności komitetu audytu• Przegląd systemu kontroli wewnętrznej i zarządzania ryzykiem na poziomie spółki
(entity-level controls)• Analiza ryzyk sprawozdawczości finansowej i ocena procesu raportowania
finansowego• Automatyzacja kontroli wewnętrznych• Inne działania w kierunku oceny i optymalizacji kontroli wewnętrznej
• Identyfikacja ryzyk i obszarów, w których istnieje potrzeba wzmocnienia kontroli wewnętrznej
• Usprawnienia procesów biznesowych i optymalizacja kontroli wewnętrznych poprzez ich automatyzację, likwidację zbędnych i wdrożenie brakujących kontroli
• Efektywniejsze raportowanie finansowe• Skuteczna kontrola kosztów• Zwiększenie świadomości i wiedzy na temat zarządzania ryzykiem i kontroli
wewnętrznej
Ład korporacyjny, zarządzanie ryzykiem i kontrole wewnętrzneNowe regulacje i oczekiwania rynku – czy jesteśmy przygotowani?
Przeglądobowiązującychregulacji
Zawartość
Nowe regulacjei oczekiwania rynku – czyjesteśmy przygotowani?
Nowe regulacjei oczekiwania rynku- jakie działania podjąć?
Efektywny systemkontroli wewnętrznej– korzyści biznesowe
Dobre Praktyki Spółek Notowanych na GPW
Zgodnie z badaniem przeprowadzonym przez PricewaterhouseCoopers na dzień 30 września 2008 r., niewiele ponad 20% spółek giełdowych w Polsce wdrożyło Dobre Praktyki bez żadnych wyjątków (na podstawie raportów spółek notowanych na GPW)
Największe problemy wystąpiły przy wdrożeniu zasad dotyczących funkcjonowania i działania rad nadzorczych. Ponad 50% spółek zadeklarowało odstępstwa w obszarach niezależności członków rady nadzorczej, funkcjonowania komitetów audytowych, niezależnego członka komitetu posiadającego kompetencje w dziedzinie rachunkowości i finansów oraz stosowania zaleceń dotyczących roli dyrektorów niewykonawczych
Ostatnia dekada przyniosła w wielu krajach nowe regulacje w zakresie ładu korporacyjnego i nadzoru nad spółkami interesu publicznego, zarządzania ryzykiem oraz systemów kontroli wewnętrznej. W 2002 r. Stany Zjednoczone uchwaliły ustawę Sarbanes-Oxley (SOX) wymagającą od spółek publicznych wdrożenia i corocznej oceny efektywności działania systemu kontroli wewnętrznej. Od tego czasu wiele krajów przyjęło podobne rozwiązania dotyczące ładu korporacyjnego i kontroli wewnętrznej. Przykłady obejmują Kanadę (National Instrument 52-109), Unię Europejską (Directive 2006/43/EC), Szwajcarię (Code of Obligations oraz Swiss Exchange Directive 2002/2006), Niemcy (German Corporate Governance Codec), Australię (Australian Corporate Reporting and Disclosure Law), Francję (French Law on Financial Security), Włochy (L262/2005 - Italian legislation for financial services institutions), Wielką Brytanię (Revised guidance for directors on the combined code – the Turnbull Guidance), Japonię (the Financial Instruments and Exchange Law ‘J-SOX’), Chiny (The Basic Standard for Enterprise Internal Control).
Przegląd obowiązujących regulacji
Regulacje obowiązujące w Polsce mają charakter zarówno rekomendacji i dobrych praktyk, jak też przepisów prawa. Dobre Praktyki Spółek Notowanych na Giełdzie Papierów Wartościowych w Warszawie (GPW) to zbiór zasad ładu korporacyjnego oraz zasad określających normy kształtowania relacji przedsiębiorstw giełdowych z ich otoczeniem rynkowym. Celem Dobrych Praktyk jest umacnianie transparentności spółek giełdowych, poprawa jakości komunikacji spółek z inwestorami, wzmocnienie ochrony praw akcjonariuszy także w obszarach nieregulowanych przez prawo.
Do ważnych z punktu widzenia nadzoru i systemu kontroli wewnętrznej należą m.in. następujące zapisy Dobrych Praktyk:
• Przynajmniej dwóch członków rady nadzorczej powinno spełniać kryterianiezależności.
• W ramach rady nadzorczej powinien funkcjonować co najmniej komitet audytu. W skład tego komitetu powinien wchodzić co najmniej jeden członek niezależny(…), posiadający kompetencje w dziedzinie rachunkowości i finansów. W spółkach, w których rada nadzorcza składa się z minimalnej wymaganej przez prawo liczby członków, zadania komitetu mogą być wykonywane przez radę nadzorczą.
• Poza czynnościami wymienionymi w przepisach prawa rada nadzorcza powinnaraz w roku sporządzać i przedstawiać walnemu zgromadzeniu zwięzłą ocenę sytuacji spółki, z uwzględnieniem oceny systemu kontroli wewnętrznej i systemuzarządzania ryzykiem istotnym dla spółki.
• W zakresie zadań i funkcjonowania komitetów działających w radzie nadzorczejpowinien być stosowany Załącznik I do Zalecenia Komisji Europejskiej z dnia 15 lutego 2005 r. dotyczący roli dyrektorów niewykonawczych, m.in. w zakresieprzeglądu, przynajmniej raz w roku, systemów kontroli wewnętrznej i zarządzaniaryzykiem pod kątem zapewnienia, że główne ryzyka są prawidłowo identyfikowane, zarządzane i ujawniane.
Kodeks spółek handlowych wskazuje, iż rada nadzorcza sprawuje stały nadzórnad działalnością spółki we wszystkich dziedzinach jej działalności. Do szczególnych obowiązków rady nadzorczej należy ocena i zatwierdzenie rocznych sprawozdań finansowych oraz sprawozdania zarządu z działalności spółkiw zakresie ich zgodności z księgami i dokumentami, jak i ze stanem faktycznym. Dodatkowe regulacje w zakresie nadzoru, kontroli i zgodności z przepisami prawa istnieją w wybranych sektorach (np. sektor bankowy i ubezpieczeniowy,telekomunikacyjny, energetyczny, farmaceutyczny).
Kodeks spółek handlowych oraz inne przepisy prawa
Ustawa o rachunkowościNowelizacja ustawy o rachunkowości rozszerza od dnia 1 stycznia 2009 r. na radę nadzorczą obowiązek zapewnienia zgodności sprawozdania finansowego z ustawą
Ustawa o „nadzorze publicznym”Rada Ministrów przyjęła projekt ustawy z dnia 9 grudnia 2008 r. o biegłych rewidentach i ich samorządzie, firmach audytorskich oraz o nadzorze publicznym (ustawa o „nadzorze publicznym”)
Projekt ustawy o biegłych rewidentach i ich samorządzie, firmach audytorskich oraz o nadzorze publicznym jest polską odpowiedzią na wymogi dyrektywy unijnej 2006/43/WE. Jednocześnie nowelizacja ustawy o rachunkowości rozszerza na radę nadzorczą obowiązek zapewnienia zgodności sprawozdania finansowego z ustawą.
Czy jednak w kontekście obecnej wiedzy o stopniu wypełnienia Dobrych Praktyk Spółek Notowanych na GPW jesteśmy przygotowani na nowe regulacje i oczekiwania rynku? Ponad 50% spółek giełdowych zadeklarowało odstępstwa w obszarach niezależności członków rady nadzorczej, funkcjonowania komitetów audytowych, niezależnego członka komitetu posiadającego kompetencje w dziedzinie rachunkowości i finansów oraz stosowania zaleceń dotyczących roli dyrektorów niewykonawczych. Jednocześnie wiele spółek nie przedstawiło oceny systemu kontroli wewnętrznej i systemu zarządzania ryzykiem istotnym dla spółki.
Nowe regulacje i oczekiwania rynku – czy jesteśmy przygotowani?
Art. 4a. Ustawy o rachunkowości:
• Kierownik jednostki oraz członkowie rady nadzorczej lub innego organu nadzorującego jednostki są zobowiązani do zapewnienia, aby sprawozdanie finansowe oraz sprawozdanie z działalności spełniały wymagania przewidzianew niniejszej ustawie.
• Kierownik jednostki oraz członkowie rady nadzorczej lub innego organunadzorującego jednostki odpowiadają solidarnie wobec spółki za szkodęwyrządzoną działaniem lub zaniechaniem stanowiącym naruszenie obowiązkuwynikającego z powyższego zapisu ustawy.
Ustawa w artykule 77 przewiduje odpowiedzialność karną w przypadku nieprowadzenia ksiąg rachunkowych, prowadzenia ich wbrew przepisom ustawy lub podawania w tych księgach nierzetelnych danych, a także niesporządzenia sprawozdania finansowego, sporządzenia go niezgodnie z przepisami ustawy lub zawarcia w tym sprawozdaniu nierzetelnych danych.
Art. 86 projektu ustawy o nadzorze publicznym przyjętego przez Radę Ministrów określa, iż w jednostkach zainteresowania publicznego (obejmujących m.in. spółki giełdowe, banki, zakłady ubezpieczeniowe) działa komitet audytu, którego członkowie powoływani są spośród członków rady nadzorczej (w jednostkach, w których rada nadzorcza składa się z nie więcej niż 5 członków, zadania komitetu audytu mogą zostać powierzone radzie nadzorczej). W skład komitetu audytu wchodzi co najmniej 3 członków, w tym przynajmniej jeden członek powinien spełniać warunki niezależności i posiadać kwalifikacje w dziedzinie rachunkowości lub rewizji finansowej.
Do zadań komitetu audytu należy w szczególności:
• Monitorowanie procesu sprawozdawczości finansowej.• Monitorowanie skuteczności systemów kontroli wewnętrznej,
audytu wewnętrznego oraz zarządzania ryzykiem.• Monitorowanie wykonywania czynności rewizji finansowej.• Monitorowanie niezależności biegłego rewidenta i firmy audytorskiej.
Zgodnie z zapisami powyższej ustawy, w spółkach giełdowych i innych jednostkach zainteresowania publicznego działa komitet audytu, który m.in. monitoruje skuteczność systemów kontroli wewnętrznej i zarządzania ryzykiem
Podczas konferencji „Corporate Governance w spółkach giełdowych” wielu uczestników było zainteresowanych informacją na temat działańjakie zarządy i komitety audytowe powinny podjąć w celu sprostania nowym regulacjom i najlepszym praktykom, w szczególności jak wdrożyć skuteczny system kontroli wewnętrznej w sposób optymalny kosztowo
Poniżej przedstawiamy przykładowe narzędzia i metodologie (szerzej omówione w dalszej części dokumentu), jakie mogą być wykorzystane przez zarządy i komitety audytowe w celu wypełnienia nowych regulacji oraz w procesie wdrożenia i oceny efektywności systemów kontroli wewnętrznej i zarządzania ryzykiem:
• Diagnoza i ocena systemu kontroli wewnętrznej.
• Samoocena efektywności funkcjonowania komitetu audytu.
• Przegląd systemu kontroli wewnętrznej i zarządzania ryzykiem na poziomiespółki (entity-level controls).
• Analiza ryzyk sprawozdawczości finansowej, przygotowanie macierzy ryzyk i kontroli oraz ocena skuteczności procesu raportowania finansowego.
• Automatyzacja kontroli wewnętrznych.
• Inne działania w kierunku oceny i optymalizacji kontroli wewnętrznej:
– Analiza ryzyk operacyjnych i niezgodności z przepisami prawa.
– Wzmocnienie funkcji audytu wewnętrznego.
– Ocena budowy kontroli w procesach biznesowych innych niż proces raportowania finansowego.
– Cykliczne testy efektywności operacyjnej kluczowych kontroli w istotnych procesach biznesowych.
– Przegląd kontroli nad działalnością przekazaną do innych podmiotów (np. outsourcing IT).
Nowe regulacje i oczekiwania rynku – jakie działania podjąć?
Jak wdrożyć skuteczny i optymalny kosztowo system kontroli wewnętrznej?
Dobrze skonstruowany system kontroli wewnętrznej powinien zapewnić równowagę pomiędzy jego skutecznością i kosztem zastosowanych rozwiązań:
i kontroli wewnętrznej
Powiązanie z celami strategicznymi, pokrycie wszystkich istotnych ryzyk
Zapobieganie wystąpieniu istotnych błędów, pomyłek i nadużyć
Szybkie wykrycie istotnych błędów, pomyłek i nadużyć w przypadku wystąpienia
Wdrożenie i bieżący monitoring działań naprawczych / optymalizujących funkcjonowanie systemu kontroli wewnętrznych
Skuteczny
• Ukierunkowanie systemu na pokrycie istotnych ryzyk
• Zintegrowanie kontroli wewnętrznych tak, aby adresowały jednocześnie ryzyka operacyjne, raportowania finansowego i niezgodności z prawem
• Odpowiednia proporcja pomiędzy kontrolami manualnymi i automatycznymi
• Odpowiednia proporcja pomiędzy kontrolami wykrywającymi i prewencyjnymi
Optymalny kosztowo
System zarządzania ryzykiem
•
•
•
•
Wynik przedstawiany jest w formie wykresu określającego (przy użyciu kodów kolorystycznych) obszary działań naprawczych i/lub istniejących możliwości optymalizacji
Możliwe jest również porównanie wyników organizacji ze średnimi wynikami pozostałych spółek w Polsce i za granicą, które poddały się takiej ocenie (benchmarking)
Raport z przeprowadzonej samooceny kierownictwa na temat systemu kontroli wewnętrznej może stanowić jedno z narzędzi wykorzystywanych przez rady nadzorcze w monitorowaniu kontroli wewnętrznych organizacji
Pierwszym działaniem w zakresie oceny systemu kontroli wewnętrznej przeprowadzanej przez kierownictwo i komitet audytu może być diagnoza i samoocena na podstawie warsztatów z kierownictwem odpowiedzialnym za finanse i sprawozdawczość, IT, główne procesy biznesowe oraz audyt wewnętrzny lub komórkę kontroli wewnętrznej. Ocena koncentruje się na dojrzałości i złożoności systemu kontroli wewnętrznej biorąc pod uwagę:
• Strukturę organizacyjną
• Zasoby ludzkie
• Procesy biznesowe
• Technologię
Diagnoza i ocena systemu kontroli wewnętrznej
Przeprowadzona diagnoza pomoże ustalić, na którym etapie dojrzałości systemu kontroli wewnętrznej organizacja obecnie się znajduje oraz jakie mogą być dalsze działania odzwierciedlające aspiracje kierownictwa w zakresie poprawy kontroli wewnętrznej w krótkim i średnim okresie.
Etapy dojrzałości systemu kontroli wewnętrznych
Niewiarygodny
Nieformalny
Formalny
Monitorowany
Optymalizowany
Nieprzewidywalne środowisko, czynności kontrolne nie zostały zaprojektowane lub wdrożone
Czynności kontrolne zostały zaprojektowane i wdrożone, ale nie są odpowiednio udokumentowane ani monitorowane
Czynności kontrolne zostały zaprojektowane i wdrożone oraz są odpowiednio udokumentowane
Budowa i działanie czynności kontrolnych są okresowo testowane. Kierownictwo otrzymuje raporty
Zintegrowany system kontroli wewnętrznych, bieżąco monitorowany i stale usprawniany
Niezawodność kontroli
Zaangażowanie kierownictwa
Niezależny nadzór nad kontrolami
Model zarządzania zasobam
Rola audytu wewnętrznego
Lokalne zasady ładu korporacyjnego
Inne wymogi prawne
Zarządzanie ryzykiem
Koszt kontroli
Podejście kierownictwanajwyższego szczebla
Kultura świadomegopodejścia do ryzyka
Zrozumienie procesów
Odpowiedzialność za kontrole
Szkolenia w zakresie kontroli
Transfer wiedzy
Mierzenie i monitorowanie wiedzy nt. kontroli wewnętrznych
Znaczenie efektywności kontroliw ocenie pracy
Zakres kontroli wewn.
Znajomość ryzykw procesach
Mapowanie ryzyk i kontroli
Dokumentacja kontroli
Kontrole kluczowePodział obowiązków
Umowy z podmiotami zewn.
Podejście do testowania kontroli
Mechanizmy wczesnego ostrzegania
Ocena przypadków niedziałania kontroli
Czynności naprawcze
Raportowanie na temat kontroli
Optymalizacja procesów
Zarządzanie zmianą
Podejście do ryzyka IT
Zarządzanie ryzykiem IT
Technologia wykorzystywanado oceny kontroli
Technnologia wspierającaefektywność kontroli
Arkusze kalkulacyjneAutomatyzacja procesów
Zmiany w systemach
z
Optymalizacja kontroli
wewnętrznych
Do zadań komitetu audytu zgodnie z projektem ustawy o nadzorze publicznym należy w szczególności:
• Monitorowanie procesu sprawozdawczości finansowej.• Monitorowanie skuteczności systemów kontroli wewnętrznej, audytu wewnętrznego oraz zarządzania ryzykiem.• Monitorowanie wykonywania czynności rewizji finansowej.• Monitorowanie niezależności biegłego rewidenta i firmy audytorskiej.
Komitet audytu pełni kluczową rolę w procesie nadzoru nad działalnością organizacji poprzez monitorowanie procesu sprawozdawczości finansowej, skuteczności systemów kontroli wewnętrznej oraz zarządzania ryzykiem. Poniżej prezentujemy główne obszary zainteresowania i odpowiedzialności komitetu audytu:
Samoocena efektywności funkcjonowania komitetu audytu
W szybko zmieniającym się środowisku biznesowym komitet audytu powinien regularnie dokonywać samooceny swoich działań w odniesieniu do głównych obszarów odpowiedzialności i oczekiwań ze strony akcjonariuszy. Proces samooceny może być wspierany przez podmiot zewnętrzny, co pomaga zapewnić jego obiektywizm oraz dokonanie porównania z najlepszymi praktykami.
Proces sprawozdawczości finansowej· Prawidłowość polityki (zasad) rachunkowości· Uwzględnienie wymagań
dotyczących ujawnień· Prawidłowość i obiektywność
sprawozdania z działalności jednostki· Konwersja zapewniająca
zgodność z GAAP
Zarządzanie ryzykiem i system kontroli wewnętrznej· Zrozumienie kluczowych obszarów
ryzyka· Skuteczność kontroli wewnętrznej· Ryzyko nadużyć i działań niepożądanych
Audyt zewnętrzny· Wybór audytora i jego wynagrodzenie· Zakres prac audytowych· Wymogi dotyczące niezależności audytora· Istotne obserwacje audytowe i rekomendacje· Ocena jakości pracy audytora
Audyt wewnętrzny· Statut audytu wewnętrznego,
zadania i zasoby· Zakres prac audytowych
· Efektywność audytu wewnętrznego· Odpowiedzi na rekomendacje
audytu wewnętrznego
Analiza efektywności· Potrzeby w zakresie
szkoleń· Dbałość o wiedzę
w zakresie finansów· Roczna ocena jakości
pracy komitetu audytu
Komunikacja i raportowanie· Relacje z kierownictwem· Informowanie i
przekazywanie rekomendacji· Raportowanie do rady
nadzorczej i akcjonariuszy
Regulacje i wymogi etyczne· Skuteczność systemu
zapewniającego zgodność z prawem
· Kodeks postępowania/etyki· Przypadki naruszeń
Komitet audytuGłówne zadania
Dzięki bogatemu doświadczeniu w Polsce i innych krajach posiadających wieloletnią praktykę funkcjonowania komitetów audytu, wypracowaliśmy narzędzia wspierające ocenę efektywności działania komitetów audytu, w tym przykładowe regulaminy/statuty komitetów, programy do samooceny efektywności działania oraz zbiory najlepszych praktyk.
4.1 Ocena adekwatności zarządzania ryzykiem i kontroli wewnętrznej na poziomie spółki (entity-level controls).
Komitet audytu, dział audytu wewnętrznego, doradca zewnętrzny.
Niezależny przegląd i raport doradcy zewnętrznego.
Ref Praktyka Zaangażowanie Sposób oceny
4.2 Zrozumienie i ocena wdrożonych przez kierownictwo systemów kontroli zapewniających prawidłowe rejestrowanie oraz właściwą autoryzację transakcji.
Kierownictwo, dział audytu wewnętrznego, doradca zewnętrzny.
Przeglądy i raporty kierownictwa, audytu wewnetrznego oraz niezależnego doradcy.
4.3 Ocena czy rekomendacje dotyczące zarządzania ryzykiem i kontroli wewnętrznych sformułowane przez audytorów zewnętrznych oraz wewnętrznych zostały wdrożone.
Komitet audytu, dział audytu wewnętrznego, doradca zewnętrzny.
Przegląd podjętych działań przez kierownictwo, wyrywkowe sprawdzenie przez audyt wewnetrzny.
4.4 Ocena działań kierownictwa w zakresie analizy ryzyk i przeglądu adekwatności kontroli wokół bezpieczeństwa IT.
Kierownictwo, dział IT Niezależny audyt bezpieczeństwa IT.
PRZYKŁAD
Środowisko kontroli wewnętrznej
• Kodeks etyczny
• Rola komitetu audytu / radynadzorczej
• Praktyki zarządzania organizacją
• Rozwój kompetencji pracowników
• Adekwatność struktury organizacyjnej
• Delegowanie uprawnień, podział obowiązków i odpowiedzialności
• Polityki i praktyki w obszarze zasobów ludzkich
Ocena ryzyka
• Ustalanie celów strategicznychi operacyjnych
• Proces identyfikacji, ocenyi zarządzania ryzykami
• Zarządzanie zmianami
• Ocena ryzyka działań niepożądanych
Czynności kontrolne
• Powiązanie z oceną ryzyka i adekwatność budowy
• Kontrole w procesach biznesowych(manualne i automatyczne)
• Kontrole w środowisku IT
Informacja i komunikacja
• Efektywność pozyskiwania i przepływu informacji
• Efektywność systemów informacyjnych
• Sprawozdawczość finansowa
• Komunikacja wewnętrzna i zewnętrzna
Bieżący nadzór
• Ciągły monitoring i okresowe oceny
• Raportowanie niezgodności i działania naprawcze
• Efektywność funkcji audytu wewnętrznego
Procedury oceny systemu kontroli wewnętrznej i zarządzania ryzykiem na poziomie spółki (entity-level controls) proponujemy przeprowadzić w oparciu o zintegrowany model kontroli wewnętrznej COSO (Internal Control – Integrated Framework opublikowany przez Committee of Sponsoring Organizations of the Treadway Commission), który jest obecnie najczęściej wykorzystywanym modelem kontroli wewnętrznej i zarządzania ryzykiem. Dodatkowe wskazówki COSO zostały również zawarte w modelu ERM (Enterprise Risk Management Conceptual Framework, COSO II) oraz Internal Control over Financial Reporting – Guidance for Smaller Public Companies.
Przegląd systemu kontroli wewnętrznej i zarządzania ryzykiem na poziomie spółki (entity-level controls)
Procedury oceny systemu kontroli wewnętrznej i zarządzania ryzykiem zwykle obejmują:
• Analizę istniejących polityk i procedur (np. mapy ryzyk, dokumentacja procesów, opis czynności kontrolnych, instrukcje).
• Warsztaty i spotkania z kierownictwem odpowiedzialnym za kluczowe obszarypodlegające ocenie.
• Ocenę efektywności budowy przyjętych rozwiązań.
• Przygotowanie raportu wstępnego zawierającego zidentyfikowane obszary niezgodności i rekomendacje odnośnie działań naprawczych.
• Sporządzenie raportu końcowego zawierającego podsumowanie dla kierownictwa i/lub komitetu audytu oraz listę obserwacji i rekomendacji. Raport przedstawia również wyniki przeprowadzonych procedur w formie analizy poszczególnych elementów systemu kontroli wewnętrznej i zarządzania ryzykiem (w oparciu o model COSO) wraz ze wskazaniem, w jaki sposób zostały one wdrożone w organizacji. Raport stanowi dokumentację oceny istniejących kontroli na poziomie spółki (entity-level controls), która może zostać wykorzys-tana przez kierownictwo, zarząd i radę nadzorczą.
Bieżący nadzór
Informacja i komunikacja
Czynności kontrolne
Ocena ryzyka
Środowisko kontroli wewnętrznej
DZIAŁA
LNOŚĆ
OPERACYJNA
SPRAWOZDAW
CZOŚĆ
FINANSOW
A
PRZESTRZEGANIE
PRZEPISÓW
OD
DZ
IAŁ
A
OD
DZ
IAŁ
B
Dzi
ałan
ie 1
Dzi
ałan
ie 2
Sprawozdawczość finansowa jest obszarem szczególnego zainteresowania akcjonariuszy i rynku kapitałowego z uwagi na wartość informacyjną o wynikach finansowych i sytuacji majątkowej spółek. Jednocześnie stanowi podstawę do podejmowania decyzji biznesowych przez kierownictwo i zarządy, a także organy nadzorcze. Dlatego jednym z kluczowych działań rekomendowanych w procesie wdrożenia i oceny skutecznych systemów kontroli wewnętrznej i zarządzania ryzykiem jest przygotowanie macierzy ryzyk i kontroli dla sprawozdawczości finansowej oraz ocena skuteczności procesu przygotowania raportów finansowych. Poniżej prezentujemy przykłady macierzy ryzyk i kontroli oraz sposobu dokumentowania procesów:
Analiza ryzyk sprawozdawczości finansowej, przygotowanie macierzy ryzyk i kontroli oraz ocena skuteczności procesu raportowania finansowego
Cykl: 1 Zakupy i zobowiązaniaProces: 1.1 Przyjęcie dostawyWłaściciel procesu: XXX
Nr ko
ntro
li
Cel kontroli Ryzyko Czynność kontrolna A C V R
Często
tiwość
P DOsoba
wykonującakontrolę
Ko
ntro
la aut/m
an
1.1.1 Otrzymane dostawy są zgodne z zatwierdzonym zamówieniem zakupu
Fikcyjne, nieuzgodnione dostawy są rejestrowane w systemie zakupowym
Każda dostawa jest przeglądana pod względem jakościowym, ilościowym oraz jest uzgadniana z dokumentem zamówienia przez pracownika magazynu centralnego.
x
x
kilka razy dziennie
Pracownik magazynu
1.1.2 Otrzymane dostawy są zgodne z zatwierdzonym zamówieniem zakupu
Fikcyjne, nieuzgodnione dostawy są rejestrowane w systemie zakupowym
System komputerowy nie zaakceptuje dostawy bez prawidłowej referencji do zatwierdzonego zamówienia zakupowego oraz uzgodnienia ilości otrzymanej z zamówioną.
kilka razy dziennie
Kontrola systemowa
1.1.1 Nieprawidłowości w dostawach zakupowych są identyfikowane i odpowiednio zatwierdzane.
Fikcyjne, nieuzgodnione dostawy są rejestrowane w systemie zakupowym
Kierownik działu zakupów autoryzuje otrzymane wyjaśnienia dotyczące nieprawidłowości w dostawie i ostatecznie zatwierdza przyjecie dostawy.
kilka razy dziennie
Kierownik działu zakupów
1.1.1 Zamówienia zakupowe są odpowiednio zatwierdzane
Nieautoryzowane, fikcyjne zamówienia zakupowe są rejestrowane i realizowane
Kierownik działu zakupów akceptuje zamówienie zakupu w systemie komputerowym. Brak zatwierdzenia zamówienia uniemożliwia zarejestrowanie dostaw w systemie komputerowym.
kilka razy dziennie
kierownik działu zakupów
x M D
x
x
x
A
M
M
P
P
P
Wysoki
Wysoki
Wysoki
Wysoki
PRZYKŁAD
Należności handlowe
Zwiększenie sprzedaży eksportowej do krajów Europy Wschodniej.
Wzrost sprzedaży na rynkach eksportowych wiąże się ze zwiększonym ryzykiem ściągalności należności.
Koszty operacyjne, zapasy, różnice kursowe
Zwiększenie zakupów półproduktów i towarów z Chin
Nieefektywna polityka zabezpieczeń przepływów pieniężnych. Nieprawidłowe zastosowanie rachunkowości zabezp
Zakupy i zobowiązania
Optymalizacja zarządzania kapitałem obrotowym
Nadużycia i nieprawidłowości w procesie płatności
Wszystkie pozycje sprawozdania finansowego
Sprawne zamknięcie okresu sprawozdawczego i sporządzenie raportów
Błędy i przeoczenia wynikające z szybkiego zamknięcia przy jednoczesnym braku skutecznych kontroli
Dyrektor sprzedaży oraz kontroler finansowy dokonują co tydzień przeglądu analizy wiekowej należności w rozbiciu na odbiorców. Wyniki przeglądu są podstawą czynności windykacyjnych i/lub wstrzymania sprzedaży.
Obszar spra-wozdania
finansowego
Cel biznesowy
Ryzyko dla raportowania
biznesowego
Kluczowa kontrola / podjęte działania
Strategia zakupów i zasad autoryzacji transakcji instrumentami pochodnymi zostały zdefiniowane i zatwierdzone przez zarząd i radę nadzorczą. Dzienne zestawienie transakcji jest raportowane do przeglądu dyrektora finansowego i drugiego członka zarządu.
System proponuje płatności na podstawie pozytywnego uzgodnienia dokumentów zamówienia, dostawy i faktury. Podział obowiązków i autoryzacji w procesie zakupów i płatności został odpowiednio zaprojektowany.
Proces zamknięcia miesiąca został przygotowany do raportowania wewnętrznego i zewnętrznego (automatyzacja przebiegu, zdefiniowanie czynności i punktów krytycznych oraz zaprojek-towanie kluczowych kontroli w procesie).
Poziom ryzyka
PRZYKŁADPRZYKŁAD
Większość zintegrowanych systemów informatycznych posiada obecnie szerokie możliwości konfiguracji procesów wspomagających zarządzenie ryzykiemi automatyzację czynności kontrolnych. W porównaniu do czynności manualnych kontrole automatyczne cechują się większą niezawodnością oraz niższym kosztem utrzymania i testowania skuteczności ich działania. Systemy wspierają również procesy budżetowania i kontroli kosztów, analizy danych i bezpieczeństwa procesów. Pomimo wspomnianych funkcjonalności nadal obserwujemy jednak,iż w niewielkim stopniu organizacje przeprowadziły ocenę efektywności systemów pod kątem automatyzacji kontroli i przebiegu procesów. Poniżej przedstawiamy wybrane możliwości optymalizacji w tym zakresie.
Czy poniższe przykładowe konfigurowalne kontrole automatyczne, raporty i statystyki oraz zasady bezpieczeństwa są wykorzystywane w Państwa organizacji i działają efektywnie?
• Limity kredytowe dla odbiorców.
• Kontrole nad limitami niezgodności dokumentów zamówienia, dostawy i faktur powodującymi blokadę płatności.
• Konfiguracja kont księgowych uniemożliwiająca ręczne księgowanie na kontach przeznaczonych jedynie do automatycznych zapisów.
• Wyłączenie możliwości modyfikacji danych stałych w przebiegu procesu.
• Automatyzacja procesu płatności.
• Raporty zmian danych stałych – na przykład zmiany numerów rachunków bankowych dostawców, cen sprzedaży.
• Analiza potencjalnych duplikatów faktur, płatności, danych stałych.
• Raport zamówień i płatności o nietypowych charakterystykach, na przykład tuż poniżej limitów autoryzacji.
• Statystyki dotyczące nietypowych księgowań takich jak księgowaniao nietypowych porach lub na nietypowe kombinacje kont.
• Uzgodnienia kont – raporty przedstawiające szczegóły różnic pomiędzy kontami księgi głównej a księgami pomocniczymi.
• Zasady odpowiedniego podziału obowiązków, praw dostępu i poziomu autoryzacji transakcji.
• Kontrole nad dostępem do krytycznych funkcjonalności i danych poufnych.
• Monitorowanie przypadków naruszenia bezpieczeństwa.
• Zarządzanie zmianami w kluczowych aplikacjach i systemach.
• Planowanie ciągłości działalności.
Automatyzacja kontroli wewnętrznych
Kontrole automatyczne
Analiza danych, raporty zdarzeń i wyjątków
Bezpieczeństwo IT, prawa dostępu i odpowiedni poziom autoryzacji
Skuteczne zarządzanie ryzykiem to poza obszarami sprawozdawczości finansowej i raportowania zarządczego (przedstawionych we wcześniejszych częściach dokumentu) także analiza ryzyk operacyjnych oraz niezgodności z obowiązującymi przepisami prawa. Kluczowym działaniem ze strony kierownictwa jest identyfikacja, zarządzanie i monitorowanie ryzyk oraz kontroli wewnętrznych we wszystkich obszarach istotnych dla organizacji.
Inne działania w kierunku oceny i optymalizacji kontroli wewnętrznej
Analiza ryzyk operacyjnych i niezgodności z przepisami prawa
Audyt wewnętrzny odgrywa istotną rolę w procesie nadzoru, zarządzania ryzykiem i kontroli wewnętrznej. Właściwie zbudowana funkcja pod względem zasobów, kompetencji oraz miejsca w organizacji wraz z odpowiednim planowaniem audytów na podstawie analizy ryzyk, stanowi ważny element systemu i skuteczne narzędzie dla komitetu audytowego i zarządu w realizacji zadań związanych z zarządzaniem ryzykiem i oceną systemu kontroli wewnętrznych.
Wzmocnienie funkcji audytu wewnętrznego
Kluczowe procesy biznesowe - na przykład proces sprzedaży i należności, zakupów i płatności czy wynagrodzeń - powinny podlegać ocenie pod kątem istotnych ryzyk oraz prawidłowości budowy i działania czynności kontrolnych (zarówno manualnych jak też automatycznych). Do tego celu mogą zostać wykorzystane zaprezentowane wcześniej mapy i opisy procesów oraz matryce ryzyk i kontroli.
Ocena budowy kontroli w procesach biznesowych
Ryzyka i kontrole podlegają zmianom wraz ze zmieniającym się otoczeniem biznesowym czy zmianami wewnątrz organizacji jak wdrożenie systemu, restrukturyzacja czy połączenie. To czy zaprojektowane i wdrożone kontrole działają skutecznie powinno podlegać okresowej ocenie z wykorzystaniem dostępnych narzędzi, takich jak samoocena kierownictwa, audyty wewnętrzne i zewnętrzne, raporty wyjątków.
Cykliczne testy efektywności operacyjnej kluczowych kontroli
Strategie biznesowe wielu organizacji opierają się obecnie na skupieniu uwagi kierownictwa na głównych kompetencjach i uzyskiwaniu przewagi konkurencyjnej w obszarach strategicznych dla organizacji, natomiast inne funkcje są wydzielanei przekazywane do wyspecjalizowanych podmiotów, np. przetwarzanie transakcji finansowo-księgowych, działalność IT czy naliczanie płac. Czy jednak outsourcing funkcji biznesowych oznacza również przekazanie ryzyk, odpowiedzialności i kontroli? Jednym z najczęściej wykorzystywanych narzędzi monitorowania ryzyk i kontroli wydzielonych funkcji biznesowych jest raport SAS 70 lub inna forma audytu procesów, kontroli, poziomu świadczonych usług i skuteczności zarządzania ryzykiem.
Przegląd kontroli nad działalnością przekazaną do innych podmiotów
Powiązanie ryzyka i kontroli
Racjonalizacja kontroli
Impl
emen
tacj
a no
wyc
h ro
zwią
zań
kont
roln
ych
Wdrożenie struktury
operacyjnej
Ocena potrzeb klienta
Ocena stanu istniejącego
systemu kontroli
Oce
na ry
zyka
Wiedza i umiejętności,
odpowiedzialność,
system motywacyjny
Odpowiednia kultura
korporacyjna w dziedzinie
kontroli i ciągła poprawa
W kierunku
optymalizacji
kontroli
Mamy nadzieję, że przedstawiony w niniejszym dokumencie materiał jest dla Państwa przydatnym podsumowaniem obowiązujących regulacji i praktyk dotyczących ładu korporacyjnego, zarządzania ryzykiem i kontroli wewnętrznych, a także zbiorem wskazówek na temat możliwych do podjęcia działań, które możecie Państwo wykorzystać w swoich organizacjach. Zarządzanie ryzykiem i kontrole wewnętrzne to jednak nie tylko kwestia regulacji i wymogów prawnych, ale przede wszystkim realne korzyści biznesowe i szansa na podniesienie wartości spółki dla akcjonariuszy.
Efektywny system kontroli wewnętrznej – korzyści biznesowe
• Efektywne zarządzanie ryzykiem i poprawa bezpieczeństwa
• Skuteczna kontrola biznesu
• Mniejsze ryzyko wystąpienia działań niepożądanych i nadużyć
• Skrócenie czasu zamknięcia okresu i sporządzenia raportów finansowych
• Mniejsze ryzyko błędów i przeoczeń
• Kompletność ujawnień
• Usprawnienie procesów biznesowych
• Optymalizacja kontroli (skuteczne i optymalne kosztowo)
• Zmniejszenie nakładu pracy np. poprzez automatyzację
• Wielopłaszczyznowe analizy wydatków i budżetowanie
• Lepsza informacja do podejmowania decyzji
• Raportowanie przypadków odstępstw od ustalonych zasad autoryzacji wydatków
• Wdrożenie zasad kontroli biznesu do codziennych praktyk
• Podniesienie motywacji poprzez zróżnicowanie zadań
• Poprawa jakości wyników pracy
Zarządzanie ryzykiem i kontrole wewnętrzne
Procesy biznesowe i czynności kontrolne
Raportowanie finansowe
Kontrola kosztów
Świadomość i wiedza kierownictwa i pracowników
Korzyści biznesowe
Krzysztof Szułdrzyński Partnerkom: +48 502 184 103e-mail: [email protected]
Piotr UrbanStarszy Menedżerkom: +48 502 184 157e-mail: [email protected]
Piotr RówińskiMenedżerkom: +48 502 184 003e-mail: [email protected]
Jacek Masny Menedżerkom: +48 502 184 640e-mail: [email protected]
Marcin Jędrkowiak Menedżerkom: +48 502 184 412e-mail: [email protected]
©
www.pwc.com/pl 2009 PricewaterhouseCoopers. “PricewaterhouseCoopers” odnosi się do firm wchodzących w skład sieci PricewaterhouseCoopers International Limited,z których każda stanowi odrębny i niezależny podmiot prawny. Wszelkie prawa zastrzeżone.
ł