Ład korporacyjny, zarządzanie ryzykiem i kontrole wewnętrzneNowe regulacje i oczekiwania rynku – czy jesteśmy przygotowani?

Czy oceniliście Państwo wpływ nowych regulacji na Państwa organizację?

Czy komitety audytowe właściwie wypełniają zadania i oczekiwania akcjonariuszy?

Jak wdrożyć odpowiednie rozwiązania w zakresie zarządzania ryzykiem i kontroli wewnętrznej?

W jaki sposób wykorzystujecie Państwo system kontroli wewnętrznej do zarządzania ryzykiem, usprawnienia procesów biznesowych i podniesienia wartości spółki?

Ostatnia dekada przyniosła w wielu krajach nowe regulacje w zakresie ładu korporacyjnego i nadzoru nad spółkami interesu publicznego, w szczególności odnoszące się do oceny skuteczności systemu zarządzania ryzykiem oraz kontroli wewnętrznej. Polską odpowiedzią – obok obecnie obowiązujących przepisów i dobrych praktyk spółek notowanych na GPW – jest ustawa o biegłych rewidentach i ich samorządzie, firmach audytorskich oraz o nadzorze publicznym, której projekt został w grudniu 2008 r. przyjęty przez Radę Ministrów. Celem niniejszej publikacji jest podsumowanie nowych obowiązków i zadań stojących przed zarządami i radami nadzorczymi oraz ogólna diagnoza stopnia przygotowania polskich spółek do wypełnienia nowych regulacji przeprowadzona na podstawie raportów bieżących spółek publicznych.

Czy jednak efektywny nadzór, silne kontrole wewnętrzne i skuteczne zarządzanie ryzykiem to tylko kwestia spełnienia regulacji i dobrych praktyk czy raczej uzasadniona potrzeba biznesowa, której celem jest ochrona interesów akcjonariuszy oraz przeciwdziałanie praktykom mogącym skutkować poniesieniem strat, nadużyciami czy niekompletnym ujawnieniem informacji? Ostatnie miesiące były bogate w doniesienia o ryzykownych działaniach spółek czy nierzetelnym przekazywaniu informacji istotnych dla inwestorów.

Niniejsza publikacja jest również odpowiedzią na pytania i wątpliwości zgłaszane przez rady nadzorcze, komitety audytu, zarządy, kierownictwa działów audytu wewnętrznego – „Jak wdrożyć skuteczny system kontroli wewnętrznej w sposób optymalny kosztowo?”. Przedstawiamy przykładowe narzędzia i metodologie, jakie mogą być wykorzystane w celu wypełnienia nowych regulacji oraz w procesie wdrożenia i oceny efektywności systemów kontroli wewnętrznej i zarządzania ryzykiem, jak również korzyści biznesowe takich działań.

Jeśli mają Państwo pytania dotyczące tematyki zawartej w niniejszej publikacji, zapraszamy do kontaktu z naszymi ekspertami do spraw ładu korporacyjnego, zarządzania ryzykiem i kontroli wewnętrznej.

Szanowni Państwo,

Jacek SochaWiceprezes

Krzysztof Szułdrzyński Partner

W czerwcu 2008 r. Stowarzyszenie Emitentów Giełdowych (SEG) wraz z Giełdą Papierów Wartościowych w Warszawie (GPW) zorganizowały – pod patronatem merytorycznym PricewaterhouseCoopers – konferencję z udziałem kierownictwa spółek giełdowych i przedstawicieli instytucji rynku kapitałowego na temat „Corporate Governance w spółkach giełdowych”. Głównymi punktami konferencji były dyskusje na temat Dobrych Praktyk Spółek Notowanych na GPW, rozwiązań w zakresie Corporate Governance w innych krajach oraz nowe regulacje i najlepsze praktyki w zakresie ładu korporacyjnego w Polsce. Istotną częścią spotkania były dyskusje panelowe przeprowadzone na podstawie interaktywnego badania w grupie prawie 100 uczestników. Poniższe wybrane odpowiedzi potwierdzają istotne znaczenie, jakie spółki giełdowe w Polsce nadają zagadnieniom ładu korporacyjnego, zarządzania ryzykiem i systemu kontroli wewnętrznej: • 86% respondentów stwierdziło, że silny system kontroli wewnętrznej podnosi

wartość spółki (bezpośrednio lub pośrednio poprzez odpowiednie wspieranie celów biznesowych oraz zarządzanie ryzykiem).

• 84% respondentów wskazało, że rada nadzorcza powinna dokonywać przynajmniej raz w roku niezależnej oceny efektywności budowy i działania kluczowych kontroli (poprzez np. cykliczny przegląd istotnych ryzyk, analizę raportów audytu wewnętrznego, wykorzystanie doradców do oceny systemu kontroli wewnętrznej, komunikację z zarządem).

• 63% respondentów stwierdziło, że jest zainteresowane usprawnieniami systemu zarządzania ryzykiem i kontroli wewnętrznej. Jednocześnie 62% wskazało, że spośród obszarów określonych w Dobrych Praktykach Spółek Notowanych na GPW, najtrudniejsze we wdrożeniu są te dotyczące członków rad nadzorczych.

Tylko kwestia spełnienia regulacji czy uzasadniona potrzeba biznesowa?

Rada nadzorcza (lub działający w jej strukturach komitet audytu) monitoruje skuteczność istniejących w spółce systemów kontroli wewnętrznej oraz zarządzania ryzykiem – obecnie dobra praktyka, niebawem po przyjęciu ustawy o nadzorze publicznym będzie to przepis obowiązującego prawa

Tylko 1% respondentów wskazało, iż rady nadzorcze nie muszą podejmować żadnych dodatkowych działań, aby spełnić wymogi nowych regulacji

Czy jednak efektywny nadzór, silne kontrole wewnętrzne i skuteczne zarządzanie ryzykiem to tylko kwestia spełnienia regulacji i dobrych praktyk czy raczej uzasadniona potrzeba biznesowa, której celem jest ochrona interesów akcjonariuszy oraz przeciwdziałanie praktykom mogącym skutkować poniesieniem strat, nadużyciami czy niekompletnym ujawnieniem informacji?

Spójrzmy na wybrane fragmenty artykułów prasowych z ostatnich miesięcy:

• Ład korporacyjny, zarządzanie ryzykiem i kontrole wewnętrzne – regulacjew wybranych krajach na świecie

• Dobre Praktyki Spółek Notowanych na GPW – rekomendacje i zakres stosowania• Kodeks spółek handlowych oraz inne przepisy prawa

• Nowelizacja ustawy o rachunkowości• Przyjęty przez Radę Ministrów projekt ustawy z dnia 9 grudnia 2008 r. o biegłych

rewidentach i ich samorządzie, firmach audytorskich oraz o nadzorze publicznym (ustawa o „nadzorze publicznym”)

• Zadania komitetu audytowego

• Diagnoza systemu kontroli wewnętrznej• Samoocena efektywności komitetu audytu• Przegląd systemu kontroli wewnętrznej i zarządzania ryzykiem na poziomie spółki

(entity-level controls)• Analiza ryzyk sprawozdawczości finansowej i ocena procesu raportowania

finansowego• Automatyzacja kontroli wewnętrznych• Inne działania w kierunku oceny i optymalizacji kontroli wewnętrznej

• Identyfikacja ryzyk i obszarów, w których istnieje potrzeba wzmocnienia kontroli wewnętrznej

• Usprawnienia procesów biznesowych i optymalizacja kontroli wewnętrznych poprzez ich automatyzację, likwidację zbędnych i wdrożenie brakujących kontroli

• Efektywniejsze raportowanie finansowe• Skuteczna kontrola kosztów• Zwiększenie świadomości i wiedzy na temat zarządzania ryzykiem i kontroli

wewnętrznej

Ład korporacyjny, zarządzanie ryzykiem i kontrole wewnętrzneNowe regulacje i oczekiwania rynku – czy jesteśmy przygotowani?

Przeglądobowiązującychregulacji

Zawartość

Nowe regulacjei oczekiwania rynku – czyjesteśmy przygotowani?

Nowe regulacjei oczekiwania rynku- jakie działania podjąć?

Efektywny systemkontroli wewnętrznej– korzyści biznesowe

Dobre Praktyki Spółek Notowanych na GPW

Zgodnie z badaniem przeprowadzonym przez PricewaterhouseCoopers na dzień 30 września 2008 r., niewiele ponad 20% spółek giełdowych w Polsce wdrożyło Dobre Praktyki bez żadnych wyjątków (na podstawie raportów spółek notowanych na GPW)

Największe problemy wystąpiły przy wdrożeniu zasad dotyczących funkcjonowania i działania rad nadzorczych. Ponad 50% spółek zadeklarowało odstępstwa w obszarach niezależności członków rady nadzorczej, funkcjonowania komitetów audytowych, niezależnego członka komitetu posiadającego kompetencje w dziedzinie rachunkowości i finansów oraz stosowania zaleceń dotyczących roli dyrektorów niewykonawczych

Ostatnia dekada przyniosła w wielu krajach nowe regulacje w zakresie ładu korporacyjnego i nadzoru nad spółkami interesu publicznego, zarządzania ryzykiem oraz systemów kontroli wewnętrznej. W 2002 r. Stany Zjednoczone uchwaliły ustawę Sarbanes-Oxley (SOX) wymagającą od spółek publicznych wdrożenia i corocznej oceny efektywności działania systemu kontroli wewnętrznej. Od tego czasu wiele krajów przyjęło podobne rozwiązania dotyczące ładu korporacyjnego i kontroli wewnętrznej. Przykłady obejmują Kanadę (National Instrument 52-109), Unię Europejską (Directive 2006/43/EC), Szwajcarię (Code of Obligations oraz Swiss Exchange Directive 2002/2006), Niemcy (German Corporate Governance Codec), Australię (Australian Corporate Reporting and Disclosure Law), Francję (French Law on Financial Security), Włochy (L262/2005 - Italian legislation for financial services institutions), Wielką Brytanię (Revised guidance for directors on the combined code – the Turnbull Guidance), Japonię (the Financial Instruments and Exchange Law ‘J-SOX’), Chiny (The Basic Standard for Enterprise Internal Control).

Przegląd obowiązujących regulacji

Regulacje obowiązujące w Polsce mają charakter zarówno rekomendacji i dobrych praktyk, jak też przepisów prawa. Dobre Praktyki Spółek Notowanych na Giełdzie Papierów Wartościowych w Warszawie (GPW) to zbiór zasad ładu korporacyjnego oraz zasad określających normy kształtowania relacji przedsiębiorstw giełdowych z ich otoczeniem rynkowym. Celem Dobrych Praktyk jest umacnianie transparentności spółek giełdowych, poprawa jakości komunikacji spółek z inwestorami, wzmocnienie ochrony praw akcjonariuszy także w obszarach nieregulowanych przez prawo.

Do ważnych z punktu widzenia nadzoru i systemu kontroli wewnętrznej należą m.in. następujące zapisy Dobrych Praktyk:

• Przynajmniej dwóch członków rady nadzorczej powinno spełniać kryterianiezależności.

• W ramach rady nadzorczej powinien funkcjonować co najmniej komitet audytu. W skład tego komitetu powinien wchodzić co najmniej jeden członek niezależny(…), posiadający kompetencje w dziedzinie rachunkowości i finansów. W spółkach, w których rada nadzorcza składa się z minimalnej wymaganej przez prawo liczby członków, zadania komitetu mogą być wykonywane przez radę nadzorczą.

• Poza czynnościami wymienionymi w przepisach prawa rada nadzorcza powinnaraz w roku sporządzać i przedstawiać walnemu zgromadzeniu zwięzłą ocenę sytuacji spółki, z uwzględnieniem oceny systemu kontroli wewnętrznej i systemuzarządzania ryzykiem istotnym dla spółki.

• W zakresie zadań i funkcjonowania komitetów działających w radzie nadzorczejpowinien być stosowany Załącznik I do Zalecenia Komisji Europejskiej z dnia 15 lutego 2005 r. dotyczący roli dyrektorów niewykonawczych, m.in. w zakresieprzeglądu, przynajmniej raz w roku, systemów kontroli wewnętrznej i zarządzaniaryzykiem pod kątem zapewnienia, że główne ryzyka są prawidłowo identyfikowane, zarządzane i ujawniane.

Kodeks spółek handlowych wskazuje, iż rada nadzorcza sprawuje stały nadzórnad działalnością spółki we wszystkich dziedzinach jej działalności. Do szczególnych obowiązków rady nadzorczej należy ocena i zatwierdzenie rocznych sprawozdań finansowych oraz sprawozdania zarządu z działalności spółkiw zakresie ich zgodności z księgami i dokumentami, jak i ze stanem faktycznym. Dodatkowe regulacje w zakresie nadzoru, kontroli i zgodności z przepisami prawa istnieją w wybranych sektorach (np. sektor bankowy i ubezpieczeniowy,telekomunikacyjny, energetyczny, farmaceutyczny).

Kodeks spółek handlowych oraz inne przepisy prawa

Ustawa o rachunkowościNowelizacja ustawy o rachunkowości rozszerza od dnia 1 stycznia 2009 r. na radę nadzorczą obowiązek zapewnienia zgodności sprawozdania finansowego z ustawą

Ustawa o „nadzorze publicznym”Rada Ministrów przyjęła projekt ustawy z dnia 9 grudnia 2008 r. o biegłych rewidentach i ich samorządzie, firmach audytorskich oraz o nadzorze publicznym (ustawa o „nadzorze publicznym”)

Projekt ustawy o biegłych rewidentach i ich samorządzie, firmach audytorskich oraz o nadzorze publicznym jest polską odpowiedzią na wymogi dyrektywy unijnej 2006/43/WE. Jednocześnie nowelizacja ustawy o rachunkowości rozszerza na radę nadzorczą obowiązek zapewnienia zgodności sprawozdania finansowego z ustawą.

Czy jednak w kontekście obecnej wiedzy o stopniu wypełnienia Dobrych Praktyk Spółek Notowanych na GPW jesteśmy przygotowani na nowe regulacje i oczekiwania rynku? Ponad 50% spółek giełdowych zadeklarowało odstępstwa w obszarach niezależności członków rady nadzorczej, funkcjonowania komitetów audytowych, niezależnego członka komitetu posiadającego kompetencje w dziedzinie rachunkowości i finansów oraz stosowania zaleceń dotyczących roli dyrektorów niewykonawczych. Jednocześnie wiele spółek nie przedstawiło oceny systemu kontroli wewnętrznej i systemu zarządzania ryzykiem istotnym dla spółki.

Nowe regulacje i oczekiwania rynku – czy jesteśmy przygotowani?

Art. 4a. Ustawy o rachunkowości:

• Kierownik jednostki oraz członkowie rady nadzorczej lub innego organu nadzorującego jednostki są zobowiązani do zapewnienia, aby sprawozdanie finansowe oraz sprawozdanie z działalności spełniały wymagania przewidzianew niniejszej ustawie.

• Kierownik jednostki oraz członkowie rady nadzorczej lub innego organunadzorującego jednostki odpowiadają solidarnie wobec spółki za szkodęwyrządzoną działaniem lub zaniechaniem stanowiącym naruszenie obowiązkuwynikającego z powyższego zapisu ustawy.

Ustawa w artykule 77 przewiduje odpowiedzialność karną w przypadku nieprowadzenia ksiąg rachunkowych, prowadzenia ich wbrew przepisom ustawy lub podawania w tych księgach nierzetelnych danych, a także niesporządzenia sprawozdania finansowego, sporządzenia go niezgodnie z przepisami ustawy lub zawarcia w tym sprawozdaniu nierzetelnych danych.

Art. 86 projektu ustawy o nadzorze publicznym przyjętego przez Radę Ministrów określa, iż w jednostkach zainteresowania publicznego (obejmujących m.in. spółki giełdowe, banki, zakłady ubezpieczeniowe) działa komitet audytu, którego członkowie powoływani są spośród członków rady nadzorczej (w jednostkach, w których rada nadzorcza składa się z nie więcej niż 5 członków, zadania komitetu audytu mogą zostać powierzone radzie nadzorczej). W skład komitetu audytu wchodzi co najmniej 3 członków, w tym przynajmniej jeden członek powinien spełniać warunki niezależności i posiadać kwalifikacje w dziedzinie rachunkowości lub rewizji finansowej.

Do zadań komitetu audytu należy w szczególności:

• Monitorowanie procesu sprawozdawczości finansowej.• Monitorowanie skuteczności systemów kontroli wewnętrznej,

audytu wewnętrznego oraz zarządzania ryzykiem.• Monitorowanie wykonywania czynności rewizji finansowej.• Monitorowanie niezależności biegłego rewidenta i firmy audytorskiej.

Zgodnie z zapisami powyższej ustawy, w spółkach giełdowych i innych jednostkach zainteresowania publicznego działa komitet audytu, który m.in. monitoruje skuteczność systemów kontroli wewnętrznej i zarządzania ryzykiem

Podczas konferencji „Corporate Governance w spółkach giełdowych” wielu uczestników było zainteresowanych informacją na temat działańjakie zarządy i komitety audytowe powinny podjąć w celu sprostania nowym regulacjom i najlepszym praktykom, w szczególności jak wdrożyć skuteczny system kontroli wewnętrznej w sposób optymalny kosztowo

Poniżej przedstawiamy przykładowe narzędzia i metodologie (szerzej omówione w dalszej części dokumentu), jakie mogą być wykorzystane przez zarządy i komitety audytowe w celu wypełnienia nowych regulacji oraz w procesie wdrożenia i oceny efektywności systemów kontroli wewnętrznej i zarządzania ryzykiem:

• Diagnoza i ocena systemu kontroli wewnętrznej.

• Samoocena efektywności funkcjonowania komitetu audytu.

• Przegląd systemu kontroli wewnętrznej i zarządzania ryzykiem na poziomiespółki (entity-level controls).

• Analiza ryzyk sprawozdawczości finansowej, przygotowanie macierzy ryzyk i kontroli oraz ocena skuteczności procesu raportowania finansowego.

• Automatyzacja kontroli wewnętrznych.

• Inne działania w kierunku oceny i optymalizacji kontroli wewnętrznej:

– Analiza ryzyk operacyjnych i niezgodności z przepisami prawa.

– Wzmocnienie funkcji audytu wewnętrznego.

– Ocena budowy kontroli w procesach biznesowych innych niż proces raportowania finansowego.

– Cykliczne testy efektywności operacyjnej kluczowych kontroli w istotnych procesach biznesowych.

– Przegląd kontroli nad działalnością przekazaną do innych podmiotów (np. outsourcing IT).

Nowe regulacje i oczekiwania rynku – jakie działania podjąć?

Jak wdrożyć skuteczny i optymalny kosztowo system kontroli wewnętrznej?

Dobrze skonstruowany system kontroli wewnętrznej powinien zapewnić równowagę pomiędzy jego skutecznością i kosztem zastosowanych rozwiązań:

i kontroli wewnętrznej

Powiązanie z celami strategicznymi, pokrycie wszystkich istotnych ryzyk

Zapobieganie wystąpieniu istotnych błędów, pomyłek i nadużyć

Szybkie wykrycie istotnych błędów, pomyłek i nadużyć w przypadku wystąpienia

Wdrożenie i bieżący monitoring działań naprawczych / optymalizujących funkcjonowanie systemu kontroli wewnętrznych

Skuteczny

• Ukierunkowanie systemu na pokrycie istotnych ryzyk

• Zintegrowanie kontroli wewnętrznych tak, aby adresowały jednocześnie ryzyka operacyjne, raportowania finansowego i niezgodności z prawem

• Odpowiednia proporcja pomiędzy kontrolami manualnymi i automatycznymi

• Odpowiednia proporcja pomiędzy kontrolami wykrywającymi i prewencyjnymi

Optymalny kosztowo

System zarządzania ryzykiem

•

•

•

•

Wynik przedstawiany jest w formie wykresu określającego (przy użyciu kodów kolorystycznych) obszary działań naprawczych i/lub istniejących możliwości optymalizacji

Możliwe jest również porównanie wyników organizacji ze średnimi wynikami pozostałych spółek w Polsce i za granicą, które poddały się takiej ocenie (benchmarking)

Raport z przeprowadzonej samooceny kierownictwa na temat systemu kontroli wewnętrznej może stanowić jedno z narzędzi wykorzystywanych przez rady nadzorcze w monitorowaniu kontroli wewnętrznych organizacji

Pierwszym działaniem w zakresie oceny systemu kontroli wewnętrznej przeprowadzanej przez kierownictwo i komitet audytu może być diagnoza i samoocena na podstawie warsztatów z kierownictwem odpowiedzialnym za finanse i sprawozdawczość, IT, główne procesy biznesowe oraz audyt wewnętrzny lub komórkę kontroli wewnętrznej. Ocena koncentruje się na dojrzałości i złożoności systemu kontroli wewnętrznej biorąc pod uwagę:

• Strukturę organizacyjną

• Zasoby ludzkie

• Procesy biznesowe

• Technologię

Diagnoza i ocena systemu kontroli wewnętrznej

Przeprowadzona diagnoza pomoże ustalić, na którym etapie dojrzałości systemu kontroli wewnętrznej organizacja obecnie się znajduje oraz jakie mogą być dalsze działania odzwierciedlające aspiracje kierownictwa w zakresie poprawy kontroli wewnętrznej w krótkim i średnim okresie.

Etapy dojrzałości systemu kontroli wewnętrznych

Niewiarygodny

Nieformalny

Formalny

Monitorowany

Optymalizowany

Nieprzewidywalne środowisko, czynności kontrolne nie zostały zaprojektowane lub wdrożone

Czynności kontrolne zostały zaprojektowane i wdrożone, ale nie są odpowiednio udokumentowane ani monitorowane

Czynności kontrolne zostały zaprojektowane i wdrożone oraz są odpowiednio udokumentowane

Budowa i działanie czynności kontrolnych są okresowo testowane. Kierownictwo otrzymuje raporty

Zintegrowany system kontroli wewnętrznych, bieżąco monitorowany i stale usprawniany

Niezawodność kontroli

Zaangażowanie kierownictwa

Niezależny nadzór nad kontrolami

Model zarządzania zasobam

Rola audytu wewnętrznego

Lokalne zasady ładu korporacyjnego

Inne wymogi prawne

Zarządzanie ryzykiem

Koszt kontroli

Podejście kierownictwanajwyższego szczebla

Kultura świadomegopodejścia do ryzyka

Zrozumienie procesów

Odpowiedzialność za kontrole

Szkolenia w zakresie kontroli

Transfer wiedzy

Mierzenie i monitorowanie wiedzy nt. kontroli wewnętrznych

Znaczenie efektywności kontroliw ocenie pracy

Zakres kontroli wewn.

Znajomość ryzykw procesach

Mapowanie ryzyk i kontroli

Dokumentacja kontroli

Kontrole kluczowePodział obowiązków

Umowy z podmiotami zewn.

Podejście do testowania kontroli

Mechanizmy wczesnego ostrzegania

Ocena przypadków niedziałania kontroli

Czynności naprawcze

Raportowanie na temat kontroli

Optymalizacja procesów

Zarządzanie zmianą

Podejście do ryzyka IT

Zarządzanie ryzykiem IT

Technologia wykorzystywanado oceny kontroli

Technnologia wspierającaefektywność kontroli

Arkusze kalkulacyjneAutomatyzacja procesów

Zmiany w systemach

z

Optymalizacja kontroli

wewnętrznych

Do zadań komitetu audytu zgodnie z projektem ustawy o nadzorze publicznym należy w szczególności:

• Monitorowanie procesu sprawozdawczości finansowej.• Monitorowanie skuteczności systemów kontroli wewnętrznej, audytu wewnętrznego oraz zarządzania ryzykiem.• Monitorowanie wykonywania czynności rewizji finansowej.• Monitorowanie niezależności biegłego rewidenta i firmy audytorskiej.

Komitet audytu pełni kluczową rolę w procesie nadzoru nad działalnością organizacji poprzez monitorowanie procesu sprawozdawczości finansowej, skuteczności systemów kontroli wewnętrznej oraz zarządzania ryzykiem. Poniżej prezentujemy główne obszary zainteresowania i odpowiedzialności komitetu audytu:

Samoocena efektywności funkcjonowania komitetu audytu

W szybko zmieniającym się środowisku biznesowym komitet audytu powinien regularnie dokonywać samooceny swoich działań w odniesieniu do głównych obszarów odpowiedzialności i oczekiwań ze strony akcjonariuszy. Proces samooceny może być wspierany przez podmiot zewnętrzny, co pomaga zapewnić jego obiektywizm oraz dokonanie porównania z najlepszymi praktykami.

Proces sprawozdawczości finansowej· Prawidłowość polityki (zasad) rachunkowości· Uwzględnienie wymagań

dotyczących ujawnień· Prawidłowość i obiektywność

sprawozdania z działalności jednostki· Konwersja zapewniająca

zgodność z GAAP

Zarządzanie ryzykiem i system kontroli wewnętrznej· Zrozumienie kluczowych obszarów

ryzyka· Skuteczność kontroli wewnętrznej· Ryzyko nadużyć i działań niepożądanych

Audyt zewnętrzny· Wybór audytora i jego wynagrodzenie· Zakres prac audytowych· Wymogi dotyczące niezależności audytora· Istotne obserwacje audytowe i rekomendacje· Ocena jakości pracy audytora

Audyt wewnętrzny· Statut audytu wewnętrznego,

zadania i zasoby· Zakres prac audytowych

· Efektywność audytu wewnętrznego· Odpowiedzi na rekomendacje

audytu wewnętrznego

Analiza efektywności· Potrzeby w zakresie

szkoleń· Dbałość o wiedzę

w zakresie finansów· Roczna ocena jakości

pracy komitetu audytu

Komunikacja i raportowanie· Relacje z kierownictwem· Informowanie i

przekazywanie rekomendacji· Raportowanie do rady

nadzorczej i akcjonariuszy

Regulacje i wymogi etyczne· Skuteczność systemu

zapewniającego zgodność z prawem

· Kodeks postępowania/etyki· Przypadki naruszeń

Komitet audytuGłówne zadania

Dzięki bogatemu doświadczeniu w Polsce i innych krajach posiadających wieloletnią praktykę funkcjonowania komitetów audytu, wypracowaliśmy narzędzia wspierające ocenę efektywności działania komitetów audytu, w tym przykładowe regulaminy/statuty komitetów, programy do samooceny efektywności działania oraz zbiory najlepszych praktyk.

4.1 Ocena adekwatności zarządzania ryzykiem i kontroli wewnętrznej na poziomie spółki (entity-level controls).

Komitet audytu, dział audytu wewnętrznego, doradca zewnętrzny.

Niezależny przegląd i raport doradcy zewnętrznego.

Ref Praktyka Zaangażowanie Sposób oceny

4.2 Zrozumienie i ocena wdrożonych przez kierownictwo systemów kontroli zapewniających prawidłowe rejestrowanie oraz właściwą autoryzację transakcji.

Kierownictwo, dział audytu wewnętrznego, doradca zewnętrzny.

Przeglądy i raporty kierownictwa, audytu wewnetrznego oraz niezależnego doradcy.

4.3 Ocena czy rekomendacje dotyczące zarządzania ryzykiem i kontroli wewnętrznych sformułowane przez audytorów zewnętrznych oraz wewnętrznych zostały wdrożone.

Komitet audytu, dział audytu wewnętrznego, doradca zewnętrzny.

Przegląd podjętych działań przez kierownictwo, wyrywkowe sprawdzenie przez audyt wewnetrzny.

4.4 Ocena działań kierownictwa w zakresie analizy ryzyk i przeglądu adekwatności kontroli wokół bezpieczeństwa IT.

Kierownictwo, dział IT Niezależny audyt bezpieczeństwa IT.

PRZYKŁAD

Środowisko kontroli wewnętrznej

• Kodeks etyczny

• Rola komitetu audytu / radynadzorczej

• Praktyki zarządzania organizacją

• Rozwój kompetencji pracowników

• Adekwatność struktury organizacyjnej

• Delegowanie uprawnień, podział obowiązków i odpowiedzialności

• Polityki i praktyki w obszarze zasobów ludzkich

Ocena ryzyka

• Ustalanie celów strategicznychi operacyjnych

• Proces identyfikacji, ocenyi zarządzania ryzykami

• Zarządzanie zmianami

• Ocena ryzyka działań niepożądanych

Czynności kontrolne

• Powiązanie z oceną ryzyka i adekwatność budowy

• Kontrole w procesach biznesowych(manualne i automatyczne)

• Kontrole w środowisku IT

Informacja i komunikacja

• Efektywność pozyskiwania i przepływu informacji

• Efektywność systemów informacyjnych

• Sprawozdawczość finansowa

• Komunikacja wewnętrzna i zewnętrzna

Bieżący nadzór

• Ciągły monitoring i okresowe oceny

• Raportowanie niezgodności i działania naprawcze

• Efektywność funkcji audytu wewnętrznego

Procedury oceny systemu kontroli wewnętrznej i zarządzania ryzykiem na poziomie spółki (entity-level controls) proponujemy przeprowadzić w oparciu o zintegrowany model kontroli wewnętrznej COSO (Internal Control – Integrated Framework opublikowany przez Committee of Sponsoring Organizations of the Treadway Commission), który jest obecnie najczęściej wykorzystywanym modelem kontroli wewnętrznej i zarządzania ryzykiem. Dodatkowe wskazówki COSO zostały również zawarte w modelu ERM (Enterprise Risk Management Conceptual Framework, COSO II) oraz Internal Control over Financial Reporting – Guidance for Smaller Public Companies.

Przegląd systemu kontroli wewnętrznej i zarządzania ryzykiem na poziomie spółki (entity-level controls)

Procedury oceny systemu kontroli wewnętrznej i zarządzania ryzykiem zwykle obejmują:

• Analizę istniejących polityk i procedur (np. mapy ryzyk, dokumentacja procesów, opis czynności kontrolnych, instrukcje).

• Warsztaty i spotkania z kierownictwem odpowiedzialnym za kluczowe obszarypodlegające ocenie.

• Ocenę efektywności budowy przyjętych rozwiązań.

• Przygotowanie raportu wstępnego zawierającego zidentyfikowane obszary niezgodności i rekomendacje odnośnie działań naprawczych.

• Sporządzenie raportu końcowego zawierającego podsumowanie dla kierownictwa i/lub komitetu audytu oraz listę obserwacji i rekomendacji. Raport przedstawia również wyniki przeprowadzonych procedur w formie analizy poszczególnych elementów systemu kontroli wewnętrznej i zarządzania ryzykiem (w oparciu o model COSO) wraz ze wskazaniem, w jaki sposób zostały one wdrożone w organizacji. Raport stanowi dokumentację oceny istniejących kontroli na poziomie spółki (entity-level controls), która może zostać wykorzys-tana przez kierownictwo, zarząd i radę nadzorczą.

Bieżący nadzór

Informacja i komunikacja

Czynności kontrolne

Ocena ryzyka

Środowisko kontroli wewnętrznej

DZIAŁA

LNOŚĆ

OPERACYJNA

SPRAWOZDAW

CZOŚĆ

FINANSOW

A

PRZESTRZEGANIE

PRZEPISÓW

OD

DZ

IAŁ

A

OD

DZ

IAŁ

B

Dzi

ałan

ie 1

Dzi

ałan

ie 2

Sprawozdawczość finansowa jest obszarem szczególnego zainteresowania akcjonariuszy i rynku kapitałowego z uwagi na wartość informacyjną o wynikach finansowych i sytuacji majątkowej spółek. Jednocześnie stanowi podstawę do podejmowania decyzji biznesowych przez kierownictwo i zarządy, a także organy nadzorcze. Dlatego jednym z kluczowych działań rekomendowanych w procesie wdrożenia i oceny skutecznych systemów kontroli wewnętrznej i zarządzania ryzykiem jest przygotowanie macierzy ryzyk i kontroli dla sprawozdawczości finansowej oraz ocena skuteczności procesu przygotowania raportów finansowych. Poniżej prezentujemy przykłady macierzy ryzyk i kontroli oraz sposobu dokumentowania procesów:

Analiza ryzyk sprawozdawczości finansowej, przygotowanie macierzy ryzyk i kontroli oraz ocena skuteczności procesu raportowania finansowego

Cykl: 1 Zakupy i zobowiązaniaProces: 1.1 Przyjęcie dostawyWłaściciel procesu: XXX

Nr ko

ntro

li

Cel kontroli Ryzyko Czynność kontrolna A C V R

Często

tiwość

P DOsoba

wykonującakontrolę

Ko

ntro

la aut/m

an

1.1.1 Otrzymane dostawy są zgodne z zatwierdzonym zamówieniem zakupu

Fikcyjne, nieuzgodnione dostawy są rejestrowane w systemie zakupowym

Każda dostawa jest przeglądana pod względem jakościowym, ilościowym oraz jest uzgadniana z dokumentem zamówienia przez pracownika magazynu centralnego.

x

x

kilka razy dziennie

Pracownik magazynu

1.1.2 Otrzymane dostawy są zgodne z zatwierdzonym zamówieniem zakupu

Fikcyjne, nieuzgodnione dostawy są rejestrowane w systemie zakupowym

System komputerowy nie zaakceptuje dostawy bez prawidłowej referencji do zatwierdzonego zamówienia zakupowego oraz uzgodnienia ilości otrzymanej z zamówioną.

kilka razy dziennie

Kontrola systemowa

1.1.1 Nieprawidłowości w dostawach zakupowych są identyfikowane i odpowiednio zatwierdzane.

Fikcyjne, nieuzgodnione dostawy są rejestrowane w systemie zakupowym

Kierownik działu zakupów autoryzuje otrzymane wyjaśnienia dotyczące nieprawidłowości w dostawie i ostatecznie zatwierdza przyjecie dostawy.

kilka razy dziennie

Kierownik działu zakupów

1.1.1 Zamówienia zakupowe są odpowiednio zatwierdzane

Nieautoryzowane, fikcyjne zamówienia zakupowe są rejestrowane i realizowane

Kierownik działu zakupów akceptuje zamówienie zakupu w systemie komputerowym. Brak zatwierdzenia zamówienia uniemożliwia zarejestrowanie dostaw w systemie komputerowym.

kilka razy dziennie

kierownik działu zakupów

x M D

x

x

x

A

M

M

P

P

P

Wysoki

Wysoki

Wysoki

Wysoki

PRZYKŁAD

Należności handlowe

Zwiększenie sprzedaży eksportowej do krajów Europy Wschodniej.

Wzrost sprzedaży na rynkach eksportowych wiąże się ze zwiększonym ryzykiem ściągalności należności.

Koszty operacyjne, zapasy, różnice kursowe

Zwiększenie zakupów półproduktów i towarów z Chin

Nieefektywna polityka zabezpieczeń przepływów pieniężnych. Nieprawidłowe zastosowanie rachunkowości zabezp

Zakupy i zobowiązania

Optymalizacja zarządzania kapitałem obrotowym

Nadużycia i nieprawidłowości w procesie płatności

Wszystkie pozycje sprawozdania finansowego

Sprawne zamknięcie okresu sprawozdawczego i sporządzenie raportów

Błędy i przeoczenia wynikające z szybkiego zamknięcia przy jednoczesnym braku skutecznych kontroli

Dyrektor sprzedaży oraz kontroler finansowy dokonują co tydzień przeglądu analizy wiekowej należności w rozbiciu na odbiorców. Wyniki przeglądu są podstawą czynności windykacyjnych i/lub wstrzymania sprzedaży.

Obszar spra-wozdania

finansowego

Cel biznesowy

Ryzyko dla raportowania

biznesowego

Kluczowa kontrola / podjęte działania

Strategia zakupów i zasad autoryzacji transakcji instrumentami pochodnymi zostały zdefiniowane i zatwierdzone przez zarząd i radę nadzorczą. Dzienne zestawienie transakcji jest raportowane do przeglądu dyrektora finansowego i drugiego członka zarządu.

System proponuje płatności na podstawie pozytywnego uzgodnienia dokumentów zamówienia, dostawy i faktury. Podział obowiązków i autoryzacji w procesie zakupów i płatności został odpowiednio zaprojektowany.

Proces zamknięcia miesiąca został przygotowany do raportowania wewnętrznego i zewnętrznego (automatyzacja przebiegu, zdefiniowanie czynności i punktów krytycznych oraz zaprojek-towanie kluczowych kontroli w procesie).

Poziom ryzyka

PRZYKŁADPRZYKŁAD

Większość zintegrowanych systemów informatycznych posiada obecnie szerokie możliwości konfiguracji procesów wspomagających zarządzenie ryzykiemi automatyzację czynności kontrolnych. W porównaniu do czynności manualnych kontrole automatyczne cechują się większą niezawodnością oraz niższym kosztem utrzymania i testowania skuteczności ich działania. Systemy wspierają również procesy budżetowania i kontroli kosztów, analizy danych i bezpieczeństwa procesów. Pomimo wspomnianych funkcjonalności nadal obserwujemy jednak,iż w niewielkim stopniu organizacje przeprowadziły ocenę efektywności systemów pod kątem automatyzacji kontroli i przebiegu procesów. Poniżej przedstawiamy wybrane możliwości optymalizacji w tym zakresie.

Czy poniższe przykładowe konfigurowalne kontrole automatyczne, raporty i statystyki oraz zasady bezpieczeństwa są wykorzystywane w Państwa organizacji i działają efektywnie?

• Limity kredytowe dla odbiorców.

• Kontrole nad limitami niezgodności dokumentów zamówienia, dostawy i faktur powodującymi blokadę płatności.

• Konfiguracja kont księgowych uniemożliwiająca ręczne księgowanie na kontach przeznaczonych jedynie do automatycznych zapisów.

• Wyłączenie możliwości modyfikacji danych stałych w przebiegu procesu.

• Automatyzacja procesu płatności.

• Raporty zmian danych stałych – na przykład zmiany numerów rachunków bankowych dostawców, cen sprzedaży.

• Analiza potencjalnych duplikatów faktur, płatności, danych stałych.

• Raport zamówień i płatności o nietypowych charakterystykach, na przykład tuż poniżej limitów autoryzacji.

• Statystyki dotyczące nietypowych księgowań takich jak księgowaniao nietypowych porach lub na nietypowe kombinacje kont.

• Uzgodnienia kont – raporty przedstawiające szczegóły różnic pomiędzy kontami księgi głównej a księgami pomocniczymi.

• Zasady odpowiedniego podziału obowiązków, praw dostępu i poziomu autoryzacji transakcji.

• Kontrole nad dostępem do krytycznych funkcjonalności i danych poufnych.

• Monitorowanie przypadków naruszenia bezpieczeństwa.

• Zarządzanie zmianami w kluczowych aplikacjach i systemach.

• Planowanie ciągłości działalności.

Automatyzacja kontroli wewnętrznych

Kontrole automatyczne

Analiza danych, raporty zdarzeń i wyjątków

Bezpieczeństwo IT, prawa dostępu i odpowiedni poziom autoryzacji

Skuteczne zarządzanie ryzykiem to poza obszarami sprawozdawczości finansowej i raportowania zarządczego (przedstawionych we wcześniejszych częściach dokumentu) także analiza ryzyk operacyjnych oraz niezgodności z obowiązującymi przepisami prawa. Kluczowym działaniem ze strony kierownictwa jest identyfikacja, zarządzanie i monitorowanie ryzyk oraz kontroli wewnętrznych we wszystkich obszarach istotnych dla organizacji.

Inne działania w kierunku oceny i optymalizacji kontroli wewnętrznej

Analiza ryzyk operacyjnych i niezgodności z przepisami prawa

Audyt wewnętrzny odgrywa istotną rolę w procesie nadzoru, zarządzania ryzykiem i kontroli wewnętrznej. Właściwie zbudowana funkcja pod względem zasobów, kompetencji oraz miejsca w organizacji wraz z odpowiednim planowaniem audytów na podstawie analizy ryzyk, stanowi ważny element systemu i skuteczne narzędzie dla komitetu audytowego i zarządu w realizacji zadań związanych z zarządzaniem ryzykiem i oceną systemu kontroli wewnętrznych.

Wzmocnienie funkcji audytu wewnętrznego

Kluczowe procesy biznesowe - na przykład proces sprzedaży i należności, zakupów i płatności czy wynagrodzeń - powinny podlegać ocenie pod kątem istotnych ryzyk oraz prawidłowości budowy i działania czynności kontrolnych (zarówno manualnych jak też automatycznych). Do tego celu mogą zostać wykorzystane zaprezentowane wcześniej mapy i opisy procesów oraz matryce ryzyk i kontroli.

Ocena budowy kontroli w procesach biznesowych

Ryzyka i kontrole podlegają zmianom wraz ze zmieniającym się otoczeniem biznesowym czy zmianami wewnątrz organizacji jak wdrożenie systemu, restrukturyzacja czy połączenie. To czy zaprojektowane i wdrożone kontrole działają skutecznie powinno podlegać okresowej ocenie z wykorzystaniem dostępnych narzędzi, takich jak samoocena kierownictwa, audyty wewnętrzne i zewnętrzne, raporty wyjątków.

Cykliczne testy efektywności operacyjnej kluczowych kontroli

Strategie biznesowe wielu organizacji opierają się obecnie na skupieniu uwagi kierownictwa na głównych kompetencjach i uzyskiwaniu przewagi konkurencyjnej w obszarach strategicznych dla organizacji, natomiast inne funkcje są wydzielanei przekazywane do wyspecjalizowanych podmiotów, np. przetwarzanie transakcji finansowo-księgowych, działalność IT czy naliczanie płac. Czy jednak outsourcing funkcji biznesowych oznacza również przekazanie ryzyk, odpowiedzialności i kontroli? Jednym z najczęściej wykorzystywanych narzędzi monitorowania ryzyk i kontroli wydzielonych funkcji biznesowych jest raport SAS 70 lub inna forma audytu procesów, kontroli, poziomu świadczonych usług i skuteczności zarządzania ryzykiem.

Przegląd kontroli nad działalnością przekazaną do innych podmiotów

Powiązanie ryzyka i kontroli

Racjonalizacja kontroli

Impl

emen

tacj

a no

wyc

h ro

zwią

zań

kont

roln

ych

Wdrożenie struktury

operacyjnej

Ocena potrzeb klienta

Ocena stanu istniejącego

systemu kontroli

Oce

na ry

zyka

Wiedza i umiejętności,

odpowiedzialność,

system motywacyjny

Odpowiednia kultura

korporacyjna w dziedzinie

kontroli i ciągła poprawa

W kierunku

optymalizacji

kontroli

Mamy nadzieję, że przedstawiony w niniejszym dokumencie materiał jest dla Państwa przydatnym podsumowaniem obowiązujących regulacji i praktyk dotyczących ładu korporacyjnego, zarządzania ryzykiem i kontroli wewnętrznych, a także zbiorem wskazówek na temat możliwych do podjęcia działań, które możecie Państwo wykorzystać w swoich organizacjach. Zarządzanie ryzykiem i kontrole wewnętrzne to jednak nie tylko kwestia regulacji i wymogów prawnych, ale przede wszystkim realne korzyści biznesowe i szansa na podniesienie wartości spółki dla akcjonariuszy.

Efektywny system kontroli wewnętrznej – korzyści biznesowe

• Efektywne zarządzanie ryzykiem i poprawa bezpieczeństwa

• Skuteczna kontrola biznesu

• Mniejsze ryzyko wystąpienia działań niepożądanych i nadużyć

• Skrócenie czasu zamknięcia okresu i sporządzenia raportów finansowych

• Mniejsze ryzyko błędów i przeoczeń

• Kompletność ujawnień

• Usprawnienie procesów biznesowych

• Optymalizacja kontroli (skuteczne i optymalne kosztowo)

• Zmniejszenie nakładu pracy np. poprzez automatyzację

• Wielopłaszczyznowe analizy wydatków i budżetowanie

• Lepsza informacja do podejmowania decyzji

• Raportowanie przypadków odstępstw od ustalonych zasad autoryzacji wydatków

• Wdrożenie zasad kontroli biznesu do codziennych praktyk

• Podniesienie motywacji poprzez zróżnicowanie zadań

• Poprawa jakości wyników pracy

Zarządzanie ryzykiem i kontrole wewnętrzne

Procesy biznesowe i czynności kontrolne

Raportowanie finansowe

Kontrola kosztów

Świadomość i wiedza kierownictwa i pracowników

Korzyści biznesowe

Krzysztof Szułdrzyński Partnerkom: +48 502 184 103e-mail: krzysztof.szuldrzynski@pl.pwc.com

Piotr UrbanStarszy Menedżerkom: +48 502 184 157e-mail: piotr.urban@pl.pwc.com

Piotr RówińskiMenedżerkom: +48 502 184 003e-mail: piotr.rowinski@pl.pwc.com

Jacek Masny Menedżerkom: +48 502 184 640e-mail: jacek.masny@pl.pwc.com

Marcin Jędrkowiak Menedżerkom: +48 502 184 412e-mail: marcin.jedrkowiak@pl.pwc.com

©

www.pwc.com/pl 2009 PricewaterhouseCoopers. “PricewaterhouseCoopers” odnosi się do firm wchodzących w skład sieci PricewaterhouseCoopers International Limited,z których każda stanowi odrębny i niezależny podmiot prawny. Wszelkie prawa zastrzeżone.

ł