Kontrole mają wspierać, nie blokować biznes

Rozmowa z Piotrem Urbanem, wicedyrektorem w PricewaterhouseCoopers, liderem zespołu audytu oraz optymalizacji systemów i procesów biznesowych (Systems & Process Assurance).

Rozmowa z Piotrem Urbanem, wicedyrektorem w PricewaterhouseCoopers, liderem zespołu audytu oraz optymalizacji systemów i procesów biznesowych (Systems & Process Assurance).

W ostatnich miesiącach przyglądaliście się Państwo raportom polskich spółek giełdowych z wypełnienia Dobrych Praktyk. Wyniki tych analiz są co najmniej zaskakujące. Kilka firm "radzi sobie" bez systemu nadzoru i kontroli. Równocześnie wiele cierpi z powodu zbyt rygorystycznego procesu kontroli. Jak mamy rozumieć tę sprzeczność? Z jednej strony jawne lekceważenie funkcji kontrolnych, z drugiej nadgorliwość...

To tylko pozorna sprzeczność. W tej samej firmie równocześnie mogą być obszary, które są kontrolowane w sposób nadmiernie rygorystyczny lub sformalizowany, jak i takie, gdzie brakuje odpowiedniego zarządzania ryzykiem i efektywnych narzędzi kontroli. Często zapomina się, że kontrole wewnętrzne mają wspierać biznes, a nie blokować go.

Z czego to wynika?

Zbyt złożony i nadmiernie rozbudowany system kontroli wewnętrznej jest nie tylko drogi we wdrożeniu i utrzymaniu, ale może negatywnie wpływać na efektywność biznesu. Często wynikiem naszych przeglądów jest odchudzenie systemu i zmniejszenie liczby kontroli.Przyczyn może być wiele, jak choćby dynamiczne zmiany biznesowe, za którymi nie następuje równoległa modyfikacja w systemie zarządzania ryzykiem i kontroli wewnętrznej. W dużej mierze jest to wynikiem braku całościowego spojrzenia na zarządzanie ryzykiem i system kontroli, które wspierałyby realizację celów biznesowych przedsiębiorstwa.

Czy takie całościowe spojrzenie, wspierające realizację celów biznesowych jest w ogóle możliwe? Nadzór i audyt kojarzą się przede wszystkim z kosztownymi formalnościami...

W każdej organizacji istnieje system kontroli wewnętrznej, różna jest jedynie jego dojrzałość. Co jest najważniejsze, to zrozumienie potrzeby logicznego powiązania trzech elementów - celów biznesowych, ryzyk mogących negatywnie wpłynąć na realizację tych celów oraz systemu kontroli wewnętrznej do zarządzania istotnymi ryzykami. Wiele przedsiębiorstw ma wdrożone narzędzia kontroli, tylko nie zawsze korzysta z nich w racjonalny sposób. Często spotykamy się z sytuacjami duplikowania się kontroli, braku automatyzacji, niewłaściwego zdefiniowania wskaźników (KPI), istotnych ryzyk i kontroli. Jestem gorącym zwolennikiem twierdzenia, że zbyt złożony i nadmiernie rozbudowany system kontroli wewnętrznej jest nie tylko drogi we wdrożeniu i utrzymaniu, ale może negatywnie wpływać na efektywność biznesu. Często wynikiem naszych przeglądów jest nie tylko identyfikacja brakujących kontroli czy ich optymalizacja, ale odchudzenie systemu i zmniejszenie ich liczby.

Czy można mówić o pewnych tendencjach w stosowaniu się do procedur i regulacji wśród polskich spółek giełdowych?

Niektóre raporty spółek giełdowych faktycznie zaskoczyły, w szczególności te wskazujące na brak systemu kontroli wewnętrznej i systemu zarządzania ryzykiem istotnym dla spółki... Wdrożenie regulacji i dobrych praktyk jest wyzwaniem dla większości firm niezależnie od wielkości czy branży, choć oczywiście inna będzie skala dla dużego banku, a inna dla małej spółki usługowej. Regulacje i oczekiwania inwestorów stają się jednak coraz bardziej wyraźne. Od początku roku obowiązują Dobre Praktyki Spółek Notowanych na GPW zawierające wspomniany już wymóg oceny systemu zarządzania ryzykiem i kontroli wewnętrznej. Mamy też projekt ustawy o biegłych rewidentach i nadzorze publicznym, który jest polską odpowiedzią na dyrektywę unijną, nakładający na spółki giełdowe, banki i zakłady ubezpieczeniowe obowiązek posiadania komitetów audytu. Do zadań komitetów audytu należy m.in. monitorowanie skuteczności systemów kontroli wewnętrznej oraz zarządzania ryzykiem, a więc dobra praktyka w tym zakresie zamienia się w twarde prawo.