Kontrole mają wspierać, nie blokować biznes
- Antoni Bielewicz,
- 08.07.2008
Rozmowa z Piotrem Urbanem, wicedyrektorem w PricewaterhouseCoopers, liderem zespołu audytu oraz optymalizacji systemów i procesów biznesowych (Systems & Process Assurance).
Rozmowa z Piotrem Urbanem, wicedyrektorem w PricewaterhouseCoopers, liderem zespołu audytu oraz optymalizacji systemów i procesów biznesowych (Systems & Process Assurance).
W ostatnich miesiącach przyglądaliście się Państwo raportom polskich spółek giełdowych z wypełnienia Dobrych Praktyk. Wyniki tych analiz są co najmniej zaskakujące. Kilka firm "radzi sobie" bez systemu nadzoru i kontroli. Równocześnie wiele cierpi z powodu zbyt rygorystycznego procesu kontroli. Jak mamy rozumieć tę sprzeczność? Z jednej strony jawne lekceważenie funkcji kontrolnych, z drugiej nadgorliwość...
To tylko pozorna sprzeczność. W tej samej firmie równocześnie mogą być obszary, które są kontrolowane w sposób nadmiernie rygorystyczny lub sformalizowany, jak i takie, gdzie brakuje odpowiedniego zarządzania ryzykiem i efektywnych narzędzi kontroli. Często zapomina się, że kontrole wewnętrzne mają wspierać biznes, a nie blokować go.
Z czego to wynika?
Przyczyn może być wiele, jak choćby dynamiczne zmiany biznesowe, za którymi nie następuje równoległa modyfikacja w systemie zarządzania ryzykiem i kontroli wewnętrznej. W dużej mierze jest to wynikiem braku całościowego spojrzenia na zarządzanie ryzykiem i system kontroli, które wspierałyby realizację celów biznesowych przedsiębiorstwa.Czy takie całościowe spojrzenie, wspierające realizację celów biznesowych jest w ogóle możliwe? Nadzór i audyt kojarzą się przede wszystkim z kosztownymi formalnościami...
W każdej organizacji istnieje system kontroli wewnętrznej, różna jest jedynie jego dojrzałość. Co jest najważniejsze, to zrozumienie potrzeby logicznego powiązania trzech elementów - celów biznesowych, ryzyk mogących negatywnie wpłynąć na realizację tych celów oraz systemu kontroli wewnętrznej do zarządzania istotnymi ryzykami. Wiele przedsiębiorstw ma wdrożone narzędzia kontroli, tylko nie zawsze korzysta z nich w racjonalny sposób. Często spotykamy się z sytuacjami duplikowania się kontroli, braku automatyzacji, niewłaściwego zdefiniowania wskaźników (KPI), istotnych ryzyk i kontroli. Jestem gorącym zwolennikiem twierdzenia, że zbyt złożony i nadmiernie rozbudowany system kontroli wewnętrznej jest nie tylko drogi we wdrożeniu i utrzymaniu, ale może negatywnie wpływać na efektywność biznesu. Często wynikiem naszych przeglądów jest nie tylko identyfikacja brakujących kontroli czy ich optymalizacja, ale odchudzenie systemu i zmniejszenie ich liczby.
Czy można mówić o pewnych tendencjach w stosowaniu się do procedur i regulacji wśród polskich spółek giełdowych?
Niektóre raporty spółek giełdowych faktycznie zaskoczyły, w szczególności te wskazujące na brak systemu kontroli wewnętrznej i systemu zarządzania ryzykiem istotnym dla spółki... Wdrożenie regulacji i dobrych praktyk jest wyzwaniem dla większości firm niezależnie od wielkości czy branży, choć oczywiście inna będzie skala dla dużego banku, a inna dla małej spółki usługowej. Regulacje i oczekiwania inwestorów stają się jednak coraz bardziej wyraźne. Od początku roku obowiązują Dobre Praktyki Spółek Notowanych na GPW zawierające wspomniany już wymóg oceny systemu zarządzania ryzykiem i kontroli wewnętrznej. Mamy też projekt ustawy o biegłych rewidentach i nadzorze publicznym, który jest polską odpowiedzią na dyrektywę unijną, nakładający na spółki giełdowe, banki i zakłady ubezpieczeniowe obowiązek posiadania komitetów audytu. Do zadań komitetów audytu należy m.in. monitorowanie skuteczności systemów kontroli wewnętrznej oraz zarządzania ryzykiem, a więc dobra praktyka w tym zakresie zamienia się w twarde prawo.