Europo, Europo

W tym miejscu warto zadać pytanie, jak to jest w Europie, a w szczególności w krajach należących do Unii? Choćby pobieżna analiza regulacji w poszczególnych krajach i obserwacja jej praktycznego stosowania wskazuje, że Europa pozostała w tyle za Ameryką. Wskazuje na to także niższy poziom penalizacji zachowań prowadzących do łamania zasad Ładu Korporacyjnego. Nie oznacza to, że nic nie robi się w tej dziedzinie, wręcz przeciwnie, powstało wiele raportów odnoszących się do tego problemu, które w różnym stopniu znalazły odbicie w prawodawstwie poszczególnych krajów. Potrzeba wprowadzenia Ładu Korporacyjnego (i będącego jego konsekwencją Ładu IT) została wyrażona w wielu tzw. Raportach w większości o rodowodzie anglosaskim. Pamiętać też trzeba, że rząd brytyjski już dawno zainicjował prace mające doprowadzić do standaryzacji procesów właściwych dla IT, przykładem może być szeroko akceptowany standard operacyjny ITIL (który był też jednym ze standardów generycznych dla COBIT-u). Poniżej przykładowo pokazano główne ustalenia wynikające z raportu Hampela i Turnbulla. Ten ostatni explicite odnosi się do procesów wymiany informacji, a tym samym do technologii, która tej wymianie służy.

Raport Hampela

Dokument zbierający w jednym miejscu dobre praktyki Corporate Governance, opublikowane przez różne organizacje działające w UK (Komitet ds. CG powołany przez Radę Sprawozdawczości Finansowej w listopadzie 1995 r.).

W szczególności zawiera:

Obligacje dla Rady Dyrektorów do utrzymywania odpowiedniego systemu kontroli wewnętrznej.

Wskazuje na konieczność:

• oceny efektywności kontroli wewnętrznej oraz obligatoryjność noty w sprawozdaniu dla udziałowców (właścicieli);

• oceny efektywności kontroli wewnętrznej obejmującej kontrolę przepisów i regulacji oraz zarządzanie ryzykiem.

Raport Turnbulla

Określa rolę kontroli wewnętrznej w zarządzaniu ryzykiem.

Wskazuje, co powinna obejmować kontrola wewnętrzna:

• czynności kontrolne;

• procesy wymiany informacji;

• procesy monitorowania skuteczności kontroli wewnętrznej.

Określa, co powinno zawierać sprawozdanie roczne (zapewnienie):

• istnieje ciągły proces identyfikacji, oceny i zarządzania ryzykiem;

• proces podlega monitorowaniu przez Radę;

• proces funkcjonował nieprzerwanie w okresie sprawozdawczym;

• Rada Dyrektorów jest odpowiedzialna za funkcjonowanie kontroli wewnętrznej w spółce.

Trudno o optymizm

Zmierzając do konkluzji niniejszego artykułu, trzeba zauważyć, że zarówno w USA, jak i Europie prowadzone są intensywne działania mające doprowadzić do ustanowienia Ładu Korporacyjnego poprzez nałożenie wielu restrykcyjnych wymogów odnoszących się do procesów zarządzania, w tym tworzenia wiarygodnych raportów finansowych. Szczególną role nadano kontroli wewnętrznej, widząc w niej "pierwszą linię" wykrywania i zapobiegania tzw. nieregularnościom. Dostrzeżono silny i bezpośredni związek Ładu Korporacyjnego ze światem IT. Wskazano fakt istnienia organizacji i standardów pomocnych we wprowadzeniu i utrzymaniu pożądanego stanu w korporacjach, a w szczególności w środowisku IT. Wybór standardu pozostawiono korporacjom, wskazując jednak ogólne wymagania, jakie musi spełniać (powszechnie akceptowany standard międzynarodowy, poddany dyskusji publicznej).

Niestety, Polska jest bardzo opóźniona w powyższych procesach, choć brak konkretnych analiz pozwalających stwierdzić, ile na przykład instytucji z tzw. pierwszej pięćsetki wdrożyło jakiekolwiek uznane standardy i na jakim poziomie dojrzałości się one znajdują. Publicznie znane sprawy niektórych spółek w zakresie przestrzegania Ładu Korporacyjnego nie napawają optymizmem.

Warto też na końcu zwrócić uwagę na jeszcze jeden aspekt sprawy uzyskiwania jakości. Samo formalne wdrożenie jakiegokolwiek standardu nie załatwi sprawy. Konieczne jest ciągłe weryfikowanie jego aktualności i zmierzanie ku wyższym poziomom dojrzałości w nim określonych. A to nie jest ani łatwe, ani tanie, a czasem też nie jest przyjemne dla nikogo.

Ale też nikt nie powiedział, że ma być łatwo, lekko i przyjemnie. Firmy, które nie poradzą sobie z tym procesem, będą w naturalny sposób wypierane z rynku, co można obserwować już dziś (choć jeszcze niedawno ironicznym uśmiechem kwitowano wysiłki tych, którzy starali się o certyfikat ISO 9000).

Marek Ujejski jest dyrektorem ds. rozwiązań bankowych w Ster-Projekt SA i członkiem zarządu ISACA.