Czy polskie spółki giełdowe są przygotowane do nowych regulacji i Dobrych Praktyk?

Na koniec maja 2008 r. podsumowaliśmy raporty 235 spółek giełdowych i niestety ponad połowa z nich nie spełnia dobrych praktyk w obszarze istnienia, niezależności i roli komitetów audytu. Obserwujemy również wiele wątpliwości zarządów i rad nadzorczych, jak w praktyce wdrażać, ulepszać i monitorować system zarządzania ryzykiem i kontroli. Są też jednak pozytywne sygnały. Podczas innego badania - wśród ok. 100 spółek giełdowych lub planujących debiut - zdecydowana większość ocenia, że silny system kontroli wewnętrznej podnosi wartość spółki dla inwestorów.

Jak wyglądają światowe trendy w zakresie regulacji i kontroli (compliance)?

Wiele mówiło się o ustawie Sarbanes-Oxley, która była dla wielu bardzo wymagającą regulacją i koniecznością kompleksowego przeglądu kontroli wewnętrznej. Mimo ogromnych wysiłków podjętych przez kierownictwa spółek giełdowych, ponad 15% z nich raportowało istotne słabości kontroli w pierwszych raportach rocznych. Wiele było krytyki tej ustawy, głównie w aspekcie kosztowym, ale nikt nie kwestionował jej zasadności. W efekcie po kilku latach doświadczeń wprowadzono pewną liberalizację przepisów. Co to oznacza dla nas? Korzystajmy z doświadczenia innych i spróbujmy zachować "złoty środek" pamiętając, że kontrole mają wspierać, a nie blokować biznes.

Czy takie regulacje istnieją jedynie w Stanach Zjednoczonych?

Po Stanach Zjednoczonych przyszedł czas na nowe regulacje we Francji, Japonii, Włoszech, Szwajcarii, zmiany w Niemczech, Wlk. Brytanii oraz wspomnianą już unijną dyrektywę. To wszystko wskazuje, że mamy nową rzeczywistość na rynkach kapitałowych, gdzie Corporate Governance odgrywa coraz ważniejszą rolę. Świadczą o tym zapowiedzi największych organizacji ratingowych, że elementem oceny kredytowej spółek będzie przegląd skuteczności zarządzania ryzykiem i kontroli wewnętrznej.

Dla wielu menedżerów ustawa Sarbanes Oxley, czy inne regulacje to dobry pretekst do zakupu systemów IT wspomagających nadzór i kontrolę...

Pretekst a jednocześnie uzasadniona decyzja biznesowa. Dobry system IT nie tylko wspomaga kontrolę wewnętrzną poprzez automatyzację czynności kontrolnych, ale także wspiera standaryzację procesów, a to z kolei oczywista korzyść biznesowa. Pomaga również w zarządzaniu dostępami do krytycznych transakcji oraz podziałem ról i obowiązków.

Jakie działania radzi Pan podjąć w pierwszej kolejności?

Przede wszystkim przegląd procesów biznesowych pod kątem zastąpienia kontroli manualnych kontrolami konfigurowalnymi w systemie IT. Taki przegląd można wykonać jako ćwiczenie przed- lub powdrożeniowe. Jeśli jesteśmy przed wdrożeniem, upewnijmy się, że plan (blueprint) wdrożenia zawiera wymagania odnośnie konfigurowalnych kontroli (np. ustawienie limitów kredytowych). W kontekście ryzyka wystąpienia nadużyć, mocno rekomenduję przegląd praw dostępu i właściwego podziału ról i obowiązków. Jest sporo narzędzi wspierających taką ocenę, w szczególności w systemach klasy ERP. No i temat coraz ważniejszy - zarządzanie ryzykiem i kontrole a outsourcing IT. Czy wraz z wydzieleniem określonych funkcji pozbywamy się ryzyka i konieczności kontroli? Czy kierownictwo upewnia się, że nadal ma kontrolę nad własnymi procesami, np. poprzez uzyskanie raportu SAS70, czy innej formy niezależnego audytu?