Parkiet PLUS
Notowania

Systemy i funkcje wewnętrzne w Dobrych Praktykach Spółek Notowanych 2016

Od stycznia wszystkie spółki notowane na Giełdzie Papierów Wartościowych są zobowiązane do przestrzegania nowych Dobrych Praktyk. Zmian jest wiele.

Publikacja: 30.04.2016 09:43

Wojciech Bieliński, menedżer w dziale usług doradczych w zespole zarządzania ryzykiem i audytu wewnę

Wojciech Bieliński, menedżer w dziale usług doradczych w zespole zarządzania ryzykiem i audytu wewnętrznego, KPMG Polska

Foto: Archiwum

Wojciech Bieliński

W poprzedniej wersji DPSN z listopada 2012 r. kwestia systemu kontroli wewnętrznej i zarządzania ryzykiem opisana była bardzo ogólnie. Po pierwsze, rada nadzorcza miała uwzględniać ocenę systemu kontroli wewnętrznej i zarządzania ryzykiem w ocenie sytuacji spółki, sporządzanej i przedstawianej raz do roku walnemu zgromadzeniu. Po drugie, zarząd był zobligowany do zamieszczenia tej oceny na korporacyjnej stronie internetowej.

Natomiast Dobre Praktyki Spółek Notowanych z 2016 r. idą zdecydowanie dalej i przynoszą istotne zmiany w obszarze systemów i funkcji wewnętrznych – spółka notowana powinna utrzymywać skuteczne systemy: kontroli wewnętrznej, zarządzania ryzykiem oraz nadzoru zgodności działalności z prawem (ang. compliance), a także skuteczną funkcję audytu wewnętrznego, odpowiednio do wielkości spółki i rodzaju oraz skali prowadzonej działalności.

W naszej rodzimej jurysdykcji wymogi te nie są niczym nowym dla sektora finansowego, gdyż np. banki czy firmy ubezpieczeniowe od wielu lat zobowiązane są czy to ustawami, czy rekomendacjami Komisji Nadzoru Finansowego do posiadania wdrożenia i utrzymywania powyższych systemów i funkcji. Dodatkowo w Polsce także wiele podmiotów powiązanych kapitałowo ze spółkami, w których wdrożony jest SOX, J-SOX, Euro SOX lub Law 262, posiada już funkcjonujące wyżej wspomniane systemy.

Kodeks Dobrych Praktyk jest wciąż tzw. miękkim prawem. Oznacza to, że spółki powinny się do niego stosować (zakłada się, że wchodząc na giełdę, akceptują i będą realizować tę powinność), ale jednocześnie za ich niestosowanie lub stosowanie jedynie w pewnym zakresie nie grożą żadne sankcje GPW. Zgodnie z zasadą: „bądź zgodny lub wyjaśnij" (ang. comply or explain), spółki mogą wprawdzie nie respektować zasad Dobrych Praktyk, jednak w przypadku niestosowania którejkolwiek z zasad (trwałym bądź incydentalnym) na spółce ciąży obowiązek poinformowania rynku o tym fakcie. Zatem samo niestosowanie zasad nie jest zagrożone sankcją (kara regulaminowa może zostać nałożona na emitenta w przypadku niewykonywania lub nieprawidłowego wykonywania obowiązków informacyjnych z zakresu ładu korporacyjnego), jednak zarówno nieprzestrzeganie zasad ładu korporacyjnego, jak i zaniedbanie obowiązków informacyjnych w tym zakresie może zostać negatywnie ocenione przez rynek, a w konsekwencji spowodować obniżenie wyceny spółki.

Obserwując zmiany w DPSN warto odpowiedzieć sobie na pytanie, czym są systemy wewnętrzne: kontroli wewnętrznej, zarządzania ryzykiem, nadzoru zgodności działalności z prawem (ang. compliance) oraz audytu wewnętrznego, a także co zrobić, by były one skuteczne.

System kontroli wewnętrznej jest to proces realizowany przez zarząd, kierownictwo i inny personel, zapewniający, iż procesy są efektywne i wydajne, sprawozdawczość wewnętrzna i zewnętrzna jest wiarygodna oraz zapewniona jest zgodność z przepisami prawa i procedurami wewnętrznymi. System kontroli wewnętrznej powinien funkcjonować zatem w każdej spółce notowanej, przy czym – w zależności od jej wielkości, rodzaju i skali prowadzonej działalności – może być formalny (wystandaryzowane procesy wraz ze zidentyfikowanymi mechanizmami kontrolnymi, wsparte odpowiednią dokumentacją w formie polityk i procedur, udokumentowanie wykonania kontroli, regularne raportowanie istnienia i skuteczności systemu kontroli wewnętrznej) lub nieformalny (np. ustne polecenia, procesy i podział obowiązków, wypracowane w wyniku codziennej praktyki).

System zarządzania ryzykiem to całościowe rozwiązanie oparte na systematycznym podejściu do identyfikacji, kategoryzacji i optymalizacji wszystkich grup ryzyka, na jakie narażona jest spółka, które mogą wpłynąć negatywnie na realizację jej strategicznych celów. Kompletny system zarządzania ryzykiem obejmuje następujące elementy:

- Politykę i procedury definiujące proces zarządzania ryzykiem oraz jego komponenty.

- Zasady nadzoru nad procesem zarządzania ryzykiem.

- Zasady oceny ryzyka.

- Zasady agregacji i kwantyfikacji ryzyka.

- Zasady raportowania i monitorowania ryzyka.

- Proces optymalizacji wykorzystania mechanizmów kontrolnych służących ograniczaniu ryzyka.

Elementami systemu zarządzania ryzykiem są trzy funkcje: audyt wewnętrzny, compliance i zarządzanie ryzykiem.

Funkcja zarządzania ryzykiem to druga linia obrony. Istotną cechą działalności każdej spółki jest podejmowanie ryzyka. Celem procesu zarządzania ryzykiem jest znalezienie równowagi pomiędzy potencjalną korzyścią a ryzykiem jej osiągnięcia. Zarządzanie ryzykiem stanowi podstawę utworzenia właściwego ładu korporacyjnego – procesów oraz struktur wdrażanych przez kierownictwo dla uzyskania odpowiedniego przepływu informacji, zarządzania, kierowania oraz monitorowania działań nastawionych na realizację celów spółki. Do głównych zadań funkcji zarządzania ryzykiem należą:

- Koordynacja działań związanych z zarządzaniem ryzykiem na wszystkich szczeblach i we wszystkich obszarach działalności organizacji, odpowiedzialność za rozwój strategii, metod, procesów i procedur identyfikacji, oceny, monitorowania i kontroli zagrożeń.

- Przedstawienie ogólnej sytuacji ryzyka w spółce, uwzględnienie powiązań między poszczególnymi kategoriami ryzyka, stworzenie zagregowanego profilu ryzyka (uwaga – funkcja zarządzania ryzykiem nie jest „właścicielem" ryzyk i mechanizmów kontroli – jej rola polega na koordynowaniu procesu).

- Jak najszybsze rozpoznawanie ryzyka i podejmowanie odpowiednich działań informacyjnych w organizacji.

- Doradzanie zarządowi w odniesieniu do zarządzania ryzykiem i wsparcie w wykorzystaniu systemu zarządzania ryzykiem w procesie podejmowania decyzji.

- Monitorowanie skuteczności systemu zarządzania ryzykiem.

- Propagowanie wewnątrz organizacji zarządzania ryzykiem, w tym wykorzystanie systemu zarządzania ryzykiem poprzez podjęcie działań mających na celu budowanie świadomości i edukację uczestników procesu podejmowania decyzji.

Funkcja nadzoru zgodności działalności z prawem (ang. compliance), jak sama nazwa wskazuje, odpowiada za nadzorowanie, czy działalność spółki jest zgodna z obowiązującym prawem. Do głównych zadań funkcji compliance należy:

- Identyfikacja i monitorowanie ryzyka wynikającego z nieprzestrzegania norm prawnych.

- Wczesne ostrzeganie – rozumiane jako ocena potencjalnego wpływu zmian pojawiających się w otoczeniu regulacyjnym na działalność spółki.

- Doradzanie zarządowi w sprawie przestrzegania przepisów przyjętych zgodnie z wytycznymi prawa oraz w kwestiach nowych produktów, usług i rynków pod względem ich zgodności z prawem.

- Identyfikowanie i opiniowanie wszelkich działań lub decyzji kierownictwa mogących powodować ryzyko niezgodności, wzrost ryzyka regulacyjnego lub ryzyka utraty reputacji spółki.

Zgodnie z modelem trzech linii obrony, funkcje należące do drugiej linii obrony (czyli funkcja compliance i funkcja zarządzania ryzykiem) należy traktować jako funkcje bezpośrednio wspierające działania operacyjne, których zadaniem jest spojrzenie na ryzyka z perspektywy całej spółki i inicjowanie określonych działań zarządczych związanych z zarządzaniem ryzykiem i systemem kontroli wewnętrznej.

Z kolei rolą funkcji audytu wewnętrznego (trzecia linia obrony) jest całościowe spojrzenie na organizację, dokonywanie niezależnej oceny działań podejmowanych przez pierwszą (właściciele ryzyka i kontroli) i drugą linię obrony, identyfikacja szans i zagrożeń w celu zapewnienia synergii oraz poprawy efektywności procesów zarządzania ryzykiem i kontroli wewnętrznej. W przypadku, gdy w spółce nie wyodrębniono organizacyjnie funkcji audytu wewnętrznego, rada nadzorcza (lub komitet audytu, jeśli funkcjonuje w spółce) musi dokonać oceny, czy istnieje potrzeba jego wyodrębnienia lub – ewentualnie – znalezienia podmiotu zewnętrznego, który będzie sprawował tę funkcję.

Dobre Praktyki zwracają także uwagę na kwestię niezależności osób odpowiedzialnych za zarządzanie ryzykiem i audyt wewnętrzny – wskazują, że osoby odpowiedzialne za funkcję compliance oraz audyt wewnętrzny powinny podlegać bezpośrednio prezesowi lub innemu członkowi zarządu (podległość organizacyjna) i powinny mieć zapewnioną możliwość raportowania bezpośrednio do rady nadzorczej lub komitetu audytu. Dobre Praktyki w zakresie niezależności powołują się na międzynarodowe standardy praktyki zawodowej audytu wewnętrznego. Zgodnie z nimi niezależność to brak okoliczności, które zagrażają bezstronnemu wykonywaniu obowiązków przez audyt wewnętrzny, a zarządzający audytem wewnętrznym ma bezpośredni i nieograniczony dostęp do kierownictwa wyższego szczebla i rady. Audyt wewnętrzny jest niezależny organizacyjnie wówczas, gdy zarządzający audytem wewnętrznym podlega funkcjonalnie radzie, jako najwyższemu organowi zarządzającemu (podległość funkcjonalna polega na tym, że np.: rada zatwierdza kartę audytu wewnętrznego, plan audytu wewnętrznego oparty na analizie ryzyka oraz budżet i plan zasobów audytu wewnętrznego).

GPW rekomenduje wyodrębnienie w strukturze spółki jednostek odpowiedzialnych za realizację zadań w poszczególnych systemach lub funkcjach, a odpowiedzialność za wdrożenie i utrzymanie skutecznych systemów kontroli wewnętrznej, zarządzania ryzykiem, funkcji compliance oraz audytu wewnętrznego GPW wprost przypisuje zarządowi spółki. Zatem to zarząd spółki powinien ocenić i zdecydować, czy spółka wyodrębni w swojej strukturze jednostki odpowiedzialne za realizację zadań w poszczególnych systemach i funkcjach, czy też wyodrębnienie jednostek organizacyjnych nie jest uzasadnione z uwagi na rozmiar lub rodzaj działalności prowadzonej przez spółkę. Określenie momentu osiągnięcia „odpowiedniego rozmiaru", w którym powinno się powoływać odrębne jednostki organizacyjne zajmujące się systemami i funkcjami wewnętrznymi w spółce, wymaga indywidualnego podejścia i analizy każdego przypadku.

Ponadto, zgodnie z Dobrymi Praktykami, ocena skuteczności funkcjonowania systemów i funkcji wewnętrznych powinna odbywać się co najmniej raz w roku i powinna być dokonywana przez osobę odpowiedzialną za audyt wewnętrzny oraz przez zarząd. Ocena ta (wraz z odpowiednim sprawozdaniem) powinna być przedstawiona radzie nadzorczej, która odpowiada za monitorowanie skuteczności systemów i funkcji wewnętrznych m.in. w oparciu o wspomnianą powyżej ocenę. Na podstawie czynności monitorujących rada nadzorcza jest zobowiązana do dokonania własnej rocznej oceny skuteczności funkcjonowania tych systemów i funkcji. Obowiązek monitorowania przez radę nadzorczą może być przekazany komitetowi audytu, przy czym istnienie komitetu audytu w spółce nie zwalnia rady nadzorczej z dokonania rocznej oceny systemów i funkcji wewnętrznych.

Niewątpliwie zastosowanie nowych szczegółowych zasad Dobrych Praktyk Spółek Notowanych we wszystkich powyższych aspektach będzie wyzwaniem wymagającym nie tylko uwagi i zaangażowania zarządów i rad nadzorczych, ale również wymagającym odpowiednich zasobów ludzkich i kapitałowych. Jednak przy odpowiedniej organizacji i zarządzaniu koszty „dopasowanych na miarę" systemów i funkcji wewnętrznych (po ich wprowadzeniu) nie będą istotne z punktu widzenia kosztów całej spółki, a odpowiednie przygotowanie się i zabezpieczenie przed ryzykiem może być bezcenne dla funkcjonowania spółki i realizacji jej celów strategicznych. Dodatkowo odpowiednio funkcjonujący audyt wewnętrzny dostarcza spółce wartość dodaną poprzez ocenę potencjalnych obszarów redukcji kosztów i ryzyka, powstających w wyniku nieefektywnego zarządzania, nieprawidłowo określonych procesów oraz błędnych i nieterminowych informacji zarządczych. Niejednokrotnie zaś tę wartość dodaną można wyrazić w wartościach pieniężnych.

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: PARKIET

Agentowa sztuczna inteligencja to przyszłość biznesu. Analizy firmy Gartner wskazują, iż do 2028 r.
Parkiet PLUS
"Agent washing” to rosnący problem. Wielkie rozczarowanie systemami AI
Gama LCV już od 69 900 zł netto! Do tego do 4 lat przedłużonej ochrony!
Materiał Promocyjny
Gama LCV już od 69 900 zł netto! Do tego do 4 lat przedłużonej ochrony!
Advertisement
Sytuacja dobra, zła czy średnia?
Parkiet PLUS
Sytuacja dobra, zła czy średnia?
Giełda Papierów Wartościowych
Parkiet PLUS
Pierwsza fuzja na Catalyst nie tworzy zbyt wielu okazji
Wall Street – od euforii do technicznego wyprzedania
Parkiet PLUS
Wall Street – od euforii do technicznego wyprzedania
Teraz Jeep® Compass od 499 zł netto/mies. dostępny w abonamencie dla firm
Materiał Promocyjny
Teraz Jeep® Compass od 499 zł netto/mies. dostępny w abonamencie dla firm
Advertisement
Polacy pozytywnie postrzegają stokenizowane płatności
Parkiet PLUS
Polacy pozytywnie postrzegają stokenizowane płatności
Jan Strzelecki, wiceszef działu gospodarki światowej rządowego think tanku Polski Instytut Ekonomicz
Parkiet PLUS
Jan Strzelecki z PIE: Jesteśmy na początku "próby Trumpa"
e-Wydanie