„Dobre Praktyki A.D. 2015” – komentarz do projektu nowego kodeksu, cz. 7

III. Systemy i funkcje wewnętrzne

Kwestie ogólne – regulator przypomina, iż:

Spółka giełdowa utrzymuje skuteczny system kontroli wewnętrznej, system zarządzania ryzykiem oraz funkcję audytu wewnętrznego, odpowiednie do wielkości spółki i rodzaju oraz skali prowadzonej działalności.

Komentarz – regulator przypomina o zasadzie skalowalności. Procedury stosowane przez giełdowego giganta oraz małą spółkę będą się między sobą różnić, co jest całkowicie naturalne. Ważne, by zostały wdrożone i funkcjonowały realnie, a nie na jedynie na papierze. 

Rekomendacje:

III.R.1 W przypadku, gdy uzasadnia to rozmiar lub rodzaj działalności prowadzonej przez spółkę, wyodrębnia ona w swojej strukturze jednostkę odpowiedzialną za realizację funkcji audytu wewnętrznego, która w szczególności bada skuteczność systemu kontroli wewnętrznej i systemu zarządzania ryzykiem.

Komentarz – kluczowa dla tego paragrafu jest fraza „rozmiar lub rodzaj działalności” (spółki). To w intencji regulatora ma uzasadniać (bądź nie) stworzenie komórki audytu wewnętrznego. Czy jeżeli zarząd spółki uzna, iż nie ma sensu tworzyć takiej komórki – („nasza działalność i wielkość tego nie uzasadnia”) naprawdę warto to pominąć? Nie sądzę, by był to dobry pomysł. W ostateczności warto obdarzyć jednego z pracowników (który wykazuje do tego dryg i chęć do nauki) dodatkowym zakresem obowiązków. Tym sposobem po pewnym czasie (oraz inwestycjach w kursy i szkolenia) emitent może sam „wychować” sobie własnego audytora wewnętrznego, bez organizowania zewnętrznej rekrutacji.

Zasady szczegółowe:

III.Z.1. Za wdrożenie i utrzymanie skutecznych systemów kontroli wewnętrznej, zarządzania ryzykiem oraz audytu wewnętrznego odpowiada zarząd spółki.

Komentarz – nowy z zapisów Kodeksu, chociaż odkrywczości w nim brak. Zarząd bezpośrednio odpowiada za prowadzenie spraw spółki, więc i dbać musi o wdrażanie skutecznych systemów kontroli i audytu. Zapis de facto powiela coś, co można uznać już za stan faktyczny (przynajmniej w kontekście odpowiedzialnych emitentów).

III.Z.2. Osoby odpowiedzialne za zarządzanie ryzykiem i funkcję audytu wewnętrznego wchodzą w skład zarządu lub są mu bezpośrednio podporządkowane, a także mają zapewnioną możliwość raportowania bezpośrednio do rady nadzorczej lub komitetu audytu oraz wydawania niezależnych merytorycznie opinii.

Komentarz – wejście w skład zarządu audytora wewnętrznego nie jest powszechną praktyką – częściej można mówić o bezpośredniej podległości pod prezesem zarządu. Mimo wszystko, nie są to dominujące rozwiązania organizacyjne. W mojej praktyce spotkałem się również z następującym rozwiązaniem: komórka audytu wewnętrznego stanowiła część pionu finansowego, nad którym kontrolę sprawuje dyrektor finansowy. Umiejscowienie tej komórki nie jest w mojej opinii najbardziej istotnym czynnikiem, decydującym o efektywności. Najważniejszy jest bezpośredni, regularny dostęp do prezesa zarządu oraz struktur, na które w powyższym punkcie wskazuje regulator: do rady nadzorczej oraz komitetu audytu. Jeżeli nikt nie utrudnia audytorowi ww. działań, może on z powodzeniem realizować swe obowiązki zawodowe oraz unikać nacisków (niestety, to zawsze może się zdarzyć, dlatego akcentowana jest możliwość wygłaszania „niezależnych merytorycznie opinii”), wychwytywać zgłoszenia whistleblowerów itd.

III.Z.3. Co najmniej raz w roku zarząd oraz osoba odpowiedzialna za audyt wewnętrzny przedstawiają radzie nadzorczej sprawozdanie prezentujące zasady oraz ocenę funkcjonowania systemu zarządzania ryzykiem oraz ocenę funkcjonowania systemu kontroli wewnętrznej.

Komentarz – kolejny z nowych punktów DPSN, mających na celu ułatwienie przepływu informacji pomiędzy audytorem wewnętrznym, zarządem i radą nadzorczą. To truizm, ale powtórzmy: im lepszy przepływ informacji między ww. strukturami, tym lepiej dla spółki oraz jej interesariuszy. Rokrocznie przygotowywane sprawozdanie może pozytywnie wpłynąć na wspomniane relacje. Oczywiście, o ile będzie ono merytorycznym dokumentem, a nie paruzdaniowym świstkiem papieru, wymęczonym w wielkich bólach i pod przymusem.

III.Z.4. Rada nadzorcza monitoruje efektywność systemów i funkcji, o których mowa w zasadzie III.Z.1, w oparciu między innymi o sprawozdania okresowo dostarczane jej bezpośrednio przez osoby odpowiedzialne za te funkcje oraz zarząd spółki, jak również dokonuje rocznej oceny ich funkcjonowania, zgodnie z zasadą II.Z.11.1.

Komentarz – zgodnie z nowym punktem DPSN, rada monitoruje efektywność kontroli wewnętrznej, zarządzania ryzykiem oraz audytu wewnętrznego, opierając się na sprawozdaniach oraz ocenia ich funkcjonowanie poprzez zwięzłą ocenę sytuacji spółki. Reasumując – punkt sankcjonuje stan faktyczny, realizowany w praktyce przez większość emitentów, lecz do tej pory nie zapisany w Ładzie Korporacyjnym. Praktyka sprawozdawcza pokaże, czy tego typu zapisy mają rację bytu i wpływają na transparentność komunikacyjną.

III.Z.5. W przypadku gdy w spółce nie wyodrębniono organizacyjnie funkcji audytu wewnętrznego, komitet audytu co roku dokonuje oceny, czy istnieje potrzeba wydzielenia funkcji audytu wewnętrznego i przedstawia radzie nadzorczej rekomendację w tym zakresie.

Komentarz – kolejny z nowych zapisów, nakładający obowiązek sprawozdawczy na komitet audytu. Do klasycznych działań Komitetu (przypomnijmy je sobie, zgodnie z art. 86 ust. 7 „Ustawy o biegłych rewidentach” z 7 maja 2009 r.)

7. Do zadań komitetu audytu należy w szczególności:

1) monitorowanie procesu sprawozdawczości finansowej;

2) monitorowanie skuteczności systemów kontroli wewnętrznej, audytu wewnętrznego oraz zarządzania ryzykiem;

3) monitorowanie wykonywania czynności rewizji finansowej;

4) monitorowanie niezależności biegłego rewidenta i podmiotu uprawnionego do badania sprawozdań finansowych

Nowy zapis Ładu Korporacyjnego i związany z nim obowiązek sprawozdawczy de facto odpowiada na ww. punkt 2, poszerzając go o udzielenie rekomendacji co do wydzielenia komórki audytu wewnętrznego w strukturze spółki.

CDN

Grzegorz Surma

Print This Post Print This Post

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

thirteen − 3 =