Rola rady nadzorczej w systemie kontroli wewnętrznej i zarządzania ryzykiem

Publikowane od początku br. przez emitentów raporty nt. niestosowania niektórych zasad dobrych praktyk ujawniły m.in., że w przypadku ponad 20% spółek (spośród ok. 140, które opublikowały raporty na ten temat do końca stycznia) rada nadzorcza nie dokonuje i nie przedstawia zwyczajnemu walnemu zgromadzeniu oceny systemu kontroli wewnętrznej i systemu zarządzania ryzykiem.

Nie mamy, nie oceniamy

Argumentacja, którą posłużyły się niektóre spółki uzasadniając niestosowanie tej zasady, skłaniać powinna do refleksji. Do najczęściej podawanych powodów należy stwierdzenie wprost, że w spółce brak jest systemu kontroli wewnętrznej i zarządzania ryzykiem istotnym dla spółki, w tym takiego systemu, który znajdowałby się w kompetencji rady nadzorczej. Powołując się na przepisy Kodeksu spółek handlowych, emitenci stwierdzali ponadto, że rada nadzorcza sprawuje stały nadzór nad działalnością spółki we wszystkich jej dziedzinach, dokonując w szczególności oceny sprawozdań zarządu. Uznawano przy tym, że nadzór sprowadzający się do tego ostatniego elementu jest całkowicie wystarczający. Niekiedy spółki przyznawały po prostu, że rada nadzorcza nie kontroluje ww. systemów, co uniemożliwia jej dokonanie ich oceny.

Przykładowe uzasadnienia emitentów dla niestosowania zasady obligującej radę nadzorczą do dokonywania oceny sytuacji spółki, w tym oceny systemu kontroli wewnętrznej i zarządzania ryzykiem:

– Ze względu na brak systemu kontroli wewnętrznej i systemu zarządzania ryzykiem istotnym dla spółki, rada nadzorcza nie przedstawi zwyczajnemu walnemu zgromadzeniu oceny tych systemów.

– Brak jest systemu kontroli wewnętrznej i systemu zarządzania ryzykiem istotnym dla spółki będącego w kompetencji rady nadzorczej.

– Zasada nie jest i nie będzie stosowana w części dotyczącej oceny systemów; rada nadzorcza zgodnie z przepisami kodeksu spółek handlowych, w oparciu o zapisy jej regulaminu oraz statutu spółki sprawuje stały nadzór nad działalnością spółki we wszystkich dziedzinach jej działalności, a w szczególności dokonuje oceny sprawozdań zarządu.

– Rada nadzorcza nie dokonuje kontroli tych systemów i z uwagi na to nie może dokonywać ich oceny.

– Zasada ta jest stosowana w ograniczonym zakresie, gdyż roczne sprawozdanie rady nadzorczej zawiera jedynie te oceny, których sporządzenia wymaga art. 395 § 2 w zw. z art.382 § 3 Ksh.

– Spółka w chwili obecnej nie posiada jeszcze zatwierdzonego systemu kontroli wewnętrznej.

– Rada nadzorcza zgodnie z wymogami Kodeksu spółek handlowych ma obowiązek dokonać oceny sprawozdania zarządu z działalności oraz sprawozdania finansowego, tym samym rada nadzorcza ocenia również sytuację spółki.

Czy rzeczywiście sprawowanie nadzoru nad działalnością spółki nie oznacza, że rada nadzorcza musi dokonywać samodzielnej oceny sytuacji spółki, uwzględniającej ocenę systemu kontroli wewnętrznej i zarządzania ryzykiem? Czy systemy te rzeczywiście znajdują się poza zakresem kompetencji rady? Czy za wystarczające działanie w tym zakresie można uznać ocenę sprawozdań przedkładanych przez zarząd?

Sprzeczne z prawem zaniechanie?

Art. 382 §1 Ksh stanowi, że rada nadzorcza sprawuje stały nadzór nad działalnością spółki we wszystkich dziedzinach jej działalności. W komentarzach do tego przepisu czytamy, że stały nadzór oznacza zarówno nadzór nad przedsiębiorstwem prowadzonym przez spółkę, jak i wykonywanie czynności kontrolnych. Jeśli chodzi o „stały” charakter działań podejmowanych przez radę, należy rozumieć przez to postulat nie ograniczania się do nadzorowania tylko niektórych czynności wykonywanych okresowo, a więc wyłącznie oceny okresowych sprawozdań finansowych i innych sprawozdań z działalności spółki przygotowywanych przez zarząd.

Rada nadzorcza, aby móc efektywnie sprawować tak właśnie rozumiany nadzór nad działalnością spółki, powinna móc oprzeć się na systemie kontroli wewnętrznej i zarządzania ryzykiem, stanowiącymi trzon i jeden z gwarantów prawidłowości funkcjonowania każdej organizacji. Chcąc dysponować przekonaniem o skuteczności i zgodności tychże rozwiązań systemowych z powszechnie przyjmowanymi w tym zakresie standardami, rada musi dokonać ich samodzielnej oceny. Nie powinna przy tym opierać się tylko na stanowisku wyrażonym przez zarząd, odnoszącym się do efektywności funkcjonujących w spółce mechanizmów kontrolnych. Dopiero dokonując samodzielnie dobrze ukierunkowanego przeglądu ustanowionych w spółce rozwiązań organizacyjno-procesowych – na podstawie możliwie szerokiego spektrum informacji źródłowych – rada może wyrobić sobie przekonanie o ich skuteczności. To z kolei przekłada się bezpośrednio na zwiększenie prawdopodobieństwa prowadzenia działalności operacyjnej w sposób efektywny i wydajny, a w konsekwencji pozwala na osiąganie celów strategicznych organizacji.

Warto w tym miejscu przytoczyć wypowiedź Edmunda J. Saundersa – prezesa Stowarzyszenia Biegłych ds. Przestępstw i Nadużyć Gospodarczych ACFE Polska, który w jednym z wywiadów stwierdził: Najbardziej skuteczne mechanizmy obrony organizacji przed nadużyciami to przede wszystkim efektywny system kontroli wewnętrznej i świadomość kierownictwa i pracowników, że wszyscy ponoszą odpowiedzialność za efektywność mechanizmów i procedur kontrolnych, oraz, że są one przestrzegane. Tak więc dobrze zaprojektowany i zarządzany system kontroli, to nie tylko gwarancja sukcesów w realizacji strategii, ale również skuteczna ochrona przed nadużyciami, ewentualnym skandalem i – będącym tego konsekwencją – gwałtownym końcem kadencji zarządu, a w niektórych przypadkach również rady nadzorczej. Szczególny nacisk należy przy tym położyć, w kontekście powyższej wypowiedzi, na określenie „wszyscy”, które powinno odnosić się również do rady nadzorczej jako jednego z organów statutowych spółki.

Co więcej, niedokonanie przez radę oceny systemu kontroli wewnętrznej i zarządzania ryzykiem, mogłoby zostać uznane – w szczególności w przypadku stwierdzenia istotnych nieprawidłowości lub nadużyć w związku z działalnością spółki – za brak dołożenia przez członków rady wymaganej od nich należytej staranności, czy też nawet sprzeczne z prawem zaniechanie. Zgodnie z postanowieniami art. 483 Ksh, wykazanie przed sądem zaistnienia takiej sytuacji może stanowić podstawę odpowiedzialności odszkodowawczej członków rady nadzorczej w stosunku do spółki.

Warto w tym miejscu wskazać, że doktryna prawa, odnosząc się do stopnia staranności postępowania wymaganego od osób wchodzących w skład rad nadzorczych, postuluje, aby jej zakres obejmował w szczególności znajomość procesów organizacyjnych, finansowych, zagadnienia kierowania zasobami ludzkimi oraz obowiązującego prawa, a także następstw z niego wynikających w zakresie prowadzonej działalności gospodarczej. Nie można ponadto wykluczyć, że postanowienia i wymogi określone w dobrych praktykach, pomimo ich pozaustawowego charakteru, będą w coraz większym zakresie stawać się prawnie doniosłe, poprzez ich wykorzystywanie przy ocenie staranności wymaganej od członków rad nadzorczych.

Niezależnie od ryzyka dotyczącego samej rady, będącego konsekwencją braku jej zainteresowania systemem kontroli wewnętrznej i zarządzania ryzykiem, również funkcjonowanie spółki obarczone jest nim w większym stopniu – z uwagi na bardzo ograniczony w praktyce zakres nadzoru sprawowanego przez radę nadzorczą.

Rola rady w modelu COSO

Zatrzymajmy się na chwilę przy kwestii celowości dokonywania przez radę nadzorczą oceny systemu kontroli wewnętrznej i zarządzania ryzykiem – z punktu widzenia modelu kontroli wewnętrznej opracowanego przez Komitet Organizacji Sponsorujących Komisję Treadwaya (The Committee of Sponsoring Organizations of the Treadway Commission – COSO).

W opracowaniu zatytułowanym Kontrola wewnętrzna – zintegrowana struktura ramowa Komitet zawarł następującą definicję kontroli wewnętrznej: jest to proces wykonywany przez zarząd, kierownictwo oraz pozostały personel, którego celem jest dostarczanie racjonalnego zapewnienia dotyczącego osiągania celów organizacji w następujących obszarach:

– efektywność i skuteczność operacji,

– rzetelność sprawozdań finansowych,

– zgodność działań ze stosownymi przepisami i regulacjami.

Tak rozumiana kontrola wewnętrzna to pięć wzajemnie powiązanych elementów: środowisko kontroli, ocena ryzyka, czynności kontrolne, informowanie i komunikacja, monitorowanie (patrz tabela). Rada nadzorcza stanowi element systemu kontroli wewnętrznej, jako że jej rola i działalność wchodzą w skład środowiska kontroli, będącego nieodłącznym składnikiem całego systemu, i stanowiącego o faktycznym stopniu świadomości organizacji w zakresie kontroli.

(…)

Wydaje się więc, że z uwagi na jej umiejscowienie w strukturze organizacyjnej i hierarchii organów spółki, rada nadzorcza ma możliwość dokonywania niezależnej oceny wszystkich elementów kontroli wewnętrznej wyodrębnionych w ramach modelu COSO. Przy czym ocena ta nie powinna omijać samej rady, która mogłaby być zobligowana do przeprowadzania samooceny w zakresie sposobu, efektywności i wartości dodanej wynikającej z faktu jej funkcjonowania.

Potrzeba całościowych rozwiązań

Czy, rozumiejąc konstrukcję systemu kontroli wewnętrznej postulowaną przez COSO, rada nadzorcza może pozostawać obojętna i nie zajmować się tym zagadnieniem? Trudno to sobie wyobrazić, skoro system kontroli wewnętrznej i zarządzania ryzykiem ma kluczowe znaczenie z punktu widzenia funkcjonowania spółki, realizacji jej strategii, a także zamiarów i interesów jej akcjonariuszy. Obojętność rady byłaby ponadto obarczona zbyt dużym ryzykiem, zarówno z punktu widzenia akcjonariuszy, jak i samych członków rad nadzorczych. Przy czym istotna jest nie tylko sama potrzeba dokonania oceny, ale również, a może przede wszystkim, przeprowadzanie jej na podstawie dobrze opracowanej i kompleksowej metodyki, z wykorzystaniem zróżnicowanych źródeł informacji i przy znacznym zaangażowaniu wszystkich lub wybranych członków rady nadzorczej.

Zdając sobie sprawę z tych uwarunkowań, zasadne wydaje się dokonanie przez rady przeglądu faktycznie podejmowanych w tym zakresie działań. I dotyczy to zarówno spółek, które zadeklarowały niestosowanie przez ich rady nadzorcze oceny systemu kontroli wewnętrznej i zarządzania ryzykiem, jak i tych, które takiego komunikatu nie opublikowały. Niewiele bowiem wynika z samego stwierdzenia, że rada nadzorcza pozytywnie ocenia system kontroli wewnętrznej ustanowiony w spółce, które pojawia się niekiedy przy okazji raportów rocznych publikowanych przez spółki.

Wyniki przeprowadzonej analizy mogłyby stać się podstawą dla opracowania przez spółkę metodyki oraz ustanowienia całościowego i systemowego rozwiązania w zakresie kontroli wewnętrznej i zarządzania ryzykiem. Rada nadzorcza byłaby jego ważnym elementem, jako instancja dokonująca finalnej oceny efektywności jego funkcjonowania. Nie powinno to jednak służyć wyłącznie pozostawaniu w zgodzie z zasadami dobrych praktyk. Celem zasadniczym, który powinien przyświecać radzie, musi być wola zrealizowania strategii spółki i zwiększenia przekonania wśród akcjonariuszy co tego, że zmaterializują się zakładane przez nich korzyści płynące z faktu kapitałowego zaangażowania w spółkę.

(…)