Wielki kłopot czy szansa na wzmocnienie konkurencyjności?

Przed radami nadzorczymi spółek notowanych na GPW stoi poważne wyzwanie: będą one musiały w znacznie szerszym niż dotychczas zakresie angażować się w problematykę zarządzania ryzykiem istotnym dla spółki. Dobre praktyki 2008 wymagają od rad, by co roku dokonywały oceny systemu zarządzania ryzykiem istotnym dla nadzorowanej instytucji. Nie jest to proste i wymaga odpowiednich kompetencji. Nie mogą czuć się zwolnieni z tego obowiązku członkowie rad spółek, które nie wprowadziły jeszcze takiego systemu. Wręcz przeciwnie – powinni oni nie tylko poszerzać swoje kompetencje w tym zakresie, ale i motywować zarządy do poważnego zajęcia się problemem ryzyka.

W dyskusji udział wzięli:

Maciej Leśny – przewodniczący rady nadzorczej BRE Banku;

Wiesław Rozłucki – członek rad nadzorczych TP, TVN, MCI Management, b. prezes GPW;

Zbigniew Jagiełło – prezes Pioneer Pekao TFI i Pioneer Pekao Investment Management.

Andrzej S. Nartowski: – Zgodnie z nową redakcją Dobrych praktyk, rada nadzorcza ocenia system zarządzania ryzykiem istotnym dla spółki. Mała dygresja: gdyby literalnie wywieść funkcje rady nadzorczej od jej nazwy, można odnieść wrażenie, że zajmuje się ona przede wszystkim czynnościami nadzorczymi, a nadzór to prawo do kontroli i do wydawania wiążących poleceń. Ale przecież rada nadzorcza nie może wydawać zarządowi wiążących poleceń dotyczących prowadzenia spraw spółki. Kiedyś nazywano ją radą zawiadowczą – może to było bliższe jej ówczesnym funkcjom? Dzisiaj nazwałbym ją „radą oceniającą”. Zgodnie z prawem, rada ocenia sprawozdanie finansowe spółki i sprawozdanie zarządu. Zgodnie z dobrymi praktykami, od lat rada dokonuje dla walnego zgromadzenia dorocznej oceny sytuacji spółki.

Nowe Dobre praktyki wnoszą zaś trzy nowe elementy do oceny przez radę. Pierwszy to ocena systemu kontroli wewnętrznej w spółce. Drugi to ocena systemu zarządzania ryzykiem istotnym dla spółki. Trzeci – to samoocena rady nadzorczej, czyli zdawanie rynkowi sprawy, jak rada wykonuje swoje zadania polegające na ocenie spółki w coraz liczniejszych aspektach jej działalności.

Do panelu zaprosiłem prezesa Macieja Leśnego, który opowie jak to wygląda z jego perspektywy – to przecież banki jako pierwsze wprowadziły oceny sytuacji spółek i są najbardziej zaawansowane w sporządzaniu oceny systemu zarządzania ryzykiem. Zaprosilem też prezesa Wiesława Rozłuckiego, który jest w radach nadzorczych kilku poważnych spółek, gdzie zajmuje się m.in. oceną ryzyka. I wreszcie jest w panelu prezes Zbigniew Jagiełło, reprezentujący wielkiego inwestora instytucjonalnego; powie on nam, czego inwestorzy instytucjonalni oczekują w tym zakresie od rad nadzorczych, od spółek.

Maciej Leśny:
– To prawda, że banki są zawsze na czele wszelkich zmian. Ostatnie nowelizacje Prawa bankowego wprowadziły dość istotne zmiany, nakazujące badać aspekty działalności banków, o których mówił prezes Nartowski. Postawiło to banki wobec wielkich wyzwań.

Nie jest tajemnicą, że przez długie lata członkostwo w radach nadzorczych banków, czy w ogóle spółek, było traktowane jako synekura, wręcz łup polityczny…

Andrzej S. Nartowski: – W istocie jest tak nadal…

Maciej Leśny: – Być może, ale jeśli ktoś ma trochę oleju w głowie, to nie da się wmanewrować w pracę, na której się nie zna. Przecież członkowie rad nadzorczych ręczą swoim majątkiem za własne decyzje.

Andrzej S. Nartowski: – Ale jeszcze nie było takiego przypadku, żeby członek rady został puszczony bez skarpetek.

Maciej Leśny: – Wróćmy jednak do meritum – nagle się okazało, że członkowie rad nadzorczych powinni posiadać należytą wiedzę, właściwe doświadczenie oraz móc poświęcać odpowiednią ilość czasu swoim obowiązkom. Zdefiniowanie, co to konkretnie znaczy, należy do walnego zgromadzenia.

Do obserwowanego przeze mnie banku – a jestem z nim związany od 1994 roku – zostałem oddelegowany jako wiceminister współpracy gospodarczej z zagranicą, mając mętne pojęcie o tym jak działa bank i za co będę odpowiadał. Trafiłem jednak na pana prezesa Krzysztofa Szwarca, którego nie wstydziłem się pytać o to, czego nie wiedziałem i… pytałem go tak przez kilka lat. Wiedzę i doświadczenie zdobywałem więc pod opieką prezesa Szwarca, który zawsze służył mi pomocą. Potem był prezes Wojciech Kostrzewa, który stworzył i rozwinął bankowość inwestycyjną w BRE. Jego następca, Sławomir Lachowski, rozbudował bankowość detaliczną. Teraz prezesem jest Mariusz Grendowicz, który ma ten bank poprowadzić w sposób zrównoważony – do kolejnego zwycięstwa.

Z moich doświadczeń wynika ważna konstatacja: w świetle wytycznych, które kształtują działalność banku, rada nadzorcza powinna stworzyć warunki, w których będzie czuła się komfortowo – czyli sytuację, gdy wszystkie procesy w banku idą właściwie, nie ma niespodziewanych zajść. Wtedy nie ma też kłopotów z oceną działalności rady. Ale taki komfort jest niezwykle złudny, dlatego że im większa instytucja finansowa – tym bardziej ci, którzy odpowiadają za jej działalność, samouspokajają się, że odpowiednie służby wiedzą co czynią. I tak to sobie trwa od spotkania do spotkania. Tymczasem może się okazać, że oto jakiś pracownik wielkiego banku z oddziału w Singapurze potrafi położyć cały bank. A wszystko wskutek przekonania organów spółki, że nic się nie może zepsuć i wszystko jest pod kontrolą.

Właściwa ocena ryzyka w działalności banku jest podstawowym warunkiem, by rada nadzorcza czuła się komfortowo. Tymczasem najważniejsze ryzyka, z którymi się stykamy, są większe niż się potocznie wydaje i jak potocznie rozumieją je klienci banków. Trzeba też podkreślić, że ryzyko jest niejako wpisane w działanie banku, bo to właśnie na ryzyku bank zarabia.

Zarządzanie ryzykiem jest jednym z pięciu najbardziej wnikliwie ocenianych aspektów działalności banku. Główne rodzaje ryzyk, kontrolowane przez szefa pionu ryzyka – szef tego pionu jest u nas wiceprezesem banku – to ryzyka: rynkowe, stopy procentowej, operacyjne, płynności i ryzyko kredytowe, któremu poświęcamy najwięcej naszej uwagi. Poszczególne piony banku również mają swoje ryzyka: ryzyko reputacji, ryzyko inwestycyjne, ryzyko procesów biznesowych, czy ryzyko personelu – w BRE Banku mamy bardzo rozwinięty dział HR, który ma obowiązek zajmowania się tym ryzykiem, a nie jest to powszechnie doceniane. Jak wygląda „konsumpcja kapitału” ze względu na poszczególne ryzyka? Ryzyko kredytowe obejmuje prawie 89% kapitału, którym zarządza bank i jest to powód, dla którego musimy się tym niesłychanie mocno przejmować. Ryzyko operacyjne konsumuje 8% kapitału, ryzyko stopy procentowej 1%, pozostałe ryzyka obejmują ułamki procenta.

Bank musi w swoim działaniu ściśle przestrzegać regulacji prawnych narzuconych z zewnątrz, cały czas pozostając pod nadzorem Komisji Nadzoru Finansowego. Niezwykle istotne znaczenie dla zarządzania ryzykiem mają postanowienia Nowej Umowy Kapitałowej, dotyczące ustalania, utrzymywania i samooceny adekwatności kapitałowej. Na mocy NUK, podniesione zostały wymogi dotyczące adekwatności kapitałowej z 8% do 10%. Jest to problem dla niektórych banków, które muszą realizować programy naprawcze narzucone przez nadzór finansowy. Cały sektor bankowy został zmuszony do wprowadzenia systemów skutecznego i bezpiecznego zarządzania ryzykiem. Gdyby bank nie uwzględniał odpowiedniego zarządzania wymienionymi już przeze mnie ryzykami, nadzór ma prawo dołożyć dodatkowy wymóg w zakresie adekwatności kapitałowej – co oznacza, że działanie banku będzie droższe i obciążone dodatkowym ryzykiem.

Typowym przykładem są tu kredyty hipoteczne denominowane z walutach obcych. Część banków dawała te kredyty osobom, które zaledwie „od spodu” dotykały limitu zdolności kredytowej, a zakładanie że przez 30 lat nie zmieni się stopa procentowa albo kurs – jest przecież naiwnością. Dlatego nadzór bankowy – jeszcze pod kierunkiem dyrektora Wojciecha Kwaśniaka – ostro nad tym pracował. Katalog ryzyk jest zresztą nieustannie rozszerzany: wchodzą coraz to nowe ryzyka, które muszą być zarządzane przez banki – np. ryzyko reputacji, IT, ubezpieczeniowe. Wymagane jest w związku z tym opracowanie strategii i polityki zarządzania różnymi rodzajami ryzyka. Dokumenty te są zatwierdzane przez radę nadzorczą.

Muszę się pochwalić, że BRE Bank spełnia na bieżąco wszystkie wymagania w zakresie zarządzania różnymi rodzajami ryzyka, wynikające z regulacji krajowych oraz przepisów międzynarodowych. Co bardzo ważne, dotyczy to także regulacji Commerzbanku – inwestora strategicznego – spełniamy bowiem wymogi zarządzania ryzykiem obowiązujące w całej grupie kapitałowej Commerzbanku.

Jakie są zadania rady nadzorczej, które musi wykonywać, by ocena ryzyka była skuteczna? Rada sprawuje nadzór nad zarządem przy ustalaniu wytycznych dotyczących działalności obciążonej ryzykiem; nadzoruje zgodność regulacji obowiązujących w banku z jego strategią i planem finansowym; zatwierdza strategie i procedury; dokonuje oceny adekwatności i skuteczności systemu zarządzania ryzykiem. Posiadanie wiedzy w tym zakresie jest niezwykle ważne i członek rady, który by się w tym gronie znalazł przypadkowo – nie miałby pojęcia, o czym mowa. Zresztą i wystarczająco kompetentni członkowie rady muszą doskonalić swoje umiejętności. W BRE Banku np. w ub.r. przeprowadziliśmy dla rady nadzorczej banku cykl dziewięciu wykładów nt. różnych aspektów działalności banku, w tym związanych z ryzykiem; w br. kontynuujemy te szkolenia.

Podkreślę znaczenie ważnego punktu w naszych obowiązkach: stale analizujemy poziom i strukturę ryzyka kredytowego, rynkowego i operacyjnego. Rada BRE Banku działa w dwojaki sposób: cała rada, zgodnie z przepisami, spotyka się na posiedzeniach plenarnych trzy razy do roku; natomiast w międzyczasie, kiedy rada faktycznie nie obraduje, rezyduje permanentnie specjalna grupa, wyłoniona spośród członków rady, tzw. komisja prezydialna. Jestem szefem tej komisji, moim zastępcą jest wiceprezes Commerzbanku Martin Blessing (16 maja br. objął on funkcję szefa Commerzbanku – red.). W skład komisji wchodzi jeszcze jeden członek zarządu Commerzbanku i jeden członek rady z Polski. Ta grupa ma plenipotencje rady nadzorczej, aby w jej imieniu przygotowywać i podejmować decyzje, które potem są zatwierdzane na posiedzeniach plenarnych. Dodam, że jestem „urzędującym” przewodniczącym rady – jest to moje jedyne zajęcie zawodowe. Dzięki temu jestem obecny na bieżąco w centrali banku. Na marginesie dodam, że pozwala mi to, po 14 latach związków z bankiem, mieć m.in. własne źródła informacji. Wiem po prostu, gdzie czego trzeba szukać i zarząd nie mógłby niczego ukryć.

Na czym polegają w codziennej pracy funkcje kontrolne rady w zakresie zarządzania ryzykiem? Przyjmujemy okresowe informacje szefa pionu ryzyka, analizujemy raporty zarządu dotyczące zagadnienień powiązanych z ryzykiem, rada jest na bieżąco informowana przez szefa audytu wewnętrznego o sprawach mogących mieć wpływ na poziom ryzyka w działalności banku. Ważną rolę odgrywają komisje powołane w ramach rady. O komisji prezydialnej już wspominałem. Mamy jeszcze komisję audytu i komisję ds. ryzyka. Przy czym – to trochę paradoks – tak naprawdę oceną systemu ryzyka zajmuje się komisja audytu, a komisja ds. ryzyka przygotowuje opinie dotyczące ryzyk w przypadku konkretnych transakcji. Były początkowo pewne obawy, że komitety te będą wchodziły sobie w paradę, ale okazało się, że jakoś to fukcjonuje.

W skład komisji ds. ryzyka wchodzi przewodniczący rady, jeden członek rady z Polski, oraz członek zarządu i szef pionu ryzyka w Commerzbanku (szef komisji). Podobna jest struktura komisji audytu – jej szefem jest szef pionu ryzyka w Commerzbanku. Jest zasadą, że wszystkie dokumenty, które tworzy komisja audytu, w tym samym momencie trafiają na biurko prezesa i przewodniczącego rady nadzorczej BRE Banku. Komisja ds. ryzyka obraduje kwartalnie, podobnie jak komisja audytu. Na każdym posiedzeniu jest prezentowany tzw. raport ryzyka, w którym zarząd przedstawia dane dotyczące ryzyka kredytowego, rynkowego i operacyjnego. Dyskutowane są wszelkie sprawy związane z ryzykiem – portfele kredytowe, rezerwy na zaangażowania regularne, kompetencje decyzyjne, nowe projekty itp. Komisja ma w swojej gestii podejmowanie decyzji dotyczących największych zaangażowań, niosących ryzyko kredytowe – a więc wielkich projektów, zarabia się przecież właśnie na ryzykownych projektach. Komisja musi też zaakceptować wszystkie dokumenty przygotowane przez zarząd, które są prezentowane radzie i walnemu zgromadzeniu.

Nasuwa się oczywiście pytanie: Czy tak przygotowany system może być skuteczny? Jakie są gwarancje tej skuteczności? Przede wszystkim muszę podkreślić, że przez wszystkie lata mojej pracy dla banku nigdy nie było niezgody pomiędzy radą, zarządem i akcjonariuszami. Na początku, gdy zaangażowanie Commerzbanku w sprawy banku było duże, dość trudno było niemieckim kolegom – szczególnie ze średnich poziomów decyzyjnych – wytłumaczyć, że reprezentują wprawdzie największego akcjonariusza, ale tylko akcjonariusza, i nie mogą stawiać żadnych innych wymagań ponad te, które przysługują akcjonariuszom. Te średnie poziomy często protestowały więc, że nie mogą dostać jakichś konkretnych danych, potrzebnych np. do zestawienia danych w ramach grupy kapitałowej. Prawo jest jednak prawem i tego się trzymamy.

Oczywiście na bieżąco musimy kontrolować poziom ryzyka w różnych jego aspektach. Dzięki wiedzy i doświadczeniu członków rady, a są to naprawdę dobrzy fachowcy, aktywnie reagujemy na to, co się dzieje na rynkach światowych, a więc przede wszystkim na sytuacje, które rodzą nadmierne ryzyko.

Tak to wygląda z perspektywy przewodniczącego rady nadzorczej dużego banku. Chciałbym jeszcze podzielić się jednym spostrzeżeniem. Wytyczne Dobrych praktyk w zakresie samooceny rady trochę przypominają mi dawno minione lata – składanie samokrytyki przez członków ZMP. To oczywiście żart. Natomiast pozostałe dwie sytuacje, tzn. badanie ryzyka i ogłaszanie tej oceny publicznie – przypominają przepisy wykonawcze. Moim zdaniem, jest to najważniejsza sprawa, która będzie weryfikowała jakość dokumentu Dobrych praktyk. Są przecież instytucje, które już teraz deklarują, że nie będą badały ryzyka finansowego. Jednocześnie stosunek instytucji, i to nie tylko finansowych, do Dobrych praktyk będzie świadczył o tym, czy spółka jest rozwojowa i ma szanse powodzenia na rynku.

Andrzej S. Nartowski: – Czyli dobre praktyki to nie tylko wskazówki postępowania dla spółek, ale także kryteria ich oceny. Rynek będzie oceniał spółki w oparciu to, jak stosują dobre praktyki, na ile są otwarte wobec akcjonariuszy-inwestorów, ale też i o to, na ile poważnie traktują swoje obowiązki.

Wiesław Rozłucki: – Cieszę się, że to prezes Leśny otworzył tę dyskusję, ponieważ uważam, że w tak ważnej dziedzinie wzorce trzeba czerpać od tych, którzy dysponują odpowiednim doświadczeniem. W całej swojej działalności związanej z giełdą zawsze byłem przekonany, że nie należy wyważać otwartch drzwi – tylko naśladować tych, którzy z powodzeniem już coś wprowadzili w życie. Tak więc zarówno od banków, gdzie zarządzanie ryzykiem należy do działalności podstawowej, jak i od inwestorów zagranicznych, możemy czerpać wiedzę, która została wcześniej odkryta czy poszerzona.

Co do samooceny, czy samokrytyki, mam polemiczną uwagę – też miałem skojarzenia z czasami, których szczęśliwie nie pamiętam, ale jak przeszedłem przez tzw. proces oceny 360 stopni, do którego podchodziłem z dużą nieśmiałością, to potem miałem autentyczną satysfakcję. Uważam że dobrze przeprowadzona taka samoocena rady nadzorczej jest nieco podobna właśnie do oceny 360 stopni. Myślę zresztą, że prędzej czy później czeka nas nie tylko ocena samej rady nadzorczej, ale także ocena poszczególnych jej członków – i to podobnie jak w przypadku oceny 360 stopni – przy pomocy firmy zewnętrznej. Moim zdaniem, wprowadzenie takiej oceny jest tylko kwestią czasu – może nie miesięcy, ale kilku lat.

Przechodząc do meritum dyskutowanej kwestii – jest to temat nowy i wbrew temu co pokazuje ubiegłoroczna ankieta Deloitte, gdzie obraz rady nadzorczej jest raczej pozytywny, w dużej części spółek publicznych poziom przygotowania do oceny systemu ryzyka jest bardzo słaby. Mówię tu o prawie wszystkich spółkach publicznych, z wyłączeniem instytucji finansowych, które muszą dokonywać takich ocen na podstawie innych przepisów. Patrząc na literaturę z ostatnich lat, opisującą procesy związane z oceną ryzyka, widzimy że na rynkach zachodnich zwykle wyodrębnia się trzy rodzaje ryzyka istotnego dla spółki. Po pierwsze, ryzyko związane z finansami, a szczególnie raportowaniem finansowym – tego dotyczy ustawa SOX. Drugim obszarem ryzyk jest compliance, czyli zgodność z przepisami. Trzeci zaś obszar ryzyk, to ryzyko operacyjne i strategiczne.

W polskich spółkach, w których przejrzałem mapy ryzyka – PKN Orlen, TVN, TP SA – ten podział jest inny. I to jest prawidłowe, bo każda spółka powinna przygotować właściwy sobie zestaw ryzyk. Przy czym wymienione trzy obszary można uznać za podstawowe spośród tych, którymi trzeba się zainteresować. Jak do tego podejść? Pierwszy krok do skutecznego zarządzania ryzykiem to identyfikacja ryzyk, czyli zbudowanie modelu, mapy ryzyk. Idąc dalej – komunikowanie o tych ryzykach. Tu przepisy i dobre praktyki nakazują – nie tylko w Polsce – odnieść się do tego, jaki mamy w spółce system, a więc w jakiś sposób go opisać. Na pewno niewłaściwe byłoby opisywanie wszystkich ryzyk, bo jest to wiadomość poufna i może być wykorzystana przez konkurencję, chodzi natomiast o to, by opisać sposób zarządzania ryzykiem istotnym dla spółki. Właściwie chodzi o to, i obowiązek taki został w wielu krajach na spółki nałożony, aby rada dyrektorów lub rada nadzorcza wypowiedziała się w sprawie efektywności tego systemu. Może więc go nie opisywać, byle by wypowiedziała się i podpisała pod tym, że ocenia dany system jako efektywny lub też jako nieefektywny.

Widzimy, że rada jest tu między młotem a kowadłem. Jak napisze, że system jest nieefektywny, to inwestorzy zapytają: to co do tej pory zrobiliście, żeby ten system był efektywny? Jak napiszą, że jest efektywny, a coś się nieprzewidzianego wydarzy, no to szykują się – jak to nazywają w USA – class actions, czyli pozwy zbiorowe. Członkowie rady będą wówczas odpowiadać za to, że napisali nieprawdę w swoim oświadczeniu, bo ocenili system jako efektywny, a okazał się nieefektywny.

Uwaga na marginesie – z działalności przedsiębiorstwa nie można całkowicie wyeliminować ryzyk, trzeba nimi zarządzać. Jak się mówi w literaturze przedmiotu – apetyt na ryzyko w różnych przedsiębiorstwach jest zróżnicowany. I system zarządzania ryzykiem musi być dostosowany do specyfiki danego przedsiębiorstwa, czyli jego gotowości do podejmowania tych ryzyk. Tylko w tych kategoriach można oceniać czy system jest efektywny, czy też nie. Mówiąc inaczej – tych ryzyk, które chcemy świadomie ponosić, nie można pomniejszać, ani bez wystarczających powodów eliminować – zwłaszcza jeśli za podejmowanie tych ryzyk się płaci.

W USA i Wielkiej Brytanii trwa dyskusja, w znacznym stopniu prawna, której przedmiotem są terminy używane przy ocenie efektywności systemu zarządzania ryzykiem. Rozróżnia się tam tzw. positive assurance, gdy rada stwierdza w komunikacie, że system zarządzania ryzykiem jest efektywny – od drugiego sposobu, kto wie czy u nas nie będzie on początkowo bardziej popularny, tzw. negative assurance, wyrażającego się stwierdzeniem nothing came to our attention – czyli: w trakcie naszej pracy nie zauważyliśmy niczego niedobrego. Różnica jest duża, bo to drugie stwiedzenie jest znacznie słabsze. Jeżeli bowiem nie towarzyszy mu bardzo dokładny opis tego, co zrobiliśmy, jakie procesy uruchomiliśmy, podczas których nic groźnego nie zauważyliśmy – to bez tego opisu w zasadzie nie wiadomo czy rada rzeczywiście się interesowała oceną systemu zarządzania ryzykiem, czy po prostu biernie czekała aż dotrą do niej jakieś złe wiadomości. Wydaje mi się jednak, że taka postawa nie wytrzyma próby czasu i prawdopodobnych procesów sądowych. Przypuszczam więc, że trzeba będzie stosować zasadę positive assurance przy ocenie efektywności tego systemu.

Jeśli się czyta literaturę amerykańską na temat oceny systemu zarządzania ryzykiem to stosowana tam terminologia jest zdumiewająco trudna. Definicję significant control deficiency czytałem siedem razy i jeszcze musiałem korzystać ze słownika, żeby zrozumieć, co to pojęcie dokładnie znaczy. W USA sprawy poszły więc daleko, jak to zwykle tam bywa. Pamiętajmy przy okazji, że cała ustawa SOX dotyczy jednego tylko rodzaju ryzyka – financial reporting. Nie dotyczy zaś innych ryzyk – compliance, operacyjnego, itp. W tym sensie idzie więc mocno wgłąb, ale w dość wąskim zakresie.

Przejdę jednak do polskiej rzeczywistości spółek publicznych. Zacznę od tego, że gdy tworzony był nowy dokument Dobrych praktyk miałem nadzieję, że wymóg oceniania przez radę systemu kontroli wewnętrznej i systemu zarządzania ryzykiem wejdzie w życie rok później – tu się zresztą elegancko różniliśmy z prezesem Nartowskim. Ta zasada już jednak obowiązuje i czuję przez skórę, że wiele rad nadzorczych ma z nią wielki kłopot. Co prawda, w dokumencie jest sformułowanie „ocena systemu kontroli”, a nie „ocena efektywności systemu kontroli”, niemniej samo słowo „ocena” powinno wymagać ustosunkowania się przez radę do tego problemu. Może nie w kategoriach zero-jedynkowych: dobra-zła, wystarczająca-niewystarczająca – jednak jakaś ocena powinna być: ocena jakości, efektywności, sprawności kontroli wewnętrznej.

Wiem że duże spółki w Polsce mają opracowane systemy oceny kontroli wewnętrznej – bardzo często przy pomocy zewnętrznych przedsiębiorstw, z reguły dużych firm audytorskich. Wydaje mi się, że jest to droga właściwa. Małe i średnie spółki mogą zaś skorzystać z wiedzy już przez kogoś zakumulowanej. Przypuszczam, że będzie to uczenie się poprzez czytanie raportów większych spółek i nie jest to zła metoda – na pewno zaś najtańsza. Pamiętajmy jednak, że taka ocena musi być dostosowana do specyfiki danej spółki.

Spółki publiczne muszą więc ocenić systemy kontroli wewnętrznej. Moja lektura, może zbyt pobieżna, tych ocen wskazuje jednak, że rady unikają stwierdzeń wartościujących, unikają oceny efektywności systemu kontroli wewnętrznej (nie dotyczy to instytucji finansowych). Odczuwają – chyba zresztą słusznie – obawę, że poniosłyby zbyt duże ryzyko osobiste podpisania się pod takimi stwierdzeniami. Więc jakie wybierają wyjście? Typowo polskie: nie mówimy, że nie możemy tego zrobić, ani że ten system jest niewystarczający – tylko opisujemy to, co się dzieje w spółce. Podobnie było podczas obowiązywania poprzednich redakcji Dobrych praktyk – był tam wymóg oceny sytuacji spółki i wiele spółek zamiast oceny, pisało po prostu sprawozdanie z działalności. Rada się spotykała, dyskutowała, itp. – nie było natomiast żadnych wniosków rodzących potencjalne ryzyko dla rady. Widać więc, że ta tendencja się utrzymuje.

Pojawiają się, i dobrze, sprawozdania komitetów – najczęściej audytu, który zresztą powinien zawrzeć w swoim sprawozdaniu m.in. ocenę systemu zarządzania ryzykiem. Najczęściej jest to jednak, niestety, opis działalności komitetu – skupiał się, badał, ale ocen nie dał. Wiem, że jest to trudne, zwłaszcza jak się to robi po raz pierwszy, na dodatek ten obowiązek został niespodziewanie szybko nałożony. Dlatego uważam, że w pierwszym roku obowiązywania nowych Dobrych praktyk, oceny systemu zarządzania ryzykiem daleko odbiegają od tego, co będziemy obserwowali za kilka lat.

Trudno sobie wyobrazić ocenę systemu zarządzania ryzykiem i kontroli wewnętrznej bez odpowiedniej współpracy komitetu audytu z audytem wewnętrznym spółki. Wiemy przy tym, że w bardzo wielu spółkach publicznych nadal nie ma komitetu audytu. Dyrektywa KE nakazuje spółkom publicznym posiadanie komitetu audytu – termin wprowadzenia w życie tego wymogu mija w czerwcu 2008 roku. Przepisy krajowe miały wejść w życie w odpowiednim czasie – na razie jednak ich nie ma i nie wiem czy w ogóle jest jakiś projekt w Sejmie. Jeśli nie – to dyrektywa, o ile mi wiadomo, nie przedłuża tego terminu. W spółkach będą więc musiały być powoływane komitety audytu, zaś pytanie brzmi: czy nasza ustawa zwolni z wymogu posiadania komitetu audytu małe spółki, w których Dobre praktyki umożliwiają pełnienie funkcji komitetu audytu całej radzie? Uważam przy tym, że jeśli spółka nie ma komitetu audytu – to są słabe szanse, by rada w sposób autorytatywny mogła ocenić system zarządzania ryzykiem i kontroli wewnętrznej.

Ostatnia uwaga: bardzo ważne jest odpowiednie „ustawienie” komitetu audytu, tak aby jego szefem była osoba posiadająca wystarczającą siłę przebicia. Z kolei szefem komórki kontroli wewnętrznej także musi być osoba odpowiedniego kalibru – taka, która ma dostęp bezpośredni i do rady nadzorczej lub komitetu audytu, i do zarządu – najlepiej do prezesa. Właściwe relacje w trójkącie: audyt wewnętrzny – komitet audytu – zarząd to klucz do właściwego funkcjonowania audytu wewnętrznego w spółce, a co za tym idzie właściwej oceny systemu kontroli wewnętrznej i zarządzania ryzykiem. Jeszcze raz podkreślę, że moje uwagi nie dotyczą banków, mówię o spółkach niefinansowych, dla których zarządzanie ryzykiem nie jest główną domeną działalności.

Moje rozważania mogę podsumować optymistycznie – wraz z rozwojem stosowania Dobrych praktyk, na naszych seminariach nie ma już obecnie pytań w rodzaju: A po co w ogóle to corporate governance? Dlatego myślę, że za parę lat nie będzie także pytań w rodzaju: Po co kontrola wewnętrzna, audyt wewnętrzny? Po co ocena systemu zarządzania ryzykiem?

Andrzej S. Nartowski: – Od stycznia br., kiedy się zaczęły pojawiać komunikaty spółek o niestosowaniu niektórych zasad nowych Dobrych praktyk, niepokojąco dużo jest komunikatów w rodzaju: W naszej spółce nie ma i nie będzie systemu zarządzania ryzykiem. Inni piszą: W naszej spółce nie ma kontroli wewnętrznej; a w naszej spółce rada się tym nie zajmuje. Tylko patrzeć jak ukaże się komunikat: A w naszej spółce nie ma ryzyka.

Chciałbym teraz zapytać prezesa Jagiełłę: Co pan myśli jak pan czyta raport, w którym wielkie zakłady chemiczne (potencjalnie niebezpieczne dla otoczenia!) w pobliżu Krakowa podają, że nie mają systemu zarządzania ryzykiem, nie mają systemu kontroli wewnętrznej? Czy pan tam inwestuje pieniądze? A jeśli tak, to czy robi to pan z nadzieją na zysk?

Zbigniew Jagiełło: – Zanim odpowiem na te pytania, chciałbym podkreślić, że w Polsce temat zarządzania ryzykiem istotnym dla spółki nie wzbudza specjalnego zainteresowania, nie jest też nośny medialnie. I dopóki zakłady, o których mówił prezes Nartowski, nie wybuchną – będzie tak nadal. Chyba że wybuchną – wtedy będzie to oczywiście temat nośny medialnie.

Obserwujemy obecnie na świecie zjawisko bardzo spektakularne – załamanie się systemu zarządzania ryzykiem w wielkich instytucjach finansowych. Myślę o kryzysie na rynku kredytów sub-prime, który przeszedł w kryzys płynnościowy. I to jest właśnie spektakularny przykład załamania się systemu zarządzania ryzykiem istotnym dla spółki w instytucjach finansowych – dawniej dodawano – renomowanych. Teraz mówimy już tylko o instytucjach finansowych. Okazało się, że to ryzyko było źle zarządzane, źle wyceniane, ono się zrealizowało i teraz wszyscy – nie tylko te instytucje – za to płacimy.

Zauważmy jednocześnie, że zrealizowało się też w tym przypadku ryzyko złych regulacji. Regulatorzy źle ocenili możliwości instytucji podlegających wprowadzonym regulacjom. I ryzyko regulacyjne zaistniało – regulacje nie sprawdziły się. Do tych spektakularnych przypadków załamania się instytucji finansowych, takich jak Citigroup czy Merill Lynch, można też dodać kryzys w Societe Generale, gdzie dołączył się jeszcze jeden aspekt ryzyka – nieautoryzowane transakcje.

Prezes Leśny przedstawił nam zasady zarządzania ryzykiem w BRE Banku; miejmy nadzieję, że takie sytuacje w tej instytucji nie będą miały miejsca. Niemniej w Polsce mieliśmy niedawno parę przykładów, które unaoczniły znaczenie zarządzania ryzykiem istotnym dla spółek. Jednym z nich była sytuacja w jednej ze spółek kontrolowanych przez pana Romana Karkosika. Firma produkowała różnego rodzaju wyroby metalowe, zaś zarząd postanowił dodać do tego także grę na instrumentach finansowych. Szybko okazało się, że firma nie jest do tego przygotowana.

Inny przykład – pozytywny – to skutki pożaru rafinerii w Możejkach. To ryzyko było tam brane pod uwagę – w końcu jest ono nieodłącznym elementem prowadzenia tego biznesu. I to ryzyko było odpowiednio zarządzane, tzn. firma się od tego ryzyka ubezpieczyła, a szkoda ta jest obecnie w trakcie likwidacji. Jest to ważna informacja dla inwestorów, są oni na takie informacje bardzo wrażliwi. Obserwują, analizują, podchodzą ostrożnie do wszelkich informacji.

Jest też przykład firmy odzieżowej, która zebrała pieniądze w czasie IPO i natychmiast zainwestowała je na giełdzie. Okazało się jednak, że inwestycja nie była udana i spółka na tym straciła. Trzeba przy tym podkreślić, że wiemy tylko o tych przypadkach, które zostały nagłośnione – wtedy trudno jest „przykryć” straty. Gdy straty są drobniejsze, informacje o nich trudno jest rynkowi wyłapać.

Wracając zaś do pytania czy my, jako inwestor instytucjonalny, przyglądamy się jak spółki zarządzają ryzykiem. Przede wszystkim trzeba stwierdzić, że ten element jest nieodłącznie związany z ogólną oceną sposobu zarządzania spóką. Jeśli spółka ma ocenę zarządczą dobrą, to ten element jest traktowany jako immanentna część tej oceny. Jeżeli zaś widzimy, że jakaś firma lekko podchodzi do tego tematu – to wiadomo, że musi być wyceniana z dyskontem. Czy inwestujemy w takie spółki? Wszyscy w nie inwestują, natomiast jeśli zdecydują się na to inwestorzy instytucjonalni, to powinni wyceniać taką spółkę z dużym dyskontem. Jeżeli ocenimy, że jest tam dużo ryzyk, to musimy inwestując oczekiwać dużej stopy zwrotu. Po prostu zgodnie z zasadą: no risk – no gain.

Jeżeli popatrzymy na spółki notowane na polskiej giełdzie, to myślę, że można je podzielić pod względem specyfiki zarządzania ryzykiem na trzy grupy. Do pierwszej należą spółki, które mają zagranicznego inwestora większościowego, branżowego – jak np. BRE Bank, gdzie taką rolę odgrywa Commerzbank. W przypadku takich spółek wiemy, że jeśli chodzi o sposób zarządzania ryzykiem, to zagraniczny inwestor wprowadza w polskiej spółce takie same standardy jak w całej grupie kapitałowej. Jest to dla nas pewnego rodzaju rekomendacja, choć oczywiście zdajemy sobie sprawę z nieuchronności takich przypadków, jakie zdarzyły się ostatnio w Societe Generale. Jest to dla nas informacja istotna, że zagraniczne instytucje wprowadzają do swoich polskich spółek standardy z rodzimego rynku – uwzględniając oczywiście polskie regulacje prawne. Przy czym jest jasne, że nie wszystkie informacje, jakich sobie może zażyczyć zarządczy inwestor większościowy należy mu udostępniać.

Drugi rodzaj spółek w tej klasyfikacji, to spółki z udziałem Skarbu Państwa. Tu też mamy akcjonariusza dominującego – nie jest to jednak inwestor, który może przekazać spółce np. know how. Naszym zdaniem, takie spółki muszą być wyceniane z dyskontem – co wynika z ryzyka politycznego. Z naszych obserwacji także wynika, że w takich spółkach standardy monitorowania ryzyka mogą różnie wyglądać – w niektórych dobrze, ale w innych źle. To także argument za wyceną z dyskontem.

Trzecią grupę tworzą spółki, w których inwestorem większościowym są osoby prywatne. Inwestor taki, sam z siebie, nie dysponuje know how w zakresie sposobu zarządzania ryzykiem, niemniej wszystkie elementy wiedzy na temat takich systemów można kupić. Może też się zdarzyć w takich przypadkach, że inwestor nie przejmuje się tą kwestią – wówczas ryzyko inwestowania w taką spółkę jest bardzo duże.

Ciekawym wątkiem, który poruszył prezes Leśny, jest sprawa szkoleń dla członków rad nadzorczych. Moim zdaniem, zdecydowana większość członków rad nie ma wystarczającej wiedzy w tym zakresie i nie jest niczym złym, czy uchybiającym godności, uczestnictwo w takich szkoleniach. Uważam wręcz, że powinno to być elementarnym obowiązkiem członków rady. Na pewno łatwiej jest wypełniać swoje obowiązki w radzie osobie, która wcześniej pracowała w danej branży, jest wtedy lepszym partnerem do rozmów z zarządem, pracownikami komórki audytu czy compliance – po prostu wie o co pytać. Z kolei osoby, które nie mają pojęcia o specyfice branży, mogą pytać o wszystko, ale i tak źle się czują, bo nie wiedzą czy informacje, które otrzymują, są rzeczywiście przydatne. Stąd w sprawozdaniu z działalności rady nadzorczej różne komunały, bo trudno potem zarzucić, że to, co napisała rada w sprawozdaniu, jest niezgodne z prawdą.

Na zakończenie chciałem jeszcze podkreślić, że ryzyko nie jest niczym złym, całe nasze życie jest związane z ryzykiem i trzeba z nim żyć. Problem w tym, w jaki sposób z nim postępujemy, jak nim zarządzamy.
(…)

Pełna wersja artykułu w nr 2/2008 „Przeglądu Corporate Governance”