Význam zákona Sarbanes-Oxley a jeho vliv na české společnosti
Skandály Enronu a dalších amerických společností totiž naplno a brutálně ukázaly, čeho všeho jsou i vrcholoví manažeři schopni, aby ukázali svůj úspěch a byly jim vypláceny obrovské bonusy. To jsme ale jen na špičce ledovce. Pokud toto dělají vrcholoví manažeři, bylo by naivní si myslet, že střední management, případně i řadoví zaměstnanci se chovají jinak. Na tyto podvody doplácí samozřejmě důvěra investorů a reálnost jejich aktiv ve formě akcií, různých fondů soukromého kapitálu...
V Evropě si možná úplně neuvědomujeme význam výše zmíněných slov do důsledku. Je to samozřejmě dáno rozdílným ekonomickým prostředím. Ve spojených státech většina jednotlivců investuje do kapitálových trhů a ty jsou jediným z jejich příjmů v důchodovém věku. Na druhou stranu spousta amerických společností používá kapitálu z veřejných trhů v daleko větší míře než v Evropě, kde převládá financování formou úvěrů. Proto byl možná i výše zmiňovaný zákon chápán jako ryze americký, trochu přehnaný, neodrážející evropské poměry a zasahující do práv jiných zemí.
Musíme však vzít v potaz celosvětový pohyb kapitálu. Mnoho amerických společností má své dceřiné společnosti po celém světě a nestačí být si jistý, že vše funguje jak má pouze v mateřské společnosti, ale také v každé jednotlivé entitě, která má materiální dopad při konsolidaci. Celých 16 % firem registrovaných na newyorské burze cenných papírů (NYSE - New York Stock Exchange) s tržní kapitalizací 35 % má sídlo mimo USA. Jestli nadále tyto společnosti chtějí získávat kapitál na amerických veřejných trzích, je pro ně důvěra amerických investorů klíčová.
Z výše uvedených jednoduchých poznatků je pochopitelné, proč takový zákon s takovýmto rozsahem vznikl. V posledních letech je zřejmé, že začíná být vnímán i okolním světem jako pomoc pro lepší fungování správy a řízení společností. Pokud by byly takto globálně připravovány zákony i v našem Parlamentu, nemusely by vyvolávat tolik revizí, spekulací apod.
Nesnažil jsem se popsat veškerá rizika, která byla skandály odhalena, a jejich dopady do zákona Sarbanes-Oxley, jako například role auditorských společností.
Pro celistvost informace bych rád vyjmenoval požadavky a případně dopady zákona na management společnosti:
> Manažeři se vyjadřují k vnitřním kontrolním systémům.
> Generální ředitel (CEO) a finanční ředitel (CFO) ručí svým podpisem za správnost předkládaných výročních a průběžných zpráv a za to, že údaje v nich uvedené jsou pravdivé a nejsou zavádějící.
> Manažerům mohou být v případě porušení zákona zpětně odebrány bonusy a jiné finanční výhody.
> Vedoucí osoby společnosti nesmí být zaměstnáni rok před svým auditem v auditorské firmě.
> Postih konfliktu zájmů a obchodování na základě neveřejných informací.
> Povinnost přijmout a zveřejnit etický kodex.
> Zákonná ochrana informátorů.
> Zpřísněny požadavky na dokumentaci firemních procesů a skutečností.
> Zákaz zaměstnaneckých půjček svému managementu.
> Zvýšené sankce postihující ekonomickou kriminalitu.
> Zpřísnění účetních standardů a pravidel (opce).
> Zkrácení lhůt pro zveřejňování finančních výsledků.
Než se začnu věnovat pouze té části zákona, která má asi největší vliv na kontrolní prostředí ve společnostech a je jím paragraf 404 o vnitřním kontrolním systému, rád bych se pozastavil u některých celofiremních kontrolních mechanizmů a jejich významu v kontextu českého prostředí.
Zavedení etického kodexu je jedním z pilířů vnitřního kontrolního prostředí každé společnosti a říká všem zaměstnancům, jak se mají chovat k sobě, nadřízeným, podřízeným a svému okolí, jako jsou dodavatelé, odběratelé a veřejnost.
Zde by měla být zapracována pravidla pro následující oblasti jako je střet zájmů, důvěrnost informací, rovnost příležitostí, diskriminace, sexuální obtěžování, obchodování s akciemi vlastní firmy, autorská práva, ochrana životního prostředí, bezpečnost práce, elektronická pošta, používání firemních aktiv, vztah s představiteli municipalit, státu, politických stran, vztahy s konkurencí a oznamování nesouladů.
Zapracováním výše uvedených zásad a jejich zveřejněním a přijetím jako podnikové normy lze jednoznačně proklamovat, jaké chování každého jednotlivce je akceptovatelné a co je pro danou společnost důležité.
Proč etický kodex, když máme zákony? Není to zbytečné? V českých podmínkách jsou tyto a podobné námitky dosti časté. Možná je to způsobeno všeobecným nízkým povědomím o vlastnictví a velké toleranci ke krádežím zvláště ve velkých podnicích, korupci a neetickému chování. Dle mého názoru je to pozůstatek minulého režimu, se kterým se časem budeme muset vyrovnat.
Na podporu této normy bych rád uvedl špatnou ochranu firem před svými zaměstnanci, která se ještě prohloubila schválením nového Zákoníku práce. Jak se firmy chrání proti poškození ze strany dodavatelů, odběratelů? V této oblasti se snaží firma zabránit zneužívání informací v obchodním styku, nedodržování obchodních podmínek velkými sankcemi. Ochrana před vlastními zaměstnanci není prioritou? Vždyť například z průzkumu krádeží v supermaketech jasně vyplývá, že se na celkových ztrátách z 50 % podílejí vlastní zaměstnanci. V jiných oborech je to jiné? A to jsem se nedostal ještě k ožehavému tématu korupce v oblastech státních úředníků, politiků...
Tato oblast se týká také celkového kontrolního a etického prostředí. Pokud vím, jako manažer, že dochází k neetickému či dokonce k podvodnému chování ze strany svých podřízených a toleruji je, jsem za ně také zodpovědný. A jako manažer bych o tom vědět měl. Snažím se zevšeobecnit požadavky kontroverzní oblasti zákona Sarbanes-Oxley o zprávě za vnitřní kontrolní prostředí. Uvažte, jak pozitivní by bylo přijetí tohoto principu pro naši společnost? A nemluvím pouze o firemní sféře, ale zejména o veřejných službách.
V poslední části článku bych se rád věnoval vnitřním kontrolním systémům, jejich testování a přínosech implementace v českých společnostech, které tuto povinnost dle zákona SOX nemají.
Pro vnitřní kontrolní systém dle zákona SOX se používá metodika COSO (Pozn.: Comittee of Sponsoring Organizations of the Tradeway Comission je nezávislá organizace privátního sektoru se zaměřením na zlepšení kvality finančního reportingu skrz obchodní etiku, efektivní vnitřní kontroly, správu a řízení společností.) Ta jasně definuje kontrolní rámec, prostředí, cíle, procesy, lidi, přiměřenou jistotu, kontrolní aktivity, komunikaci, monitoring.
Nastavení vnitřního kontrolního systému dle SOX probíhá jednotným postupem. Analyzují se finanční výkazy, provádí se analýza rizik, prochází se významné účty a procesy, které je ovlivňují. Na základě těchto poznatků a zjištění kontrol, které v organizaci existují pro zmírnění definovaných rizik, se vytváří testovací materiály s různými typy kontrol a jednotlivými vzorky testování.
Ze zkušeností mohu říct, že tento systém má také své odpůrce. Hlavním argumentem je přehnaná formalizace kontrol, které se provádějí, zbytečné oddělování pravomocí zejména u menších organizací a zpětné provádění kontrol, které dělá informační systém. Co se týká formalizace, vidím v ní přínos hlavně v tom, že jsou dána jasná pravidla, kdo a co může provádět a formalizace pouze podporuje osobní zodpovědnost. Dle mého názoru je osobní zodpovědnost jednotlivce vnímána trochu jiným způsobem než v USA. U nás spousta lidí chce vyšší pravomoci, ale nejsou ztotožněni s vyšší zodpovědností. Oddělení činností je odstraněním jednoho z inherentních rizik, která v procesech vznikají. Laicky řečeno, pokud chce někdo podvodně jednat, je to pro něj těžší, když se musí s někým domluvit. Samozřejmě, že společnosti, které mají zavedený nový, jednotný informační systém v něm mají zabudováno i spoustu kontrolních mechanizmů. Zde je potřeba tyto otestovat, jestli fungují správně a jsou pro snížení rizika dostačující.
Z výše uvedeného postupu je zřejmé, že jsou zachyceny všechny relevantní procesy, které mají významný vliv na účty hlavní knihy a tím na finanční výkazy společnosti. V jednotlivých procesech se zjišťují základní typy kontrol orientované na komplexitu, správnost a oprávněnost jednotlivých transakcí a také na oddělení činností jednotlivých jedinců v daném procesu, aby bylo dostatečně zabráněno podvodným jednáním nebo zkreslování finančních výkazů. Součástí těchto kontrol jsou i kontroly informačních technologií, které jsou zabudovány v procesech, tak také činnosti celého IT oddělení samotného.
Vzhledem ke skutečnostem uvedeným v předchozím odstavci je dle mého názoru vnitřní kontrolní systém nastavený dle požadavků SOX vhodný i pro společnosti, které tuto povinnost se zákona nemají. Jedná se o systematicky vytvořený kontrolní systém, který zohledňuje rizika z pohledu možného dopadu do výsledků společností a je v souladu s mezinárodně uznávanou a ověřenou metodikou. Pro společnosti, které zavádějí takový kontrolní systém dobrovolně samozřejmě mohou jeho rozsah upravit v závislosti na velikosti organizace a plném využití jeho přínosů.
Jaký je a může být vztah interního auditu k vnitřnímu kontrolnímu systému? Interní audit je nezávislou objektivní ujišťovací a konzultační činností zaměřenou na přidávání hodnoty a zdokonalování procesů ve společnosti. Proto hraje interní auditor velmi důležitou roli ve vnitřním kontrolním systému. Neměl by být za něj přímo zodpovědný , ale jeho aktivní role se může využít při popisu procesů, pomoci definování kontrol, testování monitorování a reportingu. Většinou je ale testování vnitřního kontrolního systému dosti časově náročné. Z těchto důvodů budou mít aktivity spojené s vnitřní kontrolní systém velký vliv na plánování zdrojů a ostatních aktivit.
Robert Kačer
Autor je společníkem a jednatelem firmy DUCK Consulting
