Alex Movchan jest jednym z autorów anglojęzycznej podstrony Risk & Compliance Platform. Ze względu na jego bogate doświadczenie w dziedzinie kontroli wewnętrznej, audytu i zarządzania ryzykiem oraz znajomość polskiego rynku tych usług, postanowiliśmy zaprosić go do podzielenia się spostrzeżeniami związanymi z szeroko pojętą tematyką zgodności w organizacji.
Alex, w kręgu Twoich zainteresowań jest nie tylko audyt i kontrola wewnętrzna, ale również obszar zarządzania ryzykiem, ład korporacyjny i tematyka usprawniania procesów w organizacjach i zarządzania nimi. Chciałabym zapytać, czy preferujesz gdy w strukturze organizacji działy compliance, audytu i usprawniania procesów przenikają się bądź są usytuowane w ramach jednej większej jednostki czy też uważasz, że lepszym rozwiązaniem jest rozdzielenie tych funkcji i zarządzanie nimi przez inne osoby?
Odpowiedz na to pytanie jest mocno uzależniona od konkretnej organizacji, środowiska w którym organizacja funkcjonuje, poziomu dojrzałości organizacji itd. Jeśli chodzi o wymagania standardów czy lepszych praktyk, to chciałbym odwołać się do modelu Trzech linii obrony*, który wymaga rozdziału funkcji doradczo – eksperckich (zarządzanie ryzykiem, zgodność, kontrola wewnętrzna, itd.) od funkcji monitoringowo-atestacyjnych (audyt wewnętrzny).
The Institute of Internal Auditors, Three Lines of Defense Model
Jest to bez wątpienia najlepsze rozwiązanie jeśli chodzi o dojrzałe organizacje oraz organizacje, gdzie taki podział wymagany jest ustawowo. Natomiast w jednostkach typu start-up bądź innych spółkach, które znajdują się na początkowych etapach rozwoju, podążanie tą drogą od samego początku może być zbyt kosztowne. Według mnie najbardziej praktycznym podejściem w takiej sytuacji będzie połączenie funkcji doradczo-eksperckich oraz monitoringowych w ramach jednego działu, a rozdzielenie tych funkcji w oddzielne jednostki w momencie kiedy organizacja sięgnie już pewnego poziomu dojrzałości.
Istnieją również czynniki, mogące przyspieszyć rozwój funkcji związanych z drugą i trzecią linią obrony ku dojrzałości organizacji. Mogą to być, na przykład, planowane IPO, zmiana prawa własności w kierunku funduszy private equity czy ubieganie się o znaczące finansowanie dłużne. Wszystko to wymagałoby od organizacji przestrzegania określonych standardów ładu korporacyjnego. Mogłyby być bardziej lub mniej rygorystyczne, ale zdecydowanie określałyby pewien próg, który musi zostać osiągnięty. Główne giełdy papierów wartościowych, takie jak Nowy Jork, Tokio itd., wymagają, aby funkcje monitorowania były niezależne od funkcji biznesowych i eksperckich. Natomiast w przypadku private equity i banków, funkcje te mogą zależeć jedna od drugiej.
Podsumowując: rozdzielenie funkcji eksperckiej i monitorującej zgodnie z najlepszymi praktykami, takimi jak model trzech linii obrony jest rozwiązaniem zdecydowanie zalecanym. Jednak właściwy moment na dokonanie takiego podziału zależy od etapu cyklu życia firmy oraz stopnia dojrzałości jej funkcji eksperckiej i monitorującej.
Biorąc pod uwagę Twoje międzynarodowe doświadczenie – jak oceniasz kulturę compliance w Polsce? Czy na przestrzeni lat widać, że spółki zmieniają nastawienie i rozumieją rolę nakładanych na nie obowiązków związanych ze zgodnością?
Oczywiście, choć to kolejne dobre pytanie bez łatwej odpowiedzi. Powiedziałbym, że w dużej mierze jest to zależne od branży i struktury własnościowej firmy. Jeśli chodzi o sektor bankowy i ubezpieczeniowy – dość mocno regulowany, zarówno na poziomie międzynarodowym, jak i lokalnym przez Narodowy Bank Polski i Komisję Nadzoru Finansowego, poziom rozwoju funkcji eksperckich, w tym compliance, zarządzania ryzykiem itp. jest dobrze wspierany, inwestowany i doceniany. Jednak zupełnie inaczej może być w przypadku niektórych branż, gdzie brakuje formalnych i prawnych wymogów w tym zakresie.
Mówiąc o strukturze właścicielskiej, chciałbym wspomnieć o pozytywnych trendach, w których coraz więcej firm, zwłaszcza należących do private equity, kieruje się najlepszymi praktykami nie tylko w zakresie compliance i audytu wewnętrznego, ale również w obszarze ESG (environmental, social, governance). To zdecydowanie pozytywny znak, że w dzisiejszych czasach wśród inwestorów coraz modniejsze jest zwracanie uwagi nie tylko na wyniki biznesowe oraz wskaźniki finansowe, przeprowadzając jednocześnie due diligence potencjalnego celu fuzji i przejęć, ale także uwzględnianie czynników pozafinansowych, takich jak: najlepsze praktyki w zakresie ładu korporacyjnego, zgodności, zrównoważonego rozwoju biznesu, czynników odpowiedzialności środowiskowej i społecznej. Inwestorzy nie chcą dziś kupować przysłowiowego kota w worku i ponosić potencjalnego ryzyka PR w przyszłości.
Oczywiście, bardzo ważną rolę w edukowaniu rynku i proponowaniu najlepszych praktyk dla lokalnych firm w Polsce odgrywają wyspecjalizowane źródła medialne, takie jak Risk and Compliance Platform Europe oraz profesjonalne instytucje, takie jak: Instytut Kontroli Wewnętrznej (https://www.pikw.pl/), Instytut Audytorów Wewnętrznych (https://www.iia.org.pl/), itp. Osobiście, cieszę się, że mogę tworzyć synergię, pracując razem na rzecz wspólnego celu.
W nauce podkreśla się rolę teorii trzech linii obrony, gdzie pierwszą linią jest działalność operacyjna, właściciele ryzyka, na których spoczywa obowiązek wdrożenia odpowiednich mechanizmów, aby uniknąć lub zminimalizować wystąpienie ryzyka. Druga linia ma funkcję wspomagającą i to tutaj najczęściej usytuowane są działy compliance czy zarządzania ryzykiem. Trzecia linia weryfikuje działalność niższych linii i to w tym miejscu spotykamy się z działem audytu. Czy podzielisz się z nami praktycznymi wskazówkami jak druga linia obrony powinna wspomagać biznes działający na pierwszej linii? Jak zorganizować współpracę działów operujących na różnych liniach, aby zapewnić efektywne wyniki?
Oczywiście. Idea jest prosta, lecz jej wdrożenie można porównać do pracy Syzyfa z greckich mitów. Zgodnie z ideą modelu Trzech linii obrony, funkcje pierwszej linii będące podstawowymi funkcjami biznesowymi, takie jak: sprzedaż, produkcja itp., powinny dostarczać wyniki biznesowe, jednocześnie przejmując odpowiedzialność za zarządzanie ryzykiem w procesach. Funkcje II linii, takie jak: zarządzanie ryzykiem, compliance, kontrole wewnętrzne itp. posiadające wiedzę ekspercką w swoich obszarach, powinny doradzać i konsultować funkcje I linii w zakresie zarządzania ryzykiem w najbardziej optymalny sposób, sugerować narzędzia i sposoby doprowadzenia ryzyka do akceptowalnego poziomu w opłacalny sposób.
Funkcje III linii, takie jak audyt wewnętrzny, powinny dostarczać niezależnej opinii, czy podejście wypracowane przez I i II linię jest sensowne, a wyniki biznesowe są dostarczane zgodnie z apetytem na ryzyko danej spółki.
Jeśli chodzi o praktykę, zwykle najtrudniejszym do rozwiązania jest temat “własności”, czyli akceptowania odpowiedzialności. Kierownictwo pierwszej linii obrony charakteryzuje się tendencją do przesuwania odpowiedzialności za zarządzanie ryzykiem w kierunku funkcji drugiej i trzeciej linii obrony, podważając tym ich niezależność. Chociaż nie ma tutaj uniwersalnego rozwiązania, chciałbym zwrócić uwagę na kilka podstawowych punktów, na których należy się skupić, w oparciu o moje doświadczenie:
- Właściwe pozycjonowanie od pierwszego dnia: Kierownik funkcji eksperckich i monitorujących powinien stale przekazywać organizacji ten sam komunikat – od samego początku: „Choć chętnie doradzimy i skonsultujemy różne opcje zarządzania ryzykiem, aby szkolić i wspierać pracowników – podejmowanie decyzji i zarządzanie procesem powinny należeć do kierownictwa pierwszej linii obrony.”
- Komunikacja z kierownictwem biznesowym w zrozumiałym dla nich języku: podczas gdy specjalistyczny język zawodowy może być dobrze rozumiany przez specjalistów ds. zarządzania ryzykiem\ zgodności, najprawdopodobniej nie będzie on w stu procentach jasny dla kierownictwa biznesowego. Dlatego też przekaz, który ma dotrzeć do Zarządzających Biznesem, powinien koncentrować się na istotnych dla nich punktach. Prawdopodobnie najlepszym sposobem wyjaśnienia znaczenia zgodności\ kontroli wewnętrznej dla organizacji jest odniesienie się do wpływu na wynik finansowy rachunku zysków i strat.
Poniżej znajduje się fragment Raportu ACFE Report to the Nations**, który wyraźnie pokazuje wpływ wdrożenia kontroli wewnętrznych: mediana strat z tytułu potencjalnych zagrożeń jest średnio o około 40-50% niższa, w przypadku gdy w organizacji wdrożone zostały powiązane kontrole.
Extract from ACFE Report to the Nations
- Podejście “jedna wygrana na raz”: w dzisiejszych czasach ogół ludzi, a zwłaszcza kierownictwo najwyższego szczebla, jest przytłoczone informacjami. Tak więc próba wykorzystania 30-minutowego spotkania one-to-one z CEO lub CFO na wyjaśnienie wszystkich projektów i priorytetów nie pomaga, a nawet może spowodować zupełnie przeciwny efekt – zainicjować naturalną psychologiczną postawę obronną odrzucenia i obojętności.
Jakie więc byłoby bardziej efektywne podejście? Należy wybrać swoje “bitwy” – nie da się wygrać wszystkich starć w świecie biznesu, dlatego skupienie się na jednym lub maksymalnie trzech kluczowych priorytetach jednocześnie pomoże utrzymać uwagę CEO\ CFO, co samo w sobie jest już dużym krokiem w kierunku sukcesu. Osiąganie szybkich wygranych zbudowałoby mocny grunt pod zaufanie i uznanie najwyższego kierownictwa, torując drogę do kolejnych osiągnięć. Złota zasada brzmi: obiecuj mniej, dostarczaj więcej niż obiecałeś.
Za nami rok 2021 i jeszcze świeże podsumowania w organizacjach. To również pierwszy pełny rok działalności w tle wciąż zagrażającej pandemii COVID-19. Po trudnym 2020 roku firmy wypracowały schematy działania i nowe mechanizmy. Sporo osób wykonuje swoją pracę zdalnie. Czy zauważasz wpływ pandemii na powstanie nowych ryzyk w organizacjach i tym samym na kwestie naruszeń? Czy i jeśli tak, to w jaki sposób zmienił się charakter pracy audytora lub kontrolera?
Powiedziałbym, że pandemia COVID-19 wymusiła ewolucję zwykłego sposobu prowadzenia działalności w kierunku bardziej hybrydowego, zdigitalizowanego podejścia. Moim zdaniem ta zmiana i tak była nieunikniona, a pandemia COVID-19 jedynie ją przyspieszyła.
W związku z tym zagrożenia, z którymi borykają się obecnie organizacje, również zmieniły się w bardziej cyfrowe i związane z IT, takie jak cyberbezpieczeństwo, dostępność odpowiednich kopii zapasowych i inne zagrożenia zwykle objęte ogólnymi kontrolami IT.
Na podstawie raportu The Institute for Internal Auditors On Risk 2022*** wszyscy członkowie zarządu, dyrektorzy wyższego szczebla i Dyrektorzy ds. Audytu (CAE) byli zgodni w umieszczeniu zagrożeń cyberbezpieczeństwa na szczycie mapy ryzyka organizacji.
Następnie pojawiły się zagrożenia związane z zarządzaniem talentami. Rzeczywiście, po COVID-19 ogromna liczba profesjonalistów z różnych dziedzin przyzwyczaiła się do większej elastyczności pod względem czasu i miejsca wykonywania swojej pracy. Również po pandemii COVID-19 nastąpiła tzw. “Great Resignation”, gdy wiele osób, głównie na poziomie menedżerskim i wyższym, zdecydowało się odejść z pracy w korporacji, aby spróbować swoich umiejętności w bardziej elastycznym środowisku (np. dołączyć do startupów) lub podążać za swoją pasją i rozpocząć własną działalność gospodarczą. Dotyczy to zwłaszcza bardziej wyspecjalizowanych profesjonalistów, którzy mogliby z łatwością utrzymać się na przyzwoitym poziomie życia bez ograniczeń środowiska biurowego.
The Institute of Internal Auditors, Extract from “On Risk report 2022”
W związku z tym audyt wewnętrzny oraz inne funkcje monitorujące musiały dostosować się do zmieniającego się otoczenia biznesowego i przeszkolić istniejący zespół, tak aby zdobyć umiejętności audytu IT lub otworzyć proces rekrutacji. Ponieważ pozyskanie i utrzymanie zasobów ludzkich stało się jeszcze trudniejsze po pandemii COVID-19, widzę również tendencję do coraz częstszego korzystania z outsourcingu w wyspecjalizowanych obszarach, takich jak audyt IT.
Podoba mi się podejście do postrzegania zmian jako szans, a nie zagrożeń. Dlatego też uważam, że teraz jest dobry moment dla firm, aby ponownie ocenić, z jakich systemów IT korzystają, gdzie przechowywane są krytyczne dane, w jaki sposób są one zabezpieczane i archiwizowane oraz czy zespół na pokładzie jest dobrze wyszkolony i zmotywowany do wspierania organizacji w stawaniu się cyfrową potęgą w przyszłości.
Źródła:
* – https://www.theiia.org/globalassets/site/about-us/advocacy/three-lines-model-updated.pdf
** – https://www.acfe.com/fraud-resources/reports-and-statistics
*** https://iia.no/wp-content/uploads/2021/10/2022-OnRisk-Report.pdf
Pytania: Monika Wosik
Anna Miernicka-Szulc Reageren
Interesting and inspiring. Thank you