Nástin využitelnosti hlavních požadavků zákona SOX pro kultivaci praxe správy a řízení českých akciových společností – case Telefónica Czech Republic, a.s.

6.11.2013

Níže uvedený nástin řešení a postupů byl sestaven na základě zobecněných zkušeností z implementace požadavků zákona SOX ve společnosti Telefónica Czech Republic, a.s. (dále též „TCR“). I když v tomto případě šlo o nucenou implementaci taženou povinnou regulací SOX mateřské společnosti Telefónica S.A. (její akcie jsou obchodovány na veřejném kapitálovém trhu v USA), jedná se bezesporu o inspirativní a přenositelné náměty k využití i v jiných českých obchodních korporacích (realizované dle zásady přiměřenosti).

 Výkaznictví
(i) SOX §404 Posuzování interních kontrol: Při vytváření systému vnitřních kontrol a následném pravidelném posuzování jejich efektivnosti a účinnosti lze postupovat primárně podle amerického auditního standardu č. 5 PCAOB či z obdobných, k tomuto účelu vytvořených metodik – např. v TO2 CR byla aplikována metodika užívaná pro tyto účely ve skupině Telefónica. Jako metodické východisko pro nastavení systému vnitřních kontrol finančního výkaznictví je účelné zvolit rámec COSO, který je ve světě nejrozšířenější a je všeobecně uznávaným standardem. Program pro hodnocení efektivity interních kontrol finančního reportingu zahrnuje na svém počátku analýzu finančních výkazů a příslušných procesů, které poskytují informace pro odpovídající účty. Výsledkem je vytvoření matice účtů a procesů. Další práce spočívají v popisu procesů s cílem dosáhnout jejich řádné dokumentace a jednoznačného určení vlastníka procesu, který za něj zodpovídá a realizuje příslušná zlepšení či případná korektivní opatření. Každý proces je analyzován z hlediska rizik a následně je pro něj stanoven příslušný účinný druh kontroly, který by měl umožnit zjištěným rizikům předcházet (resp. je mitigovat na zvolenou úroveň materiality). Výsledkem je vytvoření systému vnitřních kontrol finančních výkazů, jehož účinnost je v souladu s požadavky SOX prověřována managementem společnosti, přičemž hodnocení provedené managementem je následně ověřováno auditorem, který se vyjadřuje k výsledku tohoto ověření. Nedílnou součástí ověřování účinnosti systému vnitřních kontrol finančních výkazů musí být též provedení hodnocení účinnosti kontrol implementovaných v informačních systémech společnosti (IT aplikacích), které zpracovávají finanční údaje. Implementace systému vnitřních kontrol finančních výkazů je velmi složitý a náročný proces, který zahrnuje součinnost specialistů z oblasti financí, procesního řízení a informačních technologií. Jakmile je však tento systém vytvořen a je –li shledán dostatečným a účinným, tak se otevírá prostor pro další průběžné zlepšování a zdokonalování kontrolního prostředí. Kvalitní nastavení systému vnitřních kontrol rovněž vytvoří předpoklady k tomu, aby ověřování hodnocení účinnosti vnitřních kontrol finančních výkazů managementem společnosti bylo (v případě souhlasu externího auditora) napříště prováděno útvarem interního auditu /dále jen „IA“/ a tím byly redukovány finanční náklady spojené s tímto ověřováním (externí auditor v takovém případě provádí pouze kontrolu správnosti metodiky hodnocení užívané IA a ověřuje jím zjištěné výsledky hodnocení pomocí náhodných testů).
(ii) SOX §302 Prohlášení vedení o správnosti údajů: Toto prohlášení generálního ředitele a finančního ředitele by mělo být vydáváno ve shodné frekvenci s uveřejňováním finančních výsledků společnosti, což v případě akciových společností, jejichž cenné papíry jsou obchodovány na regulovaném trhu, by mělo být činěno čtyřikrát za účetní období. Uvedené prohlášení je projednáváno představenstvem a rovněž Výborem pro audit /dále též „VA“/, přičemž by mělo být vždy doplněno o informace (vysvětlení) managementu týkající se případné změny účetních politik společnosti a rovněž o přehled zúčtovaných hlavních (dle stanovené úrovně materiality) výjimečných a ostatních jednorázových položek (tj. primárně operací nesouvisejících s běžnou podnikatelskou činností společnosti a tudíž zkreslujících pozitivně/negativně hospodářský výsledek – jde např. o prodeje majetku, změny v rezervách na úhradu potenciálních závazků). Vzhledem k výlučné a nedělitelné odpovědnosti představenstva za obchodní vedení včetně řádného vedení účetnictví společnosti má v českých podmínkách toto prohlášení spíše deklaratorní charakter a je proto důležité, aby se s ním ztotožnil statutární orgán společnosti.
 Posílení Corporate governance – v této oblasti je potřebné se z hlediska adekvátní realizace (tj. dostatečnosti z hlediska požadavků zákona SOX a zároveň reflektování českého právního rámce) zaměřit na problematiku zásad výborů pro audit a na odpovídající nastavení hierarchie a dělby působností představenstva, dozorčí rady a VA ve stanovách společnosti. Dle aktuální právní úpravy primárně záleží na tom, zda dotčená (akciová) společnost spadá do kategorie „subjekt veřejného zájmu“, a pokud ano, pak je VA zřizován jako samostatný orgán společnosti (§ 4 a § 44 zákona o auditorech, zák. č. 93/2009 Sb.) a externí auditor takovéto společnosti je určován nejvyšším orgánem společnosti (valnou hromadou) na doporučení VA (§ 17 odst. 1 a § 44 odst. 4 písm. e) zákona o auditorech). VA dává své doporučení valné hromadě na určení externího auditora prostřednictvím představenstva, které zařadí příslušný bod na pořad jednání valné hromady a předloží akcionářům návrh na určení auditora v souladu s doporučením VA. V ostatních akciových společnostech bude v naprosto drtivé většině případů VA zřizován dozorčí radou jako její poradní a iniciativní orgán a v takovém případě je potřebné pro dosažení žádoucího postavení a role tohoto výboru, aby VA byl ve Stanovách společnosti koncipován ve smyslu doporučujícího komunitárního předpisu (Doporučení Komise ze dne 15. února 2005 o úloze nevýkonných členů správní rady a o výborech správní nebo dozorčí rady společností kótovaných na burze; 2005/162/ES) jako „povinný“ výbor a zde byla vymezena jeho působnost a další kritéria v rozsahu úpravy v zákonu o auditorech či alespoň dle zmíněného doporučení. Stejnou cestou, tj. prostřednictvím stanov společnosti lze svěřit valné hromadě určování auditora pro provádění povinného auditu a VA udělit oprávnění činit doporučení v záležitostech výběru auditora. Výbor pro audit v postavení výboru dozorčí rady pak předkládá své doporučení na určení externího auditora valné hromadě prostřednictvím představenstva, kterému jej předtím postoupí – jakožto doporučení svého poradního orgánu – dozorčí rada společnosti. Další postup představenstva v této věci bude stejný jako v případě výše uvedeného případu (subjekty veřejného zájmu).
 Zajištění nezávislosti externího auditora – pokud jde o naplnění požadavku SOX (§ 202), aby VA „schvaloval“ všechny služby poskytované auditorskou společností – statutárním auditorem, konkrétní postup bude opět odviset od toho, zda dotčená akciová společnost je subjektem veřejného zájmu či nikoliv. V prvním případě je působnost VA v této oblasti založena na kogentním ustanovení zákona o auditorech: (výbor pro audit) …“ posuzuje nezávislost statutárního auditora a auditorské společnosti a zejména poskytování doplňkových služeb auditorské společnosti“. V druhém případě je potřebné zakotvit příslušné oprávnění VA ve stanovách společnosti. Ve všech případech je účelné, aby v akciové společnosti existoval vnitřní předpis, který by spolu s dalšími nástroji (ostatní řídicí dokumenty – zejména organizační řád a podpisový řád; rozhodnutí představenstva, úkony liniového řízení – příkaz generálního ředitele apod.) zajistil, že všechny další služby, které by auditorská společnost provádějící v akciové společnosti povinný audit měla dotčené společnosti dodávat, byly povinně posouzeny ve výboru pro audit a následně schváleny (nebo zamítnuty) představenstvem. Zmíněný vnitřní předpis – jakási pravidla pro poskytování neauditních služeb statutárním auditorem – by měl být řídícím dokumentem společnosti v působnosti představenstva (schválený ve vzájemné interakci představenstva s VA) a měl by kromě procedury posuzování a schvalování těchto služeb poskytnout základní klasifikaci těchto služeb z hlediska přípustnosti jejich čerpání. Možným řešením je vymezit (úplným výčtem) zakázané neauditní služby – požadavek SOX (§ 202), úplným či demonstrativním výčtem označit služby potenciálně přípustné (za určitých podmínek – např. dle časových či cenových kritérií/stropů) a příkladmo uvést ostatní služby, na které se nevztahují žádná další kritéria. Pro sestavení přehledu neauditních služeb, jejichž poskytování auditované společnosti ze strany statutárního auditora by mělo být vyloučeno, omezeno či podrobeno jiným restrikcím, lze využít též Doporučení Komise ze dne 16. května 2002 „Nezávislost statutárních auditorů v EU: soubor základních principů“ (č. 2002/590/EC). Samotní auditoři musí při provádění auditorské činnosti respektovat požadavky a principy vymezené v § 13, 14 a 18 zákona o auditorech a postupovat v souladu s mezinárodními auditorskými standardy (upravenými právem Evropských společenství) a rovněž s auditorskými standardy a etickým kodexem, které vydala Komora auditorů ČR.

 Co se týče požadavků na povinnou výměnu partnerů externího auditora (SOX § 203) aomezení týkajících se zaměstnávání klíčových členů auditního týmu v auditované společnosti (SOX § 206), tak v ČR tyto záležitosti vymezuje zákon o auditorech a z něj vyplývající minimální „hygienické“ lhůty (§ 45 odst. 3 4) si česká obchodní korporace může v rámci svých standardů corporate governance zpřísnit.

Vladimír Brož, prezident ČITOS

6.11. 2013