Zákon Sarbanes-Oxley – regulatorní nástroj corporate governance s celosvětovým dosahem (2. část)

7.10.2013

Vzhledem k tomu, že některé požadavky zákona SOX byly promítnuty do komunitární právní úpravy, která byla následně implementována v ČR (viz 1. část příspěvku), bude další pozornost zaměřena na opatření a požadavky zákona SOX, které se týkají záležitosti sestavování, schvalování a ověřování podnikových účetních výkazů. Jedná se primárně o § 404 a § 302, které požadují zavedení účinných a dokumentovatelných interních kontrol, odpovědnosti vrcholového managementu (jmenovitě generálního ředitele a finančního ředitele) za jejich nastavení a řádné provádění a v neposlední řadě povinností auditorů (interních i externích) ověřit účinnost interních kontrol. Doprovodně bude provedeno též rámcové zmapování požadavků  týkající se problematiky neauditních služeb, které vyplývají jak ze samotného zákona SOX, tak z výše zmíněných „podzákonných“ norem. Níže popsané požadavky mohou být bez zásadních „prováděcích“ problémů alespoň částečně reflektovány v praxi českých akciových společností (viz separátní článek „SOX – zdroj inspirace pro řádnou praxi i pro české akciové společnosti“).

§302 Prohlášení vedení o správnosti údajů :

V souladu s požadavkem definovaným v § 302(a) zákona SOX jsou generální a finanční ředitelé (CEO a CFO) povinni svým prohlášením potvrzovat správnost údajů čtvrtletních a ročních zpráv o provedených interních kontrolách. Tito vedoucí pracovníci musí potvrdit, že účetní závěrka a ostatní finanční informace ve zprávě uvedené jsou ve všech významných souvislostech věrné a že zpráva neobsahuje žádné nepravdivé údaje týkající se významných skutečností ani v ní nebyly žádné významné skutečnosti zamlčeny. Dále musí tito vedoucí pracovníci ve svém prohlášení uvést, že společnost zavedla a používá takové kontroly a postupy, které jsou zárukou, že finanční i nefinanční informace, které je nutné ve zprávách pro SEC zveřejňovat, jsou zaznamenávány, zpracovávány, sumarizovány a vykazovány ve stanovených lhůtách. CEO a CFO musí rovněž ve svém prohlášení potvrdit, že externí auditory společnosti i výbor pro audit informovali o všech významných nedostatcích a slabinách systému vnitřních kontrol a o případných podvodech, do nichž jsou zapojeni vedoucí pracovníci nebo jiní pracovníci, kteří hrají významnou roli v systému vnitřních kontrol.

§404 Posuzování interních kontrol :

V souladu s § 404 zákona a příslušným prováděcím textem ve finálním pravidlu SEC musí management akciové společnosti jedenkrát ročně zveřejnit informaci o účinnosti interních kontrol z hlediska finančního výkaznictví. Zákon rovněž vyžaduje, aby nezávislý auditor společnosti toto posouzení interních kontrol provedené managementem ověřil a vyjádřil se k tomu ve své zprávě. Zpráva managementu o interních kontrolách a zpráva nezávislého auditora o ověření této zprávy musí být součástí výroční zprávy společnosti. Zpráva o interní kontrole finančního reportingu obsahuje obligatorně tyto části: (i)  vyjádření o odpovědnosti manažerů za vytvoření a údržbu patřičné interní kontroly finančního výkaznictví; (ii)  stanovení rámce požadovaného pro vyhodnocování efektivity interní kontroly finančního výkaznictví; (iii) hodnocení, prováděné jednotlivými manažery, efektivity interní kontroly finančního výkaznictví včetně sdělení veškerých identifikovaných materiálních nedostatků a zda jsou kontroly účinné; (iv)  stanovisko externího auditora k hodnocení, které je prováděno společností ve věci účinnosti vnitřní kontroly finančního výkaznictví. Postupy a pravidla při provádění auditů potvrzujících hodnocení managementu týkajících se účinnosti podnikových vnitřních kontrol finančního výkaznictví jsou pak stanoveny v auditních standardech PCAOB.

 § 201 Zákaz poskytování některých služeb auditorskými společnostmi :

Podle prováděcího předpisu SEC k oddílu zákona SOX „Zajištění nezávislosti externího auditora“ (viz 1. část příspěvku) nesmí auditorská společnost poskytovat současně s prováděním povinného (statutárního) auditu následující služby:  vedení účetnictví nebo jiné služby související s vedením nebo sestavováním, účetních záznamů nebo účetní závěrky auditního klienta;  návrh finančního účetního systému a jeho implementace;  odhady a oceňování, fairness opinions nebo zprávy o nepeněžitých vkladech;  pojistně-matematické služby;  výkon interního auditu;  manažerské funkce;  lidské zdroje/exekutivní funkce v oblasti náboru nových zaměstnanců;  broker nebo dealer, investiční poradce nebo investiční bankovní služby;  právní nebo jiné odborné služby nesouvisející s auditem;  jiné služby, které SEC nebo PCAOB označí jako nepřípustné.

Praxe implementace požadavků zákona SOX v amerických společnostech ukázala, že dopad této regulace (byť obecně kritizované jako přehnaně náročné a byrokratické) pro dotčené společnosti může být rovněž přínosný pro jejich dlouhodobé fungování. Záleží však na tom, zda je tento regulativní komponent řádné praxe corporate governance  společnostmi považován jen za „nutné zlo“ (jejich jedinou snahou pak je, začasto pouze formálně,  dostát požadovaným povinnostem) nebo zda společnosti využijí „vedlejších (pozitivních) efektů“ implementace požadavků a principů tohoto zákona pro zlepšení resp. zefektivnění svého provozního fungování a pro mitigaci rizik podvodů. K identifikaci  a následnému využití těchto pozitivních efektů by mohlo napomoci naplnění níže uvedených zásad při implementaci požadavků zákona SOX:

Ø uvědomění si hlavního cíle zákona SOX (prevence proti podvodům) a jeho proaktivní akceptace ze strany vrcholového managementu společnosti  – v tomto smyslu je třeba opravdově (nikoliv pouze formálně) přistupovat k implementaci požadavků zákona SOX v oblastech interních kontrol, corporate governance a  řízení rizik;

Ø porozumění problematice vzniku podvodů (fraud disease) – z auditorské praxe i aktuálních průzkumů vyplývá, že ke vzniku podvodů vede existence následujících tří hlavních faktorů: jexistence stimulu/popudu pro spáchání podvodu (např. vysoké bonusy pro top management vyplývající z  motivačních schémat;  nadměrný tlak na výkonnost, vysoká očekávání např. analytiků);  k existence příležitosti pro spáchání podvodu (vyplývající z nedostatečné úrovně vnitřních kontrol) l postoj k závadovému jednání resp. odůvodnění kroků, které vedly k podvodu – existuje možnost vysvětlit resp. obhájit spáchání podvodu mimořádnými okolnostmi nebo cíli (např. záchranou pracovních míst, možností napravit závadové jednání v budoucím období, kdy bude překonána krize). Správní orgány společnosti a její vrcholový management musí při posuzování rizika podvodů brát v úvahu všechny výše uvedené faktory, přičemž nejobtížnějším je faktor l (dále viz níže);

Ø agresivní a nesmlouvavý boj s problematikou faktoru l, protože je nejnebezpečnější a nejobtížněji identifikovatelný. Jedinou účinnou obranou je nastavení etických principů a jejich dodržování všemi zaměstnanci společnosti, jakož i nesmlouvavé radikální řešení všech prohřešků proti těmto principům;

Ø vědomé rozhodnutí jít za rámec požadavků vyplývajících ze zákona SOX – po dosažení „shody“ se základními požadavky dále pokračovat v nepřetržitém zdokonalování vnitřních kontrol, řízení rizik a zkvalitňování úrovně corporate governance;

Ø prohloubení vnitřního kontrolního rámce nastaveného ve společnosti dle požadavků vyplývajících ze zákona SOX pro oblast finančního výkaznictví  prostřednictvím zavedení  COSO ERM (Enterprise Risk Management). Jedná se o nepřetržitý proces, jehož účelem je poskytovat ujištění (v rozumné/přiměřené míře – reasonable risk concept) ohledně dosahování cílů ve 3 kategoriích, z nichž jedna se kryje se zaměřením zákona SOX (jedná se o spolehlivost finančního výkaznictví) a dvě další (účelnost a hospodárnost operací; dodržování zákonů a nařízení) jdou nad rámec požadavků uvedeného zákona.

Dle přesvědčení autora tohoto příspěvku mají výše uvedené zásady svou objektivní platnost a význam nejen pro společnosti podléhající zákonu SOX, ale představují též strategické vodítko resp. optiku vidění účelnosti a  z toho vyplývajícího způsobu dobrovolného (a přiměřeného) uplatnění hlavních  požadavků SOX v ostatních společnostech.

Vladimír Brož, prezident ČITOS
7. 10. 2013