Η εταιρική διακυβέρνηση (GRC)σχετίζεται με ένα σύστημα νόμων, ρυθμίσεων και πρακτικών, προάγοντας και διασφαλίζοντας την εγκυρότητα της επιχείρησης. Προκειμένου λοιπόν κάθε επιχείρηση να συμβάλει στη παγκόσμια ανάπτυξη και οικονομία, οφείλει να υπακούει σε κάποιους ενιαίους κανόνες και οδηγίες.
Με τις συνεχείς αλλαγές στους ρόλους των οικονομικών διευθυντών και προέδρων, ο ρόλος των εξωτερικών οντοτήτων όπως είναι οι Ελεγκτές, Δημόσιες αρχές, Αναλυτές, Πιστωτές, είναι ιδιαίτερα σημαντικός μιας και συνεχώς απαιτείται διαβεβαίωση από τέτοιους ειδικούς. Στη διαβεβαίωση αυτή και στη δική τους πληροφόρηση, βασίζονται προκειμένου να ληφθούν αποφάσεις για επενδύσεις, για τη πιστοληπτική ικανότητα, επιτόκια ομολόγων και για τη συνολική σταθερότητα της επιχείρησης. Η πληροφόρηση αυτή διαδραματίζει σημαντικό ρόλο καθώς επηρεάζει τους εργαζομένους, τους πιστωτές, τους μετόχους και βασικά όλα τα ενδιαφερόμενα μέρη ως προς την πληροφόρηση αυτή. Είναι λογικό λοιπόν να προβλέπεται μια δαπάνη εκ μέρους των επιχειρήσεων, προκειμένου η πληροφόρηση η οποία αντλείται από τα πληροφοριακά συστήματα, να είναι έγκυρη και αξιόπιστη. Συνεπώς, πρέπει να υπακούει σε νόμους και κανονισμούς όπως : Sarbanes-Oxley Act, COSO II, Basel και άλλα. Ο στόχος της Εταιρικής Διακυβέρνησης είναι τρισδιάστατος:
- Διαφάνεια πληροφοριών (Διαφανής λογιστική, γνωστοποίηση, εσωτερική και εξωτερική ανάλυση, αλλαγές αναφορών).
- Εσωτερικός έλεγχος των διαδικασιών (συμμόρφωση με κανονισμούς και νομοθεσίες).
- Αποτελεσματικότητα των εσωτερικών ελέγχων (περιοδικά κλεισίματα, αλλαγές).
Προκειμένου να επιτευχθούν οι στόχοι αυτοί στα πλαίσια του GRC, υπάρχει το Management of Internal Controls (MIC) το οποίο καταγράφει διαδικασίες, κινδύνους, και ασφαλιστικές δικλείδες (στη θέση των προϊόντων τρίτων). Το ΜΙC (Management of Internal Controls) υποστηρίζει όλες και τις κεντρικές αλλά και αποκεντρωμένες διαδικασίες. Οι κεντρικές λειτουργίες μπορούν να αντιγραφούν ή και να υιοθετηθούν έτσι ώστε να ταιριάζουν στις απαιτήσεις κάθε οργανισμού. Δεδομένου κιόλας ότι οι διοικήσεις χρειάζονται να γνωρίζουν ανά πάσα ώρα και στιγμή την κατάσταση των δικλείδων ασφαλείας, το MIC παρέχει τη δυνατότητα άντλησης εκτενών αναφορών ενώ διακρίνεται στις ακόλουθες κατηγορίες:
- Inherent system controls (εσωτερικές δικλείδες ασφαλείας)
- Configurable controls (επίκτητοι-συντονιστικοί έλεγχοι)
- Security controls (έλεγχοι ασφαλείας)
- Report controls (έλεγχοι αναφοράς)
Internal (or inherent controls)
Οι εσωτερικοί έλεγχοι χρησιμοποιούνται για τη διάρθρωση των δραστηριοτήτων παρακολούθησης. Αυτό περιλαμβάνει τα ακόλουθα στάδια και αποτελέσματα:
- Παρακολούθηση της χρήσης των συναλλαγών
- Παρακολούθηση της ασφάλειας και της πρόσβασης
- Αρχείο εγγραφών μεταφοράς δεδομένων
- Υποστηρικτικό πακέτο καταγραφής εγγραφών
Configurable controls (Συντονιστικοί/Παραμετροποιήσιμοι έλεγχοι)
Είναι εφικτό να συντονιστούν επιπρόσθετοι έλεγχοι, ιδιαίτερα σε επίπεδο πληροφοριακών συστημάτων από τα οποία εξάγονται οι οικονομικές καταστάσεις. Για παράδειγμα, υπάρχει η δυνατότητα να απομονωθούν εγγραφές, των οποίων τα ποσά υπερβαίνουν ένα συγκεκριμένο ποσό. Επίσης ανά πάσα ώρα και στιγμή τα οικονομικά στοιχεία μπορούν να παρακολουθηθούν. Γενικά τίθενται κρίσιμα όρια, τα οποία κάθε φορά που υπερβαίνονται δύναται να διερευνηθεί η αιτία του προβλήματος. Σε επίπεδο προηγμένων λογισμικών προγραμμάτων (π.χ SAP) oι χρήστες όταν ρυθμίζουν τις παραμέτρους του συστήματος, μπορούν να δημιουργήσουν και να προσδιορίσουν συντονιστικούς ελέγχους για τις ακόλουθες ενέργειες και στοιχεία:
- Ανοχές ελέγχου (ορισμός περιθωρίων αποκλίσεων από τον έλεγχο)
- Απαιτούμενα πεδία ή πεδία που συμπληρώνονται από το σύστημα.
- Προκαθορισμένα βασικά αρχεία δεδομένων τα οποία εμφανίζονται ως προεπιλεγμένες τιμές
- Κωδικοί αιτιολόγησης
- Εμφάνιση σφαλμάτων ανά χρήστη και προειδοποιητικά μηνύματα.
- Αυτόματες, ενσωματωμένες εγγραφές ανάλογα με προκαθορισμένα κλειδιά καταχώρησης/εγγραφής.
- Ροή εργασιών
- Διαχείριση κινδύνου (SEM)
- Πίνακας Διαχείρισης Ελέγχου( Management Cockpit, SEM)
Security controls (δικλείδες ασφαλείας)
Οι έλεγχοι ασφαλείας χρησιμοποιούνται για να ρυθμίζουν την πρόσβαση των χρηστών και τις άδειες/εξουσιοδοτήσεις για τα προγράμματα, τις συναλλαγές, τους πίνακες δεδομένων, και τα πεδία. Οι έλεγχοι ασφαλείας μπορούν ακόμη να χρησιμοποιηθούν για τον εντοπισμό και την αποτροπή μη εξουσιοδοτημένης πρόσβασης ή πιθανών επιθέσεων.
Report Controls (έλεγχοι αναφοράς)
Η λύση διαχείρισης συμμόρφωσης που παρέχουν τα λογισμικά προγράμματα όσον αφορά το πρότυπο Sarbanes-Oxley αντιπροσωπεύει ένα εργαλείο που ενημερώνει τη Διοίκηση/Διεύθυνση για πιθανά ηθικά ζητήματα. Το Whistle-blowing είναι μια διαδικτυακή εφαρμογή που επιτρέπει στους υπαλλήλους να γνωστοποιούν τις ανησυχίες τους σχετικά με ηθικά ζητήματα σε ένα ανώνυμο τρόπο. Σε επίπεδο πληροφοριακών συστημάτων, παραδείγματα ελέγχων αναφοράς είναι τα ακόλουθα:
- Άμεση παρακολούθηση των δραστηριοτήτων κλεισίματος, βασικές/πρότυπες εκθέσεις (σε διάταξη δέντρου) φιλικές προς το χρήστη.
- Θεματικοί οδηγοί βοήθειας, δυνατότητα λειτουργίας αναφορών XBRL, ελεγκτικές λειτουργίες (ιστορία ,αλλαγή αρχείου εγγραφών, ροή εγγραφής.
Τα θετικά αποτελέσματα της διακυβέρνησης
Αφενός με την εφαρμογή ρυθμίσεων και δικλείδων ασφαλείας, αφετέρου με σωστή διαχείριση και εν γένει διακυβέρνηση, η εκάστοτε επιχείρηση μπορεί να μετατρέψει τους κινδύνους σε θετικά αποτελέσματα. Ως τέτοιες περιπτώσεις σε βιβλιογραφικές αναφορές και σε έρευνες αναφέρονται οι παρακάτω:
Ενίσχυση της στρατηγικής κινδύνου
- Ευθυγράμμιση με τους στόχους και τη στρατηγική της επιχείρησης.
- Καλύτερη ενόραση των κινδύνων που έχουν μεγαλύτερη σημασία για την οργάνωση με αποτέλεσμα την βελτιστοποίηση στην λήψη των αποφάσεων.
Ενσωμάτωση της διαχείρισης του κινδύνου στη λειτουργία της επιχείρησης
- Πλήρης και συνεχής διαχείριση κινδύνων και παρακολούθηση αυτών.
- Κεντρική διαχείριση των οικονομικών, λειτουργικών κινδύνων και κινδύνων συμμόρφωσης και τους ελέγχους σε όλο τον οργανισμό.
Βελτίωση των ελέγχων και των διαδικασιών
- Καλύτερη ευθυγράμμιση στην κάλυψη του κινδύνου, συμπεριλαμβανομένου του προσδιορισμού πιο διεισδυτικών ελέγχων (pervasive controls/reviews).
- Μείωση χρόνου και προσπάθειας που συνδέονται με την εκτέλεση των ελέγχων και δοκιμών (testings).
- Αυξημένος έλεγχος και αποδοτική διαδικασία (effective procedure), απόρροια της αυτοματοποίησης και της συνεχούς παρακολούθησης.
Βελτιστοποίηση της λειτουργίας διαχείρισης κινδύνων
- Ενοποίηση δραστηριοτήτων και συντονισμός μεταξύ των οργανωτικών μονάδων της επιχείρησης, όπως πχ της πληροφορικής και της συμμόρφωσης.
Οι προαναφερόμενες ενέργειες έχουν ως αποτέλεσμα οφέλη, που αφορούν την αξία, τα κόστη/έξοδα ενός οργανισμού και εν τέλει το ρίσκο που καλείται εκείνος ο οργανισμός να διαχειριστεί. Εν ολίγοις, μπορεί μια επιχείρηση να επιτύχει μειωμένο κόστος ελέγχου λόγω ενός αξιόπιστου και αυτοματοποιημένου σε διαχείριση περιβάλλοντος πρόσβασης. Ως παράδειγμα μπορεί να αναφερθεί η ειδοποίηση που παρέχεται σε πραγματικό χρόνο των πιθανών θεμάτων πρόσβασης (vulnerabilities), μια απλοποιημένη διαδικασία έγκρισης προσβάσεων/εξουσιοδοτήσεων, η ταυτοποίηση των μη φυσιολογικών (abnormal activities) ενεργειών απόκτησης πρόσβασης, υποδεικνύοντας με αυτό τον τρόπο δόλιες δραστηριότητες μέσω ειδοποιήσεων. Η τελευταία περίπτωση μπορεί κάλλιστα να επηρεάσει την αξία μιας επιχείρησης δημιουργώντας αρνητικά παρεπόμενα σε ενδεχόμενη καταστρατήγηση των υφιστάμενων κανόνων.
Τέλος, αξίζει να αναφερθεί η βελτίωση της αποτελεσματικότητας που συνδέεται με την προετοιμασία και ανάλυση των εκθέσεων «Segregation of Duties» και η μείωση του αριθμού των manual controls που απαιτούνται για να σχεδιαστεί και να λειτουργεί ο περιορισμός της πρόσβασης (διαδικασία εξουσιοδοτήσεων).
Ως εκ τούτου, δε χρειάζεται να περιμένει ο κλάδος ή η επιχείρηση να βρεθεί στα πρόθυρα της κατάρρευσης για να προχωρήσει σε κρίσιμες αλλαγές. «Διαβάστε νωρίς το φλιτζάνι και έχετε το νου σας στα σημάδια του κινδύνου». Σε άρθρο τους οι Charles Farkas και Suzy Wetlaufer (Οι μέθοδοι με τις οποίες ηγούνται οι γενικοί διευθυντές) – μας ενημερώνουν με τον πιο εμφατικό τρόπο ότι «τα συστήματα ελέγχου μπορεί να δένουν τα χέρια κάποιων, αλλά εξασφαλίζουν τη σαφήνεια και την προβλεψιμότητα, που είναι δυο πανίσχυρες ανταγωνιστικές δυνάμεις». Μήπως είναι καιρός για τις επιχειρήσεις να ενεργοποιηθούν, να προσαρμοστούν και να προβλέψουν τον επερχόμενο κίνδυνο (ένεκα του 3A’s: Activate – Adapt – Anticipate). Είναι πασιφανές ότι σίγουρα όχι η πιο δυνατή επιχείρηση όχι η γρήγορη αλλά αυτή που θα προσαρμοστεί και θα υιοθετήσει τα σωστά πρότυπα θα εξελιχθεί και θα πάει μπροστά. Τα συμπεράσματα δικά σας.
Τόνια Μαρκογιαννοπούλου
Accountant, MSc
Σταμάτης Πασσάς
IT GRC Specialist, MSc, MBA