Πέντε χρόνια μετά τα πρώτα βήματα προς την αποτελεσματική εταιρική διακυβέρνηση και τρία από την εφαρμογή του νόμου 3016/2002 από τις ελληνικές εισηγμένες επιχειρήσεις, τίθενται ερωτήματα για το πώς εφαρμόζεται στην πραγματικότητα ο εσωτερικός έλεγχος από τις ελληνικές εισηγμένες επιχειρήσεις, ποια είναι η βαρύτητα που του αποδίδεται και ποιες είναι οι τάσεις που επικρατούν αυτήν τη στιγμή. Τα ερωτήματα αυτά είχε σκοπό να απαντήσει η πρωτογενής έρευνα που πραγματοποίησε ο Τομέας Βιομηχανικής Διοίκησης και Επιχειρησιακής Ερευνας του ΕΜΠ τον Ιούνιο του 2006.
Το Τμήμα Εσωτερικού Ελέγχου αποτελεί ένα κατ’ εξοχήν νεοσύστατο τμήμα στις ελληνικές επιχειρήσεις με βάση τα αποτελέσματα της έρευνας. Η πλειοψηφία των επιχειρήσεων απέκτησε οργανωμένο Τμήμα Εσωτερικού Ελέγχου μετά το έτος 2000, πιθανόν αποτέλεσμα της προσπάθειας συμμόρφωσης με την απόφαση 5/204/2000 του Δ.Σ. της Επιτροπής Κεφαλαιαγοράς.
Οι εσωτερικοί ελεγκτές που στελεχώνουν τα τμήματα αυτά, σε πολλές περιπτώσεις προέρχονται από άλλες οργανωτικές μονάδες της επιχείρησης από τις οποίες μετακινήθηκαν για να εξυπηρετήσουν τις ανάγκες του εσωτερικού ελέγχου, ενώ η πλειοψηφία αυτών (τέσσερις στους πέντε ελεγκτές) διαθέτουν προϋπηρεσία στο συγκεκριμένο αντικείμενο μικρότερη των έξι ετών. Οι σπουδές τους είναι κυρίως οικονομικής ή χρηματοοικονομικής κατεύθυνσης, ενώ ένας στους πέντε ελεγκτές έχει αποκτήσει την αναγνωρισμένη επαγγελματική πιστοποίηση CIA (Certified Internal Auditor). Αξιοσημείωτη είναι η απουσία πιστοποιημένων ελεγκτών πληροφοριακών συστημάτων, δηλαδή κατόχων του επαγγελματικού πιστοποιητικού CISA (Certified Information Systems Auditor). Αυτό υποδηλώνει ότι η διείσδυση της έννοιας του ελέγχου πληροφοριακών συστημάτων βρίσκεται σε πρώιμο στάδιο και δεν έχει ακόμη καθιερωθεί σαν μια από τις βασικές λειτουργίες του εσωτερικού ελέγχου.
Επαγγελματική πιστοποίηση εσωτερικών ελεγκτών
Ο αριθμός των στελεχών του Τμήματος Εσωτερικού Ελέγχου δεν συσχετίζεται με το μέγεθος της επιχείρησης (μετρούμενο σε αριθμό εργαζομένων, κύκλο εργασιών ή κερδοφορία). Τρεις στις δέκα επιχειρήσεις με περισσότερους των πεντακοσίων εργαζομένων εξυπηρετούνται από έναν ή δύο μόνο ελεγκτές, χωρίς να δέχονται εξωτερικές συμβουλευτικές υπηρεσίες. Επίσης, μία στις τέσσερις επιχειρήσεις έχει προχωρήσει στη μερική ή πλήρη ανάθεση (co/out-sourcing) δραστηριοτήτων εσωτερικού ελέγχου σε εξειδικευμένες εταιρείες.
Επιπλέον, ο μεγάλος κύκλος εργασιών ή η υψηλή κερδοφορία φάνηκε από την έρευνα ότι είναι αναγκαία συνθήκη που σχετίζεται με την υιοθέτηση πρακτικών out/co-sourcing ή αξιολόγησης και διαχείρισης κινδύνων, όχι όμως ικανή, αφού δεν εφαρμόζουν αυτές τις πρακτικές όλες οι επιχειρήσεις με μεγάλο κύκλο εργασιών ή μεγάλα κέρδη.
Διαδικασίες και εργαλεία
Εννέα στις δέκα επιχειρήσεις έχουν καταγράψει τις διαδικασίες εσωτερικού ελέγχου που ακολουθούν και έχουν αναπτύξει ή βρίσκονται στη φάση ανάπτυξης Πλάνου Εσωτερικού Ελέγχου, που περιλαμβάνει τους ελέγχους που έχουν προγραμματιστεί να γίνουν σε ένα συγκεκριμένο χρονικό διάστημα. Ερωτηματολόγια ελέγχου, που χρησιμοποιούν ως οδηγό για την πραγματοποίηση και την τεκμηρίωση των ελέγχων, έχουν αναπτύξει πέντε στις δέκα επιχειρήσεις. Αυτό υποδεικνύει ότι η φάση της ανάπτυξης της υποδομής και των βασικών εργαλείων εσωτερικού ελέγχου έχει κάνει κάποια βήματα, αλλά ακόμη δεν έχει ολοκληρωθεί.
Οι τεχνικές μοντελοποίησης διαδικασιών φαίνεται ότι αποτελούν σημαντικό εργαλείο ανάλυσης των υπό έλεγχο διαδικασιών, με δημοφιλέστερη αυτή των Διαγραμμάτων Ροής (67% των εσωτερικών ελεγκτών τα χρησιμοποιεί), με τα Διαγράμματα Ροής Δεδομένων να ακολουθούν, με αισθητή όμως διαφορά (40%).
Αποτελεσματικότητα συστημάτων
Οι περισσότερες επιχειρήσεις ανέφεραν ως πιο συχνό αποτέλεσμα των ελέγχων που διενεργεί το Τμήμα Εσωτερικού Ελέγχου τη μη επίτευξη των στόχων των διαδικασιών προμηθειών (37%) και πωλήσεων (26%), οι οποίες τυγχάνουν αυξημένης προτεραιότητας κατά τον έλεγχο, καθώς επίσης και των διαδικασιών πληροφορικής. Αυτό μπορεί να οφείλεται στο γεγονός ότι το 17% των επιχειρήσεων δεν πραγματοποιεί ποτέ αναγνώριση και αξιολόγηση των κινδύνων που επηρεάζουν την επίτευξη των στόχων (risk assessment) και επίσης το 21% δεν έχει καθορίσει για όλες τις διαδικασίες σημεία ελέγχου για την αντιμετώπιση των κινδύνων. Χαρακτηριστικό είναι το γεγονός ότι λίγο περισσότερες από τις μισές επιχειρήσεις αναγνωρίζουν και αξιολογούν τους κινδύνους με ένα συστηματικό και τυποποιημένο τρόπο.
Από την έρευνα έγινε αντιληπτό ότι μια μερίδα επιχειρήσεων αντιμετωπίζει ακόμα τον εσωτερικό έλεγχο σαν μια γραφειοκρατική υποχρέωση, και όχι σαν μια δραστηριότητα που προσθέτει αξία και βοηθάει στη συνεχή βελτίωση των διαδικασιών. Αξιοσημείωτο είναι το γεγονός ότι για το 5% των επιχειρήσεων που προσεγγίσθηκαν για να συμμετέχουν στην έρευνα, δεν κατέστη δυνατό να προσεγγισθούν οι υπεύθυνοι εσωτερικού ελέγχου, καθώς από την πρώτη επαφή δηλώθηκε ότι δεν υφίσταται τμήμα εσωτερικού ελέγχου, παρόλο που είναι εισηγμένες στο Χ.Α.
* Ο κ. Ν. Παναγιώτου είναι λέκτορας στο ΕΜΠ – Τομέας Βιομηχανικής Διοίκησης και Επιχειρησιακής Ερευνας.