Dr. sc. IVICA OSLIĆ Ericsson Nikola Tesla d.d., Zagreb ivica.oslic@ericsson.com
ISO SUSTAVI UPRAVLJANJA I SOX
Sažetak Sarbanes-Oxley zakon (SOX) donesen je u srpnju 2002. godine. Glavni je razlog bio odgovor na velike korporacijske računovodstvene prijevare u koje su bile uključene neke poznate kompanije u Sjedinjenim Državama. Ti skandali su imali za posljedicu do tada neviđen gubitak povjerenja u financijska tržišta i gubitak javnoga povjerenja u korporacijska financijska izvješća. SOX sekcija 404 zahtijeva da kompanijsko godišnje izvješće (na obrascu 20-F) sadrži i izvješće interne kontrole koje će potvrditi odgovornost menadžmenta za uspostavu i održavanje odgovarajuće interne kontrole financijskoga izvješćivanja, kao i za ocjenu učinkovitosti organizacije i postupaka interne kontrole. Posjedovanje ISO certifikata ne znači da je kompanija usklađena sa SOX zahtjevima. Norme ISO 9001:2000 i ISO 14001 nisu orijentirane na financije. Ipak, njihovi sustavi, postupci i praksa nude gotovu platformu koja pomaže dokazivanju usklađenosti sa SOX-om. ISO norme osiguravaju mogućnost uvođenja ocjene i upravljanja rizikom. Interni audit je važan preduvjet usklađenosti s normama ISO 9001:2000 i ISO 14001, ali to ipak nije financijski audit. Ključne riječi: sustavi upravljanja, SOX 404, kontrole širom kompanije (EWC), upravljanje rizikom
1. UVOD Kompanija koja želi da njezine dionice budu uvrštene u Kotaciju javnih dioničkih društava na burzi u Sjedinjenim Američkim Državama mora uskladiti sustav upravljanja sa zahtjevima SOX-a, kako bi investitori bili sigurniji da neće biti krivotvorenih financijskih izvješća. Što je s kompanijama koje ne namjeravaju ići na američku burzu? Da li one mogu profitirati od primjene SOX-a, naročito ako već imaju uvedene i potvrđene ISO sustave upravljanja kvalitetom i okolišem? Na osnovi iskustva u dragovoljnoj primjeni SOX-a u kompaniji Ericsson Nikola Tesla d.d., Zagreb autor želi odgovoriti na ta pitanja. Ericsson je prije par godina odlučio da mora uskladiti svoj sustav upravljanja grupom sa zahtjevima SOX-a, jer želi ostati na burzi u New Yorku. Također je odlučio da primjenjuje samo jedan sustav upravljanja (Ericsson Group Management System – EGMS), koji omogućuje poslovnu izvrsnost i globalnu ISO 9001:2000 i ISO 14001 certifikaciju. Polazeći od EGMS poslovne, proizvodne i tržišne jedinice, te pojedine lokalne kompanije moraju razviti svoje sustave poslovanja potpuno sukladne korporacijskom. Na taj se način preko 80 certifikata ranije izdanih lokalnim kompanijama postupno prevodi u svega 2 globalna certifikata, što predstavlja vrlo veliku uštedu!
7. HRVATSKA KONFERENCIJA O KVALITETI – BAŠKA 2006.
EGMS na korporacijskoj je razini usklađen sa SOX-om primjenjujući COSO (The Committee of Sponsoring Organizations of the Treadway Commission) [1] pristup stvaranju sustava učinkovitih kontrola širom kompanije – EWC (Entity Wide Controls). COSO pristup tvore sljedeće sastavnice: • Kontrolno okružje: naglasak je na kontrolu u kompanijskim politikama, direktivama, procesima, postupcima,... To je temelj za sve ostale COSO kontrole. • Ocjena rizika: procjena rizika za postizanje ciljeva. Upravljanje rizicima. • Informiranje i komuniciranje: prepoznavanje, osiguravanje i razmjena informacija potrebnih zaposlenicima. • Kontrolne aktivnosti: politike, direktive, radne upute koje pomažu menadžerima u kontroliranju. • Nadzor: ocjena učinkovitosti kontroliranja tijekom vremena. COSO pristup ima mnogo toga sličnoga s ISO sustavima upravljanja kvalitetom i okolišem. On predstavlja veliku i vrlo vrijednu prigodu menadžerima kvalitete za još bolju i širu primjenu ISO sustava upravljanja, te time i za osiguranje bolje budućnosti kompanijama ali i njima samima. Oni mogu puno pomoći u planiranju i provedbi akcija za postizanje sukladnosti sa SOX zahtjevima, odnosno pri uspostavi internih kontrola koje osiguravaju točnost i vjerodostojnost financijskih izvješća. Menadžeri kvalitete, koji su uvodili ISO sustave upravljanja, mogu spriječiti nepotrebno dupliciranje dokumentacije i internih kontrola. Dobro uspostavljen i održavan ISO 9001:2000 sustav upravljanja pruža mnoge dokaze da su poslovne transakcije i ocjene provedene kao što je bilo planirano (postupci, procesi, BSC, auditi, zapisi). Taj se sustav također može koristiti za prepoznavanje i upravljanje rizicima koji ugrožavaju kompanijsku financijsku poziciju i odnosna financijska izvješća. Podaci koji se traže za održavanje ISO certifikata za sustave upravljanja kvalitetom i okolišem mogu poslužiti i kao dokaz usklađenosti sa SOX-om, ali samo u slučaju kada su menadžer kvalitete i stručnjaci za financije prepoznali njihovu povezanost. 2. SOX ZAHTJEVI Usklađenost sa SOX-om zahtijeva od najvišega menadžmenta javnih kompanija da razviju i izvješćuju o internim kontrolama. Menadžment mora ocjenjivati i analizirati u pogledu nepravilnosti računovodstvene i ostale podatke poslovanja, te mora ocijeniti sustave i kontrole za stvaranje tih podataka i informacija. Menadžment mora utvrditi da li postoje bilo kakve materijalne slabosti u podacima i sustavima koje bi mogle kompromitirati kompanijska financijska izvješća. SOX sekcija 404 navodi specifične zahtjeve na interne kontrole i postupke koji okružuju financijsko izvješćivanje. Kompanijski menadžment je odgovoran za ocjenu učinkovitosti tih kontrola i postupaka. Zahtjevi npr. sekcije 302 traže da izvješće o usklađenosti mora uključivati i informacije nefinancijske prirode koje mogu investitorima pružiti točnu i kompletnu sliku poslovanja. Osiguravanje SOX usklađenosti u principu znači primjenu postupaka i kontrola na taj način da financijski podaci budu vjerodostojni, a cijeli proces nadziran od strane menadžmenta. Operativan (interni) audit često je korišten kao dodatna verifikacija. Suprotno od financijskoga audita, operativan audit orijentira se na svakodnevne aktivnosti i osigurava da
7. HRVATSKA KONFERENCIJA O KVALITETI – BAŠKA 2006.
planirane metode i discipline budu učinkovite. Menadžment će imati veće povjerenje u financijske podatke, kao i u procjene rizika, ako se aktivnosti za izradu tih informacija odvijaju sukladno dokumentiranim postupcima. Norme ISO 9001:2000 i ISO 14001 predstavljaju platformu koja pomaže u postizanju SOX usklađenosti. Tablica 1. prikazuje povezanost i sličnost zahtjeva ISO normi i SOX zahtjeva na makro razini. Tablica 1. Matrica povezanosti zahtjeva ISO sustava upravljanja i SOX-a (COSO pristup) COSO aspekti Zahtjevi sustava ISO 9001:2000 i ISO 14001 važni za SOX usklađenost interne Planiranje: Kontrole transakcija: Ocjena: kontrole ISO 9001:2000: 5.4, ISO 9001:2000: 7.2, 7.4, ISO 9001:2000: 5.6, 7.1, 7.2, 7.3 7.5, 8.2.3, 8.3, 8.5.2/3, 8.2.2 ISO 14001: 4.3, 4.6 4.2.3, 4.2.4 ISO 14001: 4.6, 4.5.4 ISO 14001: 4.4, 4.5 1.Kontrolno okruženje
2.Ocjena rizika
3.Kontrolne aktivnosti
-Predanost najvišega menadžmenta -Definirane politike -Definirani ključni procesi -Planiranje poslovanja -Planiranje proizvoda -Aspekti okoliša -Sustavi i postupci definiraju zadaće i odgovornosti uključujući resurse za aktivnosti -Definirane operativne kontrole okoliša
4.Informiranje i -Osigurani resursi komuniciranje za izobrazbu zaposlenika i podizanje svijesti 5.Nadzor -Prepoznati alati za mjerenje učinaka -Prepoznati ciljevi -Audit planiran za problematična područja
-Postupci i radne upute definiraju ovlasti, odgovornosti i kontrole
-Ocjena svekolikoga postignuća uključujući učinkovitost i kontrole od strane menadžmenta
-Korektivne i preventivne akcije prenose nedostatke i potencijalne slabosti
-Menadžment ocjenjuje rizike određujući odgovarajuće resurse i preventivne akcije
-Podaci o transakcijama ocijenjeni u pogledu usklađenosti (odobrenja i verifikacije prema postupku) -Kontrole okoliša primijenjene u praksi -Druge podržavajuće kontrole (npr. kontrola dokumentacije) -Potrebne kompetencije definirane, provedena izobrazba, ispostavljeni zapisi -Nadzor rutinskih poslovnih aktivnosti, ključnih procesa i specifične kontrole okoliša -Interni auditi
-Uspostavljen raspored ocjenjivanja od strane menadžmenta, zapisi opisuju ocjenu kontrola i podataka, uključujući pritužbe i nalaz audita -Periodična verifikacija kontrola, ocjena rezultata od strane menadžmenta -Dijeljenje postignuća i nedostataka uočenih pri auditu, korektivne akcije -Aktivnosti ocjene menadžmenta uključuju nadzor poslovnih postignuća i usklađenosti sustava upravljanja
7. HRVATSKA KONFERENCIJA O KVALITETI – BAŠKA 2006.
3. UKLJUČIVANJE MENADŽMENTA Najočitija sličnost zahtjeva ISO sustava upravljanja i SOX zahtjeva je količina odgovornosti i uključivanja menadžmenta. Oba zahtijevaju od najvišega menadžmenta aktivno uključivanje u kompanijske sustave i postupke. Za usklađenost sa SOX-om to znači osiguranje točnoga i kompletnoga financijskoga izvješćivanja. Za ISO i slične sustave upravljanja usklađenost sa zahtjevima prvenstveno znači da sustav upravljanja osigurava ispunjenje zahtjeva kupaca, zakonskih odredbi i drugih važnih zahtjeva. U svakom slučaju razina i učestalost uključivanja menadžmenta odlučujući su za ostvarivanje usklađenosti. Prema SOX sekcija 404 postoji pet aspekata za ocjenu internih kontrola koji su prikazani tablicom 1. u prvoj koloni. Usklađenost s ISO normama doprinosi svim aspektima internih kontrola. Na primjer, ISO 9001:2000 naglašava važnost jasnoga razumijevanja i komuniciranja zahtjeva kupaca i zakonodavstva, kao i osiguranja da ta informacija bude raspoloživa svakome uključenom u njihovo ispunjavanje. Norma također ističe potrebu nadzora proizvoda, procesa i kontrola. Procjena rizika je značajan činitelj za usklađenost oba ISO sustava upravljanja, a menadžment mora periodično ocijeniti postignuća kako bi se osiguralo ostvarivanje postavljenih ciljeva. Prema ISO 14001 kompanija mora jasno prepoznati aspekte okoliša i proaktivno minimizirati potencijalne rizike, budući da je sustav orijentiran na prevenciju zagađivanja i usklađenost sa zahtjevima zakonodavstva. Premda se čini da je on manje obuhvatan od ISO 9001:2000, sustav ISO 14001 uključuje širu zajednicu, dioničare i druge čiji interesi i zabrinutost moraju biti uzeti u obzir. Menadžment mora putem procesa planiranja, koji uključuje nadzor i kontroliranje najkritičnijih učinaka, osigurati smanjivanje negativnog utjecaja na okoliš kompanijskih aktivnosti i o tome mora objektivno izvješćivati javnost. Dakle, kontrolno okružje je direktno pod utjecajem ISO normi. Organizacijsku kulturu [2], koja značajno doprinosi uspostavi ISO usklađenosti, također treba koristiti i za SOX usklađenost, ocjenjivanje i potvrđivanje. Specifični ISO zahtjevi koji najbolje podržavaju SOX usklađenost mogu varirati od kompanije do kompanije. Menadžer kvalitete i financijski eksperti moraju razmotriti njihove poslovne okolnosti, te odlučiti da li i kako ISO zahtjevi mogu pomoći pri postizanju SOX usklađenosti, ali vrijedi i obrat.
4. SOX USKLAĐENOST Postoje mnogi paralelni zahtjevi u normama ISO 9001:2000 i ISO 14001. To su zahtjevi orijentirani na postupke i kontrole kojima se osigurava sukladnost s ISO normama. Samoprocjenjivanje ili interno auditiranje predstavljaju svojstveni dio usklađenosti s ISO normama i SOX-om. Odgovori na sljedeća pitanja, koja se mogu postaviti prilikom internoga audita, mogu poslužiti za procjenu i evidentiranje usklađenosti s ISO normama, ali su oni značajni i za procjenu usklađenosti sa SOX-om. Politike i ciljevi. Kompanije s uvedenim i potvrđenim ISO sustavima moraju imati objavljene politike i ciljeve kvalitete i okoliša. Menadžment je odgovoran za komuniciranje politika i ciljeva zaposlenicima kompanije (kaskadiranje ciljeva) kako bi oni bili svijesni njihova utjecaja na izvršavanje planiranih zadaća (ISO 9001 točke 5.3, 5.4.1 i 5.5.3; ISO 14001 točke 4.3.3 i 4.4.3.). Stvaranje primjerene kulture komuniciranja i dijeljenja informacija značajno podržava potrebnu kontrolu primjene politika i ostvarivanja ciljeva na svim razinama u
7. HRVATSKA KONFERENCIJA O KVALITETI – BAŠKA 2006.
kompaniji. Zaposlenici svijesni svoje uloge i utjecaja na kvalitetu i okoliš mnogo će učinkovitije i motiviranije ostvarivati zadane ciljeve. Planiranje. ISO 9001:2000 zahtijeva planiranje na razini poslovanja (točka 5.4) i proizvoda (točke 7.1, 7.2 i 7.3). ISO 14001 traži aktivnosti planiranja koje uključuju prepoznavanje utjecaja na okoliš i odnosnih zakonskih odredbi, uspostavu ciljeva za poboljšanje i razvoj planova za njihovo ostvarenje (točka 4.3). Proces planiranja i postignuti rezultati pružaju dokaz da je sve pod kontrolom, uključujući definirane zadaće i odgovornosti. Postignuća su periodično uspoređivana s planiranim ciljevima, te ako treba poduzimaju se korektivne akcije. Poslovne transakcije. Usklađenost s ISO 9001:2000 traži da bitne poslovne transakcije budu pod kontrolom (npr. upravljanje ugovorima i narudžbama kupaca, nabavljanje, prijem i izdavanje robe). Kontrole takvih transakcija su ključne za usklađenost sa SOX-om. ISO 9001:2000 točka 7.4 traži ocjenu podataka za naručivanje prije slanja narudžbe dobavljaču. To znači da potpisi na narudžbi, ili druga metoda odobravanja, pomažu da prava roba, ispravno specificirana i uz pravu cijenu bude naručena od dobavljača s liste odobrenih dobavljača. ISO 14001 točka 4.4.6-c traži da nabavljene robe i usluge budu kontrolirane s gledišta usklađenosti sa zahtjevima zaštite okoliša. Nadzor i mjerenje. ISO 9001:2000 točka 8.2.3 zahtijeva nadzor i mjerenje ključnih poslovnih procesa (tj. navođenje zahtjeva kupaca, upravljanje nabavljanjem i dobavljačima, upravljanje proizvodnjom). ISO 14001 točka 4.5.1 zahtijeva nadzor i mjerenje kontrola koje se odnose na značajne utjecaje na okoliš. Praćenje troškova kvalitete (naročito troškova gubitaka radi loše kvalitete) i okoliša obično je moguće dobro organizirati tako da ne treba očekivati veće probleme u pogledu usklađenosti sa SOX-om. Popravne akcije. Kompanije s ISO 9001:2000 ili ISO 14001 certifikatom moraju imati uvedene dokumentirane postupke za provođenje preventivnih i popravnih akcija, te za sustavnu analizu korijenskih uzroka za nesukladnosti, kao i prevenciju nastajanja novih i ponavljanja starih nesukladnosti (vidi ISO 9001:2000 točke 8.5.2 i 8.5.3, te ISO 14001 točka 4.5.2.). Otkrivene nesukladnosti rješavaju se na propisani način, uključujući provjeru od strane menadžmenta prilikom njihove ocjene dobrote djelovanja sustava upravljanja. Efekt promjena. Kompanije s potvrđenim ISO sustavima upravljanja moraju sustavno upravljati promjenama u operativnim sustavima upravljanja i općenito u poslovanju (vidi ISO 9001:2000 točka 5.4.2 i ISO 14001 točke 4.3.4 i 4.6.). Upravljanje promjenama je važna zadaća najvišega menadžmenta. Upravljanje dokumentima. Zahtjevi na upravljanje dokumentima mogu pomoći pri uspostavi evidencije da je kroz cijelo poslovanje osigurano odgovarajuće kontrolno okruženje. ISO 9001:2000 točka 4.2.3 zahtijeva da kompanija definira načine putem kojih odobrava, izdaje, revidira i povlači uvedene operativne postupke, procese, upute i drugu dokumentaciju. Važeći dokumenti moraju biti održavani i na odgovarajući način lako dostupni svima onima koji ih trebaju za obavljanje svojih poslova. ISO 14001 točka 4.4.5 postavlja slične zahtjeve. Upravljanje zapisima. Zapisi moraju biti održavani na organizirani način. Oni predstavljaju dokaz da su aktivnosti provedene kao što je to bilo planirano, te daju uvid u postignuća i eventualne preventivne i popravne mjere. U postupcima ili procesima treba naznačiti i opisati specifične SOX ključne kontrole - KK (Key Controls-KC) koje moraju biti provedene, slika 1.
7. HRVATSKA KONFERENCIJA O KVALITETI – BAŠKA 2006.
Za svaku KK treba dati posebnu uputu u smislu: procjene rizika, zatim tko, što, kako, kada i zašto treba kontrolirati. Slika 1. Opći prikaz procesa s ucrtanim točkama odlučivanja (O), preispitivanja (P), kontrole (K) i ključne kontrole (KK)
Interni audit. To je važan zahtjev ISO sustava upravljanja, ali to ipak nije financijski audit koji provode posebno obučeni auditori. Interno auditiranje je usredotočeno na utvrđivanje zadovoljavanja zahtjeva kupaca, ocjenu učinkovitosti procesa u postizanju planiranih ciljeva i svih potrebnih preventivnih i popravnih akcija neophodnih za neprestana poboljšavanja. Audit uključuje ocjenu transakcija i procesa, načina na koji se ocjenjuju i obrađuju narudžbe kupaca, te naročito mjere za praćenje troškova loše kvalitete (npr. škart, dorade, reklamacije,..) koje imaju utjecaj na financijske rezultate. U novije vrijeme klasičan interni audit zamjenjuje audit temeljen na procjeni rizika (Risk Based Assessment-RBA) da primjena sastavnica postojećega sustava upravljanja neće zadovoljavajuće kontrolirati opasnosti za ostvarivanje planiranih ciljeva. Ocjena menadžmenta (MR). Najviši menadžment kompanije dužan je periodično ocijeniti učinkovitost ISO sustava upravljanja i poduzeti potrebne mjere za poboljšavanje. Za ocjenjivanja je najbolje da menadžer kvalitete pripremi izvještaj (npr. ISO 9001:2000 točka 5.6.2) koji naročito sadrži: rezultate audita, pritužbe kupaca, postignuća procesa, preventivne i popravne akcije, …..). Ta se aktivnost može protegnuti i na područje financija, npr. ocjenom postignuća prikazanih u financijskoj perspektivi na BSC (Balanced ScoreCard).
4.1 Upravljanje rizikom Da bi zadovoljile SOX, kompanije s potvrđenim ISO sustavima trebaju najčešće dopuniti svoje ključne procese odgovarajućim aktivnostima za upravljanje rizicima, npr kao na slici 1. Upravljanje rizikom je moguće tumačiti kao proces, primjenjivan od strane najvišega menadžmenta i drugih zaposlenika prilikom utvrđivanja strategija i provedbe operativnih zadaća. Taj je proces osmišljen radi prepoznavanja potencijalnih događaja koji mogu utjecati na postizanje planiranih ciljeva kompanije, i to tako da preostali rizik bude unutar granica prihvatljivosti. Upravljanje rizikom obično se odvija kroz sljedeće aktivnosti: • Prepoznavanje rizika (npr. primjenom jednoga od 7 alata kontrole kvalitete) • Određivanje prioriteta (rangiranje rizika prema značenju) • Upravljanje rizikom. Upravljanje rizikom u principu se sastoji od: • odustajanja od rizičnih aktivnosti (Terminate) • uvođenja kontrolnih mjera za upravljanje vjerojatnostima i težinama posljedica (Treat) 7. HRVATSKA KONFERENCIJA O KVALITETI – BAŠKA 2006.
• •
prihvaćanja rizika (Tolerate) prenošenje rizika na drugoga – kupnja osiguranja kod neke kuće (Transfer).
Matrica prikazana tablicom 2. može poslužiti za procjenu veličine rizika da neki cilj neće biti ostvaren onako kako je to planirano. Tablica 2. Dvostrana matrica rizika Rizik propuštanja prigoda Velik Velik Srednji Velik Srednji Malen Srednji Malen Malen Velika Srednja Mala Posljedica Više Ciljevi su Ciljevi su ciljeva je postignuti postignuti značajno ranije, nešto premašeno bolje i ranije, jeftinije bolje i jeftinije
Vjerojatnost Velika, 1:2 Srednja, 1:10 Mala, 1:100
Rizik gubitaka Srednji Velik Malen Srednji Malen Malen Mala Srednja
Upravljanje ciljevima (kupci, zaposlenici, društvo, procesiKPI)
Kašnjenja Nepostizanje Ugrožena i manja ciljeva opstojnost odstupanja organizacije
Velik Velik Srednji Velika
5. SUSTAV UPRAVLJANJA ERICSSON NIKOLE TESLE (ETK) Na korporacijskoj razini je razvijen model upravljanja prikazan slikom 2. Taj je model sličan modelu sustava upravljanja kvalitetom u normi ISO 9001:2000. Model sadrži korporacijske informacije grupirane u sljedeće osnovne skupine: • Poslovno okruženje (kupci, glavni polagatelji prava, zahtjevi i očekivanja, zadovoljstvo kupaca, konkurencija, partneri). • Upravljanje (vizija, misija, ciljevi, strategije, politike, direktive, upute, zapisi, norme, rezultati). • Procesi i projekti (generički pocesi s pripadajućim alatima, ocjena učinka, poboljšavanja). • Organizacija i resursi (organizacija, uloge i odgovornosti, resursi i sposobnosti, kultura). Slika 2. Portal ETK sustava upravljanja
7. HRVATSKA KONFERENCIJA O KVALITETI – BAŠKA 2006.
Svaka pojedina Ericssonova jedinica mora na svojoj Intranet stranici uspostaviti vezu s EGMS-om, te njemu sukladno mora razviti svoj dio EGMS-a. Lokalni sustav upravljanja prema potrebi detaljnije dokumentira poslovno okruženje, upravljanje, lokalne procese i organizaciju, odnosno sve ono što proizlazi iz zahtjeva lokalnoga zakonodavstva i specifičnih zahtjeva svih polagatelja prava. Na taj se način uspostavlja jedan pregledan sustav upravljanja koji omogućuje, pored certificiranja ISO sustava, primjenu kontrola širom korporacije, pa i kompanije (Entity Wide Controls-EWC). To se provodi putem EWC upitnika kojim se samoprocjenjuje razina usklađenosti lokalnoga sustava s EGMS, kao i primjenjivanje neophodnih lokalnih politika, direktiva, uputa i procesa s ugrađenim ključnim kontrolama. To sve predstavlja ispunjenje važnih zahtjeva SOX-a 404. U ETK sustavu upravljanja bila je, već prije nekoliko godina, izvršena integracija sustava upravljanja kvalitetom, okolišem i zaštitom na radu i zaštitom zdravlja. Uspješnost i učinkovitost te integracije tada je bila potvrđena od strane certifikacijske kuće Det Norske Veritas (DNV). Integracija je omogućila također primjenu istovremenoga internoga auditiranja (primjenom RBA pristupa i alata) sva tri sustava upravljanja, što je imalo za rezultat značajnu uštedu vremena zaposlenika organizacijskih jedinica u ETK i samih auditora. Najviši menadžment kompanije je odlučio da, iako sada ne mora, iskoristi usklađivanje sa SOX-om za dalje poboljšavanje i dopunu lokalnoga sustava upravljanja.
6. ZAKLJUČAK Posjedovanje certifikata za sustave upravljanja ISO 9000:2000 i ISO 14000 nije dovoljno za usklađenost sa SOX 404 i sve većim zahtjevima kupaca i drugih nositelja prava, naročito zato što ti sustavi nisu orijentirani na financije. Ipak, oni su odlična polazna osnova i kao takvi neophodni za postizanje što brže usklađenosti sa SOX-om. Promjene uvjeta poslovanja su sve brže i često teško predvidive. Brzina djelovanja postaje sve važnijom za uspjeh, te i naše kompanije moraju što prije i što više primjenjivati najnovije pristupe, modele i alate. To se odnosi naročito na kompanije koje žele izvoziti na zahtjevna tržišta. Primjena zahtjeva SOX-a u kompanijama koje ne namjeravaju ići na američku burzu, može se smatrati odličnom nadogradnjom već uvedenih ISO sustava upravljanja i velikom prilikom za menadžere kvalitete. Usklađivanje sa SOX-om može biti za kompaniju vrlo korisno, i to naročito u smislu: • Stvaranja sustava kontrola širom kompanije, i to ugrađenih u postupke i procese. To nikako ne mora značiti povećanje broja kontrolora. Zaposlenici koji koriste procese također provode i kontrolu i to tako da se izbjegava sukob interesa razdvajanjem zaduženja za pojedine aktivnosti i ovjere. • Ugrađivanja procjena rizika u procese, i to tamo gdje je to najpotrebnije. • Proaktivnoga djelovanja orijentacijom na prigode, prevenciju i nadzor. • Ugrađivanja kvalitete u procese, a ne osiguravanje kvalitete putem kontrola koje provode posebni kontrolori. • Uključivanja svih zaposlenika kompanije. LITERATURA [1] COSO, http://www.coso.org/ [2] I. Oslić, Organizacijska kultura, Zbornik radova na CD, 6. HRVATSKA KONFERENCIJA O KVALITETI, Opatija, 2005. godina
7. HRVATSKA KONFERENCIJA O KVALITETI – BAŠKA 2006.
ISO MANAGEMENT SYSTEMS AND SOX
Summary The Sarbanes–Oxley Act (SOX) was enacted in July 2002. The reason was largely in response to major corporate and accounting scandals involving several prominent companies in the United States. These scandals resulted in an unprecedented lack of confidence in the financial markets and a loss of public trust in corporate financial reporting. SOX section 404 requires that a company’s annual report (on form 20-F) contains an internal control report, which will state the responsibility of management to establish and maintain adequate internal controls for financial reporting and contain an assessment of the effectiveness of the internal control structure and procedures. Registration to an ISO standard doesn’t make a company SOX compliant. The standards ISO 9001:2000 and ISO 14001 are not financially focused. However, their systems, procedures and practices offer a ready-made platform to help demonstrate SOX compliance. ISO standards provide a vehicle for ongoing risk assessment and management. Internal auditing is an important part of compliance under both ISO 9001:2000 and ISO 14001, but this is not financial auditing.
Key words: Management Systems, SOX, Entity Wide Control (EWC), Risk Management
7. HRVATSKA KONFERENCIJA O KVALITETI – BAŠKA 2006.