Audyt wewnętrzny

Dr Radosław Kałużny, FCCA

Katedra Bankowości

radoslaw.kaluzny@ue.poznan.pl

1

Literatura

1. 

K. Czerwiński, Audyt wewnętrzny, InfoAudit 2005.

2. 

S. Kałużny, Kontrola wewnętrzna. Teoria i praktyka,

PWE 2008.

3. 

A. Bela, E. Bolesławska, Oszustwa finansowe.

Podręcznik dla audytora, InfoAudit 2005.

2

Kilka pytań na początek

1. 

J a k i e g o t y p u p o d m i o t y p o w i n n y b y ć

k o n t r o l o w a n e ( p r y w a t n e , p u b l i c z n e ,

mieszane)?

2. 

Dlaczego?

3. 

Komu będzie zależeć na wynikach takich

kontroli?

4. 

Dlaczego?

5. 

W którym miejscu w strukturze organizacyjnej

umiejscowić komórkę kontrolą?

6. 

Dlaczego?

3

Trochę historii

Pierwsze udokumentowane czynności audytu

wewnętrznego polegały na sprawdzaniu zapisów

księgowych w starożytnym Babilonie i Egipcie.

W starożytnym Rzymie weryfikacja ksiąg

nazywała się przesłuchiwaniem rachunków.

Wyraz audyt ma swoje korzenie w słowie auditos

(przesłuchanie) a osoba, która słuchała

(dokonywała audytu) to quaestors.

4

5

W czasach nowożytnych audyt wewnętrzny

rozwinął się na większą skalę podczas rewolucji

przemysłowej. Polegał on wówczas na

kontrolowaniu zgodności zapisów ksiąg

rachunkowych z dokumentacją źródłową.

Wraz z brytyjskimi inwestycjami audyt wewnętrzny

przekroczył ocean o dotarł do Stanów

Zjednoczonych. Jego rola wynikała z potrzeby

przekazywania wiarygodnych informacji do

Anglików – dawców kapitału.

W latach 30. XX wieku nastąpiło dość wyraźne

r o z g r a n i c z e n i e p o m i ę d z y a u d y t o r a m i

zewnętrznymi a wewnętrznymi.

6

Audytorzy wewnętrzni mieli od tego momentu

wypełnić lukę powstałą w wyniku wyrywkowego

charakteru badań audytorów zewnętrznych.

W latach 40. XX wieku audytorzy wewnętrzni

poszerzyli krąg zainteresowań na wszystkie

aspekty działania jednostek (a nie tylko na część

finansową).

Wtedy to powstała również jedna z kluczowych

instytucji samorządowych skupiających

audytorów wewnętrznych na świecie – The

Institute of Internal Auditors (IIA). Organizacja

ta zajmuje się, obok szerzenia wiedzy na temat

audytu wewnętrznego, również stanowieniem

zasad, standardów i wytycznych audytu.

7

Obecnie istnieje kilka organizacji zawodowych

a u d y t o r ó w w e w n ę t r z n y c h ( o b o k I I A ) o

międzynarodowym zasięgu. Wśród nich

decydujące znaczenie mają:

● 

American Institute of Certified Public Accountant (AICPA),

● 

American Accounting Association (AAA),

● 

Controllers Institute,

● 

Institute of Management Accountants (IMA),

● 

International Federation of Accounting Committee (IFAC).

8

Zgodnie z Międzynarodowymi Standardami

Profesjonalnej Praktyki Audytu Wewnętrznego

audyt wewnętrzny to:

d z i a ł a l n o ś ć n i e z a l e ż n a , o b i e k t y w n i e

zapewniająca i doradcza, której celem jest

przysporzenie wartości i usprawnienie

działalności operacyjnej organizacji.

Audyt wewnętrzny pomaga w osiąganiu celów

o r g a n i z a c j i p o p r z e z s y s t e m a t y c z n e i

z d y s c y p l i n o w a n e p o d e j ś c i e d o o c e n y i

doskonalenia skuteczności procesów zarządzania

ryzykiem, kontroli i governance.

9

Obiektywizm przy tym oznacza niezależną

postawę intelektualną, która wymaga od

audytorów wewnętrznych przeprowadzania

zadań z pełną wiarą w efekty swojej pracy oraz

p r z e k o n a n i a o u n i k a n i u z n a c z ą c y c h

kompromisów w sprawie jakości.

Obiektywizm wymaga niepodporządkowywania

się w sprawach audytu opiniom osób trzecich.

10

Usługi zapewniające to obiektywne badanie

dowodów w celu dostarczenia niezależnej oceny

procesów zarządzania ryzykiem, kontroli i

governance w organizacji.

Przykładem takich usług mogą być zadania w

zakresie badania bezpieczeństwa systemów lub

przeglądy due diligence.

11

Usługi doradcze to usługi wykraczające poza

usługi zapewniające, które audytor wewnętrzny

może świadczyć dla wspomagania kierownictwa

w osiąganiu celów.

Przykładem takich usług doradczych

(konsultingowych) mogą być zadania w zakresie

usprawniania operacji, projektowania procesów,

szkolenia.

12

Przysporzenie wartości następuje poprzez

rozwój usług i produktów oraz wykorzystanie

zasobów do ich promocji.

Podczas gromadzenia danych, w celu

zrozumienia i oceny ryzyka, audytorzy uzyskują

wiedzę dotyczącą potencjalnych możliwości

u s p r a w n i e ń i t a w i e d z a , p r z e k a z a n a

właściwemu kierownictwu lub personelowi

operacyjnemu, może okazać niezwykle istotna z

punktu widzenia organizacji.

13

Ryzyko niepewność związana z wystąpieniem

zdarzeń, które mogą mieć wpływ na osiągnięcie

zamierzonych celów.

Kontrola to każde działanie podejmowane przez

kierownictwo, władze lub inne podmioty dla

poprawy zarządzania ryzykiem i zwiększenia

prawdopodobieństwa zrealizowania ustalonych

celów i zadań.

14

Pod pojęciem procesu governance rozumie się

p r o c e d u r y w y k o r z y s t y w a n e p r z e z

przedstawicieli grup związanych z organizacją

do nadzorowania procesów zarządzania

ryzykiem i procesów kontroli stosowanych przez

kierownictwo.

15

Inne definicje audytu wewnętrznego:
Usługa wywodząca się z dobrej umiejętności

prowadzenia rachunkowości przeobrażona w

zawód ukierunkowany na zarządzanie. Obejmuje

działania związane z badaniem i oceną zarówno

kontroli, jak i całej działalności jednostek

prywatnych i publicznych.

Audyt wewnętrzny to niezależna czynność

sprawdzająca i oceniająca struktury działania

wewnątrz przedsiębiorstwa. Jest jednocześnie

niezależną instytucją, przeprowadzającą kontrole

wewnątrz przedsiębiorstwa i dostarczającą

dokładnych analiz, ocen, zaleceń i informacji na

temat sprawdzanych struktur i działań.

16

Inne definicje audytu wewnętrznego (cd.):
Audyt wewnętrzny jest to ogół działań, przez

które kierownik jednostki uzyskuje obiektywną i

niezależną ocenę funkcjonowania jednostki w

zakresie gospodarki finansowej pod kątem

legalności, gospodarności, celowości,

rzetelności, a także przejrzystości i jawności.

17

Legalność oznacza zgodność z przepisami

prawa; w odniesieniu do organów władzy

publicznej oznacza to, że muszą one działać w

ramach wytyczonych przez przepisy prawne i

nie mogą odmówić wykonania zadań

powierzonych im w imieniu państwa.

18

G o s p o d a r n o ś ć o b e j m u j e b a d a n i e

efektywności wykorzystania środków.

Gospodarność jest związana z optymalnym

dysponowaniem środkami finansowymi i

materialnymi oraz z optymalizacją zabiegów

organizacyjnych stosowanych w toku

prowadzonych działań.

19

Celowość dotyczy zapewnienia zgodności

działania audytowanej jednostki z określonymi

dla niej celami. Audyt wewnętrzny ma

zapewnić optymalizację zastosowania metod i

środków, ich adekwatność do osiągnięcia

założonych celów i pomiar stopnia ich

osiągnięcia.

20

Rzetelność oznacza staranność, sumienność.

Sprawdzając rzetelność bada się przestrzegania

wewnętrznych procedur funkcjonowania

jednostki, dokumentowania określonych działań

we właściwej formie i we właściwym czasie, tak

aby umożliwić generowanie porównywalnych i

wiarygodnych raportów.

21

Przejrzystość łączy się z rzetelnością i

j a w n o ś c i ą i o z n a c z a u s t a l e n i e

odpowiedzialności osób dysponujących

zasobami publicznymi, łatwość dostrzegania

niegospodarności i ograniczenie ryzyka

niecelowego wydawania środków publicznych.

22

Jawność oznacza taką sytuację, w której

instytucje powołane do badania i oceny

funkcjonowania jednostki mają swobodny

dostęp do danych na temat gospodarki

środkami publicznymi i sposobem zarządzania

tą jednostką.

23

Wymogi dotyczące audytora:

● 

Wiarygodność,

● 

Zapewnienie wysokiej jakości świadczonych usług,

● 

Obiektywizm,

● 

Unikanie konfliktu interesów,

● 

Zachowanie bezstronności,

● 

Przestrzeganie tajemnicy zawodowej,

● 

Zachowanie należytej staranności zawodowej,

● 

Umiejętność rozwiązywania konfliktów natury

etycznej,

● 

Profesjonalizm.

24

Audyt wewnętrzny obejmuje w szczególności

następujące czynności:

● 

Badanie dowodów księgowych oraz zapisów w

księgach rachunkowych,

● 

Ocenę systemu gromadzenia środków

publicznych i dysponowania nimi oraz

gospodarowania mieniem,

● 

O c e n ę e f e k t y w n o ś c i i g o s p o d a r n o ś c i

zarządzania finansowego.

25

Istnieje wiele form audytu wewnętrznego, ale

wszystkie te formy można podzielić na 3 główne

kategorie:

● 

Związane z finansami (obejmujące analizę

działalności jednostki mierzonej metodami

księgowymi),

● 

Dotyczące zgodności, oceniające transakcje

pod kątem ich zgodności z obowiązującymi

przepisami, normami, rozporządzeniami,

procedurami etc.,

● 

O p e r a c y j n e , c z y l i d o k o n u j ą c e o c e n y

efektywności transakcji i skuteczności w

osiąganiu celów operacyjnych.

26

Wśród wielu kryteriów podziału audytu

wewnętrznego wyróżnia się m.in.:

● 

Przegląd kontroli wewnętrznej (internal control

review), który jest najbardziej ograniczoną formą

audytu; audytorzy oceniają prawidłowość

systemów kontroli wewnętrznej jedynie poprzez

wypełnianie kwestionariuszy i tabel oraz

przeprowadzają testowanie,

● 

Audyt finansowy (financial audit) zajmujący się

problemami finansowymi, ewidencjonowaniem i

sprawozdawczością transakcji finansowych oraz

badaniem prawidłowości funkcjonowania systemu

kontroli wewnętrznej,

● 

Audyt zgodności (compliance audit) mający

określić, czy badana jednostka przestrzega

przepisów prawnych, realizuje określone strategie i

wdraża odpowiednie procedury,

27

Wśród wielu kryteriów podziału audytu

wewnętrznego wyróżnia się m.in. (cd.):

● 

Audyt operacyjny (operational audit) badający

wykorzystanie środków i zmierzający do

ustalenia, czy zostały one zastosowane w sposób

najskuteczniejszy i najefektywniejszy (pod kątem

realizacji celów); zawiera on elementy audytu

zgodności, finansowego oraz informatycznego,

● 

Audyt śledczy (forensic / investigate audit), który

jest przeprowadzany tylko wówczas gdy jest taka

potrzeba spowodowana np. postępowaniem

sądowym, dyscyplinarnym, wykroczeniem, czy

niewłaściwym wykorzystaniem aktywów lub

konfliktem interesów,

28

W ś r ó d w i e l u k r y t e r i ó w p o d z i a ł u a u d y t u

wewnętrznego wyróżnia się m.in. (cd.):

● 

Audyt informatyczny (IS / IT audit) zajmujący się

kontrolą wewnętrzną środowiska systemów

przetwarzania danych i wykorzystania tych

systemów.

29

Audyt operacyjny a audyt finansowy - różnice

Audyt operacyjny

Audyt finansowy

Koncentruje się na badaniu
oszczędności, wydajności i
skuteczności

Koncentruje się na badaniu
z g o d n o ś c i z r e g u ł a m i
rachunkowości

Jego wyniki wykorzystuje się
do poprawy przyszłych działań

Ma charakter atestacyjny;
potwierdza określony stan
rzeczy

Trudno znaleźć obiektywne
kryteria

Kryteria są określone w
regułach postępowania

Z a l e c e n i a s t a n o w i ą
n a j i s t o t n i e j s z ą c z ę ś ć
sprawozdania

Opinia stanowi najistotniejszą
część sprawozdania

30

Audyt operacyjny a audyt finansowy – różnice

(cd.)

Audyt operacyjny

Audyt finansowy

Wykorzystuje wszystkie dostępne
źródła pomocne do ustalania
dowodów

Wykorzystuje różne źródła, ale
ostateczną podstawą są dowody
księgowe

O c e n a s y s t e m u k o n t r o l i
wewnętrznej jest celem samym w
sobie

O c e n a s y s t e m u k o n t r o l i
wewnętrznej jest dodatkiem do
o c e n y w i a r y g o d n o ś c i
sprawozdania finansowego

M o ż e b y ć d z i a ł a n i e m
ukierunkowanym na przyszłość

Jest działaniem ex post

Sprawdza nie tylko formalną
ścieżkę podejmowania decyzji, ale
również jej racjonalność

Z reguły nie koncentruje się na
racjonalności

31

Audyt operacyjny a audyt finansowy -

podobieństwa

Audyt operacyjny

Audyt finansowy

Są działaniami o charakterze zapewniającym

Wykorzystują te same techniki i narzędzia

Powinny być niezależne od osób odpowiedzialnych za

badany obszar

Profil audytorów jest podobny

Proces badania jest podobny

32

Z g o d n i e z w y t y c z n y m i d o

s t a n d a r d ó w I I A i s t n i e j e 5

podstawowych zadań kontroli

wewnętrznej:

● 

Ochrona informacji,

● 

Wypełnienie wymagań prawnych,

● 

Ochrona majątku,

● 

Racjonalne wykorzystanie zasobów,

● 

Z a p e w n i e n i e r e a l i z a c j i c e l ó w

wyznaczonych przez kierownictwo.

33

Ochrona informacji polega na

ochronie wiarygodności i integralności

informacji.

R e a l i z o w a n a j e s t p o p r z e z

g r o m a d z e n i e i u t r z y m y w a n i e

wiarygodnych danych finansowych i

administracyjnych oraz rzetelne ich

p r e z e n t o w a n i e w t e r m i n o w o

składanych raportach.

34

Wypełnienie wymagań prawnych

polega na weryfikowaniu i pilnowaniu

zgodności działań podejmowanych

przez dany podmiot z:

● 

Ustawami np. z ustawą Prawo bankowe,

● 

Aktami wykonawczymi np. rozporządzeniami

ministra finansów,

● 

Regulacjami branżowymi np. rekomendacjami

Komisji Nadzoru Bankowego,

● 

Umowami np. kontraktami na kredyty

konsorcjalne, czy kontraktami regulującymi

outsourcing niektórych czynności.

35

O c h r o n a m a j ą t k u p o l e g a n a

fizycznym zabezpieczeniu zasobów

p o d m i o t u p r z e d u t r a t ą ,

m a r n o t r a w s t w e m , n a d u ż y c i a m i ,

błędnym zastosowaniem etc.

36

Racjonalne wykorzystanie zasobów

polega na promowaniu prawidłowych,

oszczędnych, wydajnych i skutecznych

działań oraz produktów i usług o

wysokiej jakości, zgodnie z założeniami

danego podmiotu.

37

Zapewnienie realizacji celów

wyznaczonych przez kierownictwo.

38

Wprowadzając audyt wewnętrzny należy

uwzględniać rachunek ekonomiczny w tym:

● 

relatywną wagę celów i ryzyko związane z ich realizacją,

● 

prawdopodobieństwo wystąpienia ryzyk,

● 

koszty wprowadzenia dodatkowych kontroli.

Koszty audytu wewnętrznego powinny być

rozpatrywane przez pryzmat:

● 

oszczędności (economy),

● 

skuteczności (effectiveness),

● 

wydajności (efficiency),

● 

wskaźnika wykonania (performance measure) – wielkości

liczbowe, jakości, terminy, koszty,

● 

wskaźnika realizacji (performance indicator),

● 

proporcjonalności kontroli.

39

Z g o d n i e z m i ę d z y n a r o d o w y m i

standardami kontroli wewnętrznej

istnieją:

● 

Standardy Atrybutów (seria 1) – określające

cechy organizacji i osób przeprowadzających

audyt wewnętrzny,

● 

Standardy Działania (seria 2) – opisujące

rodzaje czynności wykonywanych w ramach

audytu wewnętrznego oraz kryteria jakościowe

służące do oceny,

● 

Standardy Wdrożenia – odnoszące się do

określonych rodzajów zadań audytowych.

40

Standardy atrybutów:

- 

1000 Cel, uprawnienia i odpowiedzialność

– cel, uprawnienia i odpowiedzialność audytu

wewnętrznego powinny być formalnie

określone w regulaminie, zgodnie ze

standardami oraz zatwierdzone przez zarząd,

- 

1100 Niezależność i obiektywizm –

działanie audytu wewnętrznego powinno być

niezależne, a audytorzy powinni zachować

obiektywizm podczas realizacji zadań,

- 

1200 Biegłość oraz należyta staranność –

zadania audytorskie powinny być wykonane

w sposób biegły, z należytą starannością

zawodową,

41

Standardy atrybutów (cd.):

- 

1300 Program zapewnienia jakości i

usprawnienia działalności – zarządzający

audytem wewnętrznym powinni opracować i

realizować program zapewniania jakości i

usprawnienia działania audytu wewnętrznego

oraz ciągle monitorować jego skuteczność;

program ten powinien wsperać działania

zmierzające do przysporzenia wartości

dodanej i poprawy funkcjonowania oraz

zapewniać zgodność działania audytu

wewnętrznego ze standardami i kodeksami.

42

Standardy działania:

- 

2000 Zarządzanie działaniem audytu

wewnętrznego – zarządzający audytem

wewnętrznym powinni skutecznie zarządzać

działaniem to znaczy powinni przysporzyć

organizacji wartości dodanej,

- 

2100 Rodzaj pracy – audyt wewnętrzny

dokonuje ocen i przyczynia się do

usprawnienia systemów zarządzania

ryzykiem, kontroli i governance,

- 

2200 Planowanie zadań – audytorzy

wewnętrzni powinni dla każdego zadania

opracować oraz udokumentować plan,

43

Standardy działania (cd.):

- 

2300 Wykonanie zadania – audytorzy

wewnętrzni powinni rozpoznać, zanalizować,

ocenić oraz udokumentować informacje

wystarczające do osiągnięcia celów danego

zadania,

- 

2400 Informowanie – audytorzy wewnętrzni

powinni niezwłocznie informować o wynikach

realizowanych zadań,

- 

2 5 0 0 M o n i t o r o w a n i e p o s t ę p ó w –

zarządzający audytem wewnętrznym powinni

stworzyć i zapewnić system monitorowania

wyników audytu przekazanych kierownictwu,

44

Standardy działania (cd.):

- 

2 6 0 0 A k c e p t o w a n i e r y z y k a p r z e z

kierownictwo – jeśli kierownictwo wyższego

szczebla przyjęło poziom ryzyka, które jest

nie do zaakceptowania przez organizację,

kierujący audytem wewnętrznym powinni

omówić te kwestie z kierownictwem

w y ż s z e g o s z c z e b l a a w r a z i e n i e

dokonywania zmian przez to kierownictwo

powinien pozostawić decyzję do rozpatrzenia

przez kierownictwo wyższego szczebla.

45

Zasady działania audytu wewnętrznego

określa również Kodeks Etyki IIA.

Zawiera on opis norm zachowań, jakich

oczekuje się od audytora wewnętrznego.

Audytor wewnętrzny powinien więc

kierować się następującymi 4 zasadami:

● 

Prawością,

● 

Obiektywizmem,

● 

Poufnością,

● 

Kompetencjami.

46

Metodyka audytu wewnętrznego

Podczas audytu wewnętrznego jedną z

najważniejszych czynności jest zgromadzenie

dowodów potwierdzających badane zjawiska.

Dowody powinny być:

● 

Dostateczne,

● 

Kompetentne,

● 

Istotne,

● 

Użyteczne.

47

Dowód jest dostateczny wtedy, gdy jest oparty na

faktach, adekwatny i przekonujący na tyle, że inna

wystarczająco kompetentna osoba dojdzie na jego

podstawie do takich samych wniosków.

Dowód jest kompetentny wówczas, gdy jest

rzetelny i najlepszy do uzyskania przy użyciu

właściwych technik.

Dowód jest istotny kiedy wspiera ustalenia audytu i

jest powiązany z obiektami audytu.

Dowód jest użyteczny jeśli pozwala zrealizować

cele audytu.

48

W praktyce audytu wewnętrznego wykorzystuje

się następujące rodzaje dowodów:

● 

Kontrola dokumentów (np. w celu ustalenia własności),

● 

Kontrola fizyczna (w celu udowodnienia istnienia),

● 

Potwierdzenie zewnętrzne,

● 

Powtórzenie działania,

● 

Zapisy przeprowadzonych testów,

● 

Dowody fizyczne,

● 

Dowody w formie oświadczeń,

● 

Dowody w formie wyników procedur analitycznych.

49

UWAGA!!

Przy gromadzeniu dowodów należy pamiętać, że:

● 

Dowody zewnętrzne są bardziej wiarygodne niż

wewnętrzne,

● 

Dowody pisemne są bardziej wiarygodne niż oświadczenia

ustne,

● 

Dowody nowsze są bardziej przydatne niż starsze.

50

Ustalenia audytu gromadzone są w tak zwanej

dokumentacji roboczej audytu.

Dzięki takiej dokumentacji można:

● 

Dowieść ustaleń audytu zarówno kierownictwu jednostki

objętej audytem wewnętrznym, jak i przełożonym

audytorów,

● 

Udokumentować wykonaną przez audytorów pracę,

● 

Umożliwić osobom uprawnionym kontrolę,

● 

Usprawnić wykonywaną pracę.

51

N a d o k u m e n t a c j ę r o b o c z ą a u d y t u

wewnętrznego najczęściej składają się:

● 

Kwestionariusze kontroli wewnętrznej,

● 

Listy kontrolne (check list),

● 

Kwestionariusze samooceny,

● 

Plany kontroli,

● 

Ścieżki audytu.

52

Decydując się na przeprowadzenie audytu

wewnętrznego danego obszaru działalności

podmiotu należy brać uwagę efektywność

wykorzystywanych zasobów.

Ocenia się ją przez pryzmat ryzyka – należy

ocenić, które zadanie audytorskie będzie

ważniejsze z punktu widzenia banku jako

całości.

53

● 

Na ryzyko badania składają się łącznie:

- 

ryzyko nieodłączne (wrodzone, wewnętrzne),

- 

ryzyko kontroli,

- 

ryzyko przeoczenia (detekcji).

Ryzyka niezależne

od audytora

Ryzyka zależne od

audytora

54

Ryzyko nieodłączne występuje w każdej

instytucji. Jest to inaczej ryzyko błędu o

znaczącej istotności jakie występuje przy

założeniu, że system kontroli wewnętrznej nie

funkcjonuje.

Ryzyko kontroli jest to ryzyko wystąpienia

sytuacji, w której istniejący w podmiocie system

kontroli wewnętrznej nie zapobiegnie lub nie

wykryje błędu o znaczącej istotności. Ryzyko

kontroli zależy od skuteczności projektowania i

funkcjonowania systemu kontroli wewnętrznej.

55

Ryzyko przeoczenia dotyczy sytuacji, w której

zaprojektowane przez audytora testy nie wykryją

błędu o znaczącej istotności. Jest ono funkcją

skuteczności procedury audytorskiej i nie można

go całkowicie wykluczyć z powodu ograniczeń

prac audytorskich (audytor nie bada całej populacji

ale jedynie część – próbkę).

Ryzyko przeoczenia wynika z:

● 

Zastosowania niewłaściwych technik audytorskich,

● 

Niewłaściwego stosowania dobrej / właściwej techniki

audytorskiej,

● 

Złej interpretacji wyników otrzymanych w efekcie prac

audytorskich.

56

Ryzyko przeoczenia można ograniczać poprzez

przydzielanie poszczególnych zadań osobom o

odpowiednich kwalifikacjach, stosowanie

zasady profesjonalnego sceptycyzmu oraz

nadzór i kontrolę jakości prac audytorskich.

57

Wzajemne relacje pomiędzy tymi rodzajami

ryzyka są następujące:

RA = RN * RK * RP

58

Przy analizie ryzyka ogromne znaczenie ma

istotność. Często wylicza się ją jako iloczyn:

prawdopodobieństwo * wpływ na jednostkę

Prawdopodobieństwo jest przy tym wyliczone

a l b o p r z y w y k o r z y s t a n i u r a c h u n k u

p r a w d o p o d o b i e ń s t w a a l b o m e t o d ą

profesjonalnego osądu.

Wpływ na jednostkę jest z reguły wyrażonym w

pieniądzu efektem zajścia jakiegoś zdarzenia.

59

Istotność jest więc miarą:

● 

Możliwych bezpośrednich i pośrednich konsekwencji

finansowych w przypadku zajścia zdarzenia (w tym

kosztów działań naprawczych),

● 

Znaczenia poszczególnych celów realizowanych przez

organizację,

● 

Strat, które nie mają wymiaru finansowego (np. utrata

reputacji).

60

Istnieją następujące metody prowadzenia

analizy ryzyka:

● 

Metody szacunkowe, w których ryzyko oceniane jest

przez audytora w oparciu o profesjonalny osąd („na nosa”);

wadami takiej metody jest nieuwzględnianie zmian oraz

duża subiektywność (którą jednakże można ograniczyć

stosując tzw. metodę delficką – opierając się na grupie

ekspertów),

● 

Metody matematyczne (numeryczne) polegające na

stosowaniu wzorów matematycznych (z reguły z

zastosowaniem arkuszy kalkulacyjnych); podstawowa

zaleta to możliwość porównywania wyników z różnych lat

(pomiar trendów) a wady to stosunkowo duży koszt

wprowadzenia i również subiektywizm przy ocenie

informacji (dobór faktów i ustalanie ich znaczenia,

ustalanie wag ryzyka, interpretacja ryzyk).

61

W wyniku analizy ryzyka można ustalić:

● 

Częstotliwość przeprowadzanych audytów – najczęściej

przyjmuje się, że dany obszar należy objąć audytem

wewnętrznym nie rzadziej niż co 3-5 lat,

● 

Zakres audytu.

Przy wybieraniu kolejności obszarów objętych

audytem należy wziąć pod uwagę:

● 

Daty i rezultaty ostatniego audytu,

● 

Wielkość ewentualnych strat finansowych,

● 

Potencjalne ryzyka,

● 

Oczekiwania kierownictwa podmiotu,

● 

Zmiany procesów, systemów,

● 

Możliwości osiągnięcia zysków operacyjnych.

62

Techniki identyfikowania ryzyk, które najczęściej

wykorzystuje się w trakcie audytu wewnętrznego:

● 

Analiza środowiskowa – ryzyko ocenia się z perspektywy

zmian środowiska zewnętrznego oraz wpływu tychże zmian

na proces zarządzania i kontroli; środowiskami są m.in.

Klienci, konkurencja, technologia, regulacje etc.,

● 

Scenariusze zagrożeń – audytor stara się przewidywać, w

jaki sposób można ominąć (w wyniku oszustwa lub

nieszczęśliwego zdarzenia) system kontroli wewnętrznej;

takie scenariusze wskazują wówczas na główne rodzaje

ryzyka,

● 

Analiza potencjalnych strat jakie mogą powstać w wyniku

nieprawidłowości funkcjonowania systemu kontroli

wewnętrznej.

63

Czynniki ryzyka można podzielić według wielu

kryteriów np.:

● 

Czynniki zewnętrzne:

- 

Klienci: atrakcyjność produktu, popyt, poziom satysfakcji klientów,

- 

Dostawcy: stabilność dostaw, stosunki z partnerami,

- 

Konkurencja: konkurencyjność produktów, nowe technologie,

- 

Infrastruktura: dostawy mediów, uzależnienie od telekomunikacji,

- 

Środowisko naturalne: zatrucie środowiska, wydatki na ochronę,

- 

Ekonomiczne: stopy procentowe, kursy walutowe, inflacja,

- 

Siła wyższa: pożar, powódź, trzęsienie ziemi,

- 

Prawne: komplikacja przepisów, częstotliwość zmian przepisów,

- 

Polityczne: presja społeczne na sektor,

● 

Czynniki finansowe:

- 

Budżetowe: przychody z działalności operacyjnej, wydatki roczne,

- 

Inwestycje: źródła finansowania, koszty inwestycji,

- 

Rzetelność sprawozdań: zmiany przepisów, rotacja pracowników,

- 

Płynność: zatory płatnicze, bankructwa klientów, cykl obrotu,

64

Czynniki ryzyka można podzielić według wielu

kryteriów np. (cd.):

● 

Czynniki operacyjne:

- 

Działalność podstawowa: komplikacja operacji, personel,

- 

Informacja: bezpieczeństwo IT, poufność danych,

● 

Jakość zarządzania:

- 

Zespół zarządzający: plany, kwalifikacje kierownictwa,

- 

Organizacja: struktura organizacyjna, system wynagradzania,

● 

Funkcjonowanie kontroli wewnętrznej:

- 

Dokumentacja: braki i opóźnienia w dokumentacji,

- 

Autoryzacja: brak automatycznych systemów kontrolnych,

- 

Podział obowiązków,

● 

Czynniki wewnętrzne (nieodłączne):

- 

Wielkość organizacji: skala produkcji / działania, liczba pracowników,

- 

Ryzyko branży: sezonowość, niska rentowność, monopolizacja.

65

Pomiar ryzyka.
Ocena ryzyka dla każdego obszaru audytowego

powinna odzwierciedlać potencjał generowania

strat lub zysków (czyli istotność).

W celu właściwej identyfikacji czynników ryzyka

audytor powinien wykorzystać wiedzę posiadaną

przez właścicieli systemów.

Sam pomiar ryzyka powinien przebiegać według

następującej sekwencji czynności:

● 

Wybór określonej liczby kategorii ryzyka,

● 

Wybór skali,

● 

Ocena każdej z audytowanych jednostek.

66

Kontrola powinna składać się z następujących

etapów:

- 

Planowanie,

- 

Przygotowanie,

- 

Przeprowadzenie kontroli i sformułowanie wniosków,

- 

Zakończenie.

67

W planowaniu kontroli powinny być uwzględnione

programy i plany kilkuletnie oraz roczne, a także

harmonogramy określające zestaw czynności

dotyczących poszczególnych kontroli.

Programy i plany kilkuletnie lub roczne powinny

określać częstotliwość kontroli w zależności od

przyjętych wyników identyfikacji zagrożeń i poziomu

ryzyka.

Częściej należy kontrolować obszary o zwiększonym

stopniu ryzyka lub mające większe znaczenie dla

funkcjonowania firmy oraz zwiększać częstotliwość

kontroli, jeśli ujawnione zostały poważne słabości i

problemy albo jeśli wprowadzono poważne zmiany w

odniesieniu do oferowanych produktów i usług,

metodologii, pomiaru i monitorowania ryzyka czy

ogólnego profilu ryzyka.

68

Plany kilkuletnie oraz roczne, sporządzone w formie

pisemnej, powinny być przedłożone do zatwierdzenia

prezesowi zarządu i akceptacji radzie nadzorczej (w

przypadku szczególnych badań zlecanych przez radę

nadzorczą dokument może nie być zaakceptowany przez

zarząd).

Powinny one być również udostępnione audytorom

zewnętrznym i nadzorowi - badającym i oceniającym

adekwatność przeprowadzanych kontroli.

69

Dodatkowo, plany kontroli (poza wynikami wstępnego

procesu identyfikacji obszarów ryzyka) powinny uwzględniać

potwierdzone zdarzenia zaobserwowane podczas

monitorowania poszczególnych czynności, uwagi pracowników

oraz propozycje i wymagania kierownictwa, a także nadzoru

bankowego i audytora zewnętrznego. Wskazane jest również,

aby w planach kontroli zostały uwzględnione planowane

zmiany zachodzące w firmie, np. restrukturyzacja.

Firmy powinny także uwzględniać przeprowadzenie kontroli

nieplanowanych na zlecenie prezesa zarządu lub rady

nadzorczej we wskazanych obszarach działalności lub

obejmujących określone zagadnienia czy transakcje.

70

Plan każdej kontroli powinien być opracowany w formie

harmonogramu (kolejne czynności, zadania i

odpowiedzialność poszczególnych pracowników ujęte

w ramy czasowe) obejmującego etap przygotowania,

kontroli właściwej i działań pokontrolnych.

Plan kontroli powinien wynikać z planów kilkuletnich

bądź rocznych i mieć jasno określony:

- 

cel,

- 

termin,

- 

przedmiot badania,

- 

procedury i metody przeprowadzenia kontroli,

- 

czas przeznaczony na badanie,

- 

podział szczegółowych zadań między członkami zespołu

kontrolującego.

71

W fazie przygotowania kontroli istotnymi elementami

są:

- 

zebranie podstawowych informacji dotyczących obszaru

poddanego kontroli tj. struktura organizacyjna, kopie

regulaminów i innych przepisów, charakter i ilość

wykonywanych operacji, tryb załatwiania reklamacji i sposób

ich rejestracji, które pozwolą oszacować czas niezbędny do

przeprowadzenia kontroli,

- 

wyznaczenie pracowników posiadających niezbędne

kwalifikacje, wiedzę i doświadczenie, aby założony cel

kontroli został osiągnięty.

Właściwe zaplanowanie czasu pracy niezbędnego do

przeprowadzenia kontroli oraz szczegółowy podział

zadań pomiędzy pracowników/członków zespołu

kontrolującego powinno zapewnić odpowiednią

wydajność pracy, jakość badań i uzasadniony

poziom kosztów.

72

Kontrola powinna być przeprowadzana na podstawie zatwierdzonego

planu i pisemnych upoważnień dostarczonych przez kierującego

jednostką kontroli wewnętrznej, zawierających zakres i termin jej

przeprowadzenia (w przypadku kontroli w innej jednostce

organizacyjnej należy określić inny tryb sankcjonujący podejmowanie

określonych czynności przez pracowników kontroli wewnętrznej).

Kontrola powinna być przeprowadzona w dniach i godzinach pracy

obowiązujących w jednostce kontrolowanej. Ewentualna zmiana

terminu czy zakresu kontroli wymaga pisemnej akceptacji kierującego

jednostką kontroli wewnętrznej lub zlecającego kontrolę.

Oznacza to, że kontrola powinna być przeprowadzona po uprzednim

powiadomieniu kierującego jednostką kontrolowaną (z co najmniej 3-

dniowym wyprzedzeniem). Niezapowiedziane kontrole, także takie,

które nie zostały ujęte w planie, powinny być przeprowadzane w

przypadku podejrzeń o nadużycia (np. mogą to być kontrole zagadnień

kasowo-skarbcowych, systemów rozliczeń płatniczych i kontroli

systemów informatycznych) lub w przypadku konieczności

przeprowadzenia badań w związku ze zdarzeniami i zmianami w

środowisku banku, których nie można było przewidzieć (np. skargi

klientów do nadzoru lub GIODO).

73

Podjęcie czynności kontrolnych powinno być poprzedzone

ustaleniem celu i zasadności przeprowadzenia kontroli.

Podczas przeprowadzania kontroli, pracownicy jednostki

kontroli wewnętrznej powinni weryfikować i analizować

uzyskane informacje, zbierać i włączać do własnej

dokumentacji roboczej (np. istotne z punktu widzenia

zdarzeń powodujących skutki finansowe) kopie materiałów

źródłowych oraz wyjaśnienia uzyskane od pracowników i

kierującego jednostką kontrolowaną, na podstawie których

stwierdzono nieprawidłowości i sformułowano określone

wnioski bądź zalecenia.

Zapisy powinny być ujęte logicznie, zgodnie z podjętymi

działaniami podczas kontroli i muszą zawierać

najważniejsze fakty stwierdzone podczas kontroli.

74

Wszelkie uwagi i wątpliwości pojawiające się podczas

kontroli powinny być na bieżąco omawiane i wyjaśniane z

odpowiednimi pracownikami. Z przeprowadzonych rozmów

pracownicy jednostki kontroli wewnętrznej powinni

sporządzać notatki podpisane przez zainteresowanych

pracowników, które będą załącznikami do raportu

pokontrolnego. Kontrolerzy wewnętrzni powinni dążyć do

tego, aby stwierdzone nieprawidłowości były jak

najszybciej usunięte, o ile jest to możliwe nawet podczas

kontroli (odpowiedni zapis o tym fakcie powinien znaleźć

się w raporcie pokontrolnym).

75

Po przeprowadzeniu kontroli pracownicy jednostki kontroli

wewnętrznej przeprowadzający kontrolę sporządzają

raport pokontrolny .

Kontrola powinna być zakończona sporządzeniem

raportu pokontrolnego. Wymagania co do formy,

zawartości czy miejsca i terminu złożenia raportu

pokontrolnego oraz częstotliwość przekazania raportów

radzie nadzorczej (np. zbiorczy raport kontrolny) powinny

być jasno określone i sprecyzowane w procedurach

organizacyjnych jednostki kontroli wewnętrznej.

76

Raport pokontrolny powinien zawierać ustalenia w pełni

udokumentowane w materiale roboczym. Istotne ustalenia

dotyczące nieprawidłowości, które zostały już usunięte

również powinny być w nim opisane.

Dodatkowo, raport pokontrolny powinien wskazywać

istniejące niepożądane zjawiska i związane z nimi

występujące już lub potencjalne ryzyko, które oddziałują

lub w najbliższym czasie mogą oddziaływać na

działalność banku oraz zawierać zalecenia podjęcia

stosownych działań.

Jednym z zaleceń może być monitorowanie przez

pracowników jednostki poddanej kontroli obszaru, w

którym stwierdzono nieprawidłowości oraz informowanie

jednostki kontroli wewnętrznej o efektach podjętych

działań.

Kontrolerzy wewnętrzni powinni także wskazać na te

elementy z otoczenia firmy, które mogą mieć dla niej

konsekwencje.

77

Raport pokontrolny powinien być sporządzony terminowo,

w formie pisemnej, powinien być obiektywny, zwięzły i

konstruktywny. Rada nadzorcza wraz z zarządem powinni

ustalić minimalne wymagania co do zawartości raportu

pokontrolnego.

Zawartość raportu pokontrolnego można ograniczyć do

danych identyfikacyjnych oraz listy ustaleń i zaleceń, ale

wskazane jest, aby zawierał on następujące elementy:

- 

opis wykonania zaleceń i skutków podjętych działań po

ostatniej kontroli,

- 

cel, zakres oraz przyjęte metody kontroli,

- 

wskazanie sposobów i metod naprawczych wraz z

terminem ich wykonania.

78

Stwierdzone fakty oraz opinie i wyniki kontroli powinny

być omówione z kierownictwem jednostki poddanej

kontroli, przy czym w spotkaniu powinien brać udział

członek zarządu nadzorujący pracę jednostki poddanej

kontroli lub kierujący pionem organizacyjnym, w

strukturze którego znajduje się ta jednostka.

Celem spotkania jest uzyskanie stanowiska oraz

dodatkowych wyjaśnień, o ile nie zostały one wcześniej

uwzględnione (ustalenia mogą być omawiane z

kierującym jednostką kontrolowaną w trakcie kontroli,

etapami).

79

W regulaminie kontroli wewnętrznej powinny być ujęte

rozwiązania dotyczące ewentualnego procesu

odwoławczego tzn. trybu postępowania w przypadku, gdy

jednostka poddana kontroli nie zgadza się z opiniami i

wnioskami z kontroli.

Kierujący jednostką kontroli wewnętrznej przekazuje raport

pokontrolny prezesowi zarządu, a w dalszej kolejności

radzie nadzorczej. Decyzję o sposobie wykorzystania

wyników kontroli podejmuje prezes zarządu i przekazuje ją

kierownictwu jednostki kontrolowanej.

80

Sposób sprawdzenia wykonania zaleceń pokontrolnych

tj. w trakcie następnej kontroli lub odrębnego

postępowania pokontrolnego, powinien wynikać np. z

ogólnych ustaleń regulaminu działania jednostki kontroli

wewnętrznej. Jednostka poddana kontroli ponosi pełną

odpowiedzialność za realizację zaleceń pokontrolnych i

jest zobowiązana do przekazania jednostce kontroli

wewnętrznej informacji o terminach i skutkach podjętych

działań naprawczych związanych z przeprowadzoną

kontrolą.

Raport pokontrolny powinien być udostępniany nadzorowi

i audytorowi zewnętrznemu.

81

METODY ANALITYCZNE
Uzyskane w trakcie audytu informacje należy poddać

analizie. Metody analityczne przydatne są przy wykrywaniu:

- 

nieoczekiwanych różnic,

- 

braku różnic, których się spodziewano,

- 

błędów, nieprawidłowości i oszustw,

- 

transakcji wyjątkowych.

82

METODY ANALITYCZNE
Metody analityczne obejmują z reguły:

- 

porównywanie informacji bieżących i historycznych,

- 

porównywanie informacji rzeczywistych z planowanymi,

- 

porównywanie informacji wewnętrznych z danymi innych jednostek,

- 

badanie zmian sald poszczególnych pozycji, które jest pomocne

przy formułowaniu prognoz,

- 

badanie związków pomiędzy poszczególnymi pozycjami w danym

okresie,

- 

prognozowanie sald z wykorzystaniem danych niezależnych,

- 

badanie relacji danych finansowych i niefinansowych.

83

METODY ANALITYCZNE
Na skuteczność metod analitycznych wpływają:

- 

natura danych liczbowych i wskaźników,

- 

wiarygodność danych liczbowych i wskaźników,

- 

precyzja zastosowanej metody analitycznej.

84

METODY ANALITYCZNE
Źródłami danych do metod analitycznych są głównie:

- 

sprawozdania finansowe z poprzednich okresów,

- 

sprawozdania zewnętrzne,

- 

istotne informacje niefinansowe,

- 

raporty śródroczne,

- 

informacje z publikacji naukowych, wyniki badań, opracowania

branżowe.

85

METODY ANALITYCZNE
Najważniejsze metody analityczne to:

- 

analiza wskaźnikowa,

- 

analiza trendu,

- 

analiza prognostyczna oparta na modelowaniu w oparciu o związki

przyczynowo-skutkowe,

- 

analiza regresyjna.