Audyt wewnętrzny
Dr Radosław Kałużny, FCCA
Katedra Bankowości
radoslaw.kaluzny@ue.poznan.pl
1
Literatura
1. K. Czerwiński, Audyt wewnętrzny, InfoAudit 2005.
2. S. Kałużny, Kontrola wewnętrzna. Teoria i praktyka,
PWE 2008.
3. A. Bela, E. Bolesławska, Oszustwa finansowe.
Podręcznik dla audytora, InfoAudit 2005.
2
Kilka pytań na początek
1. Jakiego typu podmioty powinny być
kont rol owane (prywat ne, publ i czne,
mieszane)?
2. Dlaczego?
3. Komu będzie zależeć na wynikach takich
kontroli?
4. Dlaczego?
5. W którym miejscu w strukturze organizacyjnej
umiejscowić komórkę kontrolą?
6. Dlaczego?
3
Trochę historii
Pierwsze udokumentowane czynności audytu
wewnętrznego polegały na sprawdzaniu zapisów
księgowych w starożytnym Babilonie i Egipcie.
W starożytnym Rzymie weryfikacja ksiąg
nazywała się przesłuchiwaniem rachunków.
Wyraz audyt ma swoje korzenie w słowie auditos
(przesłuchanie) a osoba, która słuchała
(dokonywała audytu) to quaestors.
4
 W czasach nowożytnych audyt wewnętrzny
rozwinął się na większą skalę podczas rewolucji
przemysłowej. Polegał on wówczas na
kontrolowaniu zgodności zapisów ksiąg
rachunkowych z dokumentacją z
ródłową.
Wraz z brytyjskimi inwestycjami audyt wewnętrzny
przekroczył ocean o dotarł do Stanów
Zjednoczonych. Jego rola wynikała z potrzeby
przekazywania wiarygodnych informacji do
Anglików  dawców kapitału.
W latach 30. XX wieku nastąpiło dość wyraz
ne
rozgrani czeni e pomi ędzy audyt orami
zewnętrznymi a wewnętrznymi.
5
 Audytorzy wewnętrzni mieli od tego momentu
wypełnić lukę powstałą w wyniku wyrywkowego
charakteru badań audytorów zewnętrznych.
W latach 40. XX wieku audytorzy wewnętrzni
poszerzyli krąg zainteresowań na wszystkie
aspekty działania jednostek (a nie tylko na część
finansową).
Wtedy to powstała również jedna z kluczowych
instytucji samorządowych skupiających
audytorów wewnętrznych na świecie  The
Institute of Internal Auditors (IIA). Organizacja
ta zajmuje się, obok szerzenia wiedzy na temat
audytu wewnętrznego, również stanowieniem
zasad, standardów i wytycznych audytu.
6
 Obecnie istnieje kilka organizacji zawodowych
audytorów wewnętrznych (obok IIA) o
międzynarodowym zasięgu. Wśród nich
decydujące znaczenie mają:
American Institute of Certified Public Accountant (AICPA),
American Accounting Association (AAA),
Controllers Institute,
Institute of Management Accountants (IMA),
International Federation of Accounting Committee (IFAC).
7
 Zgodnie z Międzynarodowymi Standardami
Profesjonalnej Praktyki Audytu Wewnętrznego
audyt wewnętrzny to:
działalność niezależna, obiektywnie
zapewniająca i doradcza, której celem jest
przysporzenie wartości i usprawnienie
działalności operacyjnej organizacji.
Audyt wewnętrzny pomaga w osiąganiu celów
organi zacj i poprzez syst emat yczne i
zdyscyplinowane podejście do oceny i
doskonalenia skuteczności procesów zarządzania
8
ryzykiem, kontroli i governance.
 Obiektywizm przy tym oznacza niezależną
postawę intelektualną, która wymaga od
audytorów wewnętrznych przeprowadzania
zadań z pełną wiarą w efekty swojej pracy oraz
przekonani a o uni kani u znaczących
kompromisów w sprawie jakości.
Obiektywizm wymaga niepodporządkowywania
się w sprawach audytu opiniom osób trzecich.
9
 Usługi zapewniające to obiektywne badanie
dowodów w celu dostarczenia niezależnej oceny
procesów zarządzania ryzykiem, kontroli i
governance w organizacji.
Przykładem takich usług mogą być zadania w
zakresie badania bezpieczeństwa systemów lub
przeglądy due diligence.
10
 Usługi doradcze to usługi wykraczające poza
usługi zapewniające, które audytor wewnętrzny
może świadczyć dla wspomagania kierownictwa
w osiąganiu celów.
Przykładem takich usług doradczych
(konsultingowych) mogą być zadania w zakresie
usprawniania operacji, projektowania procesów,
szkolenia.
11
 Przysporzenie wartości następuje poprzez
rozwój usług i produktów oraz wykorzystanie
zasobów do ich promocji.
Podczas gromadzenia danych, w celu
zrozumienia i oceny ryzyka, audytorzy uzyskują
wiedzę dotyczącą potencjalnych możliwości
usprawnień i ta wiedza, przekazana
właściwemu kierownictwu lub personelowi
operacyjnemu, może okazać niezwykle istotna z
punktu widzenia organizacji.
12
 Ryzyko niepewność związana z wystąpieniem
zdarzeń, które mogą mieć wpływ na osiągnięcie
zamierzonych celów.
Kontrola to każde działanie podejmowane przez
kierownictwo, władze lub inne podmioty dla
poprawy zarządzania ryzykiem i zwiększenia
prawdopodobieństwa zrealizowania ustalonych
celów i zadań.
13
 Pod pojęciem procesu governance rozumie się
pr ocedur y wykor zyst ywane pr zez
przedstawicieli grup związanych z organizacją
do nadzorowania procesów zarządzania
ryzykiem i procesów kontroli stosowanych przez
kierownictwo.
14
 Inne definicje audytu wewnętrznego:
Usługa wywodząca się z dobrej umiejętności
prowadzenia rachunkowości przeobrażona w
zawód ukierunkowany na zarządzanie. Obejmuje
działania związane z badaniem i oceną zarówno
kontroli, jak i całej działalności jednostek
prywatnych i publicznych.
Audyt wewnętrzny to niezależna czynność
sprawdzająca i oceniająca struktury działania
wewnątrz przedsiębiorstwa. Jest jednocześnie
niezależną instytucją, przeprowadzającą kontrole
wewnątrz przedsiębiorstwa i dostarczającą
dokładnych analiz, ocen, zaleceń i informacji na
15
temat sprawdzanych struktur i działań.
 Inne definicje audytu wewnętrznego (cd.):
Audyt wewnętrzny jest to ogół działań, przez
które kierownik jednostki uzyskuje obiektywną i
niezależną ocenę funkcjonowania jednostki w
zakresie gospodarki finansowej pod kątem
legalności, gospodarności, celowości,
rzetelności, a także przejrzystości i jawności.
16
 Legalność oznacza zgodność z przepisami
prawa; w odniesieniu do organów władzy
publicznej oznacza to, że muszą one działać w
ramach wytyczonych przez przepisy prawne i
nie mogą odmówić wykonania zadań
powierzonych im w imieniu państwa.
17
 Gospodarność obej muj e badani e
efektywności wykorzystania środków.
Gospodarność jest związana z optymalnym
dysponowaniem środkami finansowymi i
materialnymi oraz z optymalizacją zabiegów
organizacyjnych stosowanych w toku
prowadzonych działań.
18
 Celowość dotyczy zapewnienia zgodności
działania audytowanej jednostki z określonymi
dla niej celami. Audyt wewnętrzny ma
zapewnić optymalizację zastosowania metod i
środków, ich adekwatność do osiągnięcia
założonych celów i pomiar stopnia ich
osiągnięcia.
19
 Rzetelność oznacza staranność, sumienność.
Sprawdzając rzetelność bada się przestrzegania
wewnętrznych procedur funkcjonowania
jednostki, dokumentowania określonych działań
we właściwej formie i we właściwym czasie, tak
aby umożliwić generowanie porównywalnych i
wiarygodnych raportów.
20
 Przejrzystość łączy się z rzetelnością i
j awnoś c i ą i oz nac z a us t al eni e
odpowiedzialności osób dysponujących
zasobami publicznymi, łatwość dostrzegania
niegospodarności i ograniczenie ryzyka
niecelowego wydawania środków publicznych.
21
 Jawność oznacza taką sytuację, w której
instytucje powołane do badania i oceny
funkcjonowania jednostki mają swobodny
dostęp do danych na temat gospodarki
środkami publicznymi i sposobem zarządzania
tą jednostką.
22
 Wymogi dotyczące audytora:
Wiarygodność,
Zapewnienie wysokiej jakości świadczonych usług,
Obiektywizm,
Unikanie konfliktu interesów,
Zachowanie bezstronności,
Przestrzeganie tajemnicy zawodowej,
Zachowanie należytej staranności zawodowej,
Umiejętność rozwiązywania konfliktów natury
etycznej,
Profesjonalizm.
23
 Audyt wewnętrzny obejmuje w szczególności
następujące czynności:
Badanie dowodów księgowych oraz zapisów w
księgach rachunkowych,
Ocenę systemu gromadzenia środków
publicznych i dysponowania nimi oraz
gospodarowania mieniem,
Ocenę efektywności i gospodarności
zarządzania finansowego.
24
 Istnieje wiele form audytu wewnętrznego, ale
wszystkie te formy można podzielić na 3 główne
kategorie:
Związane z finansami (obejmujące analizę
działalności jednostki mierzonej metodami
księgowymi),
Dotyczące zgodności, oceniające transakcje
pod kątem ich zgodności z obowiązującymi
przepisami, normami, rozporządzeniami,
procedurami etc.,
Operacyjne, czyli dokonujące oceny
efektywności transakcji i skuteczności w
osiąganiu celów operacyjnych.
25
 Wśród wielu kryteriów podziału audytu
wewnętrznego wyróżnia się m.in.:
Przegląd kontroli wewnętrznej (internal control
review), który jest najbardziej ograniczoną formą
audytu; audytorzy oceniają prawidłowość
systemów kontroli wewnętrznej jedynie poprzez
wypełnianie kwestionariuszy i tabel oraz
przeprowadzają testowanie,
Audyt finansowy (financial audit) zajmujący się
problemami finansowymi, ewidencjonowaniem i
sprawozdawczością transakcji finansowych oraz
badaniem prawidłowości funkcjonowania systemu
kontroli wewnętrznej,
Audyt zgodności (compliance audit) mający
określić, czy badana jednostka przestrzega
26
przepisów prawnych, realizuje określone strategie i
wdraża odpowiednie procedury,
 Wśród wielu kryteriów podziału audytu
wewnętrznego wyróżnia się m.in. (cd.):
Audyt operacyjny (operational audit) badający
wykorzystanie środków i zmierzający do
ustalenia, czy zostały one zastosowane w sposób
najskuteczniejszy i najefektywniejszy (pod kątem
realizacji celów); zawiera on elementy audytu
zgodności, finansowego oraz informatycznego,
Audyt śledczy (forensic / investigate audit), który
jest przeprowadzany tylko wówczas gdy jest taka
potrzeba spowodowana np. postępowaniem
sądowym, dyscyplinarnym, wykroczeniem, czy
niewłaściwym wykorzystaniem aktywów lub
konfliktem interesów,
27
 Wśród wielu kryteriów podziału audytu
wewnętrznego wyróżnia się m.in. (cd.):
Audyt informatyczny (IS / IT audit) zajmujący się
kontrolą wewnętrzną środowiska systemów
przetwarzania danych i wykorzystania tych
systemów.
28
Audyt operacyjny a audyt finansowy - różnice
Audyt operacyjny Audyt finansowy
Koncentruje się na badaniu Koncentruje się na badaniu
oszczędności, wydajności i zgodności z r eguł ami
skuteczności rachunkowości
Jego wyniki wykorzystuje się Ma charakter atestacyjny;
do poprawy przyszłych działań potwierdza określony stan
rzeczy
Trudno znalez
ć obiektywne Kryteria są określone w
kryteria regułach postępowania
Za l e c e n i a s t a n o wi ą Opinia stanowi najistotniejszą
naj i s t ot ni ej s zą częś ć część sprawozdania
29
sprawozdania
Audyt operacyjny a audyt finansowy  różnice
(cd.)
Audyt operacyjny Audyt finansowy
Wykorzystuje wszystkie dostępne Wykorzystuje różne z
ródła, ale
z
ródła pomocne do ustalania ostateczną podstawą są dowody
dowodów księgowe
Ocena syst emu kont r ol i Ocena syst emu kont r ol i
wewnętrznej jest celem samym w wewnętrznej jest dodatkiem do
sobie o c e n y wi a r y g o d n o ś c i
sprawozdania finansowego
Mo ż e b y ć d z i a ł a n i e m Jest działaniem ex post
ukierunkowanym na przyszłość
Sprawdza nie tylko formalną Z reguły nie koncentruje się na
ścieżkę podejmowania decyzji, ale racjonalności
30
również jej racjonalność
Audyt operacyjny a audyt finansowy -
podobieństwa
Audyt operacyjny Audyt finansowy
Są działaniami o charakterze zapewniającym
Wykorzystują te same techniki i narzędzia
Powinny być niezależne od osób odpowiedzialnych za
badany obszar
Profil audytorów jest podobny
Proces badania jest podobny
31
 Zgodnie z wytycznymi do
st andardów I I A i st ni ej e 5
podstawowych zadań kontroli
wewnętrznej:
Ochrona informacji,
Wypełnienie wymagań prawnych,
Ochrona majątku,
Racjonalne wykorzystanie zasobów,
Zapewni eni e real i zacj i cel ów
wyznaczonych przez kierownictwo.
32
 Ochrona informacji polega na
ochronie wiarygodności i integralności
informacji.
Real i zowana j est popr zez
gromadzeni e i ut rzymywani e
wiarygodnych danych finansowych i
administracyjnych oraz rzetelne ich
pr ezent owani e w t er mi nowo
składanych raportach.
33
 Wypełnienie wymagań prawnych
polega na weryfikowaniu i pilnowaniu
zgodności działań podejmowanych
przez dany podmiot z:
Ustawami np. z ustawą Prawo bankowe,
Aktami wykonawczymi np. rozporządzeniami
ministra finansów,
Regulacjami branżowymi np. rekomendacjami
Komisji Nadzoru Bankowego,
Umowami np. kontraktami na kredyty
konsorcjalne, czy kontraktami regulującymi
outsourcing niektórych czynności.
34
 Ochrona majątku polega na
fizycznym zabezpieczeniu zasobów
p o d mi o t u p r z e d u t r a t ą ,
marnotrawstwem, nadużyciami,
błędnym zastosowaniem etc.
35
 Racjonalne wykorzystanie zasobów
polega na promowaniu prawidłowych,
oszczędnych, wydajnych i skutecznych
działań oraz produktów i usług o
wysokiej jakości, zgodnie z założeniami
danego podmiotu.
36
 Zapewnienie realizacji celów
wyznaczonych przez kierownictwo.
37
 Wprowadzając audyt wewnętrzny należy
uwzględniać rachunek ekonomiczny w tym:
relatywną wagę celów i ryzyko związane z ich realizacją,
prawdopodobieństwo wystąpienia ryzyk,
koszty wprowadzenia dodatkowych kontroli.
Koszty audytu wewnętrznego powinny być
rozpatrywane przez pryzmat:
oszczędności (economy),
skuteczności (effectiveness),
wydajności (efficiency),
wskaz
nika wykonania (performance measure)  wielkości
liczbowe, jakości, terminy, koszty,
wskaz
nika realizacji (performance indicator),
proporcjonalności kontroli.
38
 Zgodnie z międzynarodowymi
standardami kontroli wewnętrznej
istnieją:
Standardy Atrybutów (seria 1)  określające
cechy organizacji i osób przeprowadzających
audyt wewnętrzny,
Standardy Działania (seria 2)  opisujące
rodzaje czynności wykonywanych w ramach
audytu wewnętrznego oraz kryteria jakościowe
służące do oceny,
Standardy Wdrożenia  odnoszące się do
określonych rodzajów zadań audytowych.
39
Standardy atrybutów:
- 1000 Cel, uprawnienia i odpowiedzialność
 cel, uprawnienia i odpowiedzialność audytu
wewnętrznego powinny być formalnie
określone w regulaminie, zgodnie ze
standardami oraz zatwierdzone przez zarząd,
- 1100 Niezależność i obiektywizm 
działanie audytu wewnętrznego powinno być
niezależne, a audytorzy powinni zachować
obiektywizm podczas realizacji zadań,
- 1200 Biegłość oraz należyta staranność 
zadania audytorskie powinny być wykonane
w sposób biegły, z należytą starannością
40
zawodową,
Standardy atrybutów (cd.):
- 1300 Program zapewnienia jakości i
usprawnienia działalności  zarządzający
audytem wewnętrznym powinni opracować i
realizować program zapewniania jakości i
usprawnienia działania audytu wewnętrznego
oraz ciągle monitorować jego skuteczność;
program ten powinien wsperać działania
zmierzające do przysporzenia wartości
dodanej i poprawy funkcjonowania oraz
zapewniać zgodność działania audytu
wewnętrznego ze standardami i kodeksami.
41
Standardy działania:
- 2000 Zarządzanie działaniem audytu
wewnętrznego  zarządzający audytem
wewnętrznym powinni skutecznie zarządzać
działaniem to znaczy powinni przysporzyć
organizacji wartości dodanej,
- 2100 Rodzaj pracy  audyt wewnętrzny
dokonuje ocen i przyczynia się do
usprawnienia systemów zarządzania
ryzykiem, kontroli i governance,
- 2200 Planowanie zadań  audytorzy
wewnętrzni powinni dla każdego zadania
opracować oraz udokumentować plan,
42
Standardy działania (cd.):
- 2300 Wykonanie zadania  audytorzy
wewnętrzni powinni rozpoznać, zanalizować,
ocenić oraz udokumentować informacje
wystarczające do osiągnięcia celów danego
zadania,
- 2400 Informowanie  audytorzy wewnętrzni
powinni niezwłocznie informować o wynikach
realizowanych zadań,
- 2500 Monitorowanie postępów 
zarządzający audytem wewnętrznym powinni
stworzyć i zapewnić system monitorowania
wyników audytu przekazanych kierownictwu,
43
Standardy działania (cd.):
- 2600 Akceptowanie ryzyka przez
kierownictwo  jeśli kierownictwo wyższego
szczebla przyjęło poziom ryzyka, które jest
nie do zaakceptowania przez organizację,
kierujący audytem wewnętrznym powinni
omówić te kwestie z kierownictwem
wyższego szczebla a w razie nie
dokonywania zmian przez to kierownictwo
powinien pozostawić decyzję do rozpatrzenia
przez kierownictwo wyższego szczebla.
44
 Zasady działania audytu wewnętrznego
określa również Kodeks Etyki IIA.
Zawiera on opis norm zachowań, jakich
oczekuje się od audytora wewnętrznego.
Audytor wewnętrzny powinien więc
kierować się następującymi 4 zasadami:
Prawością,
Obiektywizmem,
Poufnością,
Kompetencjami.
45
 Metodyka audytu wewnętrznego
Podczas audytu wewnętrznego jedną z
najważniejszych czynności jest zgromadzenie
dowodów potwierdzających badane zjawiska.
Dowody powinny być:
Dostateczne,
Kompetentne,
Istotne,
Użyteczne.
46
Dowód jest dostateczny wtedy, gdy jest oparty na
faktach, adekwatny i przekonujący na tyle, że inna
wystarczająco kompetentna osoba dojdzie na jego
podstawie do takich samych wniosków.
Dowód jest kompetentny wówczas, gdy jest
rzetelny i najlepszy do uzyskania przy użyciu
właściwych technik.
Dowód jest istotny kiedy wspiera ustalenia audytu i
jest powiązany z obiektami audytu.
Dowód jest użyteczny jeśli pozwala zrealizować
cele audytu.
47
 W praktyce audytu wewnętrznego wykorzystuje
się następujące rodzaje dowodów:
Kontrola dokumentów (np. w celu ustalenia własności),
Kontrola fizyczna (w celu udowodnienia istnienia),
Potwierdzenie zewnętrzne,
Powtórzenie działania,
Zapisy przeprowadzonych testów,
Dowody fizyczne,
Dowody w formie oświadczeń,
Dowody w formie wyników procedur analitycznych.
48
 UWAGA!!
Przy gromadzeniu dowodów należy pamiętać, że:
Dowody zewnętrzne są bardziej wiarygodne niż
wewnętrzne,
Dowody pisemne są bardziej wiarygodne niż oświadczenia
ustne,
Dowody nowsze są bardziej przydatne niż starsze.
49
 Ustalenia audytu gromadzone są w tak zwanej
dokumentacji roboczej audytu.
Dzięki takiej dokumentacji można:
Dowieść ustaleń audytu zarówno kierownictwu jednostki
objętej audytem wewnętrznym, jak i przełożonym
audytorów,
Udokumentować wykonaną przez audytorów pracę,
Umożliwić osobom uprawnionym kontrolę,
Usprawnić wykonywaną pracę.
50
 Na dokument acj ę roboczą audyt u
wewnętrznego najczęściej składają się:
Kwestionariusze kontroli wewnętrznej,
Listy kontrolne (check list),
Kwestionariusze samooceny,
Plany kontroli,
Ścieżki audytu.
51
 Decydując się na przeprowadzenie audytu
wewnętrznego danego obszaru działalności
podmiotu należy brać uwagę efektywność
wykorzystywanych zasobów.
Ocenia się ją przez pryzmat ryzyka  należy
ocenić, które zadanie audytorskie będzie
ważniejsze z punktu widzenia banku jako
całości.
52
Ryzyka niezależne
od audytora
Na ryzyko badania składają się łącznie:
- ryzyko nieodłączne (wrodzone, wewnętrzne),
- ryzyko kontroli,
Ryzyka zależne od
audytora
- ryzyko przeoczenia (detekcji).
53
 Ryzyko nieodłączne występuje w każdej
instytucji. Jest to inaczej ryzyko błędu o
znaczącej istotności jakie występuje przy
założeniu, że system kontroli wewnętrznej nie
funkcjonuje.
Ryzyko kontroli jest to ryzyko wystąpienia
sytuacji, w której istniejący w podmiocie system
kontroli wewnętrznej nie zapobiegnie lub nie
wykryje błędu o znaczącej istotności. Ryzyko
kontroli zależy od skuteczności projektowania i
funkcjonowania systemu kontroli wewnętrznej.
54
 Ryzyko przeoczenia dotyczy sytuacji, w której
zaprojektowane przez audytora testy nie wykryją
błędu o znaczącej istotności. Jest ono funkcją
skuteczności procedury audytorskiej i nie można
go całkowicie wykluczyć z powodu ograniczeń
prac audytorskich (audytor nie bada całej populacji
ale jedynie część  próbkę).
Ryzyko przeoczenia wynika z:
Zastosowania niewłaściwych technik audytorskich,
Niewłaściwego stosowania dobrej / właściwej techniki
audytorskiej,
Złej interpretacji wyników otrzymanych w efekcie prac
audytorskich.
55
Ryzyko przeoczenia można ograniczać poprzez
przydzielanie poszczególnych zadań osobom o
odpowiednich kwalifikacjach, stosowanie
zasady profesjonalnego sceptycyzmu oraz
nadzór i kontrolę jakości prac audytorskich.
56
 Wzajemne relacje pomiędzy tymi rodzajami
ryzyka są następujące:
RA = RN * RK * RP
57
 Przy analizie ryzyka ogromne znaczenie ma
istotność. Często wylicza się ją jako iloczyn:
prawdopodobieństwo * wpływ na jednostkę
Prawdopodobieństwo jest przy tym wyliczone
al bo pr zy wykor zyst ani u r achunku
pr awdopodobi eńst wa al bo met odą
profesjonalnego osądu.
Wpływ na jednostkę jest z reguły wyrażonym w
pieniądzu efektem zajścia jakiegoś zdarzenia.
58
 Istotność jest więc miarą:
Możliwych bezpośrednich i pośrednich konsekwencji
finansowych w przypadku zajścia zdarzenia (w tym
kosztów działań naprawczych),
Znaczenia poszczególnych celów realizowanych przez
organizację,
Strat, które nie mają wymiaru finansowego (np. utrata
reputacji).
59
 Istnieją następujące metody prowadzenia
analizy ryzyka:
Metody szacunkowe, w których ryzyko oceniane jest
przez audytora w oparciu o profesjonalny osąd ( na nosa );
wadami takiej metody jest nieuwzględnianie zmian oraz
duża subiektywność (którą jednakże można ograniczyć
stosując tzw. metodę delficką  opierając się na grupie
ekspertów),
Metody matematyczne (numeryczne) polegające na
stosowaniu wzorów matematycznych (z reguły z
zastosowaniem arkuszy kalkulacyjnych); podstawowa
zaleta to możliwość porównywania wyników z różnych lat
(pomiar trendów) a wady to stosunkowo duży koszt
wprowadzenia i również subiektywizm przy ocenie
informacji (dobór faktów i ustalanie ich znaczenia,
ustalanie wag ryzyka, interpretacja ryzyk).
60
 W wyniku analizy ryzyka można ustalić:
Częstotliwość przeprowadzanych audytów  najczęściej
przyjmuje się, że dany obszar należy objąć audytem
wewnętrznym nie rzadziej niż co 3-5 lat,
Zakres audytu.
Przy wybieraniu kolejności obszarów objętych
audytem należy wziąć pod uwagę:
Daty i rezultaty ostatniego audytu,
Wielkość ewentualnych strat finansowych,
Potencjalne ryzyka,
Oczekiwania kierownictwa podmiotu,
Zmiany procesów, systemów,
Możliwości osiągnięcia zysków operacyjnych.
61
Techniki identyfikowania ryzyk, które najczęściej
wykorzystuje się w trakcie audytu wewnętrznego:
Analiza środowiskowa  ryzyko ocenia się z perspektywy
zmian środowiska zewnętrznego oraz wpływu tychże zmian
na proces zarządzania i kontroli; środowiskami są m.in.
Klienci, konkurencja, technologia, regulacje etc.,
Scenariusze zagrożeń  audytor stara się przewidywać, w
jaki sposób można ominąć (w wyniku oszustwa lub
nieszczęśliwego zdarzenia) system kontroli wewnętrznej;
takie scenariusze wskazują wówczas na główne rodzaje
ryzyka,
Analiza potencjalnych strat jakie mogą powstać w wyniku
nieprawidłowości funkcjonowania systemu kontroli
wewnętrznej.
62
 Czynniki ryzyka można podzielić według wielu
kryteriów np.:
Czynniki zewnętrzne:
- Klienci: atrakcyjność produktu, popyt, poziom satysfakcji klientów,
- Dostawcy: stabilność dostaw, stosunki z partnerami,
- Konkurencja: konkurencyjność produktów, nowe technologie,
- Infrastruktura: dostawy mediów, uzależnienie od telekomunikacji,
- Środowisko naturalne: zatrucie środowiska, wydatki na ochronę,
- Ekonomiczne: stopy procentowe, kursy walutowe, inflacja,
- Siła wyższa: pożar, powódz
, trzęsienie ziemi,
- Prawne: komplikacja przepisów, częstotliwość zmian przepisów,
- Polityczne: presja społeczne na sektor,
Czynniki finansowe:
- Budżetowe: przychody z działalności operacyjnej, wydatki roczne,
- Inwestycje: z
ródła finansowania, koszty inwestycji,
- Rzetelność sprawozdań: zmiany przepisów, rotacja pracowników,
- Płynność: zatory płatnicze, bankructwa klientów, cykl obrotu,
63
 Czynniki ryzyka można podzielić według wielu
kryteriów np. (cd.):
Czynniki operacyjne:
- Działalność podstawowa: komplikacja operacji, personel,
- Informacja: bezpieczeństwo IT, poufność danych,
Jakość zarządzania:
- Zespół zarządzający: plany, kwalifikacje kierownictwa,
- Organizacja: struktura organizacyjna, system wynagradzania,
Funkcjonowanie kontroli wewnętrznej:
- Dokumentacja: braki i opóz
nienia w dokumentacji,
- Autoryzacja: brak automatycznych systemów kontrolnych,
- Podział obowiązków,
Czynniki wewnętrzne (nieodłączne):
- Wielkość organizacji: skala produkcji / działania, liczba pracowników,
- Ryzyko branży: sezonowość, niska rentowność, monopolizacja.
64
 Pomiar ryzyka.
Ocena ryzyka dla każdego obszaru audytowego
powinna odzwierciedlać potencjał generowania
strat lub zysków (czyli istotność).
W celu właściwej identyfikacji czynników ryzyka
audytor powinien wykorzystać wiedzę posiadaną
przez właścicieli systemów.
Sam pomiar ryzyka powinien przebiegać według
następującej sekwencji czynności:
Wybór określonej liczby kategorii ryzyka,
Wybór skali,
Ocena każdej z audytowanych jednostek.
65
 Kontrola powinna składać się z następujących
etapów:
- Planowanie,
- Przygotowanie,
- Przeprowadzenie kontroli i sformułowanie wniosków,
- Zakończenie.
66
 W planowaniu kontroli powinny być uwzględnione
programy i plany kilkuletnie oraz roczne, a także
harmonogramy określające zestaw czynności
dotyczących poszczególnych kontroli.
Programy i plany kilkuletnie lub roczne powinny
określać częstotliwość kontroli w zależności od
przyjętych wyników identyfikacji zagrożeń i poziomu
ryzyka.
Częściej należy kontrolować obszary o zwiększonym
stopniu ryzyka lub mające większe znaczenie dla
funkcjonowania firmy oraz zwiększać częstotliwość
kontroli, jeśli ujawnione zostały poważne słabości i
problemy albo jeśli wprowadzono poważne zmiany w
odniesieniu do oferowanych produktów i usług,
metodologii, pomiaru i monitorowania ryzyka czy
67
ogólnego profilu ryzyka.
 Plany kilkuletnie oraz roczne, sporządzone w formie
pisemnej, powinny być przedłożone do zatwierdzenia
prezesowi zarządu i akceptacji radzie nadzorczej (w
przypadku szczególnych badań zlecanych przez radę
nadzorczą dokument może nie być zaakceptowany przez
zarząd).
Powinny one być również udostępnione audytorom
zewnętrznym i nadzorowi - badającym i oceniającym
adekwatność przeprowadzanych kontroli.
68
 Dodatkowo, plany kontroli (poza wynikami wstępnego
procesu identyfikacji obszarów ryzyka) powinny uwzględniać
potwierdzone zdarzenia zaobserwowane podczas
monitorowania poszczególnych czynności, uwagi pracowników
oraz propozycje i wymagania kierownictwa, a także nadzoru
bankowego i audytora zewnętrznego. Wskazane jest również,
aby w planach kontroli zostały uwzględnione planowane
zmiany zachodzące w firmie, np. restrukturyzacja.
Firmy powinny także uwzględniać przeprowadzenie kontroli
nieplanowanych na zlecenie prezesa zarządu lub rady
nadzorczej we wskazanych obszarach działalności lub
obejmujących określone zagadnienia czy transakcje.
69
 Plan każdej kontroli powinien być opracowany w formie
harmonogramu (kolejne czynności, zadania i
odpowiedzialność poszczególnych pracowników ujęte
w ramy czasowe) obejmującego etap przygotowania,
kontroli właściwej i działań pokontrolnych.
Plan kontroli powinien wynikać z planów kilkuletnich
bądz
rocznych i mieć jasno określony:
- cel,
- termin,
- przedmiot badania,
- procedury i metody przeprowadzenia kontroli,
- czas przeznaczony na badanie,
- podział szczegółowych zadań między członkami zespołu
kontrolującego.
70
W fazie przygotowania kontroli istotnymi elementami
są:
- zebranie podstawowych informacji dotyczących obszaru
poddanego kontroli tj. struktura organizacyjna, kopie
regulaminów i innych przepisów, charakter i ilość
wykonywanych operacji, tryb załatwiania reklamacji i sposób
ich rejestracji, które pozwolą oszacować czas niezbędny do
przeprowadzenia kontroli,
- wyznaczenie pracowników posiadających niezbędne
kwalifikacje, wiedzę i doświadczenie, aby założony cel
kontroli został osiągnięty.
Właściwe zaplanowanie czasu pracy niezbędnego do
przeprowadzenia kontroli oraz szczegółowy podział
zadań pomiędzy pracowników/członków zespołu
kontrolującego powinno zapewnić odpowiednią
wydajność pracy, jakość badań i uzasadniony
poziom kosztów.
71
 Kontrola powinna być przeprowadzana na podstawie zatwierdzonego
planu i pisemnych upoważnień dostarczonych przez kierującego
jednostką kontroli wewnętrznej, zawierających zakres i termin jej
przeprowadzenia (w przypadku kontroli w innej jednostce
organizacyjnej należy określić inny tryb sankcjonujący podejmowanie
określonych czynności przez pracowników kontroli wewnętrznej).
Kontrola powinna być przeprowadzona w dniach i godzinach pracy
obowiązujących w jednostce kontrolowanej. Ewentualna zmiana
terminu czy zakresu kontroli wymaga pisemnej akceptacji kierującego
jednostką kontroli wewnętrznej lub zlecającego kontrolę.
Oznacza to, że kontrola powinna być przeprowadzona po uprzednim
powiadomieniu kierującego jednostką kontrolowaną (z co najmniej 3-
dniowym wyprzedzeniem). Niezapowiedziane kontrole, także takie,
które nie zostały ujęte w planie, powinny być przeprowadzane w
przypadku podejrzeń o nadużycia (np. mogą to być kontrole zagadnień
kasowo-skarbcowych, systemów rozliczeń płatniczych i kontroli
systemów informatycznych) lub w przypadku konieczności
przeprowadzenia badań w związku ze zdarzeniami i zmianami w
środowisku banku, których nie można było przewidzieć (np. skargi
klientów do nadzoru lub GIODO).
72
Podjęcie czynności kontrolnych powinno być poprzedzone
ustaleniem celu i zasadności przeprowadzenia kontroli.
Podczas przeprowadzania kontroli, pracownicy jednostki
kontroli wewnętrznej powinni weryfikować i analizować
uzyskane informacje, zbierać i włączać do własnej
dokumentacji roboczej (np. istotne z punktu widzenia
zdarzeń powodujących skutki finansowe) kopie materiałów
z
ródłowych oraz wyjaśnienia uzyskane od pracowników i
kierującego jednostką kontrolowaną, na podstawie których
stwierdzono nieprawidłowości i sformułowano określone
wnioski bądz
zalecenia.
Zapisy powinny być ujęte logicznie, zgodnie z podjętymi
działaniami podczas kontroli i muszą zawierać
najważniejsze fakty stwierdzone podczas kontroli.
73
 Wszelkie uwagi i wątpliwości pojawiające się podczas
kontroli powinny być na bieżąco omawiane i wyjaśniane z
odpowiednimi pracownikami. Z przeprowadzonych rozmów
pracownicy jednostki kontroli wewnętrznej powinni
sporządzać notatki podpisane przez zainteresowanych
pracowników, które będą załącznikami do raportu
pokontrolnego. Kontrolerzy wewnętrzni powinni dążyć do
tego, aby stwierdzone nieprawidłowości były jak
najszybciej usunięte, o ile jest to możliwe nawet podczas
kontroli (odpowiedni zapis o tym fakcie powinien znalez
ć
się w raporcie pokontrolnym).
74
 Po przeprowadzeniu kontroli pracownicy jednostki kontroli
wewnętrznej przeprowadzający kontrolę sporządzają
raport pokontrolny .
Kontrola powinna być zakończona sporządzeniem
raportu pokontrolnego. Wymagania co do formy,
zawartości czy miejsca i terminu złożenia raportu
pokontrolnego oraz częstotliwość przekazania raportów
radzie nadzorczej (np. zbiorczy raport kontrolny) powinny
być jasno określone i sprecyzowane w procedurach
organizacyjnych jednostki kontroli wewnętrznej.
75
 Raport pokontrolny powinien zawierać ustalenia w pełni
udokumentowane w materiale roboczym. Istotne ustalenia
dotyczące nieprawidłowości, które zostały już usunięte
również powinny być w nim opisane.
Dodatkowo, raport pokontrolny powinien wskazywać
istniejące niepożądane zjawiska i związane z nimi
występujące już lub potencjalne ryzyko, które oddziałują
lub w najbliższym czasie mogą oddziaływać na
działalność banku oraz zawierać zalecenia podjęcia
stosownych działań.
Jednym z zaleceń może być monitorowanie przez
pracowników jednostki poddanej kontroli obszaru, w
którym stwierdzono nieprawidłowości oraz informowanie
jednostki kontroli wewnętrznej o efektach podjętych
działań.
Kontrolerzy wewnętrzni powinni także wskazać na te
elementy z otoczenia firmy, które mogą mieć dla niej
76
konsekwencje.
Raport pokontrolny powinien być sporządzony terminowo,
w formie pisemnej, powinien być obiektywny, zwięzły i
konstruktywny. Rada nadzorcza wraz z zarządem powinni
ustalić minimalne wymagania co do zawartości raportu
pokontrolnego.
Zawartość raportu pokontrolnego można ograniczyć do
danych identyfikacyjnych oraz listy ustaleń i zaleceń, ale
wskazane jest, aby zawierał on następujące elementy:
- opis wykonania zaleceń i skutków podjętych działań po
ostatniej kontroli,
- cel, zakres oraz przyjęte metody kontroli,
- wskazanie sposobów i metod naprawczych wraz z
terminem ich wykonania.
77
Stwierdzone fakty oraz opinie i wyniki kontroli powinny
być omówione z kierownictwem jednostki poddanej
kontroli, przy czym w spotkaniu powinien brać udział
członek zarządu nadzorujący pracę jednostki poddanej
kontroli lub kierujący pionem organizacyjnym, w
strukturze którego znajduje się ta jednostka.
Celem spotkania jest uzyskanie stanowiska oraz
dodatkowych wyjaśnień, o ile nie zostały one wcześniej
uwzględnione (ustalenia mogą być omawiane z
kierującym jednostką kontrolowaną w trakcie kontroli,
etapami).
78
 W regulaminie kontroli wewnętrznej powinny być ujęte
rozwiązania dotyczące ewentualnego procesu
odwoławczego tzn. trybu postępowania w przypadku, gdy
jednostka poddana kontroli nie zgadza się z opiniami i
wnioskami z kontroli.
Kierujący jednostką kontroli wewnętrznej przekazuje raport
pokontrolny prezesowi zarządu, a w dalszej kolejności
radzie nadzorczej. Decyzję o sposobie wykorzystania
wyników kontroli podejmuje prezes zarządu i przekazuje ją
kierownictwu jednostki kontrolowanej.
79
Sposób sprawdzenia wykonania zaleceń pokontrolnych
tj. w trakcie następnej kontroli lub odrębnego
postępowania pokontrolnego, powinien wynikać np. z
ogólnych ustaleń regulaminu działania jednostki kontroli
wewnętrznej. Jednostka poddana kontroli ponosi pełną
odpowiedzialność za realizację zaleceń pokontrolnych i
jest zobowiązana do przekazania jednostce kontroli
wewnętrznej informacji o terminach i skutkach podjętych
działań naprawczych związanych z przeprowadzoną
kontrolą.
Raport pokontrolny powinien być udostępniany nadzorowi
i audytorowi zewnętrznemu.
80
 METODY ANALITYCZNE
Uzyskane w trakcie audytu informacje należy poddać
analizie. Metody analityczne przydatne są przy wykrywaniu:
- nieoczekiwanych różnic,
- braku różnic, których się spodziewano,
- błędów, nieprawidłowości i oszustw,
- transakcji wyjątkowych.
81
 METODY ANALITYCZNE
Metody analityczne obejmują z reguły:
- porównywanie informacji bieżących i historycznych,
- porównywanie informacji rzeczywistych z planowanymi,
- porównywanie informacji wewnętrznych z danymi innych jednostek,
- badanie zmian sald poszczególnych pozycji, które jest pomocne
przy formułowaniu prognoz,
- badanie związków pomiędzy poszczególnymi pozycjami w danym
okresie,
- prognozowanie sald z wykorzystaniem danych niezależnych,
- badanie relacji danych finansowych i niefinansowych.
82
 METODY ANALITYCZNE
Na skuteczność metod analitycznych wpływają:
- natura danych liczbowych i wskaz
ników,
- wiarygodność danych liczbowych i wskaz
ników,
- precyzja zastosowanej metody analitycznej.
83
 METODY ANALITYCZNE
y
ródłami danych do metod analitycznych są głównie:
- sprawozdania finansowe z poprzednich okresów,
- sprawozdania zewnętrzne,
- istotne informacje niefinansowe,
- raporty śródroczne,
- informacje z publikacji naukowych, wyniki badań, opracowania
branżowe.
84
 METODY ANALITYCZNE
Najważniejsze metody analityczne to:
- analiza wskaz
nikowa,
- analiza trendu,
- analiza prognostyczna oparta na modelowaniu w oparciu o związki
przyczynowo-skutkowe,
- analiza regresyjna.
85