Audytor wewnętrzny doradcą kierownika jednostki
Sylwetka zawodowa audytora wewnętrznego
Zgodnie z art. 58 ustawy o finansach publicznych audytorem może być osoba, która:
Ma obywatelstwo państwa członkowskiego Unii Europejskiej, Konfederacji Szwajcarskiej lub państwa członkowskiego Europejskiego Porozumienia o Wolnym Handlu (EFTA) - strony umowy o Europejskim Obszarze Gospodarczym, chyba że przepisy odrębne uzależniają zatrudnienie w jednostce sektora finansów publicznych od posiadania obywatelstwa polskiego;
Ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
Nie była karana za umyślne przestępstwo lub umyślne przestępstwo skarbowe;
Posiada wyższe wykształcenie;
Posiada następujące kwalifikacje zawodowe do przeprowadzenia audytu wewnętrznego:
certyfikaty: Certified Internal Auditor (CIA), Certified Government Auditing Professional (CGAP), Certified Information Systems Auditor (CISA), Association of Chartered Certified Accountants (ACCA), Certified Fraud Examiner (CFE), Certification in Control Self-Assessment (CCSA), Certified Financial Services Auditor (CFSA) lub Chartered Financial Analyst (CFA),
ukończyła aplikację kontrolerską i złożyła egzamin kontrolerski z wynikiem pozytywnym przed komisją egzaminacyjną powołaną przez Prezesa Najwyższej Izby Kontroli,
złożyła z wynikiem pozytywnym egzamin kwalifikacyjny na stanowisko inspektora kontroli skarbowej,
uprawnienia biegłego rewidenta.
Niektóre organizacje zamiast „audytor wewnętrzny” używają terminu „analityk kontrolny" (ang. control analyst) lub „analityk systemów" (ang. system analyst). GAO nazywa audytorów wewnętrznych ewaluatorami (ang. evaluators).
Karta audytu wewnętrznego mówi, że audytor wewnętrzny:
Jest uprawniony do przeprowadzania audytu wewnętrznego we wszystkich obszarach działalności jednostki;
Ma zagwarantowane prawo dostępu do wszelkich dokumentów i materiałów, do wszystkich pracowników oraz wszelkich innych źródeł informacji potrzebnych do przeprowadzenia audytu wewnętrznego, z zachowaniem przepisów o tajemnicy ustawowo chronionej;
Ma zagwarantowane prawo dostępu do pomieszczeń jednostki z zachowaniem przepisów o tajemnicy ustawowo chronionej;
Ma prawo żądać od kierowników i pracowników komórek organizacyjnych informacji oraz wyjaśnień w celu zapewnienia właściwego i efektywnego prowadzenia audytu wewnętrznego;
Może z własnej inicjatywy składać wnioski mające na celu usprawnienie funkcjonowania jednostki;
Nie jest odpowiedzialny za procesy zarządzania ryzykiem i procesy kontroli wewnętrznej w jednostce, ale poprzez ustalenia i zalecenia poczynione w wyniku przeprowadzenia audytu wewnętrznego, wspomaga kierownika jednostki we właściwej realizacji tych procesów;
Nie jest odpowiedzialny za wykrywanie przestępstw, ale powinien posiadać wiedzę pozwalającą mu zidentyfikować znamiona przestępstwa;
Nie może przyjmować takich zadań lub uprawnień, które wchodzą w zakres zarządzania jednostką;
W zakresie wykonywania swoich zadań współpracuje z audytorami zewnętrznymi, a także z kontrolerami najwyższej izby kontroli.
Audytor wewnętrzny obecnie wspomaga kierownictwo jednostki gospodarczej i doradza mu w procesie podejmowania decyzji. Audytorzy wewnętrzni powinni mieć wiedzę o umiejętnościach behawioralnych. W ich pracy najważniejsza jest umiejętność identyfikacji wartości ludzkich oraz mechanizmów obronnych, potrzeb ludzkich, a także czynników odpowiedzialnych za zmianę postaw. Audytorzy wewnętrzni powinni ponadto dokładnie rozumieć proces decyzyjny na poziomie kierownictwa.
Cechy audytora wewnętrznego
Audytor wewnętrzny powinien być przede wszystkim niezależny, obiektywny i profesjonalny.
Niezależność jest jedną ze standardowych cech audytora. Oznacza ona możliwość samodzielnego decydowania o podejmowanych zadaniach i sposobach ich realizacji. Audytor określa zakres badania i komórki, w których będzie je prowadził. Audytor wewnętrzny powinien być zatrudniony na podstawie umowy o pracę, dlatego będzie podlegał kierownikowi jednostki.
Zgodnie z z art. 51 ust. 8 pkt 3 ustawy o finansach publicznych „audytor wewnętrzny podlega bezpośrednio kierownikowi jednostki, który zapewnia organizacyjną odrębność wykonywania przez audytora zadań określonych w ustawie".
Organizacyjna odrębność oznacza, że audytor wewnętrzny lub komórka audytu wewnętrznego (w przypadku zatrudnienia większej liczby audytorów) muszą tworzyć samodzielne stanowisko, biuro, zespół, departament audytu i nie mogą być włączeni do innych komórek organizacyjnych.
Audytor wewnętrzny nie powinien być narażony na próby naruszenia obszarów audytu, wpływania na sposób wykonywania pracy i przekazywania wyników. Musi mieć zagwarantowany nieograniczony dostęp do wszystkich dokumentów z zachowaniem przepisów o ochronie informacji niejawnych, do wszystkich pracowników i innych źródeł informacji potrzebnych do przeprowadzania audytu.
Obiektywizm audytora wewnętrznego oznacza, że w początkowej formie wykonywania zadania audytowego skupia się on na ustaleniu stanu faktycznego w zakresie badanego przedmiotu. Istotne jest, aby fakty stwierdzone w czasie wykonywania audytu były udowodnione. Dowody potwierdzające przeprowadzone badania powinny być dołączone do akt bieżących. Sprawozdanie po przeprowadzeniu audytu powinno zawierać odsyłacze do akt bieżących. Stan faktyczny jest ustalany z zachowaniem należytej staranności zawodowej, po wykonaniu wszystkich możliwych w danym momencie czynności, przy zaangażowaniu całej wiedzy, doświadczenia i umiejętności.
Profesjonalizm audytora wewnętrznego. Od audytora wymaga się wiedzy z zakresu audytu wewnętrznego, finansów publicznych, rachunkowości, administracji publicznej. Dobrym rozwiązaniem jest specjalizowanie się audytorów w różnych dziedzinach, na przykład w finansach, rachunkowości, prawie, informatyce, ekonomikach branżowych. Dla zapewnienia profesjonalizmu każdy audytor wewnętrzny ma obowiązek poszerzać swoją wiedzę i umiejętności przez stałe szkolenie zawodowe, wynikające z planu szkoleń. Plan szkoleń powinien uwzględniać potrzeby komórki audytu wewnętrznego.
Bezstronność, rzetelność i staranność.
Dla zachowania bezstronności audytor wewnętrzny nie powinien co najmniej przez dwa lata oceniać działalności jednostki, za którą był uprzednio odpowiedzialny. Udział audytora wewnętrznego w badaniu działań, za które odpowiada kierownik komórki audytu wewnętrznego, powinien podlegać nadzorowi osoby niezatrudnionej w tej komórce. O każdym rzeczywistym lub domniemanym naruszeniu bezstronności audytor wewnętrzny (kierownik KAW) powinien informować kierownika jednostki.
Zakres obowiązków audytora wewnętrznego
Obowiązki i zakres odpowiedzialności audytora wewnętrznego:
Programuje, kieruje i uczestniczy w wykonywaniu audytu w wyznaczonym obszarze, za który odpowiada;
Interpretuje zasady i procedury oraz stosuje profesjonalne zasady i standardy rachunkowości oraz audytu do testowania i oceny złożonych systemów ewidencji finansowej i systemów operacyjnych;
Identyfikuje i analizuje przyczyny nieekonomicznych i nieefektywnych praktyk; ocenia alternatywne rozwiązania, które mogą przynieść pożądane rezultaty;
Opracowuje zalecenia w celu doprowadzenia programów i działań do zgodności z celami organizacji oraz redaguje sprawozdania dokumentujące ustalenia;
Przeprowadza badania w celu identyfikacji ustaw i rozporządzeń lub przegląda podręczniki prawne, aby ustalić, czy oceniany program jest zgodny z prawem;
Posługuje się komputerem do wykonywania statystycznych analiz danych;
Przygotowuje dokumenty robocze, zestawienia i podsumowania;
Wykonuje inne zlecone czynności.
Zakres zastosowań audytu wewnętrznego
Audyt wewnętrzny jako element corporate governance
Na rozwój audytu wewnętrznego duży wpływ wywarło przyjęcie zasad ładu (nadzoru) korporacyjnego - corporate governance - wydanych przez Organizację Współpracy Gospodarczej i Rozwoju (OECD) w kwietniu 1999 roku.
Nadzór korporacyjny wiąże się z istnieniem sieci relacji między kadrą kierowniczą spółek, zarządem, radą nadzorczą akcjonariuszami i innymi grupami interesu. Ponadto tworzy strukturę, za której pośrednictwem ustalane są cele spółki, środki na ich realizację i środki motywowania wyników.
Wielka Brytania
Przy określaniu zasad corporate governance oparto się na istniejących w Wielkiej Brytanii dobrych praktykach nadzoru korporacyjnego, do których można zaliczyć
Raport Cadbury'ego,
Raporty Greenbury'ego i Hampela,
Połączone zasady
Raport Turnbulla.
Raport Cadbury'ego - 1.12.1992 - Komitet ds. Finansowych Aspektów Nadzoru Korporacyjnego, powołany przez Radę Sprawozdawczości Finansowej, Londyńską Giełdę Papierów Wartościowych oraz biegłych rewidentów w celu sformułowania zaleceń w sprawie określenia podstawowych zasad, które zobligowałyby dyrektorów do zapewnienia odpowiedniej kontroli nad działalnością spółki.
Ustalenia RC:
Wobec prawa zarząd i rada nadzorcza są odpowiedzialni za gospodarowanie majątkiem spółki oraz zapewnienie niezbędnej i skutecznej kontroli nad jej działalnością.
Wszystkie spółki publiczne ustanowiły komitety audytu, podporządkowane bezpośrednio radzie nadzorczej.
Komitety audytu powinny być niezależne, obiektywne i mieć upoważnienie do przeprowadzenia dochodzenia w każdej sprawie oraz niezbędne do tego środki.
Połączone zasady 1998
Obowiązujące reguły notowania spółek na giełdach nadały rangę regulacji prawnych. Kierownictwo firmy powinno co najmniej raz w roku przeprowadzić ocenę efektywności systemu kontroli wewnętrznej oraz zawrzeć w sprawozdaniu adresowanym do udziałowców informację o przeprowadzeniu takiej oceny. Należy również powołać komitet audytu, w którego składzie powinno być co najmniej trzech członków rad nadzorczych.
Raport Turnbulla 1999 Anglia i Walia
Krótkie i zwięzłe, kilkunastostronicowe opracowanie Kontrola wewnętrzna. Przewodnik dla dyrektorów odnoszący się do Połączonych zasad - zwane Raportem Turnbulla (od nazwiska przewodniczącego komisji przygotowującej to opracowanie Nigela Turnbulla), zostało wydane przez Instytut Biegłych Rewidentów Anglii i Walii we wrześniu 1999 roku.
system kontroli wewnętrznej odgrywa kluczową rolę w zarządzaniu ryzykiem, które z kolei istotnie wpływa na realizację celów gospodarczych.
Dobry system kontroli wewnętrznej ogranicza, lecz nie eliminuje, możliwości podejmowania błędnych decyzji, omijania procedur i unieważnienia wyników kontroli.
Kierownictwo firmy powinno wyegzekwować otrzymywanie sprawozdań dotyczących efektywności kontroli wewnętrznej i dopilnować przeprowadzenia corocznej oceny systemu kontroli wewnętrznej.
W sprawozdaniu z działalności kierownictwo powinno stwierdzić, że w spółce wdrożono proces ciągłego identyfikowania, oceny i zarządzania ryzykiem, że funkcjonował on w okresie objętym danym sprawozdaniem i jest monitorowany przez zarząd.
Zalecenia dotyczące rozważenia potrzeby utworzenia komórki audytu wewnętrznego.
Stany Zjednoczone
Nagłe i niespodziewane upadki dużych firm (Enron, WorldCom, Anders, Parmalat, Ahold) oraz ujawnione przy tym nieprawidłowości i oszustwa spowodowały, że Kongres Stanów Zjednoczonych uchwalił 30 lipca 2002 roku ustawę Sarbanesa-Oxleya (SOX), od nazwisk dwóch amerykańskich senatorów".
Głównym celem SOX było przywrócenie zaufania inwestorów poprzez znaczne zaostrzenie wymogów wobec kluczowych graczy na rynku finansowym w zakresie efektywności kontroli wewnętrznej podmiotów zarejestrowanych w US Sécurités and Exchange Commission (SEC).
O efektywności kontroli wewnętrznej traktuje Dział 404 SOX, w którym określono warunki zapewniające efektywność kontroli wewnętrznej nad sprawozdawczością finansową.
Ustawa narzuca obowiązek opracowywania kwartalnych i rocznych sprawozdań, które powinny być zatwierdzone przez prezesa zarządu lub dyrektora do spraw finansowych i zawierać stwierdzenia, że:
osoby, które podpisały sprawozdanie, zapoznały się z jego treścią;
osoby te są przekonane, na podstawie posiadanej wiedzy, że sprawozdanie nie zawiera stwierdzeń nieprawdziwych oraz nie ujęto w nim żadnej istotnej kwestii;
osoby te są przekonane, że dane finansowe zawarte w sprawozdaniu rzetelnie oddają sytuację finansową spółki;
osoby te ponoszą odpowiedzialność za kontrolę wewnętrzną w spółce;
osoby te oceniły efektywność kontroli wewnętrznej w okresie 90 dni poprzedzających wydane sprawozdania;
zdaniem osób podpisujących kontrola wewnętrzna w spółce jest efektywna.
Zgodnie z wymogami Działu 404 dyrektor generalny (prezes zarządu) i dyrektor finansowy spółki mają obowiązek dołączyć do rocznego sprawozdania finansowego oświadczenia dotyczące systemu kontroli wewnętrznej spółki określające:
odpowiedzialność kierownictwa za ustalenie i utrzymywanie odpowiednich mechanizmów sprawozdawczości finansowej spółki;
ocenę kierownictwa na temat skuteczności kontroli wewnętrznej spółki oraz procedur sprawozdawczości finansowej na koniec ostatniego roku obrotowego spółki;
fakt, że biegły rewident zatrudniony przez spółkę poświadczył ocenę kontroli wewnętrznej i procedur sprawozdawczości finansowej przez kierownictwo.
Ponadto Dział 404 precyzuje, że:
ocena kierownictwa musi opierać się na procedurach wystarczających do oceny systemu i zbadania efektywności kontroli,
kierownictwo powinno przechowywać dokumentację będącą podstawą oceny systemu kontroli wewnętrznej przez 7 lat (norma ISO 15489),
jeżeli wystąpią istotne słabości kontroli wewnętrznej, to kierownictwo nie może stwierdzać, że jest ona skuteczna.
Komisja Europejska
Proponuje przyjęcie nowej dyrektywy o ustawowych rewizjach finansowych, opartej na ustawie Sarbanesa-Oxieya, która precyzowałaby zakres obowiązków biegłych rewidentów prowadzących badania sprawozdań finansowych, podkreślając zasady etyczne mające zapewnić obiektywizm i niezależność biegłych. Państwa członkowskie UE mogłyby na swoim terytorium wprowadzić przepis nakazujący obowiązkową zmianę co siedem lat biegłego rewidenta badającego księgi.
Firmy poddane audytowi zewnętrznemu miałyby obowiązek powołania komisji audytu złożonych z osób niezależnych, które sprawowałyby nadzór nad procesem rewizji ksiąg i pozostawały w bezpośrednim kontakcie z biegłym rewidentem. Komisje te mogłyby dokonywać wyboru biegłych rewidentów i przedstawić kandydatów do zatwierdzenia przez udziałowców firmy.
Zamiarem Komisji Europejskiej jest wprowadzenie na obszarze Unii Europejskiej międzynarodowych standardów dla wszystkich ustawowo wymaganych audytów.
Polska
Zasady przygotował Komitet Dobrych Praktyk Forum Corporate Governance i zostały one przyjęte przez Warszawską Giełdę Papierów Wartościowych w 2002 roku. Formułują one zasady dotyczące organizacji funkcjonowania trzech głównych organów spółki: walnych zgromadzeń, rad nadzorczych i zarządów. Członkowie rad nadzorczych powinni posiadać stosowne wykształcenie, doświadczenie zawodowe, ugruntowaną pozycję zawodową oraz reprezentować wysoki poziom moralny.
Wszyscy biegli rewidenci i firmy audytorskie byliby sprawdzani pod kątem jakości świadczonych usług. Firmy zajmujące się audytem spółek giełdowych, banków lub firm ubezpieczeniowych musiałyby przedstawiać coroczne raporty szczegółowo prezentujące ich własną działalność, ujawniające ich międzynarodowe powiązania oraz opisujące świadczone przez siebie usługi, niebędące rewizją ksiąg. Raporty te musiałyby zawierać między innymi opis stosowanych rozwiązań w zakresie governance i system zapewnienia odpowiedniej jakości usług oraz oświadczenie zarządu o skuteczności tych rozwiązań.
Proponowane przez Komisję Europejską Międzynarodowe Standardy Audytu (ang. International Standards on Auditing - ISA) zyskały akceptację ACCA (ang. Association of Chartered Certified Accountants) z zastrzeżeniem, że powinny być wdrożone po ich zatwierdzeniu przez Radę Międzynarodowych Standardów Rewizji Finansowej i Prac Poświadczających (ang. International Auditing and Assurance Standards Board- IAASB) i nie mogą podlegać procedurze zatwierdzenia równie skomplikowanej jak Międzynarodowe Standardy Rachunkowości.
Audyt wewnętrzny jako źródło monitoringu przedsiębiorstwa
Corporate governance (ład korporacyjny), rozumiany jako system służący efektywnemu, kompleksowemu kierowaniu i kontrolowaniu przedsiębiorstw, zakłada optymalne zastosowanie wszystkich instrumentów monitoringu przedsiębiorstw, a także rozbudowany audyt wewnętrzny.
Wymagania wobec audytu wewnętrznego są coraz większe ze względu na dynamiczne otoczenie przedsiębiorstwa i potrzeby zgłaszane przez komitet audytu, radę nadzorczą i kierownictwo operacyjne
Odpowiedzialność i przejrzystość są filarami ładu korporacyjnego. Poza tradycyjnym, rocznym sprawozdaniem finansowym wymagane są dobrowolnie publikowane ilościowe i jakościowe informacje o przedsiębiorstwie. Czytelnicy sprawozdania finansowego chcieliby mieć pewność, że podane w nim informacje są prawdziwe i przedstawiają godny zaufania obraz firmy.
Monitoring przedsiębiorstwa powinien być permanentny i tak skonstruowany, by wszystkie funkcje zarządzania wzajemnie się uzupełniały i jak najlepiej zabezpieczały przed ryzykiem.
Outsourcing audytu wewnętrznego
Wiele rodzajów usług doradczych i kontrolnych świadczonych przez audytorów zewnętrznych w ramach outsourcingu może negatywnie wpływać zarówno na obraz niezależności audytorów, jak i na faktyczną niezależność.
Aby zminimalizować ryzyko prawne firmy księgowej i zwiększyć zdolność korporacji do wykrywania i zgłaszania w odpowiednim czasie oszustw w sprawozdaniach finansowych, AICPA i Amerykańska Komisja Papierów Wartościowych i Giełd (ang. US Securities and Exchange Commission - SEC) zaleciły wyeliminowanie outsourcingu audytu wewnętrznego we wszystkich spółkach publicznych.
Zamiast tego spółki powinny mieć własne pełnoprawne komórki audytu wewnętrznego i zlecać firmom księgowym tylko specjalistyczne zadania (cosourcing), wspomagające zapewnienie światowej klasy audytu wewnętrznego.
Zastosowanie analizy ryzyka w audycie wewnętrznym
Pojęcie ryzyka
Międzynarodowe standardy audytu wewnętrznego w glosariuszu definiują ryzyko jako możliwość zdarzenia, która będzie miało wpływ na realizację założonych celów. Ryzyko jest mierzone wpływem (siłą oddziaływania) oraz prawdopodobieństwem wystąpienia.
Identyfikacja ryzyka
Ryzyko można zdefiniować jako element związany ze zdarzeniem lub działaniem, które wpłynie na zdolność organizacji do realizacji celów jej działalności. Może mieć charakter negatywnego zagrożenia lub pozytywnej możliwości.
W procesie identyfikacji ryzyka brane są pod uwagę zmienne z otoczenia zewnętrznego i wewnętrznego.
Z otoczenia zewnętrznego rozważane są czynniki związane z:
infrastrukturą np. zakłócenia w dostawach energii, przerwy w łączności telefonicznej, dostępie do Internetu, zakłócenia w dojazdach pracowników,
warunkami ekonomicznym, np. zmiany stóp procentowych, kursów walut, poziomu inflacji,
zmianami politycznymi, np. zmiana rządu, władz samorządowych,
środowiskiem prawnym, np. zmiana przepisów prawa, brak regulacji prawnych, niejasne przepisy,
środowiskiem naturalnym, np. katastrofy ekologiczne, protesty społeczne,
zdarzeniami losowymi, np. pożar, powódź, trzęsienie ziemi,
umowami z kontrahentami, np. monopolistyczna pozycja dostawcy, wymuszone długie terminy płatności,
konkurencją np. nowe technologie, niższe ceny zbytu,
innymi zagrożeniami, np. terroryzm, lobbing, presja społeczna lub polityczna.
Z otoczenia wewnętrznego należy rozważyć czynniki związane z:
specyfiką działalności podstawowej jednostki, np. skomplikowanie działalności, kompetencje zawodowe pracowników,
przepływem informacji, np. naruszanie poufności informacji, utrata informacji, niewłaściwe opracowanie informacji na potrzeby podejmowania decyzji,
stabilnością działalności jednostki, np. zmiana rozmiarów i charakteru działalności,
technologią wytwarzania, np. zakłócenia w procesie produkcji, wdrażanie nowych technologii,
jakością zespołu zarządzającego, np. częste zmiany na stanowiskach kierowniczych, niewystarczające kwalifikacje kierownictwa,
organizacją jednostki, np. niewłaściwa struktura organizacyjna, brak zakresów czynności dla poszczególnych stanowisk pracy,
zarządzaniem zasobami ludzkimi, np. niskie wymagania, brak systemu motywacyjnego, brak szkoleń,
wielkością środków finansowych jednostki, np. zmiana źródeł finansowania, projekty inwestycyjne, problemy finansowe głównych klientów.
Kategorie ryzyka
Kategorie ryzyka strategicznego
Polityczne - związane z brakiem możliwości świadczenia usług zgodnie z wymaganiami władz centralnych lub samorządowych.
Ekonomiczne - mające wpływ na zdolność organizacji do realizacji zobowiązań finansowych. Ryzyko to obejmuje czynniki takie jak wewnętrzne naciski budżetowe, brak wykupionej polisy ubezpieczeniowej oraz zmiany ogólnej sytuacji gospodarczej.
Społeczne - dotyczące skutków zmian tendencji demograficznych, społeczno-gospodarczych oraz odnoszących się do miejsca zamieszkania.
Technologiczne - związane ze zdolnością organizacji do nadążenia za tempem/skalą zmian technologicznych lub możliwością wykorzystania odpowiednich technologii, by sprostać zmianom popytu. Ryzyko to może obejmować oddziaływanie wewnętrznych niepowodzeń technologicznych na zdolność organizacji do realizacji jej celów.
Legislacyjne - związane z bieżącymi lub możliwymi zmianami w ustawodawstwie krajowym lub europejskim.
Środowiskowe - dotyczące konsekwencji środowiskowych wynikających z realizacji celów organizacji, np. wydajności energetycznej, hałasu, zanieczyszczenia lub skażenia.
Kategorie ryzyka operacyjnego
Kategorie ryzyka operacyjnego
Finansowe - związane z planowaniem finansowym i kontrolą.
Prawne - dotyczące ewentualnego naruszenia przepisów prawa.
Zawodowe - związane z charakterem konkretnego zawodu, np. usługi społeczne związane z pomocą społeczną dla młodych osób.
Fizyczne - dotyczące pożaru, bezpieczeństwa, zapobiegania wypadkom oraz kwestii ochrony zdrowia i bezpieczeństwa osób , np. zagrożenia dla budynków, pojazdów, zakładów lub sprzętu, itd.
Umowne - związane z brakiem realizacji usług lub dostarczenia produktów przez dostawców według uzgodnionej ceny i specyfikacji.
Technologiczne - dotyczące uzależnienia instytucji od sprzętu wykorzystywanego w jej działalności, np. systemów informatycznych lub sprzętu i maszyn.
Środowiskowe - dotyczące hałasu lub energooszczędności bieżącej działalności usługowej.
Każde zidentyfikowane ryzyko powinno być poddane analizie pod kątem jego możliwych skutków i prawdopodobieństwa wystąpienia. Po zidentyfikowaniu ryzyka, należy je poddać analizie, w trakcie której następuje:
określenie przyczyn i skutków ryzyka,
sprawdzenie ryzyka krzyżowego (duplikacji i eskalacji ryzyka),
oddzielenie niewielkiego ryzyka od istotnego ryzyka,
ocena rodzaju i kategorii ryzyka,
powiązanie ryzyka z celami organizacji.
Określenie przyczyn i skutków ryzyka umożliwia określenie przyszłej metody zarządzania ryzykiem. Przyczynami ryzyka mogą być przykładowo strajki, brak zapasów surowców, a skutkami ryzyka - straty finansowe, brak ochrony zdrowia i bezpieczeństwa pracowników lub działania niezgodne z prawem i utrata dobrego wizerunku jednostki.
Ryzyko krzyżowe polega na tym, że niektóre zidentyfikowane rodzaje ryzyka mogą powtórzyć się przy wykonywaniu wielu różnych czynności w innych jednostkach organizacyjnych. Tylko podjęcie kompleksowych działań przeciwdziałających ryzyku, identycznych we wszystkich jednostkach organizacyjnych, pozwoli na jego ograniczenie lub eliminację. Fragmentaryczne działania kierowników poszczególnych jednostek, nieskoordynowane w system, nie przyniosą oczekiwanych efektów.
Podstawą podziału ryzyka na niewielkie i istotne jest siła jego oddziaływania, prawdopodobieństwo wystąpienia i skuteczność mechanizmów kontrolnych.
Oceniając rodzaj i kategorię ryzyka można wyróżnić ryzyko strategiczne i operacyjne. Do każdego z nich stosuje się różne metody polityki zarządzania ryzykiem.
Cele i priorytety organizacji wskazują na możliwość powstania ryzyka. Pozwala to określić obszary, z którymi:
wiąże się duże ryzyko wymagające bardziej rygorystycznego zarządzania w przyszłości,
nie wiąże się żadne lub prawie żadne ryzyko lub nie zostało ono jeszcze zidentyfikowane.
Identyfikacja ryzyka może się odbywać:
odgórnie, gdy kierownictwo wyższego szczebla określa obszary i rodzaje ryzyka,
oddolnie, gdy kierownictwo średniego szczebla oraz pracownicy ujawniają ryzyko występujące w ich dziale przy wykonywaniu zadań.
Nie ma jednej uniwersalnej metody identyfikacji ryzyka. Zawsze trzeba wziąć pod uwagę doświadczenie, wielkość i charakter organizacji, co umożliwi zrozumienie wszystkich rodzajów ryzyka, na które jest ona narażona, na każdym etapie realizacji celów.
W ocenie ryzyka istotną rolę pełni wyznaczenie:
obszarów audytu,
obszarów ryzyka,
miary ryzyka.
Audytor wewnętrzny identyfikuje według własnej zawodowej oceny (ang. proffesional judgement) obszary ryzyka, czyli procesy, zjawiska lub problemy wymagające przeprowadzenia audytu. Dokonując analizy napływających informacji, audytor zwraca uwagę na newralgiczne, wrażliwe punkty w działalności jednostki, którymi mogą być przykładowo:
działania jednostki, które mogą wpływać na opinię publiczną
cele i zadania jednostki,
przepisy prawne dotyczące działania jednostki,
liczba, rodzaj i wielkość dokonywanych operacji finansowych,
wielkość majątku, którym dysponuje jednostka, itp.
Obszar audytu to każdy obszar działania jednostki, w obrębie którego wyodrębniono obszary ryzyka.
Obszar ryzyka to procesy, zjawiska lub problemy wymagające przeprowadzenia audytu.
Miary ryzyka to skala ocen wysokości ryzyka.
Organizacja może zidentyfikować ryzyko za pomocą:
„burzy mózgów",
kwestionariuszy,
posiadanego doświadczenia i prognoz na przyszłość.
Wymienione sposoby mogą być wykorzystywane osobno lub łącznie, lecz ich zastosowanie powinno być udokumentowane.
„Burza mózgów" polega na udziale osób z różnych szczebli organizacji w sesjach, na których odbywa się sterowanie dyskusją. Punktem wyjścia jest identyfikacja ryzyka związanego z realizacją celów strategicznych i operacyjnych.
Aby „burza mózgów" była skuteczna należy przestrzegać następujących zasad:
Przygotowując się do sesji kierownicy oraz pracownicy powinni mieć możliwość rozważania oddziaływania ryzyka na działalność organizacji. Ułatwieniem będzie sporządzenie szablonów identyfikacji ryzyka, przekazanych uczestnikom przed sesją.
Uczestnikom sesji wyznacza się czas niezbędny do omówienia ryzyka, jego przyczyn i skutków.
W czasie sesji uczestnicy powinni być zachęcani do dyskusji, przy czym wyniki sesji należy rejestrować i nie przekraczać wyznaczonych ram godzinowych dyskusji.
Każdy uczestnik sesji może bezpiecznie zadawać pytania lub określać ryzyko, bez obawy o reperkusje.
Wyniki sesji po zapisaniu są przekazywane uczestnikom do weryfikacji, co umożliwi wyjaśnienie lub poszerzenie opisów ryzyka.
Kwestionariusz, to metoda polegająca na sporządzeniu listy pytań, która umożliwi identyfikację obszarów ryzyka. Sporządzenie kwestionariusza zawierającego wszystkie kwestie ryzykowne w organizacji nie jest możliwe, ale kwestionariusze prowokują do dyskusji o ryzyku. Kwestionariusze powinny być okresowo weryfikowane.
Kwestionariusz identyfikacji obszarów ryzyka
Identyfikacja ryzyka |
Występowanie ryzyka Tak/Nie |
Opis ryzyka |
Potencjał organizacji Nieobsadzone główne stanowiska? Duża zawodność pracowników? Niska motywacja pracowników? Słaby program szkoleń? Wysoka rotacja pracowników? Niski budżet? Rosnące wymagania płacowe? Wyniki finansowe organizacji Słabe planowanie? Brak standardów wydajności? Słabe wyniki organizacji partnerskich? Kwestie prawne Rosnąca liczba spraw sądowych? Rosnąca ilość informacja o działaniach niezgodnych z prawem? Niekorzystne umowy z kontrahentami? |
|
|
Informacje, które mogą wskazać obszary ryzyka to:
Skargi pracowników i kontrahentów, jeżeli wykazują tendencję wzrostu ponad normalny poziom zażaleń.
Raporty z audytu wewnętrznego i kontroli wewnętrznej, które wskazują istotne zaburzenia w funkcjonowaniu organizacji. Konieczne jest sprawdzenie, czy rekomendacje kontrolujących zostały skutecznie wdrożone, a uwagi wykorzystane.
Szkody ubezpieczeniowe mieszczące się w ramach posiadanych polis i wykraczające poza te ramy. Być może pojawiły się nowe rodzaje rydzyka, na które organizacja nie jest przygotowana lub zakres ubezpieczeń jest zbyt szeroki i jednostka niepotrzebnie ponosi wysokie koszty ubezpieczeń.
Dzienniki wypadków, z których wynika ilość wypadków i reakcje po ich zaistnieniu,
Prognozy budżetowe i finansowe, które informują o wysokości budżetu, jego strukturze i jakości. Sprawdzeniem jakości budżetowania jest jego porównanie z realizacją.
Opóźnienia projektowe (programowe) wynikające z problemów z zasobami, wykonawcami, finansami. Organizacja powinna przeciwdziałać opóźnieniom na bieżąco i skutecznie.
Ryzyko zgłoszone przez inne organizacje z podobnej branży, które posłuży do celów porównawczych i może ustrzec przed podobnym ryzykiem.
Ankiety zadowolenia klientów i pracowników informują o efektach działań podejmowanych w celu podniesienia jakości produkcji i wydajności pracy.
Zmiany populacji mogą informować o przyszłych oczekiwaniach klientów i pracowników. Przygotowanie się do tych zmian wymaga kilkuletnich przygotowań.
Doniesienia medialne, z których wynika jak organizacja jest postrzegana w otoczeniu lokalnym, regionalnym lub ogólnokrajowym. W przypadku złego wizerunku należy zidentyfikować przyczyny i określić sposoby jego poprawy.
Identyfikując obszary ryzyka w celu przygotowania planu audytu wewnętrznego, audytor powinien brać pod uwagę następujące czynniki:
Cele i zadania jednostki,
Przepisy prawne dotyczące funkcjonowania jednostki,
Wyniki wcześniej przeprowadzonych audytów lub kontroli,
Wyniki wcześniej dokonywanej oceny adekwatności, efektywności i skuteczności systemów kontroli, w tym kontroli finansowej,
Wewnętrzne i zewnętrzne czynniki ryzyka mające wpływ na realizację celów jednostki,
Uwagi pracowników jednostki,
Liczbę, rodzaj i wielkość dokonywanych operacji finansowych,
Możliwość dysponowania przez jednostkę środkami pochodzącymi ze źródeł zagranicznych, niepodlegających zwrotowi, ze szczególnym uwzględnieniem wymogów dawcy,
Liczbę i kwalifikacje pracowników jednostki,
Działania jednostki, które mogą wpływać na opinię publiczną
Sprawozdania finansowe oraz sprawozdania z wykonania budżetu.
W ramach obszarów ryzyka audytor wewnętrzny wyodrębnia zadania audytowe, czyli procesy, które wymagają oceny i uporządkowania. Przykładowo, w ramach obszaru ryzyka, jakim jest rachunkowość budżetowa, audytor wewnętrzny wyodrębnił jako zadania audytowe:
ocenę polityki (zasad) rachunkowości,
ocenę dokumentacji operacji gospodarczych,
ocenę terminowości i prawidłowości sprawozdawczości finansowej i budżetowej,
ocenę komputeryzacji rachunkowości.
Metody analizy i oceny ryzyka
W związku z ograniczeniami czasowymi i kadrowymi nie można w krótkim czasie przeprowadzić audytu wszystkich obszarów. Konieczne jest ustalenie hierarchii priorytetów audytu, biorąc pod uwagę:
Czas niezbędny do przeprowadzenia:
Zadań audytowych,
Czynności organizacyjnych,
Czas przeznaczony na szkolenie osób zatrudnionych na stanowiskach związanych z przeprowadzaniem audytu wewnętrznego,
Dostępne zasoby ludzkie i rzeczowe,
Rezerwę czasową na nieprzewidziane działania,
Szacunkowe koszty realizacji audytu wewnętrznego.
Audytor wewnętrzny może wykorzystać wiele metod oceny ryzyka.
Ocena ryzyka w celu ustalenia kolejności zadań audytowych może być ustalana:
metodą szacunkową
metodą matematyczną
metodą mieszaną.
Metoda szacunkowa (delficka) oznacza szacowanie ryzyka na bazie doświadczenia audytora. Do zalet tej metody należy łatwość stosowania, niewymagająca skomplikowanego procesu obliczeniowego. Wadą metody szacunkowej jest trudność precyzyjnego określenia poziomu ryzyka. Doświadczenie audytora może nie odpowiadać aktualnym tendencjom gospodarczym, a ponadto jest to osąd zawsze subiektywny. Sposobem ograniczenia subiektywności jest zastosowanie metody delfickiej (eksperckiej), która jest uważana za technikę opracowywania długoterminowych prognoz, dotyczących wybranego problemu lub zjawiska190.
Etapy metody delfickiej
Utworzenie grupy ekspertów
Przypisanie punktów zadaniom przez każdego członka grupy
Sumowanie punktów dla poszczególnych zadań
Hierarchizacja zadań audytowych
Ustalenie wyniku w procentach
Wytypowanie zadań do audytu
Założenia:
Audytor sporządził listę dwunastu zadań audytowych. Zadaniem grupy pięciu ekspertów jest wybór czterech zadań audytowych, które powinny być audytowane w pierwszej kolejności.
Analiza ryzyka metodą delficką
Zadanie audytowe |
Audytorzy |
Suma uzyskanych punktów |
Pozycja w rankingu |
Ocena ryzyka |
||||
|
A |
B |
C |
D |
E |
|
|
|
Zadanie audytowe nr 1 |
3 |
3 |
2 |
1 |
4 |
13 |
11 |
25,5% |
Zadanie audytowe nr 2 |
5 |
4 |
4 |
2 |
2 |
17 |
10 |
33,3% |
Zadanie audytowe nr 3 |
1 |
5 |
1 |
4 |
1 |
12 |
12 |
23,5% |
Zadanie audytowe nr 4 |
4 |
9 |
8 |
3 |
5 |
29 |
7 |
56,9% |
Zadanie audytowe nr 5 |
9 |
6 |
3 |
5 |
3 |
26 |
8 |
50,1% |
Zadanie audytowe nr 6 |
2 |
1 |
5 |
6 |
6 |
20 |
9 |
39,2% |
Zadanie audytowe nr 7 |
8 |
12 |
7 |
7 |
11 |
45 |
4 |
88,2% |
Zadanie audytowe nr 8 |
12 |
8 |
6 |
9 |
8 |
43 |
5 |
84,3% |
Zadanie audytowe nr 9 |
7 |
2 |
9 |
8 |
12 |
38 |
6 |
74,5% |
Zadanie audytowe nr 10 |
11 |
10 |
12 |
10 |
7 |
50 |
2 |
98,0% |
Zadanie audytowe nr 11 |
6 |
7 |
11 |
12 |
10 |
46 |
3 |
90,2% |
Zadanie audytowe nr 12 |
10 |
11 |
10 |
11 |
9 |
51 |
1 |
100,0% |
Na podstawie punktacji przedstawionej w tabeli ocena ryzyka dla zadania audytowego nr l jest dokonywana następująco:
(13:51)× 100% = 25,5%
W przedstawiony sposób zostały przeprowadzone obliczenia dla pozostałych zadań.
Wykorzystując wyniki zawarte w tabeli, audytor wewnętrzny wybrał do realizacji zadania audytowe nr 12, 10,11 oraz 7 mające najwyższe wskaźniki oceny ryzyka.
Matematyczna metoda analizy ryzyka
Przedstawiona metoda jest „modyfikacją" metody matematycznej. Jej celem jest ustalenie ryzyka całkowitego obszaru w skali punktowej zawartej w przedziale od 1,00 do 4,00. Wraz z ustaleniem wartości ryzyka całkowitego zostaje określona „ważność" obszaru ryzyka w trzystopniowej skali (niska, średnia, wysoka). Efektem zastosowania metody jest uszeregowanie obszarów wg ich ryzyka całkowitego od największego do najmniejszego, a co się z tym wiąże według „ważności" od najważniejszych do mniej ważnych.
Przy określaniu wartości ryzyka obszaru z zastosowaniem metody matematycznej „analizy wag i poziomu ryzyka" poszczególne grupy ryzyka oceniane są punktowo.
Małe ryzyko |
1 punkt |
Umiarkowane ryzyko |
2 punkty |
Średnie ryzyko |
3 punkty |
Wysokie ryzyko |
4 punkty |
Przyjmuje się podstawowe kryteria ryzyka, którym audytor nadaje procentową skale ważności.
Priorytety Kierownictwa Jednostki, Termin ostatniego badania) , z których każda grupa ma nadaną przez audytora wewnętrznego „procentową skalę ważności", czyli wpływ danej kategorii na poziom ryzyka całego obszaru. Suma wszystkich nadanych skal ważności musi być równa 100%.
Kategoria pierwsza (Kryteria ryzyka jednostki) składa się z pięciu podkategorii (Kontrola wewnętrzna, Istotność, Jakość kadry i struktura wewnętrzna, Czynniki operacyjne, Czynniki zewnętrzne), dla których audytor ustala (nadaje) „procentową skalę wewnętrznej ważności" dla tej kategorii. Suma wszystkich nadanych skal ważności dla podkategorii musi być równa 100%.
1. Kryteria ryzyka jednostki (np. 50°/o) |
Skala 1 - 4 |
|
Skala 1 - 4 |
|
Skala 1 - 4 |
|
Skala 1 - 4 |
|
Skala 1 - 4 |
|
Skala 1 - 4 |
2. Priorytety Kierownictwa Jednostki (np. 30°/o) |
Skala 1 - 4 |
3. Termin ostatniego badania (np. 20%) |
Skala 1 - 4 |
Skala ważności
Wartość ryzyka całkowitego audytu |
Ważność obszaru dla audytora |
1 - 2 |
Niska |
2 - 3 |
Średnia |
3 - 4 |
Wysoka |
Przykład obliczania ryzyka całkowitego
Kryteria ryzyka |
Skala ważności |
Grupa ryzyka |
Ryzyko |
1. Kryteria ryzyka jednostki |
50% |
2,6 × 50% |
1,30 |
Kontrola wewnętrzna |
30% |
2 |
0,6 |
Istotność działalności |
25% |
4 |
1 |
Jakość kadry i struktura wewnętrzna |
20% |
3 |
0,6 |
Czynniki operacyjne |
15% |
3 |
0,45 |
Czynniki zewnętrzne |
10% |
1 |
0,10 |
2. Priorytety Kierownictwa Jednostki |
30% |
4 |
1,2 |
3. Termin ostatniego badania |
20% |
2 |
0,4 |
Ryzyko całkowite |
|
|
2,90 |
Obszar badania zgodnie z tabelą ryzyka należy do obszaru średniego
Mapa ryzyka
W każdej części wpisuje się obszary ryzyka ocenione przez audytora. Poszczególne ćwiartki pola oznaczają:
I - toleruj ryzyko; jeżeli występuje, to wywoła niewielką stratę,
II - wykrywaj i monitoruje ryzyko; duże ryzyko wystąpienia, ale mała strata w przypadku zaistnienia,
III - wykrywaj i przeciwdziałaj; ryzyko bardzo poważne z dużym prawdopodobieństwem wystąpienia i dużą skalą strat.
IV - wykrywaj i monitoruj ryzyko; ryzyko umiarkowane przy niskim prawdopodobieństwie wystąpienia, ale dużej stracie,
Ujawnione obszary ryzyka wymagają ciągłego monitorowania. Nie wystarczy jednorazowa realizacja działań korygujących. Pojawiają się nowe ryzyka, które należy w odpowiednim momencie dostrzec, monitorować i zaplanować do badania audytowego.
Metoda mieszana opracowana przez ministerstwo finansów polega na hierarchizacji obszarów i procesów audytu na przykładzie wartości ryzk ważonych, wyliczonych dla poszczególnych obszarów i procesów.
Zarządzanie ryzykiem jako element czynności doradczych audytora wewnętrznego
W trakcie zarządzania ryzykiem należy przewidzieć:
co może stać się nie tak jak zamierzano?
jakie jest prawdopodobieństwo takiego obrotu sprawy?
co się stanie, jeżeli realizacja będzie odmienna od zamierzeń?
co należy zrobić, by usunąć zagrożenie niepożądanych działań?
jak można zmniejszyć prawdopodobieństwo wystąpienia niewłaściwych czynności?
Zarządzanie ryzykiem może być zastosowane do bardzo różnorodnych działań, takich jak przykładowo:
planowanie usług,
planowanie finansowe,
rozwój polityki i strategii,
zmiana organizacyjna,
raporty decyzyjne,
sporządzenie modelu operacyjnego,
wdrażanie projektów,
funkcje i procedury działalności, np. system płatności.
Zarządzanie ryzykiem, to właściwe zarządzanie zasobami, ochrona organizacji i jej klientów oraz środowiska. Jest ono podstawą ładu korporacyjnego.
Podstawowym celem zarządzania ryzykiem jest poprawa wyników finansowych firmy oraz zapewnienie takich warunków, aby nie ponosiła ona strat większych niż założone.
Zarządzanie dotyczy rozpoznawania rodzaju ryzyka, jego pomiaru i kontrolowania. O zarządzaniu ryzykiem można mówić tylko wtedy, gdy ryzyko może zostać skwantyfikowane.
Fazy procesu zarządzania ryzykiem
Kolejne fazy |
Podejmowane działania |
1. Identyfikacja ryzyka: w tym system wczesnego ostrzegania |
• ustalenie przyczyn ryzyka • stwierdzenie możliwych następstw • identyfikacja podmiotów dotkniętych ryzykiem |
2. Analiza ryzyka |
• ustalenie prawdopodobieństwa zaistnienia zdarzenia • ustalenie konsekwencji danego zdarzenia |
3. Sformułowanie wariantów |
• ustalenie możliwych alternatyw • analiza nakładów i kosztów poszczególnych alternatyw (wariantów) |
4. Ocena ryzyka |
• stwierdzenie gotowości oraz ustalenie zdolności podmiotu (spółki) do podejmowania ryzyka • ustalenie faktycznego poziomu ryzyka • kwalifikacja zastosowania możliwych alternatyw do opanowania ryzyka |
5. Decyzje i działania w obszarze ryzyka sterowanie ryzykiem |
• wybór narzędzi • ustalenie priorytetów • zastosowanie optymalnej kombinacji |
6. Kontrola, monitoring i ocena podjętych działań |
• sprawdzenie i ocena ex post skutków podjętych działań • nowe uformowanie procesu zarządzania ryzykiem - w przypadku błędnej decyzji • dalsze korzystanie z narzędzi, które zapewniły sukces w zarządzaniu ryzykiem |
Strategia zabezpieczenia się przed ryzykiem
Możliwe decyzje |
Poziom ryzyka |
Działania wobec ryzyka |
Ponoszenie ryzyka |
Bardzo wysokie |
• przejęcie ryzyka na siebie |
Własne pokrycie ryzyka |
Wysokie |
• tworzenie rezerw z własnego kapitału • kalkulowanie odpowiednich cen |
Dywersyfikacja ryzyka |
Średnie |
• różne sposoby rozproszenia ryzyka na produkty, klientów i rynki |
Kompensacja ryzyka (Hedging) |
Średnie |
• stosowanie instrumentów pochodnych (derywatów) • równoległe transakcje hedgingowe |
Przeniesienie ryzyka |
Małe |
• na partnera • na ubezpieczyciela • na inne podmioty |
Unikanie ryzyka |
brak |
• zaniechanie działania |
Źródło: TT Kaczmarek: Ryzyko i zarządzanie ryzykiem.
Zarządzanie ryzykiem powinno być sprzężone zwrotnie z procesem zarządzania jednostką.
Najczęściej stosowane sposoby na ograniczenie ryzyka, to:
Wkalkulowanie ryzyka w cenę,
Tworzenie rezerw na ryzyko,
Przeniesienie ryzyka przez kontrakt handlowy,
Przeniesienie ryzyka na ubezpieczyciela,
Kompensata ryzyka jednej transakcji w innych transakcjach.
Odpowiedzialność za ryzyko powinno być wpisane do obowiązków kierowników i stanowić element oceny ich pracy.
Wsparcie procesu zarządzania ryzykiem przez szkolenie i rozwój pracowników.
Ocena zarządzania ryzykiem stałym elementem obrad zarządu jednostki.
Zagadnienie ryzyka i zarządzania ryzykiem powinno być stałym porządkiem obrad zarządu, na których omawia się strategię, zatwierdza budżet, analizuje wyniki, planuje i ocenia projekty.
Wykorzystanie dotychczasowych struktur organizacyjnych do zarządzania ryzykiem.
Zwykle w organizacji pracują już specjaliści ds. zarządzania ryzykiem. Powinno się wykorzystać te osoby oraz procedury i nie zaczynać od nowa tworzenia procedur zarządzania ryzykiem.
10