Audytor wewnętrzny doradcą kierownika jednostki

Sylwetka zawodowa audytora wewnętrznego

Zgodnie z art. 58 ustawy o finansach publicznych audytorem może być oso­ba, która:

1. Ma obywatelstwo państwa członkowskiego Unii Europejskiej, Konfede­racji Szwajcarskiej lub państwa członkowskiego Europejskiego Porozumienia o Wolnym Handlu (EFTA) - strony umowy o Europejskim Obszarze Gospodar­czym, chyba że przepisy odrębne uzależniają zatrudnienie w jednostce sektora finansów publicznych od posiadania obywatelstwa polskiego;

2. Ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw pu­blicznych;

3. Nie była karana za umyślne przestępstwo lub umyślne przestępstwo skar­bowe;

4. Posiada wyższe wykształcenie;

5. Posiada następujące kwalifikacje zawodowe do przeprowadzenia audytu wewnętrznego:

1. certyfikaty: Certified Internal Auditor (CIA), Certified Government Auditing Professional (CGAP), Certified Information Systems Audi­tor (CISA), Association of Chartered Certified Accountants (ACCA), Certified Fraud Examiner (CFE), Certification in Control Self-Assessment (CCSA), Certified Financial Services Auditor (CFSA) lub Char­tered Financial Analyst (CFA),

2. ukończyła aplikację kontrolerską i złożyła egzamin kontrolerski z wy­nikiem pozytywnym przed komisją egzaminacyjną powołaną przez Pre­zesa Najwyższej Izby Kontroli,

3. złożyła z wynikiem pozytywnym egzamin kwalifikacyjny na stanowi­sko inspektora kontroli skarbowej,

4. uprawnienia biegłego rewidenta.

Niektóre organizacje zamiast „audytor wewnętrzny” używają terminu „analityk kon­trolny" (ang. control analyst) lub „analityk systemów" (ang. system analyst). GAO nazywa audytorów wewnętrznych ewaluatorami (ang. evaluators).

Karta audytu wewnętrznego mówi, że audytor wewnętrzny:

1. Jest uprawniony do przeprowadzania audytu wewnętrznego we wszyst­kich obszarach działalności jednostki;

2. Ma zagwarantowane prawo dostępu do wszelkich dokumentów i materia­łów, do wszystkich pracowników oraz wszelkich innych źródeł informacji po­trzebnych do przeprowadzenia audytu wewnętrznego, z zachowaniem przepi­sów o tajemnicy ustawowo chronionej;

3. Ma zagwarantowane prawo dostępu do pomieszczeń jednostki z zachowa­niem przepisów o tajemnicy ustawowo chronionej;

4. Ma prawo żądać od kierowników i pracowników komórek organizacyj­nych informacji oraz wyjaśnień w celu zapewnienia właściwego i efektywnego prowadzenia audytu wewnętrznego;

5. Może z własnej inicjatywy składać wnioski mające na celu usprawnienie funkcjonowania jednostki;

6. Nie jest odpowiedzialny za procesy zarządzania ryzykiem i procesy kontro­li wewnętrznej w jednostce, ale poprzez ustalenia i zalecenia poczynione w wy­niku przeprowadzenia audytu wewnętrznego, wspomaga kierownika jednostki we właściwej realizacji tych procesów;

7. Nie jest odpowiedzialny za wykrywanie przestępstw, ale powinien posia­dać wiedzę pozwalającą mu zidentyfikować znamiona przestępstwa;

8. Nie może przyjmować takich zadań lub uprawnień, które wchodzą w za­kres zarządzania jednostką;

9. W zakresie wykonywania swoich zadań współpracuje z audytorami ze­wnętrznymi, a także z kontrolerami najwyższej izby kontroli.

Audytor wewnętrzny obecnie wspomaga kierownictwo jednostki gospodarczej i doradza mu w procesie podejmowania decyzji. Audytorzy wewnętrzni powin­ni mieć wiedzę o umiejętnościach behawioralnych. W ich pracy najważniejsza jest umiejętność identyfikacji wartości ludzkich oraz mechanizmów obronnych, potrzeb ludzkich, a także czynników odpowiedzialnych za zmianę postaw. Au­dytorzy wewnętrzni powinni ponadto dokładnie rozumieć proces decyzyjny na poziomie kierownictwa.

Cechy audytora wewnętrznego

Audytor wewnętrzny powinien być przede wszystkim niezależny, obiektywny i profesjonalny.

Niezależność jest jedną ze standardowych cech audytora. Oznacza ona możliwość samodzielnego decydowania o podejmowanych zadaniach i sposo­bach ich realizacji. Audytor określa zakres badania i komórki, w których będzie je prowadził. Audytor wewnętrzny powinien być zatrudniony na podstawie umo­wy o pracę, dlatego będzie podlegał kierownikowi jednostki.

Zgodnie z z art. 51 ust. 8 pkt 3 ustawy o finansach publicznych „audytor wewnętrzny podlega bez­pośrednio kierownikowi jednostki, który zapewnia organizacyjną odrębność wy­konywania przez audytora zadań określonych w ustawie".

Organizacyjna odręb­ność oznacza, że audytor wewnętrzny lub komórka audytu wewnętrznego (w przypadku zatrudnienia większej liczby audytorów) muszą tworzyć samodziel­ne stanowisko, biuro, zespół, departament audytu i nie mogą być włączeni do innych komórek organizacyjnych.

Audytor wewnętrzny nie powinien być narażony na próby naruszenia obsza­rów audytu, wpływania na sposób wykonywania pracy i przekazywania wyni­ków. Musi mieć zagwarantowany nieograniczony dostęp do wszystkich doku­mentów z zachowaniem przepisów o ochronie informacji niejawnych, do wszyst­kich pracowników i innych źródeł informacji potrzebnych do przeprowadzania audytu.

Obiektywizm audytora wewnętrznego oznacza, że w początkowej for­mie wykonywania zadania audytowego skupia się on na ustaleniu stanu fak­tycznego w zakresie badanego przedmiotu. Istotne jest, aby fakty stwierdzo­ne w czasie wykonywania audytu były udowodnione. Dowody potwierdza­jące przeprowadzone badania powinny być dołączone do akt bieżących. Spra­wozdanie po przeprowadzeniu audytu powinno zawierać odsyłacze do akt bie­żących. Stan faktyczny jest ustalany z zachowaniem należytej staranności za­wodowej, po wykonaniu wszystkich możliwych w danym momencie czyn­ności, przy zaangażowaniu całej wiedzy, doświadczenia i umiejętności.

Pro­fesjonalizm audytora wewnętrznego. Od audytora wymaga się wiedzy z za­kresu audytu wewnętrznego, finansów publicznych, rachunkowości, administra­cji publicznej. Dobrym rozwiązaniem jest specjalizowanie się audytorów w róż­nych dziedzinach, na przykład w finansach, rachunkowości, prawie, informa­tyce, ekonomikach branżowych. Dla zapewnienia profesjonalizmu każdy au­dytor wewnętrzny ma obowiązek poszerzać swoją wiedzę i umiejętności przez stałe szkolenie zawodowe, wynikające z planu szkoleń. Plan szkoleń powinien uwzględniać potrzeby komórki audytu wewnętrznego.

Bezstron­ność, rzetelność i staranność.

Dla zachowania bezstronności audytor wewnętrzny nie powinien co najmniej przez dwa lata oceniać działalności jednostki, za którą był uprzednio odpowie­dzialny. Udział audytora wewnętrznego w badaniu działań, za które odpowiada kierownik komórki audytu wewnętrznego, powinien podlegać nadzorowi oso­by niezatrudnionej w tej komórce. O każdym rzeczywistym lub domniemanym naruszeniu bezstronności audytor wewnętrzny (kierownik KAW) powinien informować kierownika jednostki.

Zakres obowiązków audytora wewnętrznego

Obowiązki i zakres odpowiedzialności au­dytora wewnętrznego:

1. Programuje, kieruje i uczestniczy w wykonywaniu audytu w wyznaczonym obszarze, za który odpowiada;

2. Interpretuje zasady i procedury oraz stosuje profesjonalne zasady i stan­dardy rachunkowości oraz audytu do testowania i oceny złożonych systemów ewidencji finansowej i systemów operacyjnych;

3. Identyfikuje i analizuje przyczyny nieekonomicznych i nieefektywnych praktyk; ocenia alternatywne rozwiązania, które mogą przynieść pożądane rezultaty;

4. Opracowuje zalecenia w celu doprowadzenia programów i działań do zgodności z celami organizacji oraz redaguje sprawozdania dokumentujące ustalenia;

5. Przeprowadza badania w celu identyfikacji ustaw i rozporządzeń lub przegląda podręczniki prawne, aby ustalić, czy oceniany program jest zgodny z prawem;

6. Posługuje się komputerem do wykonywania statystycznych analiz da­nych;

7. Przygotowuje dokumenty robocze, zestawienia i podsumowania;

8. Wykonuje inne zlecone czynności.

Zakres zastosowań audytu wewnętrznego

Audyt wewnętrzny jako element corporate governance

Na rozwój audytu wewnętrznego duży wpływ wywarło przyjęcie zasad ładu (nadzoru) korporacyjnego - corporate governance - wydanych przez Organiza­cję Współpracy Gospodarczej i Rozwoju (OECD) w kwietniu 1999 roku.

Nadzór korporacyjny wiąże się z istnieniem sieci relacji między kadrą kie­rowniczą spółek, zarządem, radą nadzorczą akcjonariuszami i innymi grupami interesu. Ponadto tworzy strukturę, za której pośrednictwem ustalane są cele spół­ki, środki na ich realizację i środki motywowania wyników.

Wielka Brytania

Przy określaniu zasad corporate governance oparto się na istniejących w Wiel­kiej Brytanii dobrych praktykach nadzoru korporacyjnego, do których można zaliczyć

• Raport Cadbury'ego,

• Raporty Greenbury'ego i Hampela,

• Połączone zasady

• Raport Turnbulla.

Raport Cadbury'ego - 1.12.1992 - Komi­tet ds. Finansowych Aspektów Nadzoru Korporacyjnego, powołany przez Radę Sprawozdawczości Finansowej, Londyńską Giełdę Papierów Wartościowych oraz biegłych rewidentów w celu sformułowania zaleceń w sprawie określenia pod­stawowych zasad, które zobligowałyby dyrektorów do zapewnienia odpowied­niej kontroli nad działalnością spółki.

Ustalenia RC:

• Wobec prawa zarząd i rada nadzor­cza są odpowiedzialni za gospodarowanie majątkiem spółki oraz zapewnienie niezbędnej i skutecznej kontroli nad jej działalnością.

• Wszystkie spółki publiczne ustanowiły komitety audytu, podporządkowane bezpośrednio radzie nadzorczej.

• Komitety audytu powinny być niezależne, obiektywne i mieć upoważnienie do przepro­wadzenia dochodzenia w każdej sprawie oraz niezbędne do tego środki.

Połączone zasady 1998

Obowiązujące reguły notowania spółek na giełdach nadały rangę regula­cji prawnych. Kierownictwo firmy powinno co najmniej raz w roku przeprowadzić ocenę efektywności systemu kontroli wewnętrznej oraz zawrzeć w sprawozdaniu ad­resowanym do udziałowców informację o przeprowadzeniu takiej oceny. Należy również powołać komitet audytu, w którego składzie powinno być co najmniej trzech członków rad nadzorczych.

Raport Turnbulla 1999 Anglia i Walia

Krótkie i zwięzłe, kilkunastostronicowe opracowanie Kontrola wewnętrz­na. Przewodnik dla dyrektorów odnoszący się do Połączonych zasad - zwane Raportem Turnbulla (od nazwiska przewodniczącego komisji przygotowują­cej to opracowanie Nigela Turnbulla), zostało wydane przez Instytut Biegłych Rewidentów Anglii i Walii we wrześniu 1999 roku.

• system kontroli wewnętrznej odgrywa kluczową rolę w zarządzaniu ryzykiem, które z kolei istotnie wpływa na realizację celów gospodarczych.

• Dobry system kontroli wewnętrznej ogranicza, lecz nie eliminuje, moż­liwości podejmowania błędnych decyzji, omijania procedur i unieważnienia wyników kontroli.

• Kierownictwo firmy powinno wyegzekwować otrzymywanie sprawozdań dotyczących efektywności kontroli wewnętrznej i dopilnować przeprowadze­nia corocznej oceny systemu kontroli wewnętrznej.

• W sprawozdaniu z działalności kierownictwo powinno stwierdzić, że w spółce wdrożono proces ciągłego identyfikowania, oceny i zarządzania ryzykiem, że funkcjonował on w okresie objętym danym sprawozdaniem i jest monitorowany przez zarząd.

• Zalecenia dotyczące rozważenia potrzeby utworzenia komórki audytu wewnętrznego.

Stany Zjednoczone

Nagłe i niespodziewane upadki dużych firm (Enron, WorldCom, Anders, Parmalat, Ahold) oraz ujawnione przy tym nieprawidłowości i oszustwa spowodowały, że Kongres Stanów Zjednoczonych uchwalił 30 lipca 2002 roku ustawę Sarbanesa-Oxleya (SOX), od nazwisk dwóch amerykańskich senatorów".

Głównym celem SOX było przywrócenie zaufania inwe­storów poprzez znaczne zaostrzenie wymogów wobec kluczowych graczy na ryn­ku finansowym w zakresie efektywności kontroli wewnętrznej podmiotów zareje­strowanych w US Sécurités and Exchange Commission (SEC).

O efektywności kontroli wewnętrznej traktuje Dział 404 SOX, w którym określono warunki zapewniające efektywność kontroli wewnętrznej nad spra­wozdawczością finansową.

Ustawa narzuca obowiązek opracowywania kwartalnych i rocznych sprawoz­dań, które powinny być zatwierdzone przez prezesa zarządu lub dyrektora do spraw finansowych i zawierać stwierdzenia, że:

1. osoby, które podpisały sprawozdanie, zapoznały się z jego treścią;

2. osoby te są przekonane, na podstawie posiadanej wiedzy, że sprawozdanie nie zawiera stwierdzeń nieprawdziwych oraz nie ujęto w nim żadnej istotnej kwestii;

3. osoby te są przekonane, że dane finansowe zawarte w sprawozdaniu rze­telnie oddają sytuację finansową spółki;

4. osoby te ponoszą odpowiedzialność za kontrolę wewnętrzną w spółce;

5. osoby te oceniły efektywność kontroli wewnętrznej w okresie 90 dni po­przedzających wydane sprawozdania;

6. zdaniem osób podpisujących kontrola wewnętrzna w spółce jest efektyw­na.

Zgodnie z wymogami Działu 404 dyrektor generalny (prezes zarządu) i dy­rektor finansowy spółki mają obowiązek dołączyć do rocznego sprawozdania fi­nansowego oświadczenia dotyczące systemu kontroli wewnętrznej spółki okre­ślające:

1. odpowiedzialność kierownictwa za ustalenie i utrzymywanie odpowiednich mechanizmów sprawozdawczości finansowej spółki;

2. ocenę kierownictwa na temat skuteczności kontroli wewnętrznej spółki oraz procedur sprawozdawczości finansowej na koniec ostatniego roku obro­towego spółki;

3. fakt, że biegły rewident zatrudniony przez spółkę poświadczył ocenę kontroli wewnętrznej i procedur sprawozdawczości finansowej przez kierownictwo.

Ponadto Dział 404 precyzuje, że:

• ocena kierownictwa musi opierać się na procedurach wystarczających do oceny systemu i zbadania efektywności kontroli,

• kierownictwo powinno przechowywać dokumentację będącą podstawą oce­ny systemu kontroli wewnętrznej przez 7 lat (norma ISO 15489),

• jeżeli wystąpią istotne słabości kontroli wewnętrznej, to kierownictwo nie może stwierdzać, że jest ona skuteczna.

Komisja Europejska

Proponuje przyjęcie nowej dyrektywy o ustawowych rewizjach finansowych, opartej na ustawie Sarbanesa-Oxieya, która precyzowa­łaby zakres obowiązków biegłych rewidentów prowadzących badania sprawozdań finansowych, podkreślając zasady etyczne mające zapewnić obiektywizm i niezależność biegłych. Państwa członkowskie UE mogłyby na swoim teryto­rium wprowadzić przepis nakazujący obowiązkową zmianę co siedem lat biegłe­go rewidenta badającego księgi.

Firmy poddane audytowi zewnętrznemu miałyby obowiązek powołania komi­sji audytu złożonych z osób niezależnych, które sprawowałyby nadzór nad pro­cesem rewizji ksiąg i pozostawały w bezpośrednim kontakcie z biegłym rewi­dentem. Komisje te mogłyby dokonywać wyboru biegłych rewidentów i przed­stawić kandydatów do zatwierdzenia przez udziałowców firmy.

Zamiarem Komisji Europejskiej jest wprowadzenie na obszarze Unii Europejskiej międzynarodowych standardów dla wszystkich ustawowo wymaganych audytów.

Polska

Zasady przygotował Komitet Dobrych Praktyk Forum Corporate Governan­ce i zostały one przyjęte przez Warszawską Giełdę Papierów Wartościowych w 2002 roku. Formułują one zasady dotyczące organizacji funkcjonowania trzech głównych organów spółki: walnych zgromadzeń, rad nadzorczych i zarządów. Członkowie rad nadzorczych powinni posiadać stosowne wykształcenie, do­świadczenie zawodowe, ugruntowaną pozycję zawodową oraz reprezentować wysoki poziom moralny.

Wszyscy biegli rewidenci i firmy audytorskie byliby sprawdzani pod kątem jakości świadczonych usług. Firmy zajmujące się audytem spółek giełdowych, banków lub firm ubezpieczeniowych musiałyby przedstawiać coroczne raporty szczegółowo prezentujące ich własną działalność, ujawniające ich międzyna­rodowe powiązania oraz opisujące świadczone przez siebie usługi, niebędące rewizją ksiąg. Raporty te musiałyby zawierać między innymi opis stosowanych rozwiązań w zakresie governance i system zapewnienia odpowiedniej jakości usług oraz oświadczenie zarządu o skuteczności tych rozwiązań.

­ Proponowane przez Komisję Europejską Międzynarodowe Standardy Audytu (ang. International Standards on Auditing - ISA) zyskały akceptację ACCA (ang. Association of Chartered Certified Accountants) z zastrzeżeniem, że powinny być wdrożone po ich zatwierdzeniu przez Radę Międzynarodowych Standardów Re­wizji Finansowej i Prac Poświadczających (ang. International Auditing and Assu­rance Standards Board- IAASB) i nie mogą podlegać procedurze zatwierdzenia równie skomplikowanej jak Międzynarodowe Standardy Rachunkowości.

Audyt wewnętrzny jako źródło monitoringu przedsiębiorstwa

Corporate governance (ład korporacyjny), rozumiany jako system służący efek­tywnemu, kompleksowemu kierowaniu i kontrolowaniu przedsiębiorstw, zakła­da optymalne zastosowanie wszystkich instrumentów monitoringu przedsiębiorstw, a także rozbudowany audyt wewnętrzny.

Wymagania wobec audytu wewnętrznego są coraz większe ze względu na dynamiczne otoczenie przedsiębiorstwa i potrzeby zgłaszane przez komitet audytu, radę nadzorczą i kierownictwo operacyjne

Odpowiedzialność i przejrzystość są filarami ładu korporacyjnego. Poza tradycyjnym, rocznym sprawozdaniem finansowym wymagane są dobrowolnie publikowane ilościowe i jakościowe informacje o przedsiębiorstwie. Czytelni­cy sprawozdania finansowego chcieliby mieć pewność, że podane w nim infor­macje są prawdziwe i przedstawiają godny zaufania obraz firmy.

Monitoring przedsiębiorstwa powinien być permanentny i tak skonstruowa­ny, by wszystkie funkcje zarządzania wzajemnie się uzupełniały i jak najlepiej zabezpieczały przed ryzykiem.

Outsourcing audytu wewnętrznego

Wiele rodzajów usług doradczych i kontrolnych świadczonych przez audyto­rów zewnętrznych w ramach outsourcingu może negatywnie wpływać zarówno na obraz niezależności audytorów, jak i na faktyczną niezależność.

Aby zminimalizować ryzyko prawne firmy księgowej i zwiększyć zdolność korporacji do wykrywania i zgłaszania w odpowiednim czasie oszustw w spra­wozdaniach finansowych, AICPA i Amerykańska Komisja Papierów Warto­ściowych i Giełd (ang. US Securities and Exchange Commission - SEC) zale­ciły wyeliminowanie outsourcingu audytu wewnętrznego we wszystkich spół­kach publicznych.

Zamiast tego spółki powinny mieć własne pełnoprawne ko­mórki audytu wewnętrznego i zlecać firmom księgowym tylko specjalistyczne zadania (cosourcing), wspomagające zapewnienie światowej klasy audytu we­wnętrznego.

Zastosowanie analizy ryzyka w audycie wewnętrznym

Pojęcie ryzyka

Międzynarodowe standardy audytu wewnętrznego w glosariuszu definiują ryzyko jako możliwość zdarzenia, która będzie miało wpływ na realizację zało­żonych celów. Ryzyko jest mierzone wpływem (siłą oddziaływania) oraz praw­dopodobieństwem wystąpienia.

Identyfikacja ryzyka

Ryzyko można zdefiniować jako element związany ze zdarzeniem lub działa­niem, które wpłynie na zdolność organizacji do realizacji celów jej działalności. Może mieć charakter negatywnego zagrożenia lub pozytywnej możliwości.

W procesie identyfikacji ryzyka brane są pod uwagę zmienne z otoczenia ze­wnętrznego i wewnętrznego.

Z otoczenia zewnętrznego rozważane są czynniki związane z:

• infrastrukturą np. zakłócenia w dostawach energii, przerwy w łączności telefonicznej, dostępie do Internetu, zakłócenia w dojazdach pracowników,

• warunkami ekonomicznym, np. zmiany stóp procentowych, kursów wa­lut, poziomu inflacji,

• zmianami politycznymi, np. zmiana rządu, władz samorządowych,

• środowiskiem prawnym, np. zmiana przepisów prawa, brak regulacji praw­nych, niejasne przepisy,

• środowiskiem naturalnym, np. katastrofy ekologiczne, protesty społeczne,

• zdarzeniami losowymi, np. pożar, powódź, trzęsienie ziemi,

• umowami z kontrahentami, np. monopolistyczna pozycja dostawcy, wy­muszone długie terminy płatności,

• konkurencją np. nowe technologie, niższe ceny zbytu,

• innymi zagrożeniami, np. terroryzm, lobbing, presja społeczna lub poli­tyczna.

Z otoczenia wewnętrznego należy rozważyć czynniki związane z:

• specyfiką działalności podstawowej jednostki, np. skomplikowanie dzia­łalności, kompetencje zawodowe pracowników,

• przepływem informacji, np. naruszanie poufności informacji, utrata informa­cji, niewłaściwe opracowanie informacji na potrzeby podejmowania decyzji,

• stabilnością działalności jednostki, np. zmiana rozmiarów i charakteru działalności,

• technologią wytwarzania, np. zakłócenia w procesie produkcji, wdraża­nie nowych technologii,

• jakością zespołu zarządzającego, np. częste zmiany na stanowiskach kie­rowniczych, niewystarczające kwalifikacje kierownictwa,

• organizacją jednostki, np. niewłaściwa struktura organizacyjna, brak za­kresów czynności dla poszczególnych stanowisk pracy,

• zarządzaniem zasobami ludzkimi, np. niskie wymagania, brak systemu motywacyjnego, brak szkoleń,

• wielkością środków finansowych jednostki, np. zmiana źródeł finansowa­nia, projekty inwestycyjne, problemy finansowe głównych klientów.

Kategorie ryzyka

Kategorie ryzyka strategicznego

• Polityczne - związane z brakiem możliwości świadczenia usług zgodnie z wymaganiami władz cen­tralnych lub samorządowych.

• Ekonomiczne - mające wpływ na zdolność organizacji do realizacji zobowiązań finansowych. Ry­zyko to obejmuje czynniki takie jak wewnętrzne naciski budżetowe, brak wykupionej polisy ubez­pieczeniowej oraz zmiany ogólnej sytuacji gospodarczej.

• Społeczne - dotyczące skutków zmian tendencji demograficznych, społeczno-gospodarczych oraz odnoszących się do miejsca zamieszkania.

• Technologiczne - związane ze zdolnością organizacji do nadążenia za tempem/skalą zmian tech­nologicznych lub możliwością wykorzystania odpowiednich technologii, by sprostać zmianom po­pytu. Ryzyko to może obejmować oddziaływanie wewnętrznych niepowodzeń technologicznych na zdolność organizacji do realizacji jej celów.

• Legislacyjne - związane z bieżącymi lub możliwymi zmianami w ustawodawstwie krajowym lub europejskim.

• Środowiskowe - dotyczące konsekwencji środowiskowych wynikających z realizacji celów organi­zacji, np. wydajności energetycznej, hałasu, zanieczyszczenia lub skażenia.

Kategorie ryzyka operacyjnego

Kategorie ryzyka operacyjnego

• Finansowe - związane z planowaniem finansowym i kontrolą.

• Prawne - dotyczące ewentualnego naruszenia przepisów prawa.

• Zawodowe - związane z charakterem konkretnego zawodu, np. usługi społeczne związane z pomo­cą społeczną dla młodych osób.

• Fizyczne - dotyczące pożaru, bezpieczeństwa, zapobiegania wypadkom oraz kwestii ochrony zdro­wia i bezpieczeństwa osób , np. zagrożenia dla budynków, pojazdów, zakładów lub sprzętu, itd.

• Umowne - związane z brakiem realizacji usług lub dostarczenia produktów przez dostawców we­dług uzgodnionej ceny i specyfikacji.

• Technologiczne - dotyczące uzależnienia instytucji od sprzętu wykorzystywanego w jej działalno­ści, np. systemów informatycznych lub sprzętu i maszyn.

• Środowiskowe - dotyczące hałasu lub energooszczędności bieżącej działalności usługowej.

Każde zidentyfikowane ryzyko powinno być poddane analizie pod kątem jego możliwych skutków i prawdopodobieństwa wystąpienia. Po zidentyfiko­waniu ryzyka, należy je poddać analizie, w trakcie której następuje:

• określenie przyczyn i skutków ryzyka,

• sprawdzenie ryzyka krzyżowego (duplikacji i eskalacji ryzyka),

• oddzielenie niewielkiego ryzyka od istotnego ryzyka,

• ocena rodzaju i kategorii ryzyka,

• powiązanie ryzyka z celami organizacji.

Określenie przyczyn i skutków ryzyka umożliwia określenie przyszłej me­tody zarządzania ryzykiem. Przyczynami ryzyka mogą być przykładowo straj­ki, brak zapasów surowców, a skutkami ryzyka - straty finansowe, brak ochro­ny zdrowia i bezpieczeństwa pracowników lub działania niezgodne z prawem i utrata dobrego wizerunku jednostki.

Ryzyko krzyżowe polega na tym, że niektóre zidentyfikowane rodzaje ryzy­ka mogą powtórzyć się przy wykonywaniu wielu różnych czynności w innych jednostkach organizacyjnych. Tylko podjęcie kompleksowych działań przeciw­działających ryzyku, identycznych we wszystkich jednostkach organizacyjnych, pozwoli na jego ograniczenie lub eliminację. Fragmentaryczne działania kierow­ników poszczególnych jednostek, nieskoordynowane w system, nie przyniosą oczekiwanych efektów.

Podstawą podziału ryzyka na niewielkie i istotne jest siła jego oddziaływania, prawdopodobieństwo wystąpienia i skuteczność mechanizmów kontrolnych.

Oceniając rodzaj i kategorię ryzyka można wyróżnić ryzyko strategicz­ne i operacyjne. Do każdego z nich stosuje się różne metody polityki zarządza­nia ryzykiem.

Cele i priorytety organizacji wskazują na możliwość powstania ryzyka. Pozwala to określić obszary, z którymi:

• wiąże się duże ryzyko wymagające bardziej rygorystycznego zarządza­nia w przyszłości,

• nie wiąże się żadne lub prawie żadne ryzyko lub nie zostało ono jeszcze zidentyfikowane.

Identyfikacja ryzyka może się odbywać:

• odgórnie, gdy kierownictwo wyższego szczebla określa obszary i rodza­je ryzyka,

• oddolnie, gdy kierownictwo średniego szczebla oraz pracownicy ujawnia­ją ryzyko występujące w ich dziale przy wykonywaniu zadań.

Nie ma jednej uniwersalnej metody identyfikacji ryzyka. Zawsze trzeba wziąć pod uwagę doświadczenie, wielkość i charakter organizacji, co umożliwi zrozumienie wszystkich rodzajów ryzyka, na które jest ona narażona, na każdym etapie realizacji celów.

W ocenie ryzyka istotną rolę pełni wyznaczenie:

• obszarów audytu,

• obszarów ryzyka,

• miary ryzyka.

Audytor wewnętrzny identyfikuje według własnej zawodowej oceny (ang. proffesional judgement) obszary ryzyka, czyli procesy, zjawiska lub problemy wymagające przeprowadzenia audytu. Dokonując analizy napływających infor­macji, audytor zwraca uwagę na newralgiczne, wrażliwe punkty w działalności jednostki, którymi mogą być przykładowo:

• działania jednostki, które mogą wpływać na opinię publiczną

• cele i zadania jednostki,

• przepisy prawne dotyczące działania jednostki,

• liczba, rodzaj i wielkość dokonywanych operacji finansowych,

• wielkość majątku, którym dysponuje jednostka, itp.

Obszar audytu to każdy obszar działania jednostki, w obrębie którego wyod­rębniono obszary ryzyka.

Obszar ryzyka to procesy, zjawiska lub problemy wyma­gające przeprowadzenia audytu.

Miary ryzyka to skala ocen wysokości ryzyka.

Organizacja może zidentyfikować ryzyko za pomocą:

1. „burzy mózgów",

2. kwestionariuszy,

3. posiadanego doświadczenia i prognoz na przyszłość.

Wymienione sposoby mogą być wykorzystywane osobno lub łącznie, lecz ich zastosowanie powinno być udokumentowane.

„Burza mózgów" polega na udziale osób z różnych szczebli organizacji w sesjach, na których odbywa się sterowanie dyskusją. Punktem wyjścia jest identyfikacja ryzyka związanego z realizacją celów strategicznych i operacyj­nych.

Aby „burza mózgów" była skuteczna należy przestrzegać następujących za­sad:

1. Przygotowując się do sesji kierownicy oraz pracownicy powinni mieć możliwość rozważania oddziaływania ryzyka na działalność organizacji. Uła­twieniem będzie sporządzenie szablonów identyfikacji ryzyka, przekazanych uczestnikom przed sesją.

2. Uczestnikom sesji wyznacza się czas niezbędny do omówienia ryzyka, jego przyczyn i skutków.

3. W czasie sesji uczestnicy powinni być zachęcani do dyskusji, przy czym wyniki sesji należy rejestrować i nie przekraczać wyznaczonych ram godzino­wych dyskusji.

4. Każdy uczestnik sesji może bezpiecznie zadawać pytania lub określać ry­zyko, bez obawy o reperkusje.

5. Wyniki sesji po zapisaniu są przekazywane uczestnikom do weryfikacji, co umożliwi wyjaśnienie lub poszerzenie opisów ryzyka.

Kwestionariusz, to metoda polegająca na sporządzeniu listy pytań, któ­ra umożliwi identyfikację obszarów ryzyka. Sporządzenie kwestionariusza za­wierającego wszystkie kwestie ryzykowne w organizacji nie jest możliwe, ale kwestionariusze prowokują do dyskusji o ryzyku. Kwestionariusze powinny być okresowo weryfikowane.

Kwestionariusz identyfikacji obszarów ryzyka

Identyfikacja ryzyka	Występowanie ryzyka Tak/Nie	Opis ryzyka
Potencjał organizacji Nieobsadzone główne stanowiska? Duża zawodność pracowników? Niska motywacja pracowników? Słaby program szkoleń? Wysoka rotacja pracowników? Niski budżet? Rosnące wymagania płacowe? Wyniki finansowe organizacji Słabe planowanie? Brak standardów wydajności? Słabe wyniki organizacji partnerskich? Kwestie prawne Rosnąca liczba spraw sądowych? Rosnąca ilość informacja o działaniach niezgodnych z prawem? Niekorzystne umowy z kontrahentami?

Informacje, któ­re mogą wskazać obszary ryzyka to:

1. Skargi pracowników i kontrahentów, jeżeli wykazują tendencję wzrostu ponad normalny poziom zażaleń.

2. Raporty z audytu wewnętrznego i kontroli wewnętrznej, które wskazują istotne zaburzenia w funkcjonowaniu organizacji. Konieczne jest sprawdzenie, czy rekomendacje kontrolujących zostały skutecznie wdrożone, a uwagi wyko­rzystane.

3. Szkody ubezpieczeniowe mieszczące się w ramach posiadanych polis i wykraczające poza te ramy. Być może pojawiły się nowe rodzaje rydzyka, na które organizacja nie jest przygotowana lub zakres ubezpieczeń jest zbyt szero­ki i jednostka niepotrzebnie ponosi wysokie koszty ubezpieczeń.

4. Dzienniki wypadków, z których wynika ilość wypadków i reakcje po ich zaistnieniu,

5. Prognozy budżetowe i finansowe, które informują o wysokości budże­tu, jego strukturze i jakości. Sprawdzeniem jakości budżetowania jest jego po­równanie z realizacją.

6. Opóźnienia projektowe (programowe) wynikające z problemów z zaso­bami, wykonawcami, finansami. Organizacja powinna przeciwdziałać opóźnie­niom na bieżąco i skutecznie.

7. Ryzyko zgłoszone przez inne organizacje z podobnej branży, które po­służy do celów porównawczych i może ustrzec przed podobnym ryzykiem.

8. Ankiety zadowolenia klientów i pracowników informują o efektach dzia­łań podejmowanych w celu podniesienia jakości produkcji i wydajności pracy.

9. Zmiany populacji mogą informować o przyszłych oczekiwaniach klien­tów i pracowników. Przygotowanie się do tych zmian wymaga kilkuletnich przy­gotowań.

10. Doniesienia medialne, z których wynika jak organizacja jest postrzegana w otoczeniu lokalnym, regionalnym lub ogólnokrajowym. W przypadku złego wizerunku należy zidentyfikować przyczyny i określić sposoby jego poprawy.

Identy­fikując obszary ryzyka w celu przygotowania planu audytu wewnętrznego, au­dytor powinien brać pod uwagę następujące czynniki:

1. Cele i zadania jednostki,

2. Przepisy prawne dotyczące funkcjonowania jednostki,

3. Wyniki wcześniej przeprowadzonych audytów lub kontroli,

4. Wyniki wcześniej dokonywanej oceny adekwatności, efektywności i sku­teczności systemów kontroli, w tym kontroli finansowej,

5. Wewnętrzne i zewnętrzne czynniki ryzyka mające wpływ na realizację celów jednostki,

6. Uwagi pracowników jednostki,

7. Liczbę, rodzaj i wielkość dokonywanych operacji finansowych,

8. Możliwość dysponowania przez jednostkę środkami pochodzącymi ze źródeł zagranicznych, niepodlegających zwrotowi, ze szczególnym uwzględ­nieniem wymogów dawcy,

9. Liczbę i kwalifikacje pracowników jednostki,

10. Działania jednostki, które mogą wpływać na opinię publiczną

11. Sprawozdania finansowe oraz sprawozdania z wykonania budżetu.

W ramach obszarów ryzyka audytor wewnętrzny wyodrębnia zadania audytowe, czyli procesy, które wymagają oceny i uporządkowania. Przykładowo, w ramach obszaru ryzyka, jakim jest rachunkowość budżetowa, audytor we­wnętrzny wyodrębnił jako zadania audytowe:

• ocenę polityki (zasad) rachunkowości,

• ocenę dokumentacji operacji gospodarczych,

• ocenę terminowości i prawidłowości sprawozdawczości finansowej i bu­dżetowej,

• ocenę komputeryzacji rachunkowości.

Metody analizy i oceny ryzyka

W związku z ograniczeniami czasowymi i kadrowymi nie można w krótkim czasie przeprowadzić audytu wszystkich obszarów. Konieczne jest ustalenie hie­rarchii priorytetów audytu, biorąc pod uwagę:

1. Czas niezbędny do przeprowadzenia:

• Zadań audytowych,

• Czynności organizacyjnych,

2. Czas przeznaczony na szkolenie osób zatrudnionych na stanowiskach zwią­zanych z przeprowadzaniem audytu wewnętrznego,

3. Dostępne zasoby ludzkie i rzeczowe,

4. Rezerwę czasową na nieprzewidziane działania,

5. Szacunkowe koszty realizacji audytu wewnętrznego.

Audytor wewnętrzny może wykorzystać wiele metod oceny ryzyka.

Ocena ryzyka w celu ustalenia kolejności zadań audytowych może być ustalana:

• metodą szacunkową

• metodą matematyczną

• metodą mieszaną.

Metoda szacunkowa (delficka) oznacza szacowanie ryzyka na bazie doświadcze­nia audytora. Do zalet tej metody należy łatwość stosowania, niewymagająca skomplikowanego procesu obliczeniowego. Wadą metody szacunkowej jest trudność precyzyjnego określenia poziomu ryzyka. Doświadczenie audy­tora może nie odpowiadać aktualnym tendencjom gospodarczym, a ponadto jest to osąd zawsze subiektywny. Sposobem ograniczenia subiektywności jest zastosowanie metody delfickiej (eksperckiej), która jest uważana za techni­kę opracowywania długoterminowych prognoz, dotyczących wybranego pro­blemu lub zjawiska190.

Etapy metody delfickiej

1. Utworzenie grupy ekspertów

2. Przypisanie punktów zadaniom przez każdego członka grupy

3. Sumowanie punktów dla poszczególnych zadań

4. Hierarchizacja zadań audytowych

5. Ustalenie wyniku w procentach

6. Wytypowanie zadań do audytu

Założenia:

Audytor sporządził listę dwunastu zadań audytowych. Zadaniem grupy pięciu ekspertów jest wybór czterech zadań audytowych, które powinny być audytowane w pierwszej kolejności.

Analiza ryzyka metodą delficką

Zadanie audytowe	Audytorzy					Suma uzyskanych punktów	Pozycja w rankingu	Ocena ryzyka
		A	B	C	D				E
Zadanie audytowe nr 1	3	3	2	1	4	13	11	25,5%
Zadanie audytowe nr 2	5	4	4	2	2	17	10	33,3%
Zadanie audytowe nr 3	1	5	1	4	1	12	12	23,5%
Zadanie audytowe nr 4	4	9	8	3	5	29	7	56,9%
Zadanie audytowe nr 5	9	6	3	5	3	26	8	50,1%
Zadanie audytowe nr 6	2	1	5	6	6	20	9	39,2%
Zadanie audytowe nr 7	8	12	7	7	11	45	4	88,2%
Zadanie audytowe nr 8	12	8	6	9	8	43	5	84,3%
Zadanie audytowe nr 9	7	2	9	8	12	38	6	74,5%
Zadanie audytowe nr 10	11	10	12	10	7	50	2	98,0%
Zadanie audytowe nr 11	6	7	11	12	10	46	3	90,2%
Zadanie audytowe nr 12	10	11	10	11	9	51	1	100,0%

Na podstawie punktacji przedstawionej w tabeli ocena ryzyka dla zadania audytowego nr l jest dokonywana następująco:

(13:51)× 100% = 25,5%

W przedstawiony sposób zostały przeprowadzone obliczenia dla pozostałych zadań.

Wykorzystując wyniki zawarte w tabeli, audytor wewnętrzny wybrał do realizacji zadania audytowe nr 12, 10,11 oraz 7 mające najwyższe wskaźniki oce­ny ryzyka.

Matematyczna metoda analizy ryzyka

Przedstawiona metoda jest „modyfikacją" metody matematycznej. Jej celem jest ustalenie ryzyka całkowitego obszaru w skali punktowej zawartej w przedziale od 1,00 do 4,00. Wraz z ustaleniem wartości ryzyka całkowitego zostaje określona „ważność" obszaru ryzyka w trzystopniowej skali (niska, średnia, wysoka). Efektem zastosowania metody jest uszeregowanie obszarów wg ich ryzyka całkowitego od największego do najmniejszego, a co się z tym wiąże według „ważności" od najważniejszych do mniej ważnych.

Przy określaniu wartości ryzyka obszaru z zastosowaniem metody matematycznej „analizy wag i poziomu ryzyka" poszczególne grupy ryzyka oceniane są punktowo.

Małe ryzyko	1 punkt
Umiarkowane ryzyko	2 punkty
Średnie ryzyko	3 punkty
Wysokie ryzyko	4 punkty

Przyjmuje się podstawowe kryteria ryzyka, którym audytor nadaje procentową skale ważności.

Priorytety Kierownictwa Jednostki, Termin ostatniego bada­nia) , z których każda grupa ma nadaną przez audytora wewnętrznego „procen­tową skalę ważności", czyli wpływ danej kategorii na poziom ryzyka całego ob­szaru. Suma wszystkich nadanych skal ważności musi być równa 100%.

Kategoria pierwsza (Kryteria ryzyka jednostki) składa się z pięciu podkategorii (Kontrola wewnętrzna, Istotność, Jakość kadry i struktura wewnętrzna, Czynniki operacyjne, Czynniki zewnętrzne), dla których audytor ustala (nada­je) „procentową skalę wewnętrznej ważności" dla tej kategorii. Suma wszyst­kich nadanych skal ważności dla podkategorii musi być równa 100%.

1. Kryteria ryzyka jednostki (np. 50°/o)	Skala 1 - 4
Kontrola wewnętrzna (30%)	Skala 1 - 4
Istotność (25%)	Skala 1 - 4
Jakość kadry i struktura wewnętrzna (20%)	Skala 1 - 4
Czynniki operacyjne (15%)	Skala 1 - 4
Czynniki zewnętrzne (10%)	Skala 1 - 4
2. Priorytety Kierownictwa Jednostki (np. 30°/o)	Skala 1 - 4
3. Termin ostatniego badania (np. 20%)	Skala 1 - 4

Skala ważności

Wartość ryzyka całkowitego audytu	Ważność obszaru dla audytora
1 - 2	Niska
2 - 3	Średnia
3 - 4	Wysoka

Przykład obliczania ryzyka całkowitego

Kryteria ryzyka	Skala ważności	Grupa ryzyka	Ryzyko
1. Kryteria ryzyka jednostki	50%	2,6 × 50%	1,30
Kontrola wewnętrzna	30%	2	0,6
Istotność działalności	25%	4	1
Jakość kadry i struktura wewnętrzna	20%	3	0,6
Czynniki operacyjne	15%	3	0,45
Czynniki zewnętrzne	10%	1	0,10
2. Priorytety Kierownictwa Jednostki	30%	4	1,2
3. Termin ostatniego badania	20%	2	0,4
Ryzyko całkowite			2,90

Obszar badania zgodnie z tabelą ryzyka należy do obszaru średniego

Mapa ryzyka

W każdej części wpisuje się obszary ryzyka ocenione przez audytora. Po­szczególne ćwiartki pola oznaczają:

I - toleruj ryzyko; jeżeli występuje, to wywoła niewielką stratę,

II - wykrywaj i monitoruje ryzyko; duże ryzyko wystąpienia, ale mała strata w przypadku zaistnienia,

III - wykrywaj i przeciwdziałaj; ryzyko bardzo poważne z dużym prawdopodobieństwem wystąpienia i dużą skalą strat.

IV - wykrywaj i monitoruj ryzyko; ryzyko umiarkowane przy niskim prawdopodobieństwie wystąpienia, ale dużej stracie,

Ujawnione obszary ryzyka wymagają ciągłego monitorowania. Nie wystar­czy jednorazowa realizacja działań korygujących. Pojawiają się nowe ryzyka, które należy w odpowiednim momencie dostrzec, monitorować i zaplanować do badania audytowego.

Metoda mieszana opracowana przez ministerstwo finansów polega na hie­rarchizacji obszarów i procesów audytu na przykładzie wartości ryzk ważonych, wyliczonych dla poszczególnych obszarów i procesów.

Zarządzanie ryzykiem jako element czynności doradczych audytora wewnętrznego

W trakcie zarządzania ryzykiem należy przewidzieć:

• co może stać się nie tak jak zamierzano?

• jakie jest prawdopodobieństwo takiego obrotu sprawy?

• co się stanie, jeżeli realizacja będzie odmienna od zamierzeń?

• co należy zrobić, by usunąć zagrożenie niepożądanych działań?

• jak można zmniejszyć prawdopodobieństwo wystąpienia niewłaściwych czynności?

Zarządzanie ryzykiem może być zastosowane do bardzo różnorodnych dzia­łań, takich jak przykładowo:

• planowanie usług,

• planowanie finansowe,

• rozwój polityki i strategii,

• zmiana organizacyjna,

• raporty decyzyjne,

• sporządzenie modelu operacyjnego,

• wdrażanie projektów,

• funkcje i procedury działalności, np. system płatności.

Zarządzanie ryzykiem, to właściwe zarządzanie zasobami, ochrona organi­zacji i jej klientów oraz środowiska. Jest ono podstawą ładu korporacyjnego.

Podstawowym celem zarządzania ryzykiem jest poprawa wyników finanso­wych firmy oraz zapewnienie takich warunków, aby nie ponosiła ona strat więk­szych niż założone.

Zarządzanie dotyczy rozpoznawania rodzaju ryzyka, jego pomiaru i kontrolowania. O zarządzaniu ryzykiem można mówić tylko wte­dy, gdy ryzyko może zostać skwantyfikowane.

Fazy procesu zarządzania ryzykiem

Kolejne fazy	Podejmowane działania
1. Identyfikacja ryzyka: w tym system wczesnego ostrzegania	• ustalenie przyczyn ryzyka • stwierdzenie możliwych następstw • identyfikacja podmiotów dotkniętych ryzykiem
2. Analiza ryzyka	• ustalenie prawdopodobieństwa zaistnienia zdarzenia • ustalenie konsekwencji danego zdarzenia
3. Sformułowanie wariantów	• ustalenie możliwych alternatyw • analiza nakładów i kosztów poszczególnych alternatyw (wariantów)
4. Ocena ryzyka	• stwierdzenie gotowości oraz ustalenie zdolności pod­miotu (spółki) do podejmowania ryzyka • ustalenie faktycznego poziomu ryzyka • kwalifikacja zastosowania możliwych alternatyw do opanowania ryzyka
5. Decyzje i działania w obszarze ryzyka sterowanie ryzykiem	• wybór narzędzi • ustalenie priorytetów • zastosowanie optymalnej kombinacji
6. Kontrola, monitoring i ocena podjętych działań	• sprawdzenie i ocena ex post skutków podjętych działań • nowe uformowanie procesu zarządzania ryzykiem - w przypadku błędnej decyzji • dalsze korzystanie z narzędzi, które zapewniły sukces w zarządzaniu ryzykiem

Strategia zabezpieczenia się przed ryzykiem

Możliwe decyzje	Poziom ryzyka	Działania wobec ryzyka
Ponoszenie ryzyka	Bardzo wysokie	• przejęcie ryzyka na siebie
Własne pokrycie ryzyka	Wysokie	• tworzenie rezerw z własnego kapitału • kalkulowanie odpowiednich cen
Dywersyfikacja ryzyka	Średnie	• różne sposoby rozproszenia ryzyka na produkty, klientów i rynki
Kompensacja ryzyka (Hedging)	Średnie	• stosowanie instrumentów pochodnych (derywatów) • równoległe transakcje hedgingowe
Przeniesienie ryzyka	Małe	• na partnera • na ubezpieczyciela • na inne podmioty
Unikanie ryzyka	brak	• zaniechanie działania

Źródło: TT Kaczmarek: Ryzyko i zarządzanie ryzykiem.

Zarządzanie ryzykiem powinno być sprzężone zwrotnie z procesem zarzą­dzania jednostką.

Najczęściej stosowane sposoby na ograniczenie ryzyka, to:

1. Wkalkulowanie ryzyka w cenę,

2. Tworzenie rezerw na ryzyko,

3. Przeniesienie ryzyka przez kontrakt handlowy,

4. Przeniesienie ryzyka na ubezpieczyciela,

5. Kompensata ryzyka jednej transakcji w innych transakcjach.

Odpowiedzialność za ryzyko powinno być wpisane do obowiązków kierow­ników i stanowić element oceny ich pracy.

1. Wsparcie procesu zarządzania ryzykiem przez szkolenie i rozwój pra­cowników.

2. Ocena zarządzania ryzykiem stałym elementem obrad zarządu jednostki.

3. Zagadnienie ryzyka i zarządzania ryzykiem powinno być stałym porząd­kiem obrad zarządu, na których omawia się strategię, zatwierdza budżet, anali­zuje wyniki, planuje i ocenia projekty.

4. Wykorzystanie dotychczasowych struktur organizacyjnych do zarządza­nia ryzykiem.

5. Zwykle w organizacji pracują już specjaliści ds. zarządzania ryzykiem. Po­winno się wykorzystać te osoby oraz procedury i nie zaczynać od nowa tworze­nia procedur zarządzania ryzykiem.

10

---