WYKORZYSTANIE
ANALIZY RYZYKA W
PRZYGOTOWANIU
PLANU AUDYTU
WYKORZYSTANIE
ANALIZY RYZYKA W
PRZYGOTOWANIU
PLANU AUDYTU
Definicje i podstawowe
terminy – standardy MF
•
Obszar audytu wewnętrznego – każdy
obszar działania jednostki, w obrębie
którego audytor wewnętrzny
wyodrębnił obszary ryzyka do
przeprowadzenia zadania audytowego.
•
Obszar ryzyka – procesy, zjawiska lub
problemy wymagające przeprowadzenia
audytu wewnętrznego
Definicje i podstawowe
terminy – standardy MF
•
Ryzyko – jest to prawdopodobieństwo
wystąpienia dowolnego zdarzenia,
działania lub braku działania, którego
skutkiem może być szkoda w majątku
lub wizerunku danej jednostki lub
które może przeszkodzić w osiągnięciu
wyznaczonych celów i zadań
•
Czynnik ryzyka – jest to zdarzenie,
które może spowodować wystąpienie
ryzyka
Metody identyfikacji ryzyka
•
samodzielna – audytor identyfikuje ryzyko
na podstawie informacji i dokumentów
wewnętrznych i zewnętrznych
•
przez pracowników jednostki spoza
komórki audytu – wybrani pracownicy,
którzy bardzo dobrze znają różne obszary
działalności jednostki (np. właściciele
poszczególnych procesów)
•
metoda mieszana
•
analiza środowiskowa (zmiany
środowiska zewnętrznego i ich wpływ)
•
scenariusze zagrożeń (ominięcie
kontroli wewnętrznej – oszustwo,
przypadek)
•
analiza potencjalnych strat (zasoby
jednostki)
Techniki identyfikacji ryzyka
Identyfikacja ryzyka – źródła
informacji (1)
Rozporządzenie MF:
•
cele i zadania jednostki,
•
przepisy prawne dotyczące działania
jednostki,
•
wyniki wcześniejszych audytów lub kontroli,
•
wyniki wcześniej dokonywanej oceny
adekwatności, efektywności i skuteczności
systemów kontroli, w tym kontroli
finansowej,
•
wewnętrzne i zewnętrzne czynniki ryzyka,
•
uwagi pracowników jednostki,
Identyfikacja ryzyka – źródła
informacji (2)
Rozporządzenie MF:
•
liczba, rodzaj i wielkość dokonywanych
operacji finansowych,
•
możliwość dysponowania przez jednostkę
środkami pochodzącymi ze źródeł
zagranicznych
•
liczba i kwalifikacje pracowników jednostki,
•
działania jednostki, które mogą wpływać na
opinię publiczną,
•
sprawozdania finansowe i budżetowe
Miara ryzyka
•
Prawdopodobieństwo –
prawdopodobieństwo wystąpienia danego
zdarzenia
•
Wpływ (znaczenie, skutek) – efekt
wystąpienia zdarzenia
•
Istotność (ang. materiality) =
prawdopodobieństwo x wpływ
•
Trudność pomiaru ryzyka w planowaniu
audytu
Metody analizy ryzyka (plan
audytu)
•
Metody szacunkowe: ryzyko oceniane
subiektywnie, na podstawie
profesjonalnego osądu audytora
wewnętrznego:
•
Metoda delficka (grupy eksperckiej)
•
Metody matematyczne – przy
zastosowaniu arkuszy kalkulacyjnych;
nie są wolne od subiektywizmu
Metoda delficka (1)
•
Problem – wybór zadań do planu audytu
•
Niezbędna grupa audytorów (ekspertów)
•
Każdy audytor tworzy własną listę rankingową
zadań audytowych biorąc pod uwagę szacowane
przez siebie ryzyko w danym obszarze
•
Przydzielenie punktów zadaniom na
poszczególnych listach
•
Sumowanie i prezentacja wyników
•
(klasyczna metoda delficka: udostępnienie
wyników grupy ekspertom – ponowne
udzielenie odpowiedzi; 3 cykle)
Metoda delficka (2)
A B C D E
zamówienia publiczne
10 9 9
9 8
45
delegacje krajowe
1 2 4
8 4
19
delegacje zagraniczne
3 5 1
4 2
15
zarządzanie kadrami
2 4 5
6 1
18
planowanie szkoleń
5 3 3
7 9
27
ochrona mienia
4 6 2 10 7
29
zabezpieczenie systemu informatycznego
9 10 10
1 10
40
windykacja należności
8 8 7
3 5
31
Zadanie audytowe
Punktacja audytorów
Suma
pkt
Metoda delficka (3)
UWAGI:
•
wymaga od audytorów dużego
doświadczenia zawodowego
•
audytorzy tworzą swoje własne listy
rankingowe
•
określenie liczby zadań audytowych - z
uwzględnieniem posiadanych zasobów
•
niezbędny kilkuosobowy zespół
audytorów
Metoda matematyczna (1)
•
Czynnik ryzyka – jest to zdarzenie, które
może spowodować wystąpienie ryzyka
(standardy MF)
•
Kryteria ryzyka - pogrupowane w kategorie
czynniki ryzyka
•
Waga ryzyka - wpływ danego czynnika
ryzyka na badany system wyrażony poprzez
przypisanie temu czynnikowi relatywnej wagi
•
Identyfikacja obszarów i czynników ryzyka
Metoda matematyczna (2)
Ocena Istotność (materialność)
Stabilność
Kontrola
wewnętrzna
Złożoność
Wrażliwość
1
system bez implikacji
finansowych
system bardzo
stabilny, brak
propozycji zmian
silna
niska
niska
2
system z implikacjami
finansowymi
System stabilny,
marginalne zmiany
racjonalna
umiarkowana
umiarkowana
3
syetm z dużymi
implikacjami
finansowymi
znaczące zmiany,
planowane nowe
modyfikacje
umiarkowana
wysoka
wysoka
4
znaczący system
finansowy
nowo wdrażany
system
słaba
bardzo wysoka bardzo wysoka
data
waga
nigdy
30%
2000
20%
2001
10%
2002
0%
priorytet
waga
wysoki
30%
średni
15%
niski
0%
Metoda matematyczna (3)
0,25
0,15 0,25 0,15 0,20
A
4
4
4
4
4
duży 2000
100,0%
120,0% 150,0%
93,8%
B
3
3
3
3
3
średni 2001
75,0%
85,0% 100,0% 62,5%
C
4
3
4
3
5
niski 2002
97,5%
97,5%
97,5% 60,9%
D
2
4
3
4
1
duży nigdy
66,3%
96,3% 126,3% 78,9%
E
2
4
4
1
2
średni nigdy
66,3%
96,3% 111,3% 69,5%
F
4
3
2
1
1
niski 2000
57,5%
77,5%
77,5% 48,4%
G
2
1
2
1
3
duży 2001
47,5%
57,5%
87,5% 54,7%
H
2
1
3
3
3
średni 2002
61,3%
61,3%
76,3% 47,7%
da
ty
a
ud
yt
u
P
rio
ry
te
tu
kie
ro
w
nic
tw
a
da
ta
o
sta
tn
ie
go
au
dy
tu
Ocena ryzyka
is
to
tn
oś
ć
sta
bil
no
ść
ko
ntr
ola
w
ew
nę
trz
na
w
ra
żli
w
oś
ć
ko
m
ple
ks
ow
o
ść
Po uwzględnieniu
K
oń
co
w
a
K
ry
te
rió
w
ob
sz
ar
ry
zy
ka
au
dy
to
w
an
a
ko
m
ór
ka
Kategorie czynników ryzyka
P
rio
ry
te
t
kie
ro
w
nic
tw
a
Przygotowanie planu (1)
Audytor wewnętrzny, przygotowując plan audytu
wewnętrznego, ustala kolejność poddania obszarów
ryzyka audytowi wewnętrznemu, biorąc pod uwagę
stopień ich ważności, oraz uwzględnia czynniki
organizacyjne, a w szczególności:
•
czas niezbędny dla:
– przeprowadzenia zespołu działań podejmowanych
w ramach audytu wewnętrznego, zwanego dalej
"zadaniem audytowym",
– przeprowadzenia czynności organizacyjnych,
Przygotowanie planu (2)
•
czas przeznaczony na szkolenie osób
zatrudnionych na stanowiskach
związanych z przeprowadzaniem
audytu wewnętrznego,
•
dostępne zasoby ludzkie i rzeczowe,
•
rezerwę czasową na nieprzewidziane
działania,
•
koszty przeprowadzenia audytu
wewnętrznego.
Analiza ryzyka w planowaniu
audytu
Standardy audytu wewnętrznego MF:
3.3. Planowanie i sprawozdawczość
•
Audyt wewnętrzny prowadzi się na
podstawie rocznego planu audytu
opartego na analizie ryzyka
•
Zalecane jest opracowanie planu
strategicznego, który powinien
obejmować obszary pracy komórki audytu
wewnętrznego w perspektywie średnio i
długookresowej
Identyfikacja ryzyka
Standardy audytu wewnętrznego MF:
4.2. Rzetelność i profesjonalizm
•
Audytor wewnętrzny powinien zwracać
uwagę na występowanie ryzyk, które
mogą negatywnie wpłynąć na realizację
zadań stojących przed jednostką.
Jednakże działania audytora
wewnętrznego, nawet wykonywane z
należytą starannością, nie gwarantują
zidentyfikowania wszystkich ryzyk
Identyfikacja ryzyka
Standardy audytu wewnętrznego MF:
4.2. Rzetelność i profesjonalizm
•
Zmiany w obowiązującym prawie czy
nowe zadania, jakie pojawią się przed
jednostką mogą obszarom działania
jednostki uważanym dotychczas za
bezpieczne nadać charakter wysokiego
ryzyka. Jeżeli zaistnieje taka sytuacja
audytor wewnętrzny powinien wystąpić
z wnioskiem o przeprowadzenie audytu
poza planem audytu