Podstawy audytu wewnętrznego

dr O. Martyniuk

• Egzamin na ostatnim wykładzie: (będą 3 terminy egzaminu)

  • 10 pytań testowych,

  • krótkie pytania otwarte (zdania do uzupełnienia, podać przykład).

• Materiały do wykładów na platformie edukacyjnej – slajdy z lukamu (hasło do platformy: AW)

Wykład 1

Główne obszary audytu wewnętrznego:

• ryzyko gospodarcze (np. ryzyko kradzieży),

• procedury i normy w organizacji (np. procedury związane z awaryjnym lądowaniem),

• system kontroli wewnętrznej (np. dwóch pilotów),

• inne (np. doradztwo, szkolenia).

Audyt wewnętrzny obejmuje takie czynności jak:

• badanie,

• ocena,

• doradztwo (rekomendacje, wnioski pokontrolne),

• instruktaż.

Ewolucja zadań audytu wewnętrznego:

1950 – Kontrola zapisów księgowych

1960 – Kontrola zgodności operacji z podstawowymi procedurami przedsiębiorstwa oraz kontrola pod względem księgowym

1970 – Analiza procedur obowiązujących w przedsiębiorstwie

1980 – Analiza procedur obowiązujących w przedsiębiorstwie pod względem konieczności wprowadzenia różnego rodzaju kontroli

1990 – Niezależna ocena systemu kontroli wewnętrznej i raportowani o stanie tego systemu do zarządzających

2000 – Identyfikacja ryzyka gospodarczego

2001 – Ocena i doradztwo w zakresie ograniczania ryzyka gospodarczego

2002 – Raportowanie o ryzyku gospodarczym i wprowadzenie kontroli zabezpieczających przed nim

2003 – Podwyższanie wartości dodanej

Standardy Profesjonalnej Praktyki Audytu Wewnętrznego

Audyt wewnętrzny definiują jako:

• „działalność niezależna i obiektywna, której celem jest przysporzenie wartości i usprawnienie działalności operacyjnej organizacji”

• polega na systematycznej i dokonywanej w uporządkowany sposób ocenie procesów:

  • zarządzania ryzykiem,

  • kontroli,

  • ładu organizacyjnego,

• przyczynia się do poprawy ich działania,

• pomaga organizacji osiągnąć cele, dostarczając zapewnienia o skuteczności tych procesów, jak również przez doradztwo.

1. Międzynarodowe Standardy Profesjonalnej Praktyki Audytu Wewnętrznego

• Kto wykonuje audyt?

  • Standardy Audytów

• W jaki sposób przeprowadzać audyt wewnętrzny i jak go ocenić?

  • Standardy Działania

• Treści szczegółowe

  • Standardy Wdrożenia

2. Kodeks Etyki (w jaki sposób zachować niezależność i obiektywność)

Audyt wewnętrzny w Polsce

1997 – Prawo bankowe

2001 – Ustawa o finansach publicznych

2009 – Ustawa o biegłych rewidentach i ich samorządzie, podmiotach uprawnionych do badania sprawozdań finansowych oraz nadzorze publicznym

Ustawa o finansach publicznych z dnia 27 sierpnia 2009

Audyt wewnętrzny definiuje jako:

• „działalność niezależną i obiektywną, której celem jest wspieranie ministra kierującego działem lub kierownika jednostki w realizacji celów i zadań przypisanych tej jednostce poprzez systematyczną ocenę kontroli zarządczej oraz czynności doradcze”

Regulacje prawne dotyczące audytu wewnętrznego

• Kodeks etyki audytora wewnętrznego w jednostkach sektora finansów publicznych,

• Karta audytu wewnętrznego w jednostkach sektora finansów publicznych,

• Rozporządzenie Ministra Finansów z dnia 2 grudnia 2010 r. w sprawie wzoru oświadczenia o stanie kontroli zarządczej,

• Rozporządzenie Ministra Finansów z dnia 29 września 2010 r. w sprawie planu działalności i sprawozdania z jego wykonania,

• Rozporządzenie Ministra Finansów z dnia 1 lutego 2010r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego,

• Rozporządzenie Ministra Finansów z dnia 29 grudnia 2009 r. w sprawie komitetu audytu,

• Poradniki.

Audyt wewnętrzny a:

• kontrola zarządcza,

• kontrola wewnętrzna,

• rewizja finansowa.

Podstawowa różnica:

• do wszystkich punktów – audyt wewnętrzny jako jedyny zajmuje się wspieraniem przedsiębiorstwa, kierownictwa w zarządzaniu ryzykiem,

• Rewizja finansowa – rewizja przeprowadzana jest przez osoby z zewnątrz firmy, a audytor jest wewnątrz organizacji np. jest pracownikiem.

• Kontrola wewnętrzna – audytor wewnętrzny sprawdza skuteczność kontroli, a nie….

1. Celem audytu wewnętrznego jest m.in.:

a. Krytyka ludzi

b. Krytyka wyników

c. Udoskonalanie procesów (audytor nie krytykuje)

d. Żadne z powyższych

2. Która z poniższych pozycji podlega ocenie audytorów wewnętrznych?

a. Proces zakupów (nie systemy)

b. Funkcja zasobów ludzkich

c. System baz danych

d. Żadne z powyższych

e. Wszystkie z powyższych

3. Jednym z zadań audytu wewnętrznego jest

a. Zarządzanie ryzykiem

b. Ustalanie procedur systemu kontroli wewnętrznej

c. Doradztwo w zakresie zarządzania działalnością operacyjną (audyt nie ustala procedur a wskazuje, nie zarządza ryzykiem a wspiera)

d. Wszystkie z powyższych

4. Procedury i normy w przedsiębiorstwie

a. Ograniczają ryzyko gospodarcze

b. Wspomagają system kontroli wewnętrznej

c. Żadne z powyższych

d. Wszystkie z powyższych

Wykład 2

Proces audytu wewnętrznego

Etapy procesu audytu wewnętrznego:

1. Analiza ryzyka,

2. Plan roczny audytu wewnętrznego,

3. Przeprowadzenie zadań audytowych,

4. Sprawozdanie z realizacji planu rocznego,

5. Audyt sprawdzający.

Audyt wewnętrzny a ryzyko

„Pomaga on organizacji w osiąganiu jej celów poprzez wprowadzenie systematycznego, zdyscyplinowanego podejścia do oceny i udoskonalenie efektywności procesów zarządzania ryzykiem.” [MSPPAW]

Co to jest ryzyko?

To możliwość zaistnienia zdarzenia, które będzie miało wpływ na realizację założonych celów.

Ekspozycja na ryzyko powstaje wszędzie tam, gdzie aktywność przedsiębiorstwa powoduje możliwość uzyskania korzyści lub poniesienia strat.

Konsekwencje ryzyka:

• Negatywne – zdarzenia szkodliwe,

  • Kto nie ryzykuje, ten nie pije szampana.

• Szanse – zdarzenia korzystne,

  • Kto nie ryzykuje, ten nie wygrywa.

Audytor wewnętrzny

• identyfikuje ryzyko – co może pójść źle,

• analizuje ryzyko – jak bardzo jest to prawdopodobne? jakie będą tego konsekwencje?

• proponuje zmiany usprawniające zarządzanie ryzykiem (rekomendacje) – co zrobić żeby zminimalizować straty?

Metody identyfikacji ryzyka:

• Burza mózgów,

• Kwestionariusz,

• Doświadczenie.

Identyfikacja ryzyka – Źródła ryzyka:

• Zewnętrzne (dotyczą otoczenia z zewnątrz firmy, firma nie ma na nie wpływu), np.:

  • regulacje prawne,

  • zawirowania na rynkach finansowych,

  • zawirowania na rynkach energetycznych,

  • zmiany popytu,

  • zmiany polityczne,

  • problemy z infrastrukturą,

  • zmiany w branży,

• Wewnętrzne (powstają wewnątrz firmy, firma ma na nie wpływ), np.:

  • czynniki finansowe (np. źródła kapitału),

  • czynniki operacyjne (np. organizacja pracy, produkcji),

  • jakość kadr i struktura zarządzania,

  • system kontroli wewnętrznej.

Największe ryzyko stanowią ludzie, a nie procedury lub ich brak.

Osoby odpowiedzialne za straty w firmie:

• 70% - pracownik,

• 39% - klient,

• 31% - menedżer niższego szczebla,

• 23% - menedżer wyższego szczebla,

• 17% - agent,

• 11% - dostawca.

Trójkąt oszustw:

1. Presja – np. presja na coraz lepsze wyniki finansowe ze strony właścicieli, rynku kapitałowego,

2. Uzasadnienie – np. uzyskanie kredytu na sfinansowanie rozwoju działalności (dla dobra firmy)

3. Okazja – np. bliskie stosunki z dostawcami.

Źródłem strat wewnątrz firmy są głównie:

• Mariusz Plichta – prezes Amber Gold (stworzył piramidę finansową, dużo ludzi poniosło straty przez niego),

• Lech Grobelny,

• Niklison – były makler, przez jego działania bank ogłosił upadłość,

• Bernard Madof – największa piramida finansowa na świecie,

• Prezes Enronu Kenneth Lay.

Do strat przyczyniają się najczęściej:

• mężczyźni,

• stanowisko menedżerskie niższego szczebla,

• w wieku 41 – 50 lat,

• wykształcenie średnie lub niższe,

• działanie w pojedynkę.

Największe ryzyko dotyczy obszarów:

• 61% - dział sprzedaży,

• 36% - zaopatrzenie,

• 27% - finanse,

• 14% - produkcja,

• 9% - marketing,

• 6% - IT.

Przykładowe pytania do identyfikacji ryzyka

1. Czy w Państwa firmie istnieje praktyka niezapowiedzianych kontroli wewnętrznych?

2. Czy pracownicy, którzy w ramach swoich obowiązków służbowych przyjmują gotówkę, zobowiązani są do dokonywania codziennych rozliczeń?

3. Czy czynności związane z zamawianiem towarów, prowadzeniem ewidencji wpływu tych towarów oraz zatwierdzanie płatności za nie są rozdzielone pomiędzy różnych, niezależnych od siebie pracowników?

4. Czy nowoprzyjęty pracownik zobowiązany jest przedstawić zaświadczenie o niekaralności?

5. Czy dostępu do komputerów, w zależności od zakresu upoważnienia użytkowników, ograniczony jest za pomocą okresowych haseł?

6. Czy istnieje możliwość połączenia się z zewnątrz z systemem bankowym i autoryzowanie transakcji finansowych?

7. Czy bezpośrednio przy dostawie przeprowadzana jest kontrola zgodności towaru z zamówieniem?

8. Czy istnieją jasne procedury zakupowe i przetargowe?

Przykłady przyczyn ryzyka związanego z nadużyciami pracowników:

• nadmierne zadłużenie pracownika,

• nałogi,

• obojętność na konsekwencje,

• podwójne życie wymagające dużych nakładów finansowych,

• spełnienie oczekiwań społecznych,

• pracownik jest szantażowany przez zorganizowane grupy przestępcze,

• zemsta na pracodawcy,

• pracownik symuluje sukces w interesach w celu uzyskania korzyści.

Sygnały świadczące o realizacji ryzyka nadużycia pracownika:

• różnice inwentaryzacyjne (nadwyżka),

• nietypowy wzrost liczby nowych transakcji lub wystąpienie nadzwyczajnych strat,

• niepełna dokumentacja procesów biznesowych,

• złożenie przez pracownika nagłego wypowiedzenia po informacji o planowanej kontroli, audytu czy inwentaryzacji,

• rzadkie lub tylko krótkie urlopy pracownika.

Analiza ryzyka obejmuje:

1. Określenie przyczyny i skutku zidentyfikowania ryzyka (!!!)

X (Ryzyko)	Y (spowodowane)	Z (skutek)
Ryzyko zarządzania	Mała wiedza z zarządzania u zarządzających
Ryzyko finansowe	Nieprawidłowe zarządzanie należnościami i zobowiązaniami	Nadmierne zadłużenie, osłabienie płynności finansowej
Ryzyko personalne	Osobiste kontakty pracowników z kontrahentem	Udzielanie zbyt dużych rabatów, nadmierne odraczanie terminów płatności, zakupy po cenie takiej jak od dostawców
Ryzyko organizacyjne	Niskie kwalifikacje pracowników	Utrata klientów przez błędy pracowników, utrata renomy
Ryzyko informatyczne	Brak procedur archiwizacji danych	Mogą skasować się faktury, błędne księgowanie, nie można zarządzać należnościami/zobowiązaniami

2. Sprawdzenie ryzyka krzyżowego

3. Odseparowanie niewielkiego ryzyka od istotnego ryzyka

Punktowa ocena ryzyka

Umożliwia uporządkowanie rodzajów ryzyka według ich wagi. Metoda ta umożliwia hierarchizację działań podejmowanych w celu zmniejszenia ryzyka.

Przykład - Tabela punktowa prawdopodobieństwa wystąpienia ryzyka

Opis	Rzadkie 1	Mało prawdopodobne 2	Średnie 3	Prawdopodobne 4	Prawie pewne 5
Prawdopodobieństwo	0 – 20%	21 – 40%	41 – 60%	61 – 80%	81 – 100%

Tabela punktowa oddziaływania ryzyka – przykład

Opis	Katastrofalne	Poważne	średnie	małe	nieznaczne
Punktacja	5	4	3	2	1

• Ryzyko podatkowe:

  • spowodowane: brak ustalonych terminów przekazywania dokumentów do działu księgowego

  • skutek: niedostarczenie dokumentów terminowo do działu księgowości, nieprawidłowe ustalanie rozliczeń podatkowych

• Ryzyko podatkowe 2:

  • brak wiedzy odpowiedniej do danego stanowiska w zakresie przepisów podatkowych w dziale księgowości

  • nieprawidłowe ustalanie rozliczeń……..

Mapa ryzyka

1. Tolerowanie, obserwacja (np. kradzież mebli na UG)

2. Transfer, przenoszenie ryzyka (np. ubezpieczenie), zapobieganie (szkolenia) i przeciwdziałanie

3. Transfer, zapobieganie, szkolenia i przeciwdziałanie (np. pożar)

4. Niezbędne bezzwłoczne przeciwdziałanie (np. wirusy w bazie danych, powodujące utratę danych)

III

IV

w

p

ł

y

w

I

II

prawdopodobieństwo

Wykład 3

Inne metody analizy ryzyka:

• metoda delficka (ekspercka)

  • przypisanie punktów poszczególnym rodzajom ryzyka przez ekspertów,

• metoda matematyczna – wykorzystuje głównie rachunek prawdopodobieństwa,

• metody mieszane.

Ryzyko na Wydziale Zarządzania UG – przyporządkować punkty od 1 (minimalne ryzyko) do 10 (najwyższe ryzyko)

1. Zmiany demograficzne

2. Konkurencja ze strony szkół wyższych niepaństwowych

3. Konkurencja ze strony innych szkół wyższych państwowych

4. Konkurencja ze strony szkół wyższych zagranicznych

5. Zdarzenia losowe

6. Niewypłacalność studentów (studia niestacjonarne)

7. Niska jakość zajęć dydaktycznych

8. Mała ilość badań naukowych

9. Obciążenie kadry naukowej dużą liczbą nadgodzin

10. Utrata baz danych studentów

4. Określenie rodzaju i kategorii ryzyka

• Ryzyko strategiczne

• Ryzyko operacyjne

Rekomendacje audytu wewnętrznego obejmują:

1. Propozycja działań w celu zmniejszenia ryzyka, gdy zachodzi taka potrzeba.

2. Propozycja działań usprawniających funkcjonujące mechanizmy kontrolne.

Wykład 4

Audytor wewnętrzny wykonuje:

• testy przeglądowe (podczas badania wstępnego)

  • audytor przegląda to, czym będzie się zajmował

    • np. poprzez wywiady, zapoznanie się z regulaminami,

• testy zgodności (podczas badania właściwego)

  • audytor sprawdza zgodność wykonywanych czynności z procedurami, regulaminami obowiązującymi w firmie

    • np. poprzez analizę dokumentów,

    • wywiady, rozmowy,

• testy rzeczywiste (podczas badania właściwego)

  • audytor sprawdza, czy transakcje, które miały miejsce mają odzwierciedlenie w dokumentach, w księgach

    • np. poprzez analizę dokumentów,

    • analizę zapisów w księgach,

    • uzyskanie zgód wewnętrznych.

Z przeprowadzonych testów powstaje dokumentacja robocza.

Dokumentacja robocza powinna być:

• dostateczna (tzn. oparta na faktach, wystarczająca drugiej osobie do podjęcia decyzji),

• kompletna (rzetelna, najlepsza z możliwych do uzyskania),

• istotna (powinna wspierać ustalenia audytu),

• wiarygodna

Celem tworzenia dokumentów roboczych jest:

• poparcie dowodem ustaleń zawartych w sprawozdaniu,

• udokumentowanie wykonanej pracy,

• umożliwienie kontroli osobom upoważnionym,

• usprawnianie wykonanej pracy,

• stworzenie bazy danych dla dalszych badań,

• ocena pracy audytorów wewnętrznych przez audytorów zewnętrznych,

Każdy dokument roboczy powinien:

• posiadać nagłówek z nazwą jednostki, tytułem, celem sporządzenia i datą,

• zawierać podpis,

• posiadać numer referencyjny,

• użyte symbole i skróty powinny być opisane i wyjaśnione,

• zawierać jedynie zweryfikowane wartości liczbowe,

• zawierać odwołania do dokumentów, z których wynikają podane wartości,

• przewidywać miejsce na uwagi.

Grupy dokumentów, którymi może posługiwać się audytor:

• wewnętrzne – sporządzone przez jednostkę audytowaną, zostaje wewnątrz jednostki, nie są do wglądu dla podmiotów zewnętrznych (np. lista płac),

• wewnętrzno – zewnętrzne – tworzone przez jednostkę audytowaną, ale pod kontrolą osób/firm z zewnętrz (np. potwierdzenie sald),

• zewnętrzne – tworzone przez jednostki zewnętrzne, pod kontrolą jednostki audytowanej (np. opinie)

Dokumenty robocze:

• akta stałe – dokumenty, które się nie zmieniają w dłuższym czasie, mogą być wykorzystane do wielu zadań audytowych (np. regulaminy, polityka rachunkowości, opis obiegu dokumentów),

• akta bieżące – tworzone na bieżąco w czasie każdego zadania audytowego (np. faktury, kwestionariusze, listy kontrolne, notatki z rozmów z pracownikami, raporty audytora z analiz).

• Kwestionariusz – lista wyselekcjonowanych pytań

Najczęściej stosowany jest on przy sprawdzaniu efektywności kontroli wewnętrznej, przy badaniach działalności operacyjnej przedsiębiorstwa (efektywności).

Najczęściej stosowane są:

• kwestionariusze kontroli wewnętrznej,

• kwestionariusz samooceny.

• Lista kontrolna – stwierdzenia, które należy potwierdzić lub odrzucić.

Są one stosowane, by upewnić się, ze audytor swoim badaniem objął wszystkie najważniejsze aspekty badanego obszaru. Często wykorzystywana w przypadku dotacji unijnych.

• Ścieżka audytu – powinna umożliwiać:

  • obserwację kolejnych faz rejestrowania pojedynczej transakcji,

  • wskazywać procesy, osobę lub organ odpowiedzialny za wdrożenie i funkcjonowanie kontroli, wskazywać sposób realizacji,

  • wskazywać dokumenty powstające w trakcie realizacji procedury,

  • wskazywać systemy informatyczne wspierające realizację programu/systemu,

  • wskazywać sposób zarządzania, kontrolowania i monitorowania środków finansowych,

• Ścieżka audytu dla systemów informatycznych – składa się z systemu rejestrów zapisujących:

  • kto i kiedy wykonał poszczególne czynności w systemie,

  • procedur kopiowania, zabezpieczania i przechowywania informacji zapisanych w rejestrach,

  • procedury i osoby odpowiedzialne za przegląd zapisanych informacji,

  • rozwiązania systemowe zapewniająca bezpieczeństwo i integralność danych.

Nazwa dokumentu	Etap zadania audytowego
Protokół ze spotkania wstępnego	Badanie wstępne
Lista kontrolna	Badanie właściwe, sprawozdawczość
Protokół z wywiadów	Badanie wstępne, Badanie właściwe
Arkusze wyliczeń	Badanie właściwe
Kopie dokumentów	Planowanie, Badanie wstępne, Badanie właściwe
Opis operacji realizowanych przez jednostkę	Planowanie, Badanie wstępne
Diagram procesu	Badanie właściwe, Badanie wstępne
Sprawozdanie z zadania audytowego	Sprawozdawczość
Program zadania audytowego	Planowanie
Kwestionariusz kontroli wewnętrznej	Badanie właściwe
Macierz ryzyka	Badanie wstępne, Planowanie

19