2015-03-16
Audyt wewnętrzny
Wykład 4
52
Ustalenia audytu gromadzone są w tak zwanej
dokumentacji roboczej audytu.
Dzięki takiej dokumentacji można:
Dowieść ustaleń audytu zarówno kierownictwu jednostki
objętej audytem wewnętrznym, jak i przełożonym
audytorów,
Udokumentować wykonaną przez audytorów pracę,
Umożliwić osobom uprawnionym kontrolę,
Usprawnić wykonywaną pracę.
53
1
2015-03-16
Na dokumentację roboczą audytu
wewnętrznego najczęściej składają się:
Kwestionariusze kontroli wewnętrznej,
Listy kontrolne (check list),
Kwestionariusze samooceny,
Plany kontroli,
Ścieżki audytu.
54
Decydując się na przeprowadzenie audytu
wewnętrznego danego obszaru działalności
podmiotu należy brać uwagę efektywność
wykorzystywanych zasobów.
Ocenia się ją przez pryzmat ryzyka  należy
ocenić, które zadanie audytorskie będzie
ważniejsze z punktu widzenia banku jako
całości.
55
2
2015-03-16
Na ryzyko badania składają się łącznie:
- ryzyko nieodłączne (wrodzone, wewnętrzne),
- ryzyko kontroli,
- ryzyko przeoczenia (detekcji).
56
Ryzyko nieodłączne występuje w każdej
instytucji. Jest to inaczej ryzyko błędu o
znaczącej istotności jakie występuje przy
założeniu, że system kontroli wewnętrznej nie
funkcjonuje.
Ryzyko kontroli jest to ryzyko wystąpienia
sytuacji, w której istniejący w podmiocie system
kontroli wewnętrznej nie zapobiegnie lub nie
wykryje błędu o znaczącej istotności. Ryzyko
kontroli zależy od skuteczności projektowania i
funkcjonowania systemu kontroli wewnętrznej.
57
3
2015-03-16
Ryzyko przeoczenia dotyczy sytuacji, w której
zaprojektowane przez audytora testy nie wykryją
błędu o znaczącej istotności. Jest ono funkcją
skuteczności procedury audytorskiej i nie można
go całkowicie wykluczyć z powodu ograniczeń
prac audytorskich (audytor nie bada całej populacji
ale jedynie część  próbkę).
Ryzyko przeoczenia wynika z:
Zastosowania niewłaściwych technik audytorskich,
Niewłaściwego stosowania dobrej / właściwej techniki
audytorskiej,
Złej interpretacji wyników otrzymanych w efekcie prac
audytorskich.
58
Ryzyko przeoczenia można ograniczać poprzez
przydzielanie poszczególnych zadań osobom o
odpowiednich kwalifikacjach, stosowanie
zasady profesjonalnego sceptycyzmu oraz
nadzór i kontrolę jakości prac audytorskich.
59
4
2015-03-16
Wzajemne relacje pomiędzy tymi rodzajami
ryzyka są następujące:
RA = RN * RK * RP
60
Przy analizie ryzyka ogromne znaczenie ma
istotność. Często wylicza się ją jako iloczyn:
prawdopodobieństwo * wpływ na jednostkę
Prawdopodobieństwo jest przy tym wyliczone
albo przy wykorzystaniu rachunku
prawdopodobieństwa albo metodą
profesjonalnego osądu.
Wpływ na jednostkę jest z reguły wyrażonym w
pieniądzu efektem zajścia jakiegoś zdarzenia.
61
5
2015-03-16
Istotność jest więc miarą:
Możliwych bezpośrednich i pośrednich konsekwencji
finansowych w przypadku zajścia zdarzenia (w tym
kosztów działań naprawczych),
Znaczenia poszczególnych celów realizowanych przez
organizację,
Strat, które nie mają wymiaru finansowego (np. utrata
reputacji).
62
Istnieją następujące metody prowadzenia
analizy ryzyka:
Metody szacunkowe, w których ryzyko oceniane jest
przez audytora w oparciu o profesjonalny osąd ( na
nosa ); wadami takiej metody jest nieuwzględnianie zmian
oraz duża subiektywność (którą jednakże można
ograniczyć stosując tzw. metodę delficką  opierając się
na grupie ekspertów),
Metody matematyczne (numeryczne) polegające na
stosowaniu wzorów matematycznych (z reguły z
zastosowaniem arkuszy kalkulacyjnych); podstawowa
zaleta to możliwość porównywania wyników z różnych lat
(pomiar trendów) a wady to stosunkowo duży koszt
wprowadzenia i również subiektywizm przy ocenie
informacji (dobór faktów i ustalanie ich znaczenia,
ustalanie wag ryzyka, interpretacja ryzyk).
63
6
2015-03-16
W wyniku analizy ryzyka można ustalić:
Częstotliwość przeprowadzanych audytów  najczęściej
przyjmuje się, że dany obszar należy objąć audytem
wewnętrznym nie rzadziej niż co 3-5 lat,
Zakres audytu.
Przy wybieraniu kolejności obszarów objętych
audytem należy wziąć pod uwagę:
Daty i rezultaty ostatniego audytu,
Wielkość ewentualnych strat finansowych,
Potencjalne ryzyka,
Oczekiwania kierownictwa podmiotu,
Zmiany procesów, systemów,
Możliwości osiągnięcia zysków operacyjnych.
64
Techniki identyfikowania ryzyk, które najczęściej
wykorzystuje się w trakcie audytu wewnętrznego:
Analiza środowiskowa  ryzyko ocenia się z perspektywy
zmian środowiska zewnętrznego oraz wpływu tychże
zmian na proces zarządzania i kontroli; środowiskami są
m.in. Klienci, konkurencja, technologia, regulacje etc.,
Scenariusze zagrożeń  audytor stara się przewidywać, w
jaki sposób można ominąć (w wyniku oszustwa lub
nieszczęśliwego zdarzenia) system kontroli wewnętrznej;
takie scenariusze wskazują wówczas na główne rodzaje
ryzyka,
Analiza potencjalnych strat jakie mogą powstać w
wyniku nieprawidłowości funkcjonowania systemu kontroli
wewnętrznej.
65
7