AUDYT WEWNĘTRZNY W PRZEDSIĘBIRSTWIE

SPIS TREŚCI

Wstęp

Instytut Audytu Wewnętrznego został założony w 1941 roku w celu rozwoju profesji audytu wewnętrznego. Misją Instytutu Audytu Wewnętrznego jest osiągnięcie celu aby być wiodącym międzynarodowym stowarzyszeniem zawodowym działającym na całym świecie w celu promowania i rozwoju praktyki audytu wewnętrznego. Głównym celem Instytutu jest rozwijanie, promowanie i rozpowszechnianie wiedzy i informacji na temat audytu wewnętrznego i związanych z nim zagadnień. Instytut Audytu Wewnętrznego aby dostarczać audytorom wewnętrznym narzędzi pomocniczych do realizacji zadań wprowadziło Zasady Ramowe Praktyki Zawodowej, które zawierają:

• Definicje audytu wewnętrznego

• standardy

• Kodeks Etyki Instytutu Audytu Wewnętrznego

• Poradniki

• Wskazówki praktyki

• Rozwój zawodowy.

Jaki audyt? Cele Przedmiot zainteresowania

• Niezależne - Przysporzenie - Zarządzanie ryzykiem

• Obiektywnie zapewniające wartości - Kontrola

• Działalność doradcza - Usprawnienie - Governance

działalności

operacyjnej

Audyt wewnętrzny jest niezależna, obiektywna to działalność zapewniająca i doradcza, której celem jest przysporzenie wartości i usprawnienie działalności operacyjnej przedsiębiorstwa. Pomaga on przedsiębiorstwu w osiąganiu jej celów poprzez systematyczne i zdyscyplinowane podejście do oceny i doskonalenia skuteczności procesów zarządzania ryzykiem, kontroli i governance.

Audyt wewnętrzny daje zapewnienie, że istnieje właściwa kontrola nad codziennymi działaniami jednostki. Kierownictwo jest odpowiedzialne za ustanowienie mechanizmów kontroli wewnętrznej, a audytorzy wewnętrzni rozpatrują tylko o stanie działania.

1. Standardy audytu wewnętrznego

Audyt wewnętrzny jest niezależna, obiektywna to działalność zapewniająca i doradcza, której celem jest przysporzenie wartości i usprawnienie działalności operacyjnej przedsiębiorstwa. Pomaga on przedsiębiorstwu w osiąganiu jej celów poprzez systematyczne i zdyscyplinowane podejście do oceny i doskonalenia skuteczności procesów zarządzania ryzykiem, kontroli i governance.

Audyt wewnętrzny dotyczący usług zapewniających określa charakter i zadania, a następnie ocenia obiektywnie dowody, które są podstawą opinii lub wniosków o przedmiocie badania. W proces ten zaangażowane są trzy strony audyt wewnętrzny oceniający, właściciel procesu bezpośrednio zaangażowany w proces i użytkownik oceny. Natomiast audyt wewnętrzny dostarczający usług doradczych świadczy swoje usługi na rzecz zleceniodawcy. Wówczas zakres i charakter usług są uzgadniane ze zleceniodawcą. W tym przypadku zaangażowane są dwie strony audyt wewnętrzny jako doradca i zleceniodawca jako przedsiębiorstwo uzyskujące poradę.

Audyt wewnętrzny jest prowadzi swoje działania w zróżnicowanym środowisku i organizacjach. Może być realizowany przez osoby z wewnątrz jak i zewnątrz przedsiębiorstwa. Wywiera to wpływ na praktykę audytu wewnętrznego jednak zgodność ze standardami jest obowiązkowa dla osób i podmiotów świadczących usługi z zakresu audytu.

Zasady praktyki zawodowej audytu wewnętrznego regulowane są przez Rade ds. Standardów Audytu Wewnętrznego w skrócie IASB, a także Międzynarodową Komisje Etyki, która zajmuje się nowelizacją Kodeksu Etyki oraz rozpatruje skargi na członków instytutu audytu wewnętrznego oraz Dyplomowanych Audytorów Wewnętrznych. Natomiast Rada ds. Standardów Audytu Wewnętrznego opracowuje standardy zawodowe audytu wewnętrznego. Głównym zadaniem Rady jest dostarczenie praktykom do wykonywania zawodu.

Standardy audytu wewnętrznego obejmują:

• Standardy Atrybutów ok. 1000 - 1340. Opisują cechy podmiotów i osób świadczących usługi audytu wewnętrznego.

• Standardy Działania ok. 2000 - 2600. Dostarczają kryteriów działania i oceny wyników audytu wewnętrznego.

• Standardy Wdrożenia odnoszą się do pozostałych Standardów przy konkretnych zadaniach np. zapewniających i doradczych.

STANDARDY

STANDARDY STANDARDY

ATRUBUTÓW DZIAŁANIA

STANDARDY

WDROŻENIA

1.1 Standardy Atrybutów

Standardów atrybutów mają zastosowanie do wszystkich, którzy świadczą usługi niezależnie od charakteru tych usług. Do podstawowych standardów atrybutów i związanych z nimi standardów wdrożenia należą:

• Cel, uprawnienia i odpowiedzialność - powinna być formalnie określona w karcie audytu, powinna być zgodna ze Standardami oraz zatwierdzona przez radę.

• Niezależność i obiektywizm - Działanie audytu wewnętrznego nie powinna być narażona na jakiekolwiek próby narzucania zakresu audytu, wpływania na sposób wykonywania ich pracy i informowania o ich rezultatach. Zarządzający audytem wewnętrznym powinien podlegać takiemu szczeblowi zarządzania w ramach przedsiębiorstwa, który pozwoli audytowi wewnętrznemu wypełnić jego obowiązki. Audyt powinien być bezstronny, unikać konfliktów i być wolny od uprzedzeń. W przypadku gdy zostaną naruszone lub domniemuje się naruszenie niezależności lub obiektywizmu naruszenie to powinno być ujawnione odpowiednim stronom.

• Biegłość i staranność zawodowa -

• Biegłość - Audytor wewnętrzny powinien posiadać wiedze i na bieżąco ją aktualizować, a także inne kompetencje potrzebne do wykonywania ich indywidualnych obowiązków. Jeśli brakuje wiedzy, umiejętności lub innych kompetencji niezbędnych do wykonywania całości lub części zadania, to audyt wewnętrzny powinien otrzymać pomoc oraz pomoc merytoryczną. Audytor wewnętrzny powinien rozpoznać znamiona oszustwa, ale nie musi posiadać wiedzy specjalistycznej. Powinien również posiadać wiedze o podstawowych ryzykach oraz kontrolach technologii informatycznych, powinni znać dostępne techniki audytu wykorzystujące technologie informatyczne. Jeśli wśród personelu brakuje wiedzy, umiejętności lub innych kompetencji niezbędnych do wykonania całości lub części zadania doradczego, zarządzający audytem wewnętrznym powinien odmówić realizacje takiego zadania lub pozyskać odpowiednią pomoc oraz wsparcie merytoryczne.

• Staranność zawodowa - Audytorzy wewnętrzni powinni być staranni i umiejętni w tym co robią. Staranność zawodowa nie oznacza nieomylności jednakże powinni uwzględniać takie elementy jak zakres pracy niezbędny do osiągnięcia celu, złożoność, istotność, adekwatność i skuteczność procesów zarządzania ryzykiem, kontroli, a także prawdopodobieństwo wystąpienia błędów, nieprawidłowości lub niezgodności z przepisami. Audytor powinien być wyczulony na ryzyko, które negatywnie wpływa na realizację celów przedsiębiorstwa, jednak procedury zapewniające nie gwarantują, że wszystkie znaczące ryzyka zostaną rozpoznane. Audytor wewnętrzny powinien uwzględnić potrzeby i oczekiwania zleceniodawców, złożoność oraz zakres prac niezbędnych do osiągnięcia celów.

• Poprawa i zapewnienie jakości - Zarządzający powinien opracować i realizować program zapewnienia i poprawy jakości, który obejmuje aspekty działania audytu oraz monitoruje jego efektywność. Obejmuje okresowe wewnętrzne i zewnętrzne oceny jakości pracy oraz wewnętrzny monitoring. Programu powinna być opracowany tak aby wspomagać audyt wewnętrzny. Ocena wewnętrzna powinna obejmować miedzy innymi bieżącą ocenę działalności oraz okresowe przeglądy przeprowadzane droga samooceny lub przez inna osobę. Oceny zewnętrzne, takie jak przegląd systemu zapewnienia jakości, powinny być przeprowadzane przynajmniej raz na piec lat przez wykwalifikowana osobę lub zespół spoza przedsiębiorstwa. Pomimo, że działanie audytu wewnętrznego powinno być w pełni zgodne ze Standardami, a postępowanie audytorów wewnętrznych zgodne z Kodeksem Etyki, mogą wystąpić przypadki, kiedy to pełna zgodność nie zostanie osiągnięta. Jeśli wpływa to na całkowity obszar działania lub prace audytu wewnętrznego, wówczas fakt taki powinien być ujawniony kierownictwu wyższego szczebla oraz radzie.

1.2 Standardy Działania

Zarządzający audytem wewnętrznym powinien zarządzać działaniem audytu wewnętrznego, aby zapewnić przysporzenie przedsiębiorstwu wartości dodanej. Powinien opracowywać plany oparte na analizie ryzyka, określające priorytety dla działań audytu wewnętrznego. Plan powinien bazować na ocenie ryzyka przeprowadzanej corocznie. Zarządzający powinien rozważyć przyjęcie proponowanych zadań doradczych. Przyjęte zadania powinny być uwzględnione w planie pracy. Zarządzający powinien powiadamiać kierownictwo wyższego szczebla oraz rade o planach działania audytu wewnętrznego oraz zasobach niezbędnych do ich wykonania. Powinien również dla realizacji planu audytu zapewnić odpowiednie zasoby, jak równie zadbać o ich efektywne wykorzystanie. Zarządzający audytem wewnętrznym powinien składać okresowe sprawozdania kierownictwu na temat celu działania audytu wewnętrznego, uprawnień, odpowiedzialności oraz stopnia wykonania planu. Sprawozdania powinny równie obejmować zagadnienia dotyczące znaczących zagrożeń ryzykiem, systemu kontroli, governance oraz inne zagadnienia.

2. Niezależność i obiektywizm audytu wewnętrznego

Niezależność i obiektywizm audytu wewnętrznego w przedsiębiorstwie są ze sobą ściśle powiązane i są jego nieodzowną częścią.

Audytor wewnętrzny powinien posiadać wsparcie kierownictwa wyższego szczebla oraz rady aby mieć możliwość wykonywania pracy bez ingerencji innych osób. Zarządzający audytem wewnętrznym powinien podlegać osobie, która posiada wiedzę wystarczającą do tego aby promować niezależność audytu wewnętrznego oraz umożliwić prace audytu, właściwe rozpatrzenie sprawozdania z audytu oraz podjęcie odpowiednich działań zgodnie z zaleceniami audytu. Najlepiej było by gdyby zarządzający audytem podlegał komitetowi audytu, radzie nadzorczej lub innemu organowi władzy a administracyjnie prezesowi zarządu. Zarządzający powinien mieć bezpośredni kontakt z radą. Bezpośredni kontakt ma miejsce, gdy zarządzający audytem wewnętrznym regularnie jest obecny i uczestniczy w posiedzeniach rady, komitetu audytu lub innego organu władzy, których zadaniem jest nadzór nad audytem, sprawozdawczość finansowa oraz kontrola. Obecność i udział zarządzającego audytem wewnętrznym stwarza możliwość wymiany informacji na temat planów i działalności audytu wewnętrznego. zarządzający audytem wewnętrznym powinien osobiście spotkać się z radą, komitetem audytu lub innym organem władzy co najmniej raz w roku.

Audytorzy wewnętrzni powinni być bezstronni, wolni od uprzedzeń oraz powinni unikać konfliktu interesów. Obiektywizm jest niezależną postawą intelektualną, jaka audytorzy wewnętrzni powinni zachować w trakcie realizacji audytu. Audytorzy wewnętrzni nie mogą podporządkowywać swoich sądów w sprawach audytu opiniom innych osób. Obiektywizm wymaga od audytorów wewnętrznych prowadzenia audytów w sposób charakteryzujący się rzetelną wiarą w efekty własnej pracy oraz brakiem istotnych kompromisów kosztem jakości. Zadania powinny być tak rozdzielane, aby unikać potencjalnych i rzeczywistych konfliktów interesów oraz stronniczości. Zarządzający audytem wewnętrznym powinien okresowo zbierać informacje od personelu audytu wewnętrznego na temat potencjalnych konfliktów interesów oraz stronniczości. Audytorzy wewnętrzni przydzieleni do konkretnych zadań powinni podlegać okresowej rotacji. Przed przedstawieniem sprawozdania z audytu, wyniki pracy audytu wewnętrznego powinny podlegać weryfikacji dla uzyskania zapewnienia, że pracę wykonano w sposób obiektywny.

Przyjęcie przez audytora wewnętrznego zapłaty lub prezentu od pracownika, kontrahenta, klienta, dostawcy lub kolegi z pracy jest nieetyczne. Przyjęcie takiego prezentu lub zapłaty może stwarzać domniemanie, że został naruszony obiektywizm audytora. Domniemanie naruszenia obiektywizmu może się odnosić do obecnych oraz przyszłych audytów wewnętrznych wykonywanych przez tego audytora. Status realizacji zadania nie może być traktowany jako usprawiedliwienie przyjmowania zapłaty lub prezentów. Przyjęcie ogólnie dostępnych artykułów promocyjnych np. długopisów, próbek o niskiej wartości nie powinno przeszkodzić audytorowi wewnętrznemu w wydaniu profesjonalnego, prawdziwego osądu. Audytorzy wewnętrzni powinni niezwłocznie poinformować swoich przełożonych o oferowanych im korzyści materialnych.

W przypadku naruszenia rzeczywistego lub domniemanego naruszenia niezależności lub obiektywizmu, szczegóły tego naruszenia powinny zostać ujawnione odpowiednim stronom. Audytorzy wewnętrzni powinni informować zarządzającego audytem wewnętrznym o wszystkich sytuacjach , w których istnieje lub w których można z dużą dozą prawdopodobieństwa domniemywać istnienie konfliktu interesów lub stronniczości. W takich sytuacjach zarządzający audytem wewnętrznym powinien przydzielić tych audytorów wewnętrznych do innych zadań.

Domniemanie naruszenia zasady obiektywizmu istnieje zawsze podczas przeprowadzania audytu funkcji, której wykonywanie w przeszłości przez audytora wewnętrznego wymagało przyjęcia przez niego uprawnień operacyjnych.

Osoby przeniesione lub czasowo zaangażowane przez audyt wewnętrzny nie powinny być przydzielane do przeprowadzenia audytu działalności, którą sami uprzednio wykonywali przed upływem odpowiedniego okresu czasu, przynajmniej jednego roku. Zlecenia takie uznaje się za naruszenie obiektywizmu i wymagają one odpowiedniej uwagi przy nadzorowaniu realizacji audytu oraz przy przedstawieniu sprawozdania z wyników audytu.

3. Rola i obowiązki audytu

Audyt wewnętrzny w swoim działaniu dokonuje oceny i przyczynia się do usprawnienia procesów zarządzania ryzykiem, procesów kontroli oraz governance stosując systematyczne i konsekwentne podejście.

Zakres pracy audytu wewnętrznego obejmuje systematyczne i konsekwentne podejście do oceny i usprawnienia prawidłowości i skuteczności procesów zarządzania ryzykiem, kontroli i governance oraz jakości wykonania wyznaczonych obowiązków. Celem oceny prawidłowości istniejących procesów zarządzania ryzykiem, kontroli i governance jest dostarczenie racjonalnego zapewnienia, że procesy te funkcjonują zgodnie z założeniami i umożliwiają realizację celów przedsiębiorstwa oraz zalecanie uprawnień działania przedsiębiorstwa w zakresie jej efektywności i skuteczności. Kierownictwo wyższego szczebla oraz rada mogą również ogólnie określić zakres pracy i czynności, które mają być zaudytowane. Procesy te są skuteczne, gdy kierownictwo kieruje nimi w sposób dający racjonalne zapewnienie , ze cele przedsiębiorstwa zostaną osiągnięte. Poza realizacją celów i planowanych działań kierownictwo zarządza, zatwierdzając działania i transakcje , monitorując wyniki działań oraz weryfikując, czy procesy przebiegają tak, jak je zaprojektowano.

Kierownictwo odpowiada przed właścicielami, interesariuszami , organami nadzorującymi i społeczeństwem za ciągłość funkcjonowania całej organizacji oraz za jej działania, zachowanie i wyniki. Podstawowymi celami procesu zarządzania są:

• skuteczne i efektywne wykorzystanie zasobów przedsiębiorstwa;

• ochrona majątku przedsiębiorstwa;

• rzetelne, rzeczowe i wiarygodne informacje finansowe i operacyjne;

• identyfikacja zagrożenia ryzykiem oraz zastosowanie skutecznych strategii jego kontroli;

• zgodność z prawem, przepisami, normami etycznymi i handlowymi oraz umowami;

• realizacja krótkookresowych i długookresowych celów ustalonych dla działań lub programów.

Kierownictwo planuje, organizuje oraz kieruje wykonaniem właściwych działań w celu uzyskania racjonalnego zapewnienia, iż cele zostaną osiągnięte. Okresowo dokonuje przeglądu celów oraz modyfikuje procesy tak, aby dostosować je do zmian warunków wewnętrznych i zewnętrznych. Ustanawia i utrzymuje kulturę organizacyjną, łącznie z klientem etycznym sporządzającym kontrole.

Audytorzy wewnętrzni oceniają cały proces zarządzania obejmujący planowanie , organizowanie i kierowanie, aby ustalić, czy istnieje racjonalne zapewnienie, że cele zostaną zrealizowane. Audytorzy wewnętrzni powinni być czujni wobec rzeczywistych lub potencjalnych zmian warunków wewnętrznych i zewnętrznych, wywierających wpływ na możliwość uzyskania zapewnienia w przyszłości, w takich przypadkach audytorzy wewnętrzni powinni zwrócić uwagę na fakt, że ryzyko może się zwiększyć. Oceny uzyskane w trakcje audytu, razem wzięte, dostarczają informacji umożliwiających ocenę całego procesu zarządzania. Wszystkie systemy, procesy, operacje, funkcje i działania w ramach przedsiębiorstwa podlegają ocenie audytorów wewnętrznych. Kompleksowy zakres pracy audytu wewnętrznego powinien dostarczać racjonalnego zapewnienia, że opracowany przez kierownictwo

• system zarządzania ryzykiem jest skuteczny;

• system kontroli wewnętrznej jest skuteczny i efektywny;

• proces governance jest skuteczny poprzez ustanowienie i zachowanie wartości, ustalenie celów, monitorowanie działalności i wykonania oraz określanie mierników odpowiedzialności za wynik.

Audytorzy wewnętrzni powinni oceniać zgodność w wybranych obszarach. Powinni także przeprowadzać czynności sprawdzające i składać sprawozdania na temat odpowiedzi kierownictwa na zapytania organów regulacyjnych. Obowiązki audytorów wewnętrznych stają się z czasem coraz ważniejsze. Zachęca się audytorów wewnętrznych do porozumiewania się z radcą prawnym we wszystkich sprawach dotyczących zagadnień prawnych, gdyż wymagania mogą się znacząco różnić w poszczególnych porządkach prawnych. Programy zgodności pomagają organizacją w zapobieganiu nieumyślnym naruszeniom przepisów, wykrywaniu działalności niezgodnej z prawem oraz zniechęceniu do umyślnych naruszeń przepisów przez pracowników. Są również przydatne przy udowodnieniu roszczeń ubezpieczeniowych, określają odpowiedzialność dyrektora i urzędników, tworzą lub wzmacniają tożsamość korporacji oraz decydują o stosowność odszkodowań w odniesieniu do powstałych szkód. Oceniając organizacyjne programy zgodności z przepisami, audytorzy wewnętrzni powinni posłużyć się poniższymi propozycjami osiągnięcia skutecznych programów zgodności.

Organizacja powinna ustanowić standardy i procedury zgodności, którymi będą się kierować pracownicy i pozostałe podmioty współpracujące, które racjonalnie zredukują ewentualne zachowania przestępcze. Organizacja powinna opracować pisemny kodeks postępowania, który w jasny sposób identyfikuje działania zakazane. Kodeks powinien zostać napisany językiem zrozumiałym dla wszystkich pracowników. Dobry kodeks daje pracownikom wskazówki w zakresie istotnych zagadnień dotyczących pracy i nie tylko. Listy kontrolne, rozdział z pytaniami i odpowiedziami oraz odesłania do dodatkowych źródeł w celu uzyskania dalszych informacji, czynią kodeks przydatnym dla użytkownika. Organizacja powinna opracować schemat organizacyjny identyfikujący członków rady, personel wyższego szczebla, pracownika odpowiedzialnego za zgodność oraz kadrę odpowiedzialną za wdrażanie programów zgodności.

Organizacja powinna wykazać należytą staranność, aby nie delegować znaczących uprawnień mających charakter uznaniowy do osób, o których wiadomo lub powinno być wiadomo, że mają skłonność do angażowania się w działalność niezgodną z prawem. Organizacja powinna sprawdzać kandydatów do pracy na wszystkich szczeblach pod kątem uzyskania dowodów nieprawidłowego zachowania w przeszłości, szczególnie w branży, w jakiej działa organizacja. Organizacja powinna podjąć kroki w celu skutecznego poinformowania o standardach i procedurach wszystkich pracowników i pozostałych współpracujących z organizacją. Skuteczność programu zgodności zależy od sposobu informowania pracowników. Zazwyczaj jest to forma interaktywna która jest znacznie lepsza niż wykład. Osobista prezentacja programu jest zazwyczaj bardziej skuteczna niż prezentacja za pomocą taśm video lub gier. Okresowo powtarzane prezentacje programu są bardziej skuteczne. Najlepsze programy obejmują szkolenia, które umożliwiają pracownikom ćwiczenie nowych technik oraz wykorzystanie nowych informacji. Takie formy są szczególnie odpowiednie do szkolenia kierownictwa, ale są również skuteczne w stosunku do pracowników wszystkich szczebli.

Zarządzanie ryzykiem jest kluczowym obowiązkiem kierownictwa. Aby zrealizować ustalone cele, kierownictwo powinno zapewnić istnienie i funkcjonowanie dobrych procesów zarządzania ryzykiem. Rady i komitety audytu pełnią rolę nadzorczą, ustalają, czy istnieją odpowiednie procesy zarządzania ryzykiem oraz czy są one prawidłowe i skuteczne. Audytorzy wewnętrzni powinni wspierać kierownictwo komitet audytu poprzez badanie, ocenianie, raportowanie i zalecanie usprawnień co do prawidłowości i skuteczności tych procesów. Kierownictwo i rada odpowiadają za procesy zarządzania ryzykiem i kontroli w przedsiębiorstwie. Jednakże audytorzy wewnętrzni pełniąc rolę doradczą, mogą pomóc przedsiębiorstwu w identyfikowaniu, ocenie i wdrożeniu metodologii zarządzania ryzykami i kontroli ryzyka. Zakres obowiązków i czynności w ramach procesu zarządzania ryzykiem w przedsiębiorstwie powinien być skoordynowany między wszystkimi grupami i osobami odgrywającymi jakąkolwiek rolę w tym procesie. Obowiązki i czynności powinny zostać odpowiednio udokumentowane w planach strategicznych organizacji, polityce rady, dyrektywach kierownictwa, procedurach operacyjnych i innych dokumentach związanych z governance, np.:

• okresowe oceny i zapewnienia wobec innych osób powinny spoczywać na audycje wewnętrznym;

• akceptacja ryzyka rezydualnego może spoczywać na zarządzaniu;

• ustalanie strategicznych kierunków może spoczywać na radzie lub właściwym komitecie;

• bieżące czynności identyfikowania, oceniania, łagodzenia oraz monitorowania mogą być przydzielane do szczebla operacyjnego;

• odpowiedzialność za ryzyko może być przypisane do poziomu kierownictwa wyższego szczebla.

Zarządzający audytem wewnętrznym powinien zapobiegać o bliskie relacje z dyrektorem ds. środowiska i koordynować działalność z planem audytu środowiskowego. W przypadkach, gdy funkcja audytu środowiskowego nie podlega zarządzającemu audytem wewnętrznym, powinien on zaproponować przegląd planu audytu oraz zadań do wykonania. Zarządzający audytem wewnętrznym powinien ustalić okresowe przeglądy zapewnienia jakości funkcji audytu środowiskowego, jeżeli jest on organizacyjnie niezależna od audytu wewnętrznego. Taki przegląd powinien określić, czy odpowiednio traktuje się ryzyka związane ze środowiskiem. Zarządzający audytem wewnętrznym powinien ocenić, czy audytorzy środowiskowi nie podlegający zarządzającemu audytem wewnętrznym, przestrzegają uznanych standardów audytu i kodeksu etyki. Zarówno Rada Certyfikacji Audytorów Środowiskowych i BHP publikują standardy praktyki i kodeksy etyki. Zarządzający audytem wewnętrznym powinien ocenić umiejscowienie funkcji audytu środowiskowego w strukturze organizacyjnej i jej niezależność, pod kątem zapewnienia odpowiedniej ścieżki przepływów informacji o istotnych problemach wynikających z ryzyk towarzyszących działalności organizacji do komitetu audytu lub innego właściwego komitetu działającego przy radzie, z uwzględnieniem poszczególnych szczebli zarządzania. Zarządzający audytem wewnętrznym powinien ułatwić informowanie komitetu audytu bądź innego właściwego komitetu działającego przy radzie o istotnym ryzyku i kwestiach kontroli w zakresie środowiska i BHP.

Audyt wewnętrzny może pomóc w ocenie wewnętrznego i zewnętrznego środowiska organizacji. Czynniki wewnętrzne, które mogą być uwzględnione, obejmują rotację kierownictwa i zmiany systemów informatycznych, mechanizmy kontrolne oraz główne projekty i programy. Czynniki zewnętrzne mogą obejmować zmiany przepisów i środowiska działania, zmiany warunków rynkowych i warunków konkurencji, międzynarodowe warunki finansowe i gospodarcze, a także technologie. Audytorzy wewnętrzni mogą pomóc zidentyfikować ryzyka dotyczące krytycznych działań organizacji i ustalić priorytety funkcji dla celów przywrócenia działalności. Audytorzy wewnętrzni powinni okresowo przeprowadzić audyt planów zapewnienia kontynuacji i przywracania działalności. Celem audytu jest sprawdzenie czy plany są odpowiednie dla zapewnienia szybkiego przywrócenia działań i procesów po wystąpieniu niekorzystnych okoliczności oraz czy odzwierciedlają aktualne środowisko działania organizacji.

4. Kontrola jako główne zadanie audytu wewnętrznego

Kontrola to każde działanie podejmowane przez kierownictwo, radę lub inne jednostki w celu zarządzania ryzykiem i zwiększenie prawdopodobieństwa zrealizowania ustalonych celów i zadań. Kierownictwo planuje, organizuje i kieruje wykonaniem właściwych działań dając racjonalne zapewnienie, że cele i zadania zostaną zrealizowane.

Istotą kontroli jest uzyskanie zapewnienia, że realizowane plany prowadzą do osiągania pożądanych celów. Kontrola wymaga informacji zwrotnej na temat wyników działań podejmowanych przez przedsiębiorstwo. Informacja ta jest potrzebna do dokonania pomiarów i odpowiedniego regulowania. Kontrola wymaga aby wyniki działania zostały zmierzone i porównane ze standardem a następnie gdy zachodzi potrzeba jest odpowiednio korygowana.

Występują trzy rodzaje kontroli:

• kontrole zapobiegawcze, które uniemożliwiają występowanie niepożądanych zadań (np.: zabezpieczenie fizyczne).

• Kontrole dyrektywne powodują wystąpienie lub skłaniają do wystąpienia pożądanego zdarzenia.

• Kontrole wykrywające, wykrywają lub korygują zaistniałe, niepożądane zdarzenia np.: inwentaryzacja zapasów lub innych aktywów).

Kontrola dzieli się również na kontrole:

• precyzyjną

• nieprecyzyjną

• formalną

• nieformalną

• dobrą i

• złą.

Mechanizmy kontrolne klasyfikuje się na:

• Kontrole zwrotne które dostarczają informacji dot. zakończonej działalności. Umożliwiają udoskonalenie działania w przyszłości poprzez naukę na dawnych błędach. Tak więc czynności korygujące mają miejsce po fakcie.

• Kontrole równoległe korygują bieżące procesy. Monitorują działalność w czasie rzeczywistym, aby nie dopuścić do znacznych odchyleń od standardów.

• Kontrole wyprzedzające przewidują problemy i im zapobiegają. Są to mechanizmy wymagające długiej perspektywy czasu.

Skuteczne mechanizmy kontrolne powinny być:

• na czas - wykrycie powinno pozwolić na wczesną korektę odchyleń;

• oszczędne - kontrole powinny dawać racjonalne zapewnienie osiągnięcia oczekiwanych wyników, z uwzględnieniem analizy kosztów korzyści;

• dobre umiejscowienie - punkty kontrolne powinny się znajdować tam, gdzie jest najbardziej prawdopodobne, że pomiary pozwolą wykryć krytyczne odchylenia od celów organizacji;

• elastyczne - kontrole powinny uwzględnić zmiany operacyjne;

• odpowiednie - kontrole powinny odpowiadać potrzebom kierownictwa i powinny być dopasowane do struktury organizacyjnej;

• spójne z odpowiedzialnością

• zdolne identyfikować przyczyny. Szybka korekta jest bardziej prawdopodobna jeśli została zaplanowana.

• Dostosowane - muszą być zgodne z potrzebami i możliwością uzyskania dokładnego pomiaru.

Jednym z obowiązków kierowników organizacji jest ocena procesów kontroli w podlegających im obszarach. Audytorzy wewnętrzni i zewnętrzni dostarczają w różnym stopniu zapewnienia o skuteczności zarządzania ryzykiem oraz procesów kontroli w zakresie wybranych działań i funkcji organizacji.

Kierownictwo wyższego szczebla oraz komitet audytu oczekują zazwyczaj od zarządzającego audytem wewnętrznym wykonania wystarczającego zakresu audytów oraz zgromadzenia innych dostępnych informacji w ciągu roku, które pozwolą mu na wyrażenie opinii na temat adekwatności i skuteczności procesów kontroli. Zarządzający audytem wewnętrznym powinien przedstawić kierownictwu wyższego szczebla oraz komitetowi audytu ogólną opinię na temat systemu kontroli w organizacji. Coraz większa liczba organizacji włącza sprawozdanie zarządu na temat systemu kontroli wewnętrznej do swoich rocznych lub okresowych sprawozdań dla interesariuszy z zewnątrz organizacji.

Istnieją trzy zasadnicze kwestie do uwzględnienia przy formułowaniu ogólnej oceny skuteczności procesów kontroli w organizacji:

• czy w wyniku zrealizowanych audytów oraz na podstawie innych zgromadzonych informacji wykryto istotne niezgodności lub słabości?

• Jeśli tak, to czy dokonano korekty lub wprowadzono usprawnienia?

• Czy wykrycia i ich konsekwencje prowadzą do wniosku, że mamy do czynienia z powszechnymi zjawiskami, powodującymi nie akceptowalny poziom ryzyka gospodarczego?

Okresowe wystąpienie istotnej niezgodności lub słabości kontroli niekoniecznie prowadzi do oceny, że jest to zjawisko powszechne i stwarza nieakceptowane ryzyko rezydualne. Rozstrzygając, czy zagrożona jest skuteczność całego systemu kontroli oraz czy występuje nieakceptowane ryzyko, należy wziąć pod uwagę schemat wykryć, stopień naruszenia oraz poziom konsekwencji i zagrożeń. Sprawozdanie zarządzającego audytem wewnętrznym na temat stanu procesów kontroli w organizacji powinno być przedstawiane, zazwyczaj raz od roku, kierownictwo wyższego szczebla i komitetowi audytu.

Zarządzający audytem wewnętrznym powinien przedstawić komitetowi audytu ocenę skuteczności systemu kontroli w organizacji, łącznie z oceną adekwatności modelu lub projektu kontroli. Rada nadzorcza musi polegać na działaniach kierownictwa, zapewniających utrzymanie odpowiedniego i skutecznego systemu kontroli wewnętrznej. Tę zależność wzmacnia niezależny nadzór. Rada bądź komitet audytu powinni zadać następujące pytania, a od zarządzającego audytem wewnętrznym można oczekiwać pomocy przy uzyskaniu odpowiedzi. Są to między innymi pytania: czy środowisko i kultura organizacji sprzyjają etycznemu postępowaniu?, w jaki sposób organizacja identyfikuje ryzyko i zarządzania ryzykiem?, Czy system kontroli jest skuteczny?, Czy funkcjonuje rozbudowany monitoring?

Błędne decyzje, słabi kierownicy lub czynniki środowiskowe mogą udaremnić działanie kontroli. Nieuczciwe kierownictwo może zlekceważyć mechanizmy kontroli oraz ignorować lub blokować informacje od podwładnych. Aktywna i niezależna rada nadzorcza, która otrzymuje szczere i zgodne z prawdą informacje od wszystkich członków kierownictwa i która jest wspomagana kompetentnymi funkcjami: finansową, prawną i audytu wewnętrznego, jest zdolna do identyfikacji problemów i sprawowania skutecznego nadzoru.

5. Zarządzanie audytem wewnętrznym

Audytor wewnętrzny (kierownik komórki audytu wewnętrznego) powinien zarządzać działalnością komórki audytu wewnętrznego w sposób efektywny tak, aby działania wszystkich audytorów wewnętrznych wnosiły jak największą wartość dodaną w działalność jednostki.

Audytor wewnętrzny (kierownik komórki audytu wewnętrznego) planuje działalność komórki audytu wewnętrznego biorąc pod uwagę, w szczególności: ilość zdań, rozwój zawodowy audytorów, w tym potrzeby szkoleniowe, działalność administracyjną dotyczącą komórki audytu wewnętrznego, urlopy oraz inne nieobecności.

W komórce audytu wewnętrznego powinni być zatrudnieni audytorzy wewnętrzni, którzy będą właściwie realizować roczny plan audytu. Zadaniem kierownika komórki audytu wewnętrznego jest ustalenie podziału zadań audytowych, który zapewni wykonanie tego planu.

Koordynacja działań audytu wewnętrznego z audytorami czy kontrolerami zewnętrznymi wyznaczonymi przez Instytucję Zarządzającą powinna polegać na wzajemnej współpracy celem zapewnienia uzyskania pokrycia maksymalnego zakresu spraw przez działania audytu, wymiany informacji, unikania powielania wysiłków i kosztów przeznaczonych na rutynowe etapy pracy w zakresie audytu.

Audytor wewnętrzny (kierownik komórki audytu wewnętrznego) powinien koordynować działania oraz wymieniać informacje zarówno z audytorami zewnętrznymi, jak i kontrolerami wewnętrznymi i zewnętrznymi, w celu zminimalizowania powielania prowadzonych prac.

Audyt wewnętrzny dokonuje oceny sytemu zarządzania ryzykiem w jednostce i przyczynia się do jego usprawnienia. Audyt wewnętrzny dokonuje oceny skuteczności i efektywności systemu kontroli wewnętrznej.

Audyt wewnętrzny powinien przyczyniać się do usprawnienia procesu zarządzania jednostką, w szczególności poprzez ocenę:

1. systemu ustalania i komunikowania celów i wartości,

2. systemu monitorowania osiągania celów,

3. zakresów uprawnień i odpowiedzialności,

4. ochrony zasobów.

6. Praktyczne procesy kontroli wykonywane przez audyt wewnętrzny.

Podczas kontroli prowadzonej przez audyt wewnętrzny zazwyczaj to Rada jest odpowiedzialna za nadzorowanie audytorów i kontrolowanie jej prac. Rzeczywiste koordynowanie powinno być obowiązkiem Zarządzającego audytem wewnętrznym.

Zarządzający audytem wewnętrznym powinien odpowiadać za wdrożenie procesów, których celem jest dostarczenie racjonalnego zapewnienia poszczególnym interesariuszom, że audyt wewnętrzny:

• Działa zgodnie z kartą, audyt, która z kolei powinna być zgodna z Międzynarodowymi Standardami Profesjonalnej Praktyki, Audyt Wewnętrznego oraz z Kodeksem etyki.

• Działania powinny być prowadzone w sposób skuteczny i efektywny

• Powinien być postrzegany przez interesariuszy jako przysparzający wartości i usprawniający działalność organizacji.

W celu zapewnienia odpowiedzialności za wynik zarządzający audytem powinien przekazywać wyniki zewnętrznych oraz w miarę potrzeby wewnętrznych ocen programu jakości poszczególnym intersariuszom np. kierownictwu wyższego szczebla, radzie i audytorom zewnętrznym.

Audyt wewnętrzny w firmach skierowanych za innowacyjność i wprowadzanie nowych funkcjonalności, które pomagają w rozwoju traktowany jest tak, jakby był on usługą nakierowaną na zysk. Prowadzone przez ten dział zadania kontrolne służą w celu usprawnienia działalności jednostki.

Zespół audytorów powinien starać się spotykać z kierownictwem odpowiedzialnym za działalność podlegającą badaniu. Podejmować dyskusje na tematy wiążące audyt wewnętrzny, terminy przeprowadzania badań, kwestie będące przedmiotem zainteresowania kierownictwa. Należy również sporządzać notatkę z podsumowaniem kwestii omówionych na spotkaniach zawierającą również wnioski z tych spotkań. Audytorzy wewnętrzni powinni opracowywać oraz zapisać plan dla każdego dnia badań, oraz komu będą przekazywane informacje o wynikach badań.

W fazie planowania zadania audytor wewnętrzny powinien zidentyfikować oraz przeprowadzić wstępną ocenę ryzyk istotnych dla rodzaju działalności podlegającej badaniu. Istotnym etapem jest również zgromadzenie informacji wstępnej konkretnej działalności, zasady, procedury, akty prawne, regulacje i umowy, które mogą mieć istotny wpływ na działania i sprawozdawczość. Informacje odnośnie struktury organizacyjnej, budżet wyniki operacyjne oraz dane finansowe badanej działalności. Wyniki poprzednich audytów, a tym prace audytów zewnętrznych są bardzo ważne w celu ustalenia potencjalnie istotnych, zgadanień. Audytorzy wewnętrzni stosują procedury audyt d uzyskania dostatecznych rzetelnych, istotnych informacji (dowodów) pozwalających na realizację celów zadania. Powinni poprzez analizę, syntezę i ocenę określić najbardziej efektywną procedurę w danych okolicznościach.

Kierownictwo jest odpowiedzialne za ustalenie standardów operacyjnych służących ocenie ekonomicznego i efektownego wykorzystania aktywów, bez produktowa praca, nieuzasadnione koszty procedur, nadmiar lub niedostatek personelu.

Podczas przeprowadzanych działań audyt wewnętrznego w jednostkach handlowych Rynku Farmaceutycznego najbardziej istotnymi pionami podlegającymi kontroli ją działy finansowo księgowe, gdzie sprawdzane są dość szczegółowo umowy zlecenia zawierane z Lekarzami Farmaceutami. Kontrola ta ma na celu opiniowanie zgodności tych umów z przepisami prawa farmaceutycznego.

Również istotnym i bardzo często w praktyce Firm Farmaceutycznych kontrowanym działem jest Pion Marketingu, pod względem kompletności instrukcji marketingowych oraz załączników marketingowych niezbędnych do umów zlecenia, sponsorskich bądź darowizn.

Często audyt wewnętrzny podczas badania jednostki współpracuje z Działami prawnymi, którzy uzgadniają zawarte umowy, według Prawa Farmaceutycznego.

Audytorzy wewnętrzni powinni być czujni wobec zmian rzeczywistych lub potencjalnych warunków wewnętrznych i zewnętrznych. Powinni zwrócić uwagę n fakt, że ryzyko może się zwiększyć.

Istotnym faktem jest to, iż audytorzy wewnętrzni powinni dbać o to, aby organizacje posiadały formalną politykę i udokumentowane procedury regulujące procesy kwartalnej sprawozdawczości finansowej, ujawniania informacji oraz wymaganych prawem sprawozdań. Wedle tych ustaleń powinni okresowo dokonywać przeglądu i oceny tych procesów oraz zalecać odpowiednie usprawnienia.

Podczas przeprowadzanych przez audyt wewnętrzny kontroli ważne jest, aby dobrze zaprojektowane procedury, były stosowane w przyszłości przez kierownictwo jednostki, gdyż oszustwo jednego pracownika zostanie najprawdopodobniej wykryte przez zastosowanie prawidłowego systemu kontroli wewnętrznych niż wykrycie oszustwa pojedynczego kierownika.

Audytorzy wewnętrzni powinni posiadać wsparcie kierownictwa wyższego szczebla oraz rady powalające im na współpracę z klientem oraz możliwość wykonywania pracy bez żadnych ingerencji. Im wyższy jest poziom w hierarchii, do którego raportują audytorzy wewnętrzni, tym większe prawdopodobieństwo zapewnienia niezależności.

Audytorzy wewnętrzni musza być bezstronni, wolni od uprzedzeń oraz powinni unikać konfliktu interesów. Obiektywizm jest niezależną postawą intelektualną, jaką audytorzy wewnętrzni powinni zachować w trakcie realizacji zadań. Istotne jest podkreślenie faktu, iż audytorzy wewnętrzni nie mogą podporządkowywać swoich sądów w sprawach audyt opiniom innych osób.

W praktyce często wiadomość o zbliżającej się kontroli audytorskiej, budzi lęk i niepokój wśród pracownikach, gdyż wiąże się to z masą dodatkowych obowiązków polegających na dostarczeniu odpowiednich informacji, dokumentów oraz wnikliwych rozmów dotyczących stosowanych regulacji.

Często przez kierownictwo jednostki zostaje wprowadzona nerwowa atmosfera, że mogą zostać wykryte znaczące błędy, niedopatrzenia, które zaważyć mogą na karierze zawodowej personelu.

Jednak moje doświadczenie zawodowe, jest nieco inne gdyż współpraca z audytem pozwala nauczyć się obiektywizmu, oraz pomocy w samokontrolowaniu.

Prowadzone kontrole przez audyt wewnętrzny nie mają tylko na celu wykryć nie prawidłowości i ukarać winnych, lecz pomóc w rozwiązaniu tych problemów poprzez wprowadzanie nowych rozwiązań. Ułatwić pracę personelowi, aby nie powtarzały się popełniane błędny, wykryć, w jakim miejscu są one najczęściej spotykane i zastosować metody naprawcze.

Według praktyki podstawowym zadaniem audytu wewnętrznego jest dostarczenie kierownikowi jednostki informacji o całym systemie zarządzania i kontroli w danej komórce sektora finansów publicznych. Przepisy zwracają uwagę zarówno na zapewniającą, jak i doradczą rolę audytu wewnętrznego. Czynności doradcze, wyodrębnione w definicji audytu, są nierozerwalnie związane z prowadzeniem audytu wewnętrznego, a ich wyrazem jest przedstawienie przez audytora zaleceń dotyczących usprawnienia działalności jednostki.

Efektem audytu jest wspieranie jednostki, w szczególności poprzez rozpoznanie ryzyka, oraz przyczynienie się do usprawnienia systemu zarządzania ryzykiem. Środkiem realizacji jest ocena i doradztwo w tym zakresie. Audyt ukierunkowany został na obszary kluczowe dla realizacji zadań jednostki, dlatego też przyczynia się również do utrzymania i doskonalenia w jednostce skutecznych mechanizmów kontroli.

Działania audytowe opierają się na kilku zasadach. Przed rozpoczęciem audytu wewnętrznego w komórce organizacyjnej audytor wewnętrzny zawiadamia kierownika tej jednostki o przedmiocie i czasie trwania audytu wewnętrznego. Kierownik komórki jest zobowiązany do zapewnienia audytorowi warunków niezbędnych do sprawnego przeprowadzenia audytu, udostępnienia żądanych dokumentów oraz ułatwienia terminowego udzielenia wyjaśnień przez pracowników tej jednostki.

Przedstawienie wyników audytu wewnętrznego następuje w formie sprawozdania. Dokument ten przekazywany jest kierownikowi jednostki, który na jego podstawie podejmuje działania mające na celu usunięcie uchybień lub usprawnienie funkcjonowania jednostki. O podjętych czynnościach informuje audytora wewnętrznego. Zagadnienie audytu wewnętrznego mylnie utożsamiane jest z szeroko rozumianą kontrolą. W Polsce istnieje kilka organizacji zajmujących się problematyką audytu wewnętrznego Polskie Instytut Kontroli Wewnętrznej z siedzibą w Warszawie.

Governance - to kombinacja procesów oraz struktur wprowadzonych przez radę dla uzyskania przepływów informacji, zarządzania, kierowania oraz monitorowania działań w przedsiębiorstwie, nakierowanych na realizację celów tej organizacji. Jest to podstawowy element definicji audytu wewnętrznego.

2

DEFINICJA AUDYTU WEWNĘTRZNEGO

Niezależność i obiektywizm

Audyt wewnętrzny jako funkcja

Audytor wewnętrzny jako człowiek

Rzeczywiste i domniemane naruszenie

Audyt działalności, za którą audytor był uprzednio odpowiedzialny

MECHANIZMY KONTROLNE

MIĘKKIE

TWARDE

---