Audyt wewnętrzny jako integralna część zarządzania firmą cz I
Straty ponoszone przez sektor finansowy, anonsowane w ciągu ostatnich kilku lat pod wielkimi nagłówkami w gazetach na całym świecie, to opowieści o niekompetencji, korupcji i zwykłym braku szczęścia. Są niepokojące i muszą być przedmiotem zainteresowania menadżerów. Niepokojące, bo gross niepowodzeń i błędów operacyjnych jest dzisiaj w dużo większym stopniu, niż to sobie uświadamiamy, zależnych od codziennego zarządzania.
Ekonomiści zwracają uwagę na to, że zdarzenia katastroficzne przysłaniają widok na kosztowne acz nie tak dramatyczne zdarzenia, które stają się plagą większości firm i są sygnałem niedostatków techniki i praktyki zarządzania ryzykiem.
Doświadczenia ostatnich lat wskazują, że ryzyko operacyjne w kategoriach kapitału kosztuje więcej niż sądzono - ostatnie szacunki mówią o co najmniej 25%. Wartość ta rośnie w związku z pojawieniem się modelu biznesowego zwanego Nową Ekonomią - bankowości internetowej, handlu elektronicznego oraz przekazywania obsługi funkcji bankowych na zewnątrz (outsourcing).
Stąd zacieśnianie wymagań stawianych przez nadzór bankowy, co znalazło swój wyraz w określeniu nowych wymagań kapitałowych, powiązanych ściśle z zarządzaniem ryzykiem kredytowym, rynkowym i operacyjnym. Żeby było trudniej, system ten dotyczy nie tylko sektora finansowego. Poprzez stawianie wymagań bankom stawiać się będzie również wymagania firmom, które z usług tego sektora korzystają. Służyć temu ma system skoringowy do oceny firm, prowadzony przez wyspecjalizowane instytucje. Premiowani będą ci, którzy wprowadzą i udowodnią skuteczność systemów zarządzania ryzykami i będą posiadać niezależną komórkę audytu wewnętrznego.
W działaniu komórek audytu wewnętrznego są elementy specyficzne ze względu na sektor, w którym działa dana firma. Oczywiście przed sektorem finansowym stawiane są najwyższe wymagania. Niemniej podstawowe zasady działania audytu wewnętrznego są wspólne i ściśle określone. Bazę informacji o tym czym jest audyt wewnętrzny, jakie są jego cele, kompetencje i obowiązki stanowią "Standardy Profesjonalnej Praktyki Audytu Wewnętrznego", Instytutu Audytorów Wewnętrznych oraz "Raport Turnbulla". Dla sektora bankowego źródłem informacji są również rekomendacje Komitetu Bazylejskiego.
ZARZĄDZANIE RYZYKIEM OPERACYJNYM
Ryzyko operacyjne to ryzyko bezpośrednich i pośrednich strat wynikających z nieadekwatności lub błędów procesów, ludzi i systemów lub przyczyn zewnętrznych.
Ryzyko operacyjne dotyczy całej firmy, tkwi w każdym procesie. Zarządzanie ryzykiem operacyjnym chroni i zwiększa wartość firmy dla jej udziałowców, co dla instytucji finansowych jest już sprawą oczywistą.
Ryzyko operacyjne nie jest nowym ryzykiem. Dla banku jest to pierwsze ryzyko, którym musi zarządzać zanim udzieli pierwszego kredytu lub wykona pierwszą transakcję. Ale pomysł, że zarządzanie ryzykiem operacyjnym jest nową dyscypliną, z własną strukturą zarządzania, narzędziami i procesami, jest nowy i głośno o nim od ok. 4 lat.
Właśnie w zarządzaniu ryzykiem operacyjnym audyt wewnętrzny znalazł swoje szczególne miejsce. Jest bowiem źródłem obiektywnych informacji, bez których bardzo trudno jest kierownictwu firmy spełniać właściwie funkcje menadżerskie, mieć pełne rozeznanie co do skali ryzyka wystąpienia oszustw, ocenić sprawność i adekwatność systemu kontroli wewnętrznej - podstawowego mechanizmu zarządzania ryzykiem operacyjnym i biznesowym.
Schemat zarządzania ryzykiem operacyjnym w firmie
Źródło: Operational Risk Management--The New Frontier. Oprac. PricewaterhouseCoopers
Główne czynniki, które decydują o kulturze korporacyjnej, włączając w nią sposób podejmowania decyzji, organizację procesów i cechy prowadzonej działalności to:
Strategia. Zarządzanie ryzykiem zaczyna się od sformułowania strategii i celów działalności oraz wynikających z tego zadań dla poszczególnych jednostek organizacyjnych, produktów i menadżerów. Towarzyszy temu identyfikacja ryzyk związanych z daną działalnością. Należy wziąć pod uwagę zarówno zdarzenia negatywne (największą spodziewaną stratę, która może mieć wpływ na osiągnięcie planowanych dochodów), jak i możliwości (np. nowe produkty, które kreują ryzyko operacyjne). Wynikiem powinno być określenie poziomu ryzyka, które firma jest w stanie zaakceptować: podjąć ryzyko, którym potrafi zarządzać, inne wytransferować lub wyeliminować. W ten sposób powstaje baza do podejmowania decyzji.
Polityka w zakresie ryzyk. Strategia dotycząca ryzyka oraz zasady zarządzania ryzykiem operacyjnym stanowią wskazówkę dla służb odpowiedzialnych za to zarządzanie. Polityka zwykle definiuje ryzyko operacyjne, podejście do zarządzania tym ryzykiem, ustala odpowiedzialność oraz koncepcję technologii informatycznej.
Proces zarządzania ryzykiem stanowi zestaw ogólnych procedur zarządzania ryzykiem operacyjnym:
System kontroli - definicja systemu kontroli wewnętrznej oraz wybór alternatywnych sposobów zmniejszania ryzyka, np. ubezpieczenie określonych ryzyk.
Ocena - program zapewniający skuteczność systemu kontroli oraz określenie poziomu akceptowalnego ryzyka. Na tę ocenę składa się przepływ informacji, program samooceny oraz program audytu.
Pomiar - zestaw miar finansowych i niefinansowych, czynników ryzyka, wielkości kapitału ekonomicznego do określenia aktualnego poziomu ryzyka i postępowania zapewniającego realizację celów.
Raportowanie - informacja dla kadry zarządzającej niezbędna dla zapewnienia zasobów i ustalenia priorytetów.
Zmniejszanie ryzyka zapewnia zaprojektowany system kontroli wewnętrznej oraz program redukujący zagrożenia, częstotliwość i wystąpienie groźnego zdarzenia lub redukujący skutki wystąpienia niekorzystnych zdarzeń, eliminujący wystąpienie pewnych elementów ryzyka operacyjnego lub też przenoszący (transferujący) je na innych. Przykładami są plan na wypadek awarii czy też katastrofy, bezpieczeństwo systemów informatycznych, przegląd zgodności z regulacjami, zarządzanie projektami, ubezpieczenie.
Zarządzanie operacyjne. Odnosi się ono do codziennych czynności, takich jak funkcje związane z bezpośrednią obsługą jak i funkcje zaplecza (front i back-office), technologia informatyczna, zwiększanie wydajności i usprawnianie procesów operacyjnych, raportowanie w celach zarządczych, zarządzanie kadrami. Każdy z tych procesów zawiera wbudowane składniki systemu zarządzania ryzykiem operacyjnym.
Kultura. Istnieje pewna równowaga pomiędzy formalną polityką i kulturą firmy. Dla ryzyka operacyjnego istotne są takie aspekty kultury korporacyjnej jak komunikowanie się wewnątrz firmy i z otoczeniem, tzw. przykład z góry, zasady etyczne, jasne przypisanie właściciela ustalonym zadaniom i celom, szkolenia, ustalenie miar dla oceny działalności, dzielenie się wiedzą, sposób podejmowania decyzji, przekazywanie władzy i odpowiedzialności na niższe szczeble.
Dodatkowo w modelu zarządzania firmą opartym o ryzyko należy uwzględnić integrację z ryzykiem kredytowym i rynkowym jak również współdziałanie z głównymi uczestnikami prowadzonej działalności takimi jak klienci firmy, pracownicy, dostawcy, instytucje nadzoru i twórcy prawa oraz akcjonariusze.
Audyt wewnętrzny jako integralna część zarządzania firmą cz II
Audyt wewnętrzny jest niezależną, obiektywną działalnością oceniającą i doradczą, prowadzoną w celu wniesienia do firmy wartości dodanej i doskonalenia jego działalności operacyjnej
STANDARDY PROFESJONALNEJ PRAKTYKI AUDYTU WEWNĘTRZNEGO
Miejsce audytu wewnętrznego w procesie zarządzania
Model audytu wewnętrznego wg "Standardów profesjonalnej praktyki audytu wewnętrznego" obrazuje schemat:
Ramy audytu wyznacza definicja
Jądro stanowią obowiązkowe standardy : Atrybutów, Realizacji, Wdrożenia
Zasady postępowania wyznacza Kodeks Etyki.
Interpretacją norm na język praktyki zajmuje się Poradnik Praktyka
Wsparciem dla audytora ze strony Instytutu Audytorów Wewnętrznych (IIA) są pomoce w formie szkoleń, studiów badawczych, seminariów, konferencji, publikacji.
Definicja:
Audyt wewnętrzny jest niezależną, obiektywną działalnością oceniającą i doradczą, prowadzoną w celu wniesienia do firmy wartości dodanej i doskonalenia jego działalności operacyjnej. Wspiera firmę w osiągnięciu wytyczonych celów poprzez systematyczne i zdyscyplinowane podejście, którego celem jest ocena i poprawa efektywności zarządzania ryzykiem, systemów kontroli oraz zarządzania (kierowania).
Ocena - to opinia przedstawiona przez audytora wewnętrznego na temat konkretnego lub ogólnego elementu działalności stwierdzająca, jak kierownictwo firmy rozumie ryzyko, tzn. jak:
wdraża odpowiednie zarządzanie ryzykiem,
waży odpowiednio ryzyko i kontrolę - czy strategia kontroli jest adekwatna do strategii zarządzania ryzykiem,
skutecznie wprowadza zmiany.
Doradztwo - Audyt wewnętrzny jest doradcą w sprawach dot. identyfikacji ryzyka i zarządzania zagrożeniami towarzyszącymi ryzyku.
Wartość dodana. - Firma istnieje by kreować wartość lub zysk dla swoich właścicieli, klientów i pracowników. Wartość jest dostarczana poprzez rozwój produktów i usług oraz użycie zasobów do promocji tych produktów i usług. Audytorzy wewnętrzni mają znaczący wgląd w operacje, uczestniczą w ich projektowaniu, oceniają ryzyko i zgłaszają możliwości ulepszeń i to jest ich znaczącym wkładem do organizacji.
Procesy zarządzania ryzykiem, kontroli i kierowania
Procesy zarządzania ryzykiem są implementowane by identyfikować, oceniać i odnosić się do potencjalnego ryzyka, które może mieć wpływ na osiąganie celów organizacji.
Procesy kontroli to zadania, procedury i działania, które są częścią systemu kontroli, zaprojektowane w celu zagwarantowania, że ryzyko mieści się w granicach akceptowanych przez proces zarządzania ryzykiem.
Procesy kierowania dotyczą procedur wykorzystywanych przez właścicieli do oglądu procesów zarządzania ryzykiem, administrowanych przez kierownictwo.
W ten sposób został zdefiniowany cel, kompetencje oraz obowiązki audytu.
Warunkiem wykonywania zadań przez audyt jest wg Standardów:
Niezależność i obiektywizm
Audyt wewnętrzny powinien być niezależny, a audytorzy powinni zachować obiektywizm w czasie wykonywania swoich obowiązków.
Audytorzy wewnętrzni są niezależni, jeśli mogą wykonywać swoją pracę w sposób nieskrępowany i obiektywny. Niezależność pozwala audytorom wewnętrznym na formułowanie osądów w sposób bezstronny i bez uprzedzeń. Niezależność uzyskuje się poprzez status organizacyjny i obiektywizm.
Niezależność organizacyjna
Dyrektor ds. audytu wewnętrznego powinien raportować do takiego szczebla zarządzania w strukturze organizacyjnej firmy, który umożliwi audytowi wewnętrznemu wypełnianie obowiązków.
Wymaganie wyjaśnień nt. żądanych informacji
Audytorzy wewnętrzni nie powinni być narażeni na jakiekolwiek próby ingerowania w zakres audytu, sposób wykonywania pracy i przekazywania wyników.
Indywidualny obiektywizm
Audytorzy wewnętrzni powinni formułować swoje osądy w sposób bezstronny i wolny od uprzedzeń oraz unikać konfliktu interesów.
Obiektywizm to niezależna postawa intelektualna, jaką audytorzy wewnętrzni powinni zachować w trakcie wykonywania audytów. Nie mogą podporządkowywać swoich sądów opiniom innych osób.
Obiektywizm wymaga prowadzenia audytów w sposób, który zapewnia zaufanie do wyników a jakość nie ucierpi z powodu kompromisów. Audytor nie może znaleźć się w sytuacji, która uniemożliwi mu wydanie obiektywnej i profesjonalnej opinii.
Praca powinna być tak rozdzielona, by pracownicy nie popadali w konflikt interesów.
Wyniki audytu przed przekazaniem ich zainteresowanym powinny być przeanalizowane w celu zapewnienia obiektywności.
Za nieetyczne uważa się przyjmowanie prezentów i napiwków od pracowników, klientów, dostawców i osób zależnych służbowo. Stwarza to sytuację zagrożenia dla obiektywizmu zarówno w sytuacji bieżącej jak i dla przyszłych działań. Otrzymanie materiałów promocyjnych (długopisów, kalendarzy, próbek), które są ogólnie dostępne i posiadają niską wartość nie jest traktowane jako zagrożenie dla profesjonalizmu badania.
Biegłość oraz odpowiednia staranność zawodowa
Prace audytorskie powinny być prowadzone z biegłością i odpowiednią starannością zawodową.
Zespół audytorski kolektywnie posiada wiedzę, umiejętności i reprezentuje dziedziny niezbędne do prawidłowego wykonania audytu.
Audytorzy wewnętrzni powinni przestrzegać profesjonalnych zasad postępowania. Kodeks Etyki rozszerza definicję audytu wewnętrznego o dwa istotne składniki:
zasady (principles), które odnoszą się do profesji i praktyki audytu wewnętrznego - uczciwość, obiektywizm, zaufanie i kompetencje oraz
Zbiór Zasad Postępowania (Rules of Conduct), który opisuje normy zachowań oczekiwanych od audytorów. Zbiór ten ma przekładać zasady na język praktyki i wskazywać na etyczne postępowanie.
Atrybut biegłości definiuje standard
Biegłość to umiejętności, wiedza i znajomość dyscyplin wymaganych od audytora.
W razie braku odpowiednich kompetencji, należy:
A1 zapewnić odpowiednią usługę z zewnątrz do wsparcia lub uzupełnienia działań audytu wewnętrznego
Wymaga się od audytora umiejętności
A2-1 Identyfikacji oszustw
Posiadania wystarczającej wiedzy pozwalającej mu określić znamiona popełnienia oszustwa. Wymaga to znajomości cech oszustwa, technik używanych przy jego popełnianiu oraz typów oszustwa. Nie oczekuje się jednak od audytora wiedzy, jaką posiada osoba odpowiedzialna za wykrywanie i prowadzenie dochodzenia w sprawie oszustwa.
A2-2 Odpowiedzialność za wykrywanie oszustw
Audytor powinien być wyczulony na sytuacje, które mogą prowadzić do oszustwa, zarządzić dodatkowe śledztwo i zawiadomić odpowiednie władze. Dobrze zaprojektowany system kontroli wewnętrznej nie powinien dopuścić do popełnienia oszustwa. Testy prowadzone przez audytorów oraz właściwy system kontroli zwiększają prawdopodobieństwo wykrycia każdego przejawu oszustwa.
Atrybut staranności zawodowej określa standard
Staranność zawodowa to umiejętności i staranność, jakiej oczekuje się od ostrożnego i wykwalifikowanego audytora. Nie oznacza to jednak bycia nieomylnym.
Dodatkowe zasady, która przyjęły postać norm wdrożenia:
A1 Audytor wewnętrzny powinien badać z odpowiednią starannością zawodową biorąc pod uwagę:
Zakres prac wymagany do zrealizowania założonego celu.
Relatywną złożoność, znaczenie (materialne) i ważność sprawy.
Adekwatność i efektywność zarządzania ryzykiem, systemu kontroli i procesu zarządzania.
Prawdopodobieństwo wystąpienia znaczącego błędu, nieprawidłowości i niezgodności.
Kosztów oceniania w relacji do osiągniętych korzyści.
A2 Audytor wewnętrzny powinien być wyczulony na istotne, znaczące ryzyka, które mogą mieć wpływ na osiągnięcie celu, realizację operacji i na zasoby. Jednakże same procedury badawcze, nawet wykonane zgodnie z zasadą staranności zawodowej, nie gwarantują jeszcze identyfikacji wszystkich istotnych ryzyk. Wymaga to ciągłego podnoszenia kwalifikacji i doskonalenia umiejętności przez zdobywanie i utrzymanie certyfikatu.
Zapewnienie jakości oraz zgodności
Dyrektor ds. audytu wewnętrznego powinien opracować oraz realizować program zapewnienia jakości celem osiągnięcia zgodności ze Standardami i Kodeksem Etyki. Program powinien zapewniać, że audyt przyczynia się do zwiększenia wartości firmy oraz poprawy jej działania.
Zakres prac
Audyt wewnętrzny dokonuje ocen i ma udział w usprawnianiu zarządzania ryzykiem, systemu kontroli i procesów kierowania instytucją.
Audyt wewnętrzny wypowiada się na temat całego procesu zarządzania. Wszystkie odnoszące się do prowadzonego biznesu systemy, procesy, operacje, funkcje i sposób prowadzenia działalności są przedmiotem jego oceny.
Podstawowym celem całego procesu zarządzania jest zapewnienie:
wiarygodności i rzetelności danych finansowych i operacyjnych,
oszczędnego i efektywnego wykorzystania wszelkich zasobów,
zabezpieczenia majątku,
zgodności z przepisami prawa, regulacjami, normami etycznymi i biznesowymi oraz umowami,
identyfikacji poziomu ryzyka i zastosowanie skutecznych metod jego kontroli,
realizacji celów i zadań ustalonych dla operacji i programów.
Zarządzanie ryzykiem
Rola audytu wewnętrznego sprowadza się do identyfikacji i oceny istotnych zagrożeń i ryzyk oraz udziału w usprawnianiu procesów zarządzania ryzykiem i systemu kontroli wewnętrznej.
A1 Audyt wewnętrzny powinien monitorować i oceniać efektywność systemu zarządzania ryzykiem. oraz
A2 oceniać ekspozycję na ryzyko
Kontrola
Audyt wewnętrzny powinien wspierać instytucję w zakresie utrzymania skutecznego systemu kontroli, głównego czynnika zmniejszającego ryzyko.
Zarządzanie instytucją
Jeśli chodzi o rolę audytu w odniesieniu do sposobu kierowania instytucją powinien on mieć wpływ na poprawę procesu, w trakcie którego (1) są ustalane i przekazywane cele i wartości, (2) monitorowane jest osiąganie celów, (3) przypisana jest odpowiedzialność oraz (4) zachowane są wartości.
Audyt wewnętrzny jako integralna część zarządzania firmą cz III
Funkcje audytu wewnętrznego są częścią procesu monitorowania systemu kontroli wewnętrznej oraz bankowych procedur oceny kapitałowej, ponieważ zapewniają niezależną ocenę adekwatności oraz zgodności z procedurami bankowymi i jego polityką.
Audyt wewnętrzny w bankach oraz relacje władz nadzorczych z audytorami wewnętrznymi i zewnętrznymi
Rekomendacje Komitetu Bazylejskiego cytują definicję audytu zaakceptowaną przez IIA w czerwcu 1999 r.
Znaczenie audytu wewnętrznego w systemie zarządzania bankiem (oraz dla władz nadzorczych) wynika stąd, że jest on wartościowym źródłem informacji nt. jakości systemu kontroli wewnętrznej. Wzmacnia też adekwatność kapitałową, a w szczególności filar, który traktuje o funkcji nadzoru. W tym znaczeniu skuteczna kontrola procesu oceny kapitału obejmuje niezależny przegląd dokonany przez audytorów wewnętrznych. Nowa definicja wychodzi poza funkcje oceniające i rozszerza zadania audytu o doradztwo.
Potrzeba obiektywizmu i bezstronności, tak ważna zwłaszcza w audycie funkcjonującym w bankowości, nie wyklucza zaangażowania w działalność o charakterze doradczym. Doradzanie na etapie projektowania systemu kontroli wewnętrznej jest często najekonomiczniejszym sposobem dostarczenia kierownictwu informacji do podjęcia racjonalnej decyzji nt. zaimplementowania systemu kontroli. Inne formy doradztwa powinny być podporządkowane podstawowej funkcji audytu realizowanej w ramach organizacyjnych instytucji, jaką jest niezależne badanie i ocena jej systemu kontroli, włączając w to kontrolę sprawozdań finansowych. Nie powinno się wykluczać audytorów z analizowania i krytykowania systemu kontroli, nawet wtedy gdy uczestniczyli w doradzaniu przy jego implementacji.
Cele i zadania audytu wewnętrznego
Zasada 1
Zarząd odpowiada za ustanowienie i realizację przez kierownictwo banku adekwatnego i skutecznego systemu kontroli wewnętrznej, systemu pomiaru różnorodnych ryzyk, systemu powiązania ryzyk z poziomem kapitału oraz odpowiednich metod monitorowania zgodności działalności bankowej z przepisami prawa, regulacjami a także zasadami nadzorczymi i wewnętrzną polityką.
W konsekwencji bank powinien posiadać procedury identyfikacji i adekwatnej kontroli ryzyk bankowych, testowania integralności, wiarygodności i terminowości informacji finansowej i zarządczej, monitorowania zgodności z prawem, regulacjami nadzorczymi, polityką i procedurami wewnętrznymi.
Zasada 2
Kierownictwo banku odpowiada za stworzenie procesów identyfikacji, pomiaru, monitorowania i kontroli ryzyk, które napotyka w swojej działalności.
Efektywna organizacja pracy wymaga jednoznacznego przydzielenia odpowiedzialności, uprawnień, podległości w strukturze, proces zarządzania powinien zapewnić identyfikację, pomiar, monitorowanie i kontrolę ryzyka. Sprowadza się to do ustanowienia odpowiedniego systemu kontroli wewnętrznej i procesu monitorowania adekwatności i skuteczności tego systemu.
Zasada 3
Funkcje audytu wewnętrznego są częścią procesu monitorowania systemu kontroli wewnętrznej oraz bankowych procedur oceny kapitałowej, ponieważ zapewniają niezależną ocenę adekwatności oraz zgodności z procedurami bankowymi i jego polityką. W ten sposób audyt wewnętrzny wspomaga pracowników w efektywnym wykonywaniu obowiązków opisanych wyżej.
W zakres prac audytu wewnętrznego wchodzi:
badanie i ocena adekwatności i efektywności systemu kontroli wewnętrznej,
przegląd zastosowania i efektywności procedur zarządzania ryzykiem oraz metodologia oceny ryzyka,
przegląd systemów informacji finansowej i zarządczej, włącznie z elektronicznym systemem informacji oraz usługami bankowości elektronicznej
przegląd prawidłowości i rzetelności zapisów księgowych oraz raportów finansowych,
przegląd bankowego systemu oceny kapitału w relacji do szacowanego ryzyka,
testowanie zarówno transakcji jak i funkcjonowania określonych procedur kontroli wewnętrznej,
zgodność z wymaganiami prawnymi i nadzorczymi, kodeksem postępowania, polityką i procedurami,
testowanie integralności, rzetelności i terminowości sporządzania sprawozdań,
prowadzenie specjalnych dochodzeń.
Zasady działania audytu wewnętrznego
Zasada 4
Audyt wewnętrzny w banku powinien być funkcją permanentną. Obowiązkiem kierownictwa jest podjęcie wszelkich środków, które zapewnią działanie audytu wewnętrznego w sposób ciągły i odpowiedni do wielkości banku oraz charakteru jego działalności. Te środki to zapewnienie odpowiednich zasobów i personelu, które umożliwią departamentowi audytu realizację jego celów.
RAPORT TURNBULLA
(wrzesień 1999)
Kontrola wewnętrzna: wytyczne dla dyrektorów dotyczące Wspólnego Kodeksu, opracowane przez Grupę Roboczą Kontroli Wewnętrznej Instytutu Biegłych Księgowych Anglii i Walii, zawierają wskazówki dla dyrektorów brytyjskich firm notowanych na giełdzie dot. interpretacji Zasady D.2. Wspólnego Kodeksu i powiązanych z nią punktów D.2.1 i D.2.2. Raport uzyskał status międzynarodowy i stał się wyznacznikiem standardów zarządzania firmą.
1. Zasada D.2. Kodeksu mówi, że "Zarząd powinien utrzymywać sprawny system kontroli wewnętrznej celem ochrony inwestycji udziałowców i majątku firmy".
2. Punkt D.2.1 mówi, że "Dyrektorzy powinni, co najmniej raz w roku, dokonywać oceny efektywności systemu kontroli wewnętrznej grupy i powinni składać o tym sprawozdania udziałowcom. Ocena powinna obejmować wszystkie kontrole, w tym finansowe, operacyjne i prawne oraz zarządzania ryzykiem".
3. Punkt D.2.2. mówi, że "firmy, które nie posiadają komórek odpowiedzialnych za audyt wewnętrzny powinny raz na jakiś czas rozważyć możliwość ich utworzenia".
Znaczenie kontroli wewnętrznej i zarządzania ryzykiem
10. System kontroli wewnętrznej firmy pełni kluczową rolę w zarządzaniu ryzykiem, które ma istotny wpływ na realizację przez firmę wytyczonych celów. Sprawny system kontroli wewnętrznej przyczynia się do ochrony inwestycji udziałowców i majątku firmy.
11. Kontrola wewnętrzna (według punktu 20) wspomaga efektywność działania firmy, pozwala zapewnić wiarygodność raportowania wewnętrznego i zewnętrznego oraz pomaga pozostawać w zgodności z właściwymi przepisami i zarządzeniami.
12. Efektywna kontrola finansowa wraz z właściwym prowadzeniem zapisów księgowych stanowią ważny element kontroli wewnętrznej. Dają one zapewnienie, że firma nie jest niepotrzebnie wystawiona na ryzyko finansowe, które jest możliwe do uniknięcia i że finansowe informacje używane wewnątrz firmy i w publikacjach są wiarygodne. Pomagają one również w ochronie majątku firmy, m.in. poprzez zapobieganie i wykrywanie oszustw.
13. Cele firmy, jej struktura organizacyjna i otoczenie, w którym funkcjonuje ulegają ciągłym zmianom, a wraz z nimi zmienia się ryzyko, na które narażona jest firma. Dlatego sprawny system kontroli polega na gruntownej i regularnej ocenie charakteru i stopnia ryzyka zagrażającego firmie. Jeśli weźmie się pod uwagę fakt, że zyski po części są wynagrodzeniem udanego podejmowania ryzykownych decyzji, to celem kontroli wewnętrznej powinno być właściwe zarządzanie ryzykiem i jego kontrola, a nie eliminacja ryzyka.
Elementy sprawnego systemu kontroli wewnętrznej
20. System kontroli wewnętrznej obejmuje strategie, procesy, zadania, czynności oraz inne aspekty funkcjonowania firmy, które zgrupowane razem:
- usprawniają efektywność działania firmy poprzez umożliwienie właściwej reakcji na poważne ryzyka biznesowe, operacyjne, finansowe, prawne oraz inne, celem osiągnięcia przez firmę zamierzonych celów. W to wlicza się ochronę majątku przed niewłaściwym wykorzystaniem, stratą lub oszustwem oraz zapewnienie identyfikacji i obsługi zobowiązań.
- pomagają w zapewnieniu właściwej jakości raportowania wewnętrznego i zewnętrznego.
- pomagają w zapewnieniu zgodności z właściwymi przepisami i zarządzeniami, a także ze strategią działania firmy.
22. System kontroli wewnętrznej firmy powinien:
- być ściśle związany z funkcjonowaniem firmy i stanowić część jej kultury,
- być w stanie szybko reagować na zmieniające się ryzyka zagrażające firmie, powstałe w wyniku czynników wewnętrznych i uwzględniać zmiany w środowisku biznesowym,
- zawierać procedury pozwalające na natychmiastowe informowanie właściwych jednostek kierowniczych o wszystkich zidentyfikowanych poważnych błędach lub słabościach kontroli oraz podjętych działaniach zaradczych.
23. Sprawny system kontroli wewnętrznej redukuje lecz nie eliminuje konsekwencji nietrafnych decyzji, ludzkich błędów, umyślnego omijania przez pracowników i inne osoby procedur kontrolnych, nadrzędnych kontroli przeprowadzanych przez kierownictwo oraz zaistnienia nieprzewidzianych okoliczności.
24. Sprawny system kontroli wewnętrznej ma zatem dać rozsądną lecz nie absolutną gwarancję, że realizacja wyznaczonych przez firmę celów przy odpowiednim i zgodnym z prawem prowadzeniu działalności, nie będzie utrudniona przez okoliczności, które są możliwe do przewidzenia. System kontroli wewnętrznej nie może dać całkowitej gwarancji, że firma osiągnie swoje zamierzone cele i nie może w pełni uchronić jej przed błędami merytorycznymi, stratami, oszustwem i naruszeniem przepisów i zarządzeń.
· Ocena efektywności kontroli wewnętrznej
27. Efektywne bieżące monitorowanie jest istotnym elementem sprawnego systemu kontroli wewnętrznej. Jednakże, aby wypełniać swoje zadania zarząd nie może polegać wyłącznie na procesach monitorowania. Powinien on regularnie otrzymywać i oceniać raporty z kontroli wewnętrznej. Dodatkowo zarząd powinien dokonywać rocznej oceny wyników kontroli celem wydania publicznego oświadczenia oraz zapewnienia, że wzięto pod uwagę wszystkie znaczące aspekty kontroli wewnętrznej w firmie.
30. Raporty przekazywane przez kierownictwo zarządowi powinny, dostarczać zrównoważonej oceny znaczących ryzyk oraz efektywności systemu kontroli wewnętrznej w zarządzaniu tymi ryzykami łącznie z wynikłymi z nich konsekwencjami dla działalności firmy. Powinny one również wymieniać działania podjęte w celu korekty zaistniałych błędów. Istotne jest to, aby istniała otwarta komunikacja pomiędzy kierownictwem a zarządem w kwestiach odnoszących się do ryzyka i kontroli.
31. Przy ocenie raportów w ciągu roku zarząd powinien:
- wyodrębniać znaczące ryzyka i oceniać sposób ich identyfikacji, oceny i obsługi,
- oceniać efektywność powiązanego systemu kontroli wewnętrznej w obsłudze znaczących ryzyk, uwzględniając w szczególności znaczące błędy i niedociągnięcia kontroli wewnętrznej, które zgłoszono w raporcie,
- ocenić, czy niezbędne działania mające na celu naprawę błędów i niedociągnięć podejmowane są we właściwym tempie,
- ocenić, czy wyniki kontroli wskazują na potrzebę wzmożonego monitorowania systemu kontroli wewnętrznej.
Audyt wewnętrzny
42. Według postanowienia D.2.2 Kodeksu, firmy, które nie posiadają komórek odpowiedzialnych za audyt wewnętrzny powinny co jakiś czas rozważyć możliwość ich utworzenia.
43. Potrzeba tworzenia komórek odpowiedzialnych za audyt wewnętrzny zależy od czynników wewnątrz danej firmy, w tym zakresu, różnorodności i złożoności działań firmy, ilości pracowników oraz stosunku kosztów do możliwych korzyści. Wyższe kierownictwo i zarząd mogą wymagać obiektywnych ocen i rad w zakresie ryzyka i kontroli. Odpowiednio wyposażona jednostka audytu wewnętrznego (lub jej odpowiednik, np. firma, której zleca się przeprowadzenia całości lub części odpowiednich prac) może służyć takimi ocenami i radami.
44. W przypadku, gdy nie istnieje jednostka audytu wewnętrznego, zadaniem kierownictwa jest zastosowanie innych procedur monitorujących celem uzyskania pewności, że system kontroli wewnętrznej pracuje zgodnie z zamierzeniami. W takiej sytuacji zarząd będzie musiał ocenić, czy takie procedury dają wystarczające i obiektywne gwarancje.
45. Przy ocenie potrzeby wprowadzenia wewnętrznej jednostki audytu zarząd powinien także wziąć pod uwagę to, czy istnieją przesłanki lub czynniki odnoszące się do działań firmy, rynków lub innych aspektów jej otoczenia zewnętrznego, które spowodowały zwiększenie lub prawdopodobnie spowodują zwiększenie ryzyka zagrażającego firmie. Takie zwiększenie ryzyka może także wyniknąć z czynników wewnętrznych, np. ze zmian restrukturyzacyjnych albo ze zmian w procesach raportowania lub systemach informatycznych. Inne czynniki, które należy uwzględnić, to np. niekorzystne tendencje ujawnione podczas monitorowania systemów kontroli wewnętrznej lub zwiększona częstotliwość występowania nieprzewidzianych okoliczności.
47. Jeśli firma nie posiada jednostki audytu wewnętrznego, a zarząd nie zadecydował o tym, że konieczne jest jej utworzenie, według Zasady Notowania jest on zobowiązany wyjawić te fakty.
PODSUMOWANIE
Nowoczesna firma nie może funkcjonować bez sprawnie zarządzanej komórki audytu wewnętrznego, który koncentruje się na analizie ryzyk powstających w firmie. Zadaniem komórki audytu wewnętrznego w firmie jest identyfikacja, mierzenie i ograniczanie ryzyka do akceptowalnego poziomu.
Istnieją wypracowane standardy, które są jednocześnie wytycznymi wskazującymi jakie cele i zasady postępowania obowiązują komórkę audytu wewnętrznego. Ich źródłem jest Polski Instytut Audytorów Wewnętrznych, polski oddział IIA - Institute of Internal Auditors.
1