145 30 2MB
Polish Pages [265] Year 2014
Agnieszka Skoczylas-Tworek – Uniwersytet Łódzki Wydział Ekonomiczno-Socjologiczny, Katedra Finansów i Rachunkowości MSP 90-214 Łódź, ul. POW 3/5
RECENZENT Beata Zofia Filipiak REDAKTOR WYDAWNICTWA UŁ Ewa Siwińska SKŁAD I ŁAMANIE Oficyna Wydawnicza Edytor.org Lidia Ciecierska PROJEKT OKŁADKI czartart.com: Magdalena Muszyńska, Izabela Surdykowska-Jurek Zdjęcie wykorzystane na okładce: © Fotolia.com – madpixblue
© Copyright by Uniwersytet Łódzki, Łódź 2014 Wydane przez Wydawnictwo Uniwersytetu Łódzkiego Wydanie I. W.06664.14.0.M ISBN 978-83-7969-395-5 (wersja papierowa) ISBN 978-83-7969-528-7 (wersja elektroniczna) Wydawnictwo Uniwersytetu Łódzkiego 90-131 Łódź, ul. Lindleya 8 www.wydawnictwo.uni.lodz.pl e-mail: [email protected] tel. (42) 665 58 63, faks (42) 665 58 62
SPIS TREŚCI WSTĘP
7
ROZDZIAŁ I. ISTOTA I ZAKRES DZIAŁANIA AUDYTU 1.1. Definicyjne ujęcie audytu i terminy z nim związane 1.1.1. Pojęcie audytu 1.1.2. Terminologia stosowana w audycie 1.2. Otoczenie audytu i zakres jego działania 1.2.1. Pozycja i rola audytu w systemie kontroli wewnętrznej 1.2.2. Zakres działania audytu w jednostkach organizacyjnych 1.3. Sylwetka zawodowa audytora 1.3.1. Etyczne i osobowościowe atrybuty pracy audytora 1.3.2. Kluczowe kompetencje i umiejętności w świadczeniu usług audytowych 1.3.3. Psychologiczne aspekty pracy audytora
11 11 11 27 33 33 42 59 59 65 73
77 ROZDZIAŁ II. STANDARYZACJA AUDYTU 77 2.1. Standardy i wytyczne wykorzystywane w audycie 2.1.1. Standardy profesjonalnej praktyki zawodowej audytu wewnętrzne79 go IIA 2.1.2. Ramowe zasady kontroli wewnętrznej i zarządzania ryzykiem we84 dług COSO 2.1.3. Międzynarodowe Standardy Najwyższych Organów Audytu IN89 TOSAI 2.1.4. Międzynarodowe Standardy Rachunkowości i Sprawozdawczości 93 Finansowej 2.1.5. Standardy prowadzenia audytu i kontroli systemów informatycz97 nych 100 2.1.6. Procedury normalizacyjne 103 2.2. Pozostałe uregulowania dotyczące audytu 103 2.2.1. Prawne ujęcie audytu w krajach UE 107 2.2.2. Sarbanes-Oxley Act 2.3. Komparacja standardów i wytycznych oraz ich zastosowanie w audycie 111 ROZDZIAŁ III. PROCES REALIZACJI CZYNNOŚCI AUDYTOWYCH 3.1. Ryzyko i jego analiza na potrzeby audytu
119 119
6
Spis treści 3.1.1. Istota i problemy ryzyka w audycie 3.1.2. Znaczenie i zarządzanie ryzykiem w jednostce 3.1.3. Ocena i zarządzanie ryzykiem w audycie 3.2. Przeprowadzanie czynności audytowych 3.2.1. Etapy zadania audytowego 3.2.2. Metody i techniki wykorzystywane w audycie 3.3. Raportowanie wyników z działalności audytu 3.4. Ocena jakości świadczenia usług audytowych
119 120 125 146 146 157 173 181
ROZDZIAŁ IV. ORGANIZACJA I FUNKCJONOWANIE AUDYTU NA PRZYKŁADZIE POLSKIEJ GOSPODARKI 187 4.1. Struktura i kryteria oceny działalności audytu 187 4.2. Działalność audytu w sektorze publicznym 191 4.2.1. Uregulowania prawne w zakresie audytu 191 4.2.2. Organizacja systemu audytu i obowiązek korzystania z usług audytowych 199 4.2.3. Uprawnienia do wykonywania zawodu audytora 204 4.2.4. Forma korzystania z usług audytowych 209 4.2.5. Obszary zainteresowań audytu 210 4.2.6. Metodologia audytu 213 4.2.7. Ocena jakości pracy audytu 217 4.2.8. Odbiorcy informacji dostarczanych w ramach usług audytowych 218 4.3. Zastosowanie audytu w organizacjach sektora prywatnego 221 4.3.1. Uregulowania prawne w zakresie audytu i obowiązek korzystania z jego usług 221 4.3.2. Organizacja audytu i forma korzystania z usług audytowych 225 4.3.3. Uprawnienia do wykonywania zawodu audytora 226 4.3.4. Obszary zainteresowań audytu 227 4.3.5. Metodologia audytu 229 4.3.6. Ocena jakości pracy audytu 231 4.3.7. Odbiorcy informacji dostarczanych w ramach usług audytowych 232 4.4. Audyt w polskiej gospodarce – analiza porównawcza 233 4.5. Kierunki rozwoju audytu 238 ZAKOŃCZENIE
245
LITERATURA
249
SPIS TABEL
261
SPIS RYSUNKÓW
263
WSTĘP Działalność współczesnych organizacji jest narażona na różnego rodzaju zagrożenia, które mogą zakłócić jej bieżące funkcjonowanie. Wpływ mogą mieć na nią zarówno czynniki zewnętrzne, jak i we wnętrzne. Z punktu widzenia środowiska zewnętrzne�o można mówić w szczególności o uwarunkowaniach ekonomiczny� �awnych, han dlowyc�, środo�iskowych, regionalnych czy �ż �kurencyjnoś �i. , wewnętrznych należy w W grupie czynmkow �rzede wszystkim słabości w funkcjonowaniu szeroko rozu�a� systemu zarządzania jednostką. Stąd istotne jest zapewnienie, �cznie działającego sys temu zarządzania w organizacji okreś mianem systemu kontroli O wewnętrznej. System kontroli wewnętrzne�nowi ogół reguł, struktur, zaso bów, procedur, podejmowan iałań w ramach organizacji, właści wych dla realizacji postawio�h przed nią celów i zadań. Elementy go tworzące powinny sta�ić•spójną, logiczną całość, uzupełniając się wzajemnie. Wytwor ��dpowiednich warunków do funkcjonowania systemu kontroli ętrznej przyczynia się do maksymalizacji i efek tywności dzia poszczególnych jego części składowych, a tym sa mym całej organizacji. O sprawności funkcjonowania systemu kontroli decyduje osiąganie celów przez jednostkę w sposób efektywny i sku teczny oraz szybkość reagowania na pojawiające się zagrożenia. Za działanie systemu kontroli wewnętrznej w instytucji odpowiedzialne są osoby zarządzające organizacją. Do ich kompetencji należy stworzenie takiego układu elementów w systemie, wewnętrznie skoordynowanego, który zapewni właściwe oraz wydajne działanie jednostki, a także wy pracowanie mechanizmów kontrolnych ograniczających podatność sys temu na pojawiające się zagrożenia. Ze względu jednak na dużą liczbę
�
�
�
·
8
Wstęp
oraz złożoność procesów zachodzących w ramach jednostki nie jest możliwe objęcie nadzorem całej instytucji przez jedną osobę- właści ciela ani nawet kilka osób- zarząd. Konieczne staje się zatem wyko rzystywanie narzędzi wsparcia, a do takich można zaliczyć audyt. Audyt jest działalnością wspierającą zarządzanie organizacją po przez świadczenie niezależnych i obiektywnych usług związanych z oceną jej działalności oraz usprawnianiem procesów w niej zacho dzących. Do jego zadań należy ocena i doskonalenie obszarów funkcjo nujących w jednostce, w tym weryfikacja efektywności mechanizmów kontrolnych, a także monitorowanie systemu kontroli wewnętrznej oraz ocena zarządzania ryzykiem celem dostarczania zarzą�ającemu infor macji na temat prawidłowości działania systemu ko��ewnętrznej, które są konieczne w procesie podejmowania,� � Skupia się on przede wszy�tkim �a identyfi�a�ji ryzyka ora� Vrzekazywaniu naj wyższemu kierownictwu wynikow ocen fo�p�anych w ramach audytowa�ych ?�szaró� wraz z �nalizą �ifh ści jed�ostki pod kąte� , zgodnosc1_ z JeJ celami. Zadaniem au��est rownież wychwycenie słabości systemu zarządzania, a t��skazanie drogi eliminowania konsek�e�cji tych zjawisk, j�Y:,ezpieczanie jednostki przed ich wystąpieniem. O>-' Głównym celem mo og�i jest przedstawienie istoty, roli i znaczenia audytu, jako i entu wspierającego jakość procesów decyzyjnych, zarówn instytucjach publicznych, jak i prywatnych na przykładzie pol�j ospodarki rynkowej. W ramach tak określonego celu zasadnicz�sformułowano następujące cele szczegółowe: określenie roli i znaczenia usług audytu, charakterystyka standardów i wytycznych wykorzystywanych w działalności audytowej, przedstawienie metodyki pracy oraz zakresu działania audytu, zaprezentowanie istoty i problematyki ryzyka w audycie, opis zastosowania usług audytu w sektorze publicznym i pry watnym na przykładzie polskiej gospodarki rynkowej. W celu zachowania przejrzystości rozważań publikacja została po dzielona na cztery rozdziały.
�
•
•
•
•
•
Wstęp
9
W pierwszym rozdziale opisano aspekty definicyjne pojęcia audytu oraz przedstawiono terminologię charakterystyczną dla jego funkcjono wania. Zaprezentowano również miejsce audytu w strukturze systemu kontroli wewnętrznej organizacji oraz opisano jego rolę i znaczenie. Dodatkowo weryfikacji poddano sylwetkę zawodową audytora poprzez odniesienie się do kwalifikacji, kompetencji i aspektów psychologicz nych niezbędnych do wykonywania tego zawodu. Drugi rozdział publikacji nawiązuje do normalizacji audytu, w ra mach której omówiono standardy niezbędne do stosowania w procesie świadczenia usług audytowych, jak również inne modele i wytyczne, które mog� ?yć wykorzyst�wane � realizacji c�ynn �i au�ytowych, w zależnosci od charakteru 1 rodzaJu obszaru obJęte�')uaniem. Rozdział trzeci prezentuje przebieg proce �d� poprzez opisa nie poszczególnych jego etapów oraz eleme� �)iiezbędnych do ich wykonania. Celem .z�pewnie�ia � sokiej ���i świ�dcz.onyc� usług każdy audytor powm1en anahzowac · � odpowiedni sposob pla agę pojawiające się zagroże nować czynności audytowe, biorąc p nia, dostosowywać dostępne eto z techniki badania do specyfiki audytowanego obszaru oraz ych kwalifikacji, a także informować kadrę kierowniczą o r tach swoich prac. W tej części pracy przedst�":'iono prze2.'� P ocesu realizacji czynności �udytowych : . . w zależnosc1 od od � w1adczonych usług, zapewniaJących bądz doradczych. Czwarty ri.l_�ZI ł publikacji koncentruje się na organizacji i funkcjonow �audytu na przykładzie polskiej gospodarki rynko wej. Z uwagi na różnorodność wykorzystania audytu w zależności od specyfiki jednostki, opisano działanie audytu, biorąc pod uwagę jego zastosowanie w sektorze publicznym i prywatnym. W tej części pracy zaprezentowano również problemy, z jakimi borykają się orga nizacje, oraz wskazano zadania, jakie powinien wykonywać audyt ce lem wspierania ich funkcjonowania. W konsekwencji przedstawiono proponowane kierunki zmian zarówno w spojrzeniu, jak i w zakresie działania oraz wykorzystania audytu w usprawnianiu działalności or ganizacJI.
!!
� ·
�
10
Wstęp
Na zakończenie przedstawiono wnioski wynikające z przeprowadzonej analizy teoretycznej, korzyści i ograniczenia związane z funkcjonowaniem audytu, a także wskazano kierunki jego intensyfikacji. Przy weryfikacji głównego celu opracowania skorzystano z wyników badań teoretycznych i empirycznych prezentowanych w polskiej oraz zagranicznej literaturze poświęconej zagadnieniom audytu, jak i licznych opracowaniach na ten temat, a także własnego wieloletniego doświadczenia zawodowego autorki w zawodzie audytora wewnętrznego.
ROZDZIAŁ I ISTOTA I ZAKRES DZIAŁANIA AUDYTU 1.1. Definicyjne ujęcie audytu i terminy z nim związane 1.1.1. Pojęcie audytu W większości pozycji literatury przedmiotu wskazuje się, iż audyt wywodzi się ze starożytności, jednakże należy zgodzić się z B.R. Kucem, iż próby udowodnienia tego zjawiska należą do pewnej kategorii opowieści historycznych. Stąd odnoszenie się do postrzegania i kształtowania pojęcia audytu w tamtych czasach powinno być traktowane w sposób rozsądny. Opierając się na istniejących faktach, z pewnością można odnieść się do słownika łacińskiego, angielskiego czy francuskiego, w których słowo „audire” oznacza ‘słyszeć’, ‘słuchać’, ‘przesłuchiwać’ czy ‘badać’1. Zatem pierwotnie audytor to słuchacz, jeśli można w ogóle założyć funkcjonowanie takiego zawodu w ówczesnej praktyce gospodarczej. Dopiero w latach 70., 80. XIX w. zaczęło kształtować się znaczenie pojęcia audytu, odnoszące się do funkcjonujących dziedzin nauki i działalności gospodarczej, koncentrujące się na badaniu oraz ocenie. Obecnie przyjęta forma i sposób jego działania określany jest jako nowoczesny audyt. W poszukiwaniu definicji audytu należy odnieść się nie tylko do literatury przedmiotu, ale również wytycznych, standardów czy uregulowań B.R. Kuc, Kontrola – Konroling – Audyt. Podobieństwa i różnice, Wydawnictwo PTM, Warszawa 2008, s. 241–242. 1
12
Rozdział I
prawnych, które posługują się zarówno pojęciem „audytu”, „audytu wewnętrznego” oraz „audytu zewnętrznego”, a także terminem „rewizja” czy „kontrola”. Wynika to z faktu, iż audyt w początkowej fazie swojego kształtowania stanowił swoistą formę rewizji i kontroli finansowej, jednakże w miarę upływu czasu zdecydowanie przyjął formę znacznie szerszą, choć do dziś również bywa w ten sposób określany. Celem ukazania ewolucji zagadnienia audytu odniesiono się zarówno do pojęcia rewizji, rewizji finansowej, jak i kontroli, kontroli finansowej czy kontroli wewnętrznej, z którymi ten termin bywa utożsamiany. Rewizja oznacza ustanowione w ramach organizacji i przeprowadzone na jej potrzeby odpowiednie działania, polegające m.in. na sprawdzaniu i ocenie zgodności funkcjonowania jednostki oraz działań podejmowanych na jej rzecz2. Odnosi się ona w szczególności do „sprawdzania, oceny i nadzoru poprawności i skuteczności działania systemów księgowości i kontroli wewnętrznej”3. Z kolei rewizja finansowa odnosi się do weryfikacji wybranego obszaru i wiąże ze sprawdzaniem lub badaniem, dokonanym przez niezależnych biegłych rewidentów (ekspertów w zakresie rachunkowości), całości sprawozdań finansowych, zapisów księgowych oraz innej, pomocniczej ewidencji wewnątrz i na zewnątrz jednostki4. Zdaniem M. Gottlieba, rewizja finansowa oznacza „systemowy proces stosowania pewnych ustalonych procedur polegający na obiektywnym zbieraniu i ocenie materiału badawczego, którego przedmiotem są ekonomiczne transakcje, które nastąpiły w jednostce gospodarczej w danym okresie obrachunkowym”5. W opinii J. Pfaffa, rewizja finansowa stanowi element rachunkowości i jest przeprowadzana w celu poświadczenia wiarygodności procedur 2 Słowniczek terminów rewizji finansowej, http://web.ifac.org/download/Polish_ GuidetoUsingISAs_Glossary.pdf (dostęp 21.05.2014). 3 Ibidem. 4 W.B. Meigs, O.R. Whittington, K. Pany, R.F. Meigs, Principles of Auditing, 9th ed., IRWIN, Boston 1989. 5 M. Gottlieb, Rola i obowiązki amerykańskiego biegłego rewidenta, „Rachunkowość” 1992, nr 4, s. 137.
Istota i zakres działania audytu
13
sporządzania sprawozdań finansowych. Założeniami koncepcyjnymi w tym zakresie jest rzetelne oraz jasne przedstawienie w sprawozdaniu finansowym sytuacji finansowej i majątkowej jednostki6. Dla przykładu warto w tym miejscu zaznaczyć, iż w ramach obowiązujących przepisów prawa polskiego pojęcie rewizji jest wciąż stosowane. Dotyczy to m.in. ustawy o Narodowym Banku Polskim (NBP), w świetle której działalność jednostek organizacyjnych NBP podlega rewizji wewnętrznej, którą wykonuje komórka centrali NBP podporządkowana prezesowi NBP7, czy w ramach ustawy o działach administracji rządowej, zgodnie z którą minister właściwy do spraw finansów publicznych odpowiada na zasadach, w trybie i granicach określonych odrębnymi przepisami, w szczególności za rachunkowość i rewizję finansową8. Istnieje jeszcze szereg innych przykładów prawnych, które wskazują na stosowanie tej formy weryfikacji. Innym terminem utożsamianym z audytem jest „kontrola”. Z punktu widzenia literatury przedmiotu stanowi ona element systemu zarządzania, który jako całość obejmuje planowanie, organizowanie, motywowanie i kontrolowanie9. Pojęcie to wykształciło się wraz z koncepcją zarządzania jako niezbędny składnik tego procesu, zamykający cykl kompleksowego działania. Żaden system zarządzania nie może funkcjonować sprawnie i efektywnie bez odpowiednio zorganizowanego systemu nadzoru. Sprawowanie kontroli w procesie zarządzania jednostką może przejawiać się dwutorowo10: 6 J. Pfaff, Wpływ rewizji finansowej na wiarygodność sprawozdania finansowego, Akademia Ekonomiczna w Katowicach, Katowice 2007, s. 11–15. 7 Art. 8 ustawy z 29 sierpnia 1997 r. o Narodowym Banku Polskim (Dz.U. 2013, nr 908). 8 Art. 8 pkt 2 ustawy z 4 września 1997 r. o działach administracji rządowej (Dz.U. 2013, nr 743). 9 B.R. Kuc, Kontrola…, s. 241–243. 10 Por. Glosariusz terminów dotyczących kontroli i audytu w administracji publicznej, Najwyższa Izba Kontroli, Kancelarii Prezesa Rady Ministrów, Ministerstwo Finansów, Ministerstwo Spraw Wewnętrznych i Administracji, Warszawa, lipiec 2005, s. 30–32.
14
Rozdział I
• jako funkcja – kontrola w tym zakresie polega na weryfikacji i ocenie zgodności oraz prawidłowości działania danej organizacji przez specjalnie do tego powołane komórki organizacyjne; • jako forma sprawowania władzy – wówczas kontrola stanowi system zarządzania przyjęty w jednostce. Na podstawie zaprezentowanego podejścia do postrzegania kontroli można mówić o węższym i szerszym spojrzeniu. Kontrola, w węższym ujęciu, oznacza badanie lub przegląd polegający na ustaleniu stanu faktycznego, porównaniu go ze stanem wymaganym (pożądanym) oraz dokonanie jego oceny. Z szerszego punktu widzenia to przyjęty system zarządzania (procedury, instrukcje, zasady, mechanizmy) służący do uzyskania racjonalnej pewności, że kluczowe cele organizacji zostaną osiągnięte11. Oprócz pojęcia kontroli występują również inne terminy, które stanowią rodzaje kontroli, a wykształciły się ze względu na charakter jej wykonywania (kontrola instytucjonalna, funkcjonalna, kierownicza czy samokontrola), czas przeprowadzania (kontrola ex-ante, kontrola ex-post), obszar (kontrola finansowa) czy podmiot kontroli (kontrola wewnętrzna, kontrola zewnętrzna). Spośród wskazanych kryteriów, biorąc pod uwagę dylematy terminologiczne wokół pojęcia audytu, należy zwrócić szczególną uwagę przede wszystkim na podział ze względu na charakter wykonywania kontroli. Znaczenie poszczególnych rodzajów kontroli w tym zakresie zamieszczono w tabeli 1.1. Z tabeli 1.1 wynika, że formy postrzegania kontroli są różne, w zależności od jej charakteru, a także osoby czy grupy osób wykonujących lub sprawujących kontrolę. Największe dylematy terminologiczne pojawiły się wokół pojęcia kontroli instytucjonalnej. Są one szczególnie widoczne w krajach, w których obok audytu funkcjonuje ten rodzaj kontroli, określanej również kontrolą wewnętrzną, która jest inaczej definiowana przez instytucje międzynarodowe. Kontrola wewnętrzna stanowi skoordynowany system obejmujący funkcjonowanie całej organizacji. Jest ona przeprowadzana w sposób niezależny w każdej instytucji i ma na celu zagwarantowanie, że cele Por. ibidem.
11
15
Istota i zakres działania audytu
jednostki zostaną osiągnięte w sposób skuteczny i efektywny, jej aktywa są właściwie chronione, a operacje legalne, prawidłowe i zasadne12. Tabela 1.1. Rodzaje kontroli ze względu na charakter jej sprawowania Charakter kontroli
Kontrola zarządcza
Kontrola funkcjonalna
Kontrola instytucjonalna
Samokontrola
1
2
3
4
5
Oznacza przyjęty system zarządzania organizacją ustanowiony przez osoby nią zarządzające i dostosowany do organizacji, jej uwarunkowań zewnętrznych i wewnętrznych
Odnosi się do funkcji kierowniczej i stanowi element pracy każdego menedżera. Dotyczy sprawowania nadzoru, jaki został powierzony kierującemu danym obszarem działalności jednostki
Istota kontroli instytucjonalnej wynika z jej służebnej roli wobec kierownictwa danej jednostki. Kontrola ta odnosi się do jednostek, komórek bądź stanowisk organizacyjnych, powołanych w celu wykonywania czynności kontrolnych. Jest ona na trwale wbudowana w strukturę organizacyjną instytucji
Samokontrola to proces świadomie inicjowany przez organizację, którego celem jest ocena zgodności działania instytucji z odpowiednim wzorcem, standardem działania
Kadra kierownicza
Osoba bądź zespół osób z organizacji bądź spoza niej
Wybrana osoba bądź zespół osób z organizacji
Opis kontroli
Osoby zaan- Zarządzający gażowane organizacją
Europejski Trybunał Obrachunkowy, Kontrola wewnętrzna, http://eca.europa.eu/ framework/budgetary_control/budgetary_control_internal_pl.htm (dostęp 01.06.2012). 12
16
Rozdział I Tabela 1.1 (cd.) 1
2
3
4
5
Możliwe formy sprawowania
Samodzielnie poprzez kadrę kierowniczą, przy ewentualnym zaangażowaniu wyspecjalizowanych komórek organizacyjnych pomocnych w opracowaniu procedur zarządczych
Samodzielnie przez kadrę kierowniczą
Zaangażowanie specjalnie do tego wyodrębnionych komórek organizacyjnych, określanych również komórkami kontroli wewnętrznej bądź z wykorzystaniem organizacji zewnętrznych
Samodzielnie przez kadrę kierowniczą bądź specjalnie powołaną grupę roboczą
Źródło: opracowanie własne.
Według wytycznych w sprawie standardów kontroli wydanych przez Komisję Standardów Kontroli INTOSAI (The Internaltional Organization of Supreme Audit Institutions), kontrola wewnętrzna to narzędzie wykorzystywane do uzyskania racjonalnej pewności, że cele instytucji zostały osiągnięte. Warto w tym miejscu zaznaczyć, że „należy ją wyraźnie odróżnić od tradycyjnego w polskiej administracji określenia kontroli wewnętrznej (resortowej) jako komórki organizacyjnej wykonującej czynności sprawdzające”13. Kontrola wewnętrzna, według standardów kontroli przyjętych w ramach Komisji Europejskiej14 (KE), obejmuje całość ustalanych przez kierownictwo zasad i procedur w organizacji celem uzyskania zapewnienia, że jednostka: Ministerstwo Finansów, Dostosowanie kontroli finansowej do Standardów UE, 2004, http://www.mf.gov.pl/dokument.php?const=1&dzial=350&id=29114 (dostęp 01.06.2012). 14 Komisja Wspólnot Europejskich, Oświadczenie dotyczące przestrzegania ładu administracyjno-regulacyjnego wydane przez Komisję Europejską, Bruksela, http:// ec.europa.eu/atwork/synthesis/doc/governance_statement_pl.pdf (dostęp 01.06.2012). 13
Istota i zakres działania audytu
17
• osiąga swoje cele w sposób oszczędny, wydajny i efektywny; • działa zgodnie z przepisami prawa oraz aktami wewnętrznymi i wytycznymi kierownictwa; • jej zasoby rzeczowe i informacyjne są chronione; • wykrywa błędy i nieprawidłowości oraz zapobiega ich powstawaniu; • sporządza informacje finansowe w sposób rzetelny i terminowy. Z pojęciem kontroli wewnętrznej nierozerwalnie wiąże się termin „system kontroli wewnętrznej”. Oznacza on „przyjęty w organizacji system zarządzania (procedury, instrukcje, zasady, mechanizmy) dający racjonalną pewność, że cele instytucji zostaną osiągnięte”15. Na system kontroli wewnętrznej, zdaniem organizacji COSO (The Committee of Sponsoring Organizations Treadway Commission), powinny składać się następujące elementy: środowisko kontroli, zarządzanie ryzykiem, mechanizmy kontrolne, informacja i komunikacja oraz ocena i monitoring16, które zostały opisane w rozdziale II publikacji. System kontroli wewnętrznej stanowi proces opracowany przez menedżerów lub pracowników jednostki w celu realizacji zamierzeń strategicznych organizacji17. Obejmuje podstawowe informacje i procedury zarządcze używane, aby utrzymać instytucję na względnie stałym lub wyższym poziomie działania18. System ten bywa również określany kontrolą wewnętrzną, stąd kontrola wewnętrzna (COSO, INTOSAI, KE), a także system kontroli wewnętrznej oznaczają to samo pojęcie, natomiast nie powinny być utożsamiane z kontrolą wewnętrzną w znaczeniu instytucjonalnym. Najwyższa Izba Kontroli, Glosariusz terminów dotyczących kontroli i audytu w administracji publicznej, Warszawa, lipiec 2005, s. 32 i 64. 16 Zarządzanie ryzykiem korporacyjnym zintegrowana struktura ramowa, streszczenie dla kierownictwa, COSO, wrzesień 2004, http://www.coso.org/documents/COSO_ ERM_ExecutiveSummary_Polish.pdf (dostęp 01.06.2012). 17 R. Anthony, V. Govindarajan, Management Control Systems, Irwin McGraw-Hill, Chicago 2007. 18 R. Simons, Levers of Control: How Managers Use Innovative Control Systems to Drive Strategic Renewal, Harvard Business School Press, Boston 1995, s. 5. 15
18
Rozdział I
Z kolei termin „audyt” z punktu widzenia dostępnych źródeł literatury jest różnie definiowany, zarówno jako audyt, audyt wewnętrzny i zewnętrzny. Według E.J. Saundersa, audyt to „profesjonalna działalność zapewniająca, stanowiąca skuteczny instrument władz organizacji, która w sposób proaktywny, niezależny, profesjonalny i obiektywny ocenia efektywność systemu kontroli wewnętrznej i procesów zarządzania ryzykiem, właściwe prowadzenie wszelkich operacji i czynności jednostki, ich poprawne jednolite przetwarzanie, księgowanie i raportowanie przynosząc wartość dodaną, poprzez ujawnianie braków i słabości oraz przez wskazanie sposobów podniesienia jakości i wydajności pracy. Oprócz dostarczania zapewnienia, audyt wewnętrzny również prowadzi dla organizacji funkcję doradczą”19. L.B. Sawyer stwierdza natomiast, że współczesny audyt wewnętrzny wywodzi się z rachunkowości i związanego z tą dziedziną zawodu biegłego rewidenta. Początkowo koncentrował się on na poświadczaniu dokładności danych finansowych. Obecnie świadczy usługi, które obejmują badania i ocenę obszarów finansowych organizacji, jak i całej działalności. Odnosi się zarówno do jednostek publicznych, jak i prywatnych. Stanowi on rodzaj niezależnego narzędzia, oceniającego jednostkę oraz skuteczność i efektywność jej działań20. Zdaniem W. Lücka, audyt wewnętrzny to „niezależna czynność sprawdzająca i oceniająca struktury i działania wewnątrz organizacji. Stanowi on jednocześnie niezależną instytucję przeprowadzającą kontrole wewnątrz organizacji i dostarczającą dokładnych analiz, ocen, zaleceń i informacji na temat sprawdzanych struktur i działań”21. 19 E.J. Saunders, Audyt i kontrola wewnętrzna w przedsiębiorstwach, PIKW S.A., EDUCATOR, Częstochowa 2002, s. 46. 20 L.B. Sawyer, M.A. Dittenhofer, J.H. Scheiner, Sawyer’s Internal Auditor, ed. IV, Altamonte Springs 1996, s. 3 i dalsze, za: K. Winiarska, Teoretyczne i praktyczne aspekty audytu wewnętrznego, Wydawnictwo Difin, Warszawa 2005, s. 18. 21 W. Lück, Die Zukunft der Interne Revision. Entwicklungstendenzen der unternehmensinternen Überwachung, Erich Schmidt Verlag, Berlin 2000, s. 1.
Istota i zakres działania audytu
19
W opinii J. Jagielskiego, audyt wewnętrzny jest „komponentem systemu kontroli wewnętrznej w tym sensie, że rozszerza ten system o mechanizm kontrolny oraz monitorujący i doradczy, służący kierownikowi organizacji, pozwalający na ocenę i diagnozę całokształtu procesów i stanów zachodzących w tej jednostce, przede wszystkim w płaszczyźnie gospodarowania środkami finansowymi, a także w sferze organizacyjnej, kadrowej, czy też w odniesieniu do funkcjonowania kontroli wewnętrznej i procedur z nią związanych”22. Leksykon Human Resources Management (HRM) wskazuje, iż słowo „audyt” oznacza „głęboką i szczegółową analizę działalności danej organizacji, prowadzoną przez zewnętrznych, niezależnych specjalistów w celu ujawnienia ewentualnych problemów czy nieprawidłowości w jej funkcjonowaniu”23. Natomiast słowo „wewnętrzny” oznacza znajdujący się w środku lub wewnątrz czegoś24. Pojęcie audytu wewnętrznego jest również definiowane w przepisach prawa. W zależności od praktyki danego kraju, termin ten został określony w ustawie budżetowej, ustawie o rachunkowości, ustawie o finansach publicznych czy też odrębnym akcie prawnym poświęconym audytowi. Dla przykładu, polska ustawa o finansach publicznych określa audyt wewnętrzny jako działalność niezależną i obiektywną, której celem jest wspieranie kierownika jednostki bądź właściwego ministra w realizacji celów i zadań poprzez systematyczną ocenę kontroli zarządczej oraz czynności doradcze25. W czeskiej ustawie o kontroli finansowej audyt wewnętrzny jest definiowany jako narzędzie oceny procesów zarządzania, którego celem jest dostarczanie kierownictwu systematycznego podejścia do J. Jagielski, Audyt wewnętrzny – miejsce w systemie kontroli i organizacja, „Kontrola Państwowa” 2003, nr 3. 23 K. Padzik, Leksykon Zarządzania Zasobami Ludzkimi Human Resources Management (HRM), Podstawowe pojęcia z dziedziny zarządzania zasobami ludzkimi, Wydawnictwo C.H. Beck, Warszawa 2002, s. 5. 24 Słownik języka polskiego PWN, red. M. Szymczak, PWN, Warszawa 1995, s. 240. 25 Art. 272 ustawy o finansach publicznych z dnia 27 sierpnia 2009 r., Dz.U., nr 157, poz. 1240 ze zm. 22
20
Rozdział I
weryfikacji adekwatności i skuteczności systemów zarządzania i kontroli, procesu identyfikacji ryzyka oraz działania mechanizmów kontrolnych celem ograniczenia pojawiających się zagrożeń26. W Hiszpanii audyt wewnętrzny jest określany jako systematyczne i etapowe badanie gospodarczej i finansowej działalności jednostek sektora finansów publicznych na podstawie procedur, wskazówek i wytycznych wydanych przez Generalne Biuro Kontroli i Audytu27. Z kolei, w Wielkiej Brytanii audyt wewnętrzny został określony jako narzędzie dostarczenia obiektywnej oceny i opinii na temat adekwatności oraz skuteczności funkcjonowania przyjętego w organizacji systemu kontroli wewnętrznej28. Definicje audytu wewnętrznego ujęte w regulacjach prawnych różnych krajów są zróżnicowane, co jest podyktowane specyfiką i potrzebami gospodarki danego państwa. Należy jednak wskazać, iż nie odbiegają one od siebie w znaczący sposób. Definicję audytu wewnętrznego zaproponował również Instytut Audytorów Wewnętrznych – The Institute of Internal Auditors (Instytut IIA) w Stanach Zjednoczonych w ramach opracowanych Międzynarodowych Standardów Praktyki Zawodowej Audytu Wewnętrznego – The IIA Standards for the Professional Practice of Internal Auditing (Standardy IIA29). Pierwsze wyjaśnienie tego terminu zostało ogłoszo26 Compendium of the Public Internal Control Systems in the UE Member States 2012 opracowanie Komisji Europejskiej, Luxembourg: Publications Office of the European Union, 2011, tłum.: Audyt wewnętrzny w krajach Unii Europejskiej, Ministerstwa Finansów, czerwiec 2012, s. 6, http://www.mf.gov.pl/dokument.php?const=7&dzial=5526&id=283586 (dostęp 20.11.2013). 27 Ibidem, s. 11. 28 Ibidem, s. 21. 29 Międzynarodowe Standardy Praktyki Zawodowej Audytu Wewnętrznego zostały zawarte w dokumencie pt. Definicja audytu wewnętrznego, Kodeks Etyki oraz Międzynarodowe Standardy Praktyki Zawodowej Audytu Wewnętrznego opracowanym przez The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs Floryda 32701-4201, USA. The Institute of Internal Auditors (IIA) – Instytut Audytorów Wewnętrznych, Altamonte Springs Floryda. Organizacja działa od 1941 r. w Stanach Zjednoczonych, zrzeszając audytorów wewnętrznych z całego świata. Zajmuje się opracowywaniem międzynarodowych wytycznych z zakresu organizacji i funkcjonowania
Istota i zakres działania audytu
21
ne przez Instytut IIA w roku 1947. Określało ono audyt wewnętrzny jako niezależną działalność oceniającą w organizacji, sprawdzającą poprawność operacji finansowych, księgowych i innych, wspomagającą działania zarządzających. Był to rodzaj kontroli, który zajmował się pomiarem i oceną efektywności innych rodzajów kontroli, koncentrując się głównie na sprawach finansowych i związanych z rachunkowością, ale mógł również badać działania o charakterze operacyjnym30. W 1978 r. Instytut IIA dokonał zmiany definicji audytu wewnętrznego, co zostało również opublikowane w Standardach IIA31. Zgodnie z nimi oznaczał on „działalność niezależną, obiektywnie zapewniającą i doradczą, której celem jest przysporzenie wartości i usprawnienie działalności operacyjnej organizacji. Pomaga on organizacji w osiąganiu jej celów poprzez systematyczne i zdyscyplinowane podejście do oceny i doskonalenia skuteczności procesów zarządzania ryzykiem, kontroli i governance32. Ostatnia z definicji zaproponowanych przez Instytut IIA w roku 2013 nieznacznie różni się od poprzedniej i wskazuje, iż audyt wewnętrzny to działalność niezależna i obiektywna, której celem jest przysporzenie wartości i usprawnienie działalności operacyjnej organizacji. Wspiera jednostkę w osiągnięciu celów poprzez systematyczną i zdyscyplinowaną ocenę oraz doskonalenie efektywności procesów zarządzania ryzykiem, kontroli i ładu organizacyjnego33. Warto w tym miejscu zaznaczyć, że definicja audytu określona przez Instytut IIA należy do najczęściej przytaczanych i komentowanych terminów, co wynika z międzynarodowego charakteru standardów, w których została ujęta. audytu wewnętrznego oraz innych opracować związanych z tematyką audytu wewnętrznego, a także organizacją międzynarodowych egzaminów na audytora wewnętrznego. 30 M.F. Cangemi, T. Spingelton, Managing the Audit Function: A Corporate Audit Department Procedures Guide, ed. III, J. Wiley & Sons, New Jersey 2003, s. 4, za: O. Martyniuk-Kwiatkowska, Ewolucja zadań audytu wewnętrznego, [w:] Współczesne problemy analizy ekonomicznej, „Prace i Materiały Wydziału Zarządzania Uniwersytetu Gdańskiego” 2006, nr 1, s. 38. 31 http://www.iia.org.au/pdf/StandardsMatterAUwebreadycopyAugust2006.pdf (dostęp 21.02.2012). 32 Definicja audytu wewnętrznego…., s. 3. 33 Ibidem, s. 3.
22
Rozdział I
Pojęcie audytu zostało również zdefiniowane w normach dotyczących audytowania systemów zarządzania jakością i zarządzania środowiskowego, zgodnie z którymi stanowi on systematyczny, niezależny i udokumentowany proces uzyskiwania dowodów z audytu oraz jego obiektywnej oceny, w celu określenia stopnia spełnienia kryteriów audytu34. ¤¤ Biorąc pod uwagę zaprezentowane definicje audytu, można wskazać, iż niektóre z nich są bardziej bądź mniej wyczerpujące. Można również podjąć próbę stworzenia własnej interpretacji tego pojęcia, traktując audyt jako formę świadczenia usług przez podmiot zewnętrzny bądź specjalnie do tego powołaną komórkę organizacyjną w strukturach jednostki, których celem jest diagnoza funkcjonowania systemu zarządzania pod względem efektywności i skuteczności jego działania, skutkująca dostarczeniem kierownictwu niezależnej i obiektywnej opinii oraz wskazaniem usprawnień przyczyniających się do poprawy działania organizacji.
Jak zostało wcześniej wspomniane, pojęcie audytu, szczególnie wewnętrznego, często bywa utożsamiane z kontrolą wewnętrzną. Celem dogłębnego porównania tych dwóch terminów należy spojrzeć na kontrolę dwutorowo, przez pryzmat systemu zarządzania oraz ujęcia kontroli w znaczeniu instytucjonalnym. W odniesieniu do pierwszego, audyt wewnętrzny od kontroli wewnętrznej odróżnia przede wszystkim cel, charakter i rola, jaką odgrywają w ramach organizacji. Audyt wewnętrzny w szczególności monitoruje i ewaluuje system kontroli wewnętrznej oraz weryfikuje skuteczność mechanizmów kontrolnych. Kontrola wewnętrzna stanowi natomiast immanentną część procesu zarządzania. Sprowadza się do określania stanu i struktur działania organizacji, które w szczególności są kształtowane przez uregulowania prawne, wewnętrzne reguły, ogólnie przyjęte zasady oraz wytyczne instytucji międzynarodowych (INTOSAI, COSO), na podstawie których funkcjonuje dana jednostka. Jej celem jest zabezpieczenie instytucji przed ponoszeniem strat zarów34 Standardy (normy) PN-EN ISO 19011 dotyczące audytowania systemów zarządzania jakością i/lub zarządzania środowiskowego, s. 7, za: A. Hamrol, Zarządzanie jakością z przykładami, PWE, Warszawa 2008, s. 211.
23
Istota i zakres działania audytu
no finansowych, jak i moralnych35. W kontroli wewnętrznej i audycie wewnętrznym występują podobne elementy, jak działania kontrolne czy identyfikacja ryzyka. Nieco inne są jednak kluczowe cele ich funkcjonowania. Kontrola wewnętrzna polega na nadzorowaniu działalności instytucji przez stworzenie systemu odpowiedzialności określonych osób i ustalaniu zadań oraz celów do realizacji. Audyt sprawdza funkcjonowanie systemu kontroli wewnętrznej, zaleca opracowanie procedur i doradza kierownictwu organizacji w sprawnym zarządzaniu. W drugim przypadku odnoszącym się do utożsamienia audytu wewnętrznego z kontrolą wewnętrzną w znaczeniu instytucjonalnym należy wskazać, iż ten rodzaj kontroli stanowi najbardziej zbliżoną formę oceny do audytu, jest bowiem świadczony w postaci czynności weryfikacyjnych, przez specjalnie do tego wyznaczone osoby bądź zespół osób z jednostki lub spoza niej. Różnice pomiędzy kontrolą zarówno w znaczeniu funkcji, jak i systemu zarządzania a audytem zamieszczono w tabeli 1.2. Tabela 1.2. Różnice między kontrolą (wewnętrzną) i audytem (wewnętrznym) Kontrola / kontrola wewnętrzna Przedmiot 1 Zadania
jako system zarządzania
w znaczeniu kontroli instytucjonalnej
2 Wiąże się z ustaleniem struktury działania i podejmowaniem działań przez kierownictwo organizacji, celem zapewnienia prawidłowego funkcjonowania instytucji i realizowania postawionych przed nią celów
3 Świadczenie czynności oceniających w stosunku do komórek organizacyjnych jednostki, w tym pracowników organizacji celem weryfikacji pojawiających się błędów i nieprawidłowości
Audyt / audyt wewnętrzny 4 Działanie mające na celu przysporzenie wartości dodanej i usprawnienie działalności operacyjnej organizacji
35 O. Martyniuk, Audyt wewnętrzny a kontrola wewnętrzna, [w:] Rachunkowość i analiza ekonomiczna. Wybrane problemy, „Prace i Materiały Wydziału Zarządzania Uniwersytetu Gdańskiego” 2005, nr 2, s. 22.
24
Rozdział I Tabela 1.2 (cd.) 3
4
Zakres działalności
1
Skierowana na zarządzanie i kontrole w ramach bieżącej działalności organizacji
2
Weryfikacja funkcjonowania komórek organizacyjnych jednostki w celu stwierdzenia odchyleń pomiędzy stanem rzeczywistym a wymaganym, ustalonym w formie przepisów prawa bądź wewnętrznych regulacji i zasad przyjętych w organizacji
Ocena i doskonalenie jednostki poprzez skoncentrowanie na takich elementach jak zarządzanie procesami, governance czy zarządzanie ryzykiem. Działania ex-ante, mające usprawnić funkcjonowanie organizacji w przyszłości, pomoc w nadzorowaniu instytucji, badanie całej działalności jednostki pod względem zgodności z przepisami, efektywności i skuteczności
Miejsce w organizacji
System zarządzania organizacją oraz komórki na poziomie zarządzania i poziomie operacyjnym, których zadaniem jest bieżąca weryfikacja istniejącego systemu zarządzania
Wyznaczone komórki na poziomie operacyjnym, określane jak komórki kontroli wewnętrznej
Niezależne komórki zhierarchizowane na poziomie zarządzania
Komórki / osoby zaangażowane
Działania realizowane przez kierownictwo jednostki
Działania realizowane przez wyspecjalizowane komórki operacyjne
Działania prowadzane przez osoby posiadające odpowiednie kwalifikacji
Źródło: opracowanie własne.
Bez względu na zastosowane podejście, należy podkreślić, że kontrola i audyt nie są pojęciami tożsamymi, różnią się one zarówno pod względem celu, jak i zakresu działania. Z uwagi na występujące pomiędzy nimi rozbieżności nie powinny być one używane zamiennie.
25
Istota i zakres działania audytu
Warto w tym miejscu zaznaczyć, iż na potrzeby niniejszej publikacji kontrola wewnętrzna będzie traktowana jako system kontroli wewnętrznej, czyli jako system zarządzania jednostką. Reasumując, audyt jest formą usługi świadczonej przez niezależny zespół osób, osobę bądź instytucję, które poprzez systemową ocenę mają za zadanie dostarczyć kierownictwu informacji na temat sprawności działania wszystkich obszarów jednostki oraz wskazać możliwości ich lepszego, bardziej efektywnego funkcjonowania. Audyt może być świadczony w formie usług wykonywanych przez specjalnie do tego powołaną komórkę organizacyjną czy wyznaczony zespół osób36 wewnątrz jednostki bądź zewnętrzną instytucję, wówczas jest określany mianem odpowiednio audytu wewnętrznego i zewnętrznego. Z uwagi na fakt, iż terminy te są do siebie zbliżone, warto w tym miejscu wskazać na podobieństwa oraz różnice występujące pomiędzy nimi37, które prezentuje tabela 1.3. Tabela 1.3. Audyt wewnętrzny i zewnętrzny – podobieństwa i różnice Kryterium
Audyt wewnętrzny
Audyt zewnętrzny
1
2
3
Charakter działalności
Usługa świadczona przez wyznaczonych pracowników organizacji bądź osoby od niej niezależne (outsourcing)
Prowadzony wyłącznie przez niezależnego wykonawcę
Służebność
Służy potrzebom organizacji
Służy organizacji, ale przede wszystkim stronom trzecim, które potrzebują wiarygodnych informacji o jednostce, w szczególności rzetelnych danych finansowych
Rozwiązanie często stosowane przy audytach jakości. Zob. też H. Szymańska, Ogólne zagadnienia audytu wewnętrznego, [w:] Audyt wewnętrzny w jednostkach sektora finansów publicznych, red. T. Kizukiewicz, Wydawnictwo Difin, Warszawa 2007, s. 14; R. Krzemień, K. Winiarska, Audyt wewnętrzny w pytaniach i odpowiedziach. Komentarze, Wydawnictwo InfoAudit, Warszawa 2004, s. 20. 36 37
26
Rozdział I Tabela 1.3 (cd.)
Zakres działania
Koncentruje się na zdarzeniach przyszłych poprzez ocenę mechanizmów kontrolnych w ramach dostarczenia zapewnienia, że cele jednostki są osiągane
Skupia się na dokładności i zrozumiałości zdarzeń historycznych zamieszczonych w sprawozdaniach finansowych bądź utrzymaniu jakości produktów i usług
Wykrywanie oszustw i nadużyć
Koncentruje się na zapobieganiu oszustwom i innym zdarzeniom wykrytym bądź stanowiącym potencjalne ryzyko, mającym wpływ na działalność jednostki
Dotyczy zapobiegania i wykrywania nadużyć, w szczególności gdy te są bezpośrednio związane ze sprawozdaniem finansowym i mają wpływ na pozycje w nim zamieszczane
Niezależność
Stanowi niezależne działanie, ale jest również gotowy działać w odpowiedzi na zapotrzebowanie na każdym poziomie zarządzania jednostką
Niezależny od zarządu
Ciągłość działalności
Działalność ciągła
Okresowy przegląd sprawozdań finansowych, zwykle raz w roku Okresowe badanie jakości produktów i usług
Źródło: opracowanie własne na podstawie L.B. Sawyer, Sawyer’s Internal Auditing. The Practice of Modern Internal Auditing, 5th ed., The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, s. 7–8.
Na podstawie informacji przedstawionych w tabeli 1.3 należy wskazać, że cel działania obu wymienionych rodzajów audytów jest nieco odmienny, jak również przeznaczenie ich wyników. Zbliżona jest jednak metodyka realizacji działań oraz dążenie do doskonalenia funkcjonowania jednostki poprzez przysparzanie jej wartości dodanej38. Biorąc po uwagę wskazane różnice pomiędzy audytem wewnętrznym a zewnętrznym, w dalszej części publikacji pojęcia te będą określane w odniesieniu do świadczenia usług wspólnie jako audyt bądź usługa Zob. W. Gabrusewicz, Audyt sprawozdań finansowych, PWE, Warszawa 2010, s. 15.
38
27
Istota i zakres działania audytu
audytowa, natomiast w ramach miejsca w organizacji, zakresu działania, odbiorców informacji czy kwalifikacji audytora, różnicowane i określane mianem audytu bądź usługi audytowej wewnętrznej lub zewnętrznej. 1.1.2. Terminologia stosowana w audycie Funkcjonowanie audytu wiąże się z przyjęciem pewnych specyficznych terminów, które odnoszą się do zawodu audytora, charakteru świadczonych przez niego usług, jak również sposobu wykonywania czynności audytowych. Ich istota ma bardzo ważne znaczenie dla właściwego zrozumienia zadań i roli działalności audytu. Terminy te możemy podzielić na trzy grupy dotyczące pojęć stosowanych odpowiednio w odniesieniu do cech audytora, realizacji czynności audytowych oraz charakteru świadczonych prac, co zostało zaprezentowane w tabeli 1.4. Tabela 1.4. Terminologia stosowana w audycie z podziałem na grupy tematyczne Terminologia odnosząca się do: cech audytora Niezależność Obiektywizm Unikanie konfliktu interesów Biegłość i należyta staranność zawodowa
realizacji czynności audytowych Czynności zapewniające Czynności doradcze Racjonalna pewność (Racjonalne zapewnienie) Przysparzanie wartości dodanej
charakteru prac audytu Kontrola Środowisko kontroli Mechanizmy kontrolne Zarządzanie ryzykiem Governance
Źródło: opracowanie własne na podstawie Definicja audytu wewnętrznego, Kodeks etyki oraz Międzynarodowe standardy praktyki zawodowej audytu wewnętrznego, oprac. przez The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA, December 2012, s. 13–49.
Pierwszymi zagadnieniami, istotnymi z punktu widzenia wykonywania zawodu audytora, są „niezależność” i „obiektywizm”. Znaczenie tych pojęć jest kwestią zasadniczą w audycie. Niezależność wiąże się
28
Rozdział I
z zapewnieniem audytorowi takiego miejsca w strukturze organizacji, które pozwoli mu w sposób prawidłowy i bezstronny wykonywać swoje obowiązki. Powinna się ona przejawiać39 w dwóch aspektach, tzw. niezależności organizacyjnej i funkcjonalnej. Pierwsza z nich wiąże się z podległością służbową audytora pod odpowiedni szczebel zarządzania w ramach organizacji, który umożliwi mu wykonywanie czynności audytowych40. Takie podporządkowanie ma na celu zapewnienie bezpośredniego przepływu informacji pomiędzy audytorem a kierownictwem instytucji oraz pozwolenie audytorowi w sposób nieograniczony wypełniać swoje obowiązki. Druga oznacza dostęp audytora do dokumentacji, osób i pomieszczeń, niezbędnych do oceny danego obszaru działalności organizacji. Jej znaczenie jest kluczowe do tego, aby audytor mógł odpowiednio zgłębić badane zagadnienie, a jednocześnie miał pełną swobodę w ustalaniu faktów, formułowaniu swoich myśli i poczynionych ustaleń. Obiektywizm wiąże się z przyjęciem odpowiedniej postawy intelektualnej przez audytora, która wymaga od niego przeprowadzania czynności audytowych z pełną wiarą w efekty swojej pracy oraz nieuzależniania rozstrzygnięć w sprawach audytu od opinii innych osób. Audytor musi być bezstronny w wykonywaniu swoich czynności, a usługa audytu nie powinna i nie może być świadczona, jeśli nie jest obiektywna i niezależna41. Z pojęciem obiektywizmu nierozerwalnie wiąże się termin konfliktu interesów, który odnosi się do zjawiska związanego z utrud Zob. B. Porter, J. Simon, Principles of External Auditing, John Wiley & Sons. Ltd, 2014, s. 100–110; zob. Komunikat nr 2 Ministra Finansów z dnia 30 stycznia 2003 r., w sprawie ogłoszenia „Standardów audytu wewnętrznego w jednostkach sektora finansów publicznych”, pkt 4.1.1 (Dz.Urz.MF, nr 3, poz.14). 40 Definicja audytu wewnętrznego…, s. 15; zob. Kodeks etyki zawodowych księgowych, International Ethics Standards Board for Accountants International Federation of Accountants 545 Fifth Avenue, 14th Floor New York, New York 10017 USA, http://kibr. org.pl/pl/etyka, http://www.kibr.webserwer.pl/_doc/uchwaly/uchwala_4249-60-2011_ Kodeks_IFAC.pdf (dostęp 22.05.2014); Practice Advisories. Strongly Recommended Guidance, The Institute of Internal Auditors, http://www.theiia.org/guidance/standardsguidance/Pages/Practice-Advisories.aspx (dostęp 22.05.2014), s. 9. 41 Definicja audytu wewnętrznego…, s. 16 i 45. 39
Istota i zakres działania audytu
29
nianiem audytorowi dokonania swobodnej oceny badanego obszaru. Może on również dotyczyć sytuacji, kiedy audytor we wcześniejszych okresach miał jakikolwiek związek z badanym obszarem bądź osobami za niego odpowiedzialnymi i nie jest w stanie zachować obiektywizmu oraz niezależności w ramach podejmowanych działań audytowych oraz formułowanych ustaleń42. Innymi pojęciami charakterystycznymi dla działalności audytowej są terminy „biegłość” oraz „należyta staranność zawodowa”. Dotyczą one umiejętnego zastosowania posiadanej wiedzy i kompetencji, w tym ze szczególnym zwróceniem uwagi na niepodejmowanie działań, z zakresu których audytor nie dysponuje odpowiednimi kwalifikacjami43. Osoby świadczące usługi audytowe powinny brać pod uwagę specyfikę działania obszaru, który podlega ocenie, potencjalne ryzyko mogące wystąpić w odniesieniu do badanej przestrzeni, siłę i istotę podejmowanych działań ograniczających ryzyko, a także zasób posiadanej wiedzy w tym zakresie oraz możliwość jej ciągłego doskonalenia. Brak dostatecznej wiedzy ze strony audytora powinien skutkować odmową przeprowadzenia czynności audytowych bądź przesunięciem ich w czasie tak, aby możliwe było jej pozyskanie bądź skorzystanie z pomocy ekspertów z danej dziedziny. Terminami odnoszącymi się do specyfiki świadczonych usług audytowych są działalność zapewniająca i doradcza. Warto zaznaczyć, iż podział ten został wprowadzony przez Instytut IIA. W odniesieniu do usług zapewniających, zwanych poświadczającymi, działalność audytu obejmuje obiektywną ocenę dowodów, dokonywaną w ramach dostarczenia niezależnej opinii oraz wniosków w odniesieniu do procesu, systemu lub audytowanego obszaru. Charakter usług zapewniających oraz ich zakres są ustalane przez audytora44. Por. ibidem, s. 17. Por. ibidem, s. 17–18; zob. również Kodeks etyki zawodowych księgowych, International Ethics Standards Board for Accountants International Federation of Accountants 545 Fifth Avenue, 14th Floor New York, New York 10017 USA, http://kibr.org. pl/pl/etyka, http://www.kibr.webserwer.pl/_doc/uchwaly/uchwala_4249-60-2011_Kodeks_IFAC.pdf (dostęp 22.05.2014). 44 Practice Advisories…, s. 30. 42 43
30
Rozdział I
Usługi doradcze natomiast dokonywane są w odpowiedzi na konkretne zapotrzebowanie danej osoby (np. kierownika organizacji) bądź grupy osób (np. zarządu), a niekiedy samego audytora. Tym samym, ich charakter oraz zakres stanowią przedmiot porozumienia ze zleceniodawcą zawieranego w formie umowy45. Katalog dostępnych usług doradczych świadczonych w ramach audytu zamieszczono w tabeli 1.5. Tabela 1.5. Rodzaje zadań doradczych świadczonych przez audytora Forma zadania doradczego
Opis
Formalne zadania doradcze
Zadanie zaplanowane i przedstawione w formie pisemnej umowy
Nieformalne zadania doradcze
Rutynowe działania, takie jak uczestnictwo w stałych komitetach, projektach o ograniczonym czasie trwania, spotkaniach ad hoc oraz rutynowa wymiana informacji, szkolenia
Specjalne zadania doradcze
Uczestnictwo w zespole przeprowadzającym fuzję, przejęcie lub przekształcenie systemu
Zadania doradcze w sytuacjach wyjątkowych
Uczestnictwo w zespole ustanowionym dla celów wznowienia i kontynuowania działań operacyjnych po wystąpieniu katastrofy lub innego nadzwyczajnego wydarzenia gospodarczego bądź w zespole utworzonym do udzielania czasowej pomocy potrzebnej do wypełnienia specjalnego zadania powierzonego jednostce
Źródło: opracowanie na podstawie Practice Advisories. Strongly Recommended Guidance, The Instuitute of Internal Auditors, http://www.theiia.org/guidance/standards-guidance/Pages/Practice-Advisories.aspx, s. 5.
Poza wymienionymi rodzajami usług, audytorzy mogą również świadczyć porady bądź usługi konsultacyjne na rzecz kadry zarządzającej. Ich wykonywanie stanowi jeden z ważniejszych aspektów roli audytu w jednostce. Porady, konsultacje mogą odnosić się zarówno Definicja audytu wewnętrznego…, s. 3.
45
Istota i zakres działania audytu
31
do codziennych sytuacji, problemów, jak i uczestnictwa w spotkaniach kadry zarządzającej celem wyrażania swoich obiektywnych poglądów na dany temat. Innym istotnym terminem w działalności audytu jest „racjonalna pewność”, określana również racjonalnym zapewnieniem. Oznacza ona stopień pewności na temat prawidłowości działania danego obszaru czy procesu, jaki może dostarczyć audytor przy określonych kosztach, korzyściach i stopniu ryzyka46. Innymi słowy, badaniem audytowym powinny zostać objęte obszary istotne z punktu widzenia ryzyka, a wszelkie działania audytowe w tym zakresie powinny być racjonalne. Oznacza to, że nakład pracy powinien być adekwatny do korzyści, jakie ona przyniesie. Pojęcie racjonalnej pewności dotyczy nie tylko usług audytu, ale również funkcjonowania systemu kontroli wewnętrznej w organizacji, co zostanie wyjaśnione w ramach interpretacji tego zagadnienia w dalszej części publikacji. Kolejnym ważnym pojęciem stosowanym w ramach audytu jest zagadnienie przysparzania wartości dodanej. Wartość ta tworzona jest poprzez polepszenie możliwości i stopnia realizacji celów organizacji, identyfikowanie usprawnień działań operacyjnych i/lub ograniczanie ekspozycji na ryzyko, w związku ze świadczeniem usług przez audytora47. Innymi słowy, jest to wartość, jaką uzyskuje się w wyniku poprawy działania danego obszaru, w ramach przeprowadzenia czynności audytowych. Przysparzanie wartości powinno być główną myślą przewodnią audytora, a jego działania nakierowane na usprawnianie organizacji oraz pomoc w osiąganiu postawionych przed nią celów. Ostatnia grupa terminów odnoszących się do działalności audytu dotyczy charakteru jego prac, który koncentruje się na ocenie kontroli, środowiska kontroli, zarządzania ryzykiem i governance 48. Por. Glosariusz terminów dotyczących kontroli i audytu…, s. 32. Ibidem, s. 46. 48 M.E.P. Seligman, M. Csikszentmihalyi, Positive psychology: an introduction, „American Psychologist” 2000, vol. 55(1), s. 5–7; M.E.P. Seligman, T.A. Steen, N. Park, C. Person, Positive psychology progress: an empirical validation of interventions, „American Psychologist” 2005, vol. 60(5), s. 412–415. 46 47
32
Rozdział I
Pojęcie kontroli, biorąc pod uwagę wcześniejsze rozważania w zakresie tego terminu, z punktu widzenia działalności audytu oznacza każde działanie podejmowane przez kierownictwo organizacji bądź inne jednostki w ramach uzyskania racjonalnego zapewnienia w zakresie zrealizowania ustalonych celów i zadań organizacji49. Kontrola obejmuje zatem pewne środowisko, określane środowiskiem kontroli, którego zasady funkcjonowania wyznacza kierownictwo organizacji, przyjmując reguły działania jednostki, tworząc jej wewnętrzną strukturę organizacyjną oraz wyposażając w mechanizmy kontrolne. Kontrola wiąże się ze sterowaniem organizacją, koncentrując się na bieżących i przyszłych jej działaniach, jest określana również systemem kontroli czy systemem kontroli wewnętrznej. O skuteczności jego działania decydują mechanizmy kontrolne, czyli wszelkie działania, procedury, zasady i narzędzia ustanowione przez zarządzających organizacją. Ich rola i znaczenie zostały szczegółowo opisane w dalszej części rozdziału. Termin „zarządzanie ryzykiem” oznacza proces identyfikacji, weryfikacji i zarządzania potencjalnymi zdarzeniami lub sytuacjami w taki sposób, aby dostarczyć racjonalnego zapewnienia, że cele organizacji są osiągane50. Jest to proces inicjowany przez kadrę kierowniczą, a zadaniem audytora w tym zakresie jest dążenie do oceny tego procesu oraz jego usprawniania, poprzez podejmowanie czynności audytowych i wskazywanie jego ewentualnych słabości. Governance z kolei stanowi taką kombinację procesów oraz struktur wprowadzonych przez kierownictwo organizacji, która zapewnia przepływ informacji, skuteczne zarządzanie, kierowanie i monitorowanie działań podejmowanych w instytucji oraz nakierowanie na realizację jej celów51. Pojęcie to odnosi się nie tylko do szeroko pojętego ładu organizacyjnego, ale również stanowienia działalności audytu, tzw. governance audytu. Biorąc po uwagę znaczenie zagadnień, jakimi są kontrola, zarządzanie ryzykiem i ład organizacyjny, zostały one szerzej opisane w dalszej Definicja audytu wewnętrznego…, s. 43. Ibidem, s. 49. 51 Ibidem, s. 44. 49 50
Istota i zakres działania audytu
33
części publikacji. Przedstawiony katalog pojęć związanych z audytem nie został jeszcze wyczerpany, co wynika ze znacznej specyfiki i zakresu działania audytu. Będzie on jednak uzupełniany i uszczegóławiany w kolejnych częściach opracowania.
1.2. Otoczenie audytu i zakres jego działania 1.2.1. Pozycja i rola audytu w systemie kontroli wewnętrznej Środowisko, w jakim działa audyt, to jednostka oraz jej otoczenie. Zatem określając jego charakterystykę, niezbędne jest przyjrzenie się organizacji, jak i czynnikom, które na nią, a przez to i na usługę audytu wpływają. Instytucja stanowi pewien proces podejmowania określonej działalności właściwej do realizacji ustanowionych dla niej celów w ramach ustalonych warunków, wyposażenia, posiadanych zasobów finansowych, ludzkich, technicznych oraz ich odpowiedniej kombinacji adekwatnej, do wykonywanych zadań52. Do właściwego funkcjonowania jednostki niezbędne jest prawidłowe nią zarządzanie, zmierzające do realizacji celów i działań stanowiących istotę jej istnienia. Zarządzanie powinno opierać się na pewnych zasadach, wytycznych i regulacjach określających oczekiwania kierownictwa organizacji względem posiadanych zasobów i realizowanych celów, innymi słowy zarządzanie powinno mieć charakter sprawczy względem organizacji53. Przyjęty zbiór reguł, struktur w ramach jednostki, a także otoczenie warunkujące ich realizację, jak zostało wcześniej wspomniane oznacza przyjęty w instytucji system kontroli wewnętrznej. System kontroli wewnętrznej powinien być zorganizowany w sposób dobrze przemyślany i uporządkowany tak, aby zapewniać prawidłowe i stabilne funkcjonowanie jednostki. Stworzony przez 52 Por. J. Bogdanienko, Organizacja i zarządzanie – pojęcia podstawowe, [w:] Organizacja i zarządzanie w zarysie, red. J. Bogdanienko, Wydawnictwo Naukowe Wydziału Zarządzania UW, Warszawa 2010, s. 11. 53 Por. ibidem, s. 17.
34
Rozdział I
menedżerów oraz samych pracowników zawiera te informacje, a także procedury zarządcze, których założeniem jest utrzymywanie stałego lub osiągania wyższego stopnia dojrzałości organizacji54. System ten obejmuje cele działania jednostki, regulacje, na podstawie których prowadzi swoją działalność oraz ustanowione procesy i procedury działania, stanowiąc tym samym wewnętrzne otoczenie organizacji. Musi być dostosowany do potrzeb instytucji, jej oczekiwań i możliwości, a także zasobów, jakie są w jej posiadaniu. System kontroli wewnętrznej stanowi układ naczyń połączonych, w którym jeden element ma wpływ na pozostałe. Odpowiednio zarządzany i kontrolowany będzie funkcjonował w sposób prawidłowy. Należy jednak pamiętać, iż ustanowiony system działa wewnątrz organizacji, ale na sposób jego funkcjonowania ma również wpływ otoczenie zewnętrzne, charakteryzujące się różnym stopniem złożoności i zmienności, a tym samym odmienną podatnością na ryzyko55. W szczególności dotyczy to uwarunkowań ekonomicznych, prawnych, handlowych, środowiskowych, regionalnych czy też konkurencyjności. Są to czynniki, które mają znaczący wpływ na środowisko wewnętrzne organizacji, a tym samym na funkcjonujący system kontroli wewnętrznej56. System kontroli wewnętrznej musi być dopasowany do instytucji. Jego specyficzną cechą jest jednak zależność od człowieka bądź grupy ludzi. Wyobraźmy sobie dwie sytuacje, pierwszą, w której powołujemy do życia nową organizację, na której czele stajemy my sami. W tym przypadku jako osoba kierująca określamy jej strukturę, zadania, dobieramy personel, organizujemy zasoby finansowe, techniczne i inne, tworzymy zasady, procedury, których będziemy przestrzegać i egzekwować od pracowników. Dostosowujemy te wszystkie elementy do potrzeb jednostki, posiadanych zasobów i możliwości. Druga sytuacja, w której zostajemy powołani na stanowisko osoby kierującej daną instytucją 54 A. Skoczylas, System kontroli i audytu w polskiej administracji publicznej, „Zeszyty Teoretyczne Rachunkowości” 2012, t. 67(123), Stowarzyszenie Księgowych w Polsce Rada Naukowa, Warszawa, s. 97. 55 K. Klincewicz, Organizacja i otoczenie, [w:] Organizacja i zarządzanie…, s. 48. 56 R. Moeller, Nowoczesny audyt wewnętrzny, Oficyna a Wolters Kluwer business, Warszawa 2011, s. 685.
Istota i zakres działania audytu
35
funkcjonującą na podstawie przyjętego już wcześniej systemu kontroli wewnętrznej, ustanowionego przez naszego poprzednika. W tym przypadku niezbędna będzie reorganizacja działającego systemu, stosownie do naszych możliwości organizacyjnych oraz zapotrzebowania na informacje. Część elementów i reguł może pozostać bez zmian lub w sytuacji niedostosowania systemu do naszych potrzeb informacyjnych cały system może ulec zmianie. W jednym i drugim przypadku organizacja i funkcjonowanie systemu kontroli wewnętrznej w ramach instytucji uzależnione są od człowieka, jego umiejętności, kwalifikacji, podatności na ryzyko, skłonności i łatwości analizowania informacji, decyzyjności, zdolności komunikacyjnych oraz szeregu innych cech osobowościowych. Dlatego też nie ma jednego wzorca określającego działanie tego systemu, uniwersalnego do zastosowania w strukturze każdej instytucji. Zasada jeden rozmiar pasuje do wszystkich57 w tym przypadku nie może mieć zastosowania. System ten jest odmienny w każdej jednostce, ulega transformacjom, w zależności od potrzeb i oczekiwań kierujących, uwarunkowanych ich cechami osobistymi, sytuacją organizacji oraz kształtowaniem się czynników zewnętrznych. O skuteczności działania systemu kontroli wewnętrznej decyduje wiele aspektów. Wśród nich należy wymienić w szczególności: • odpowiedni podział zadań i obowiązków, adekwatnie do posiadanych kwalifikacji i odpowiedzialności; • dostosowanie mechanizmów kontrolnych do zidentyfikowanego ryzyka; • właściwy system informacji i komunikacji; • efektywne i ekonomiczne wykorzystanie zasobów; • bieżące monitorowanie i ocena systemu. Odpowiedni podział ról i odpowiedzialności w ramach systemu kontroli wewnętrznej to kwestia niezwykle istotna. Kierownik każdej organizacji ponosi odpowiedzialność za prawidłowe i efektywne działanie instytucji. O ile w organizacjach mniejszych kontrola nad sposobem 57 D. Osborne, T. Geabler, Rządzić inaczej, Media Rodzinna, Poznań 2005, s. 25– 28; zob. J. Bourn, Public Sector Auditing. Is It Value for Money?, John Wiley & Sons Ltd., England 2007, s. 10–23.
36
Rozdział I
funkcjonowania jednostki nie stanowi większego problemu i może być skoncentrowana w rękach jednej osoby, o tyle w przypadku większych instytucji odpowiedzialność ta jest rozproszona. Dyspersja ta ma na celu podział odpowiedzialności za nadzór i kontrolę nad różnymi obszarami działalności jednostki. Ważnym aspektem jest powierzenie tych zadań osobom kompetentnym oraz wyznaczenie ich roli, ale nie można zapominać, że ostateczna decyzja zawsze należy do zarządzającego instytucją. Podział zadań pomiędzy poszczególne osoby powinien być adekwatny do posiadanych kwalifikacji i powierzonej odpowiedzialności. Bardzo istotną rolę w systemie kontroli wewnętrznej odgrywają mechanizmy kontrolne, które oznaczają wszelkie działania podejmowane przez kierownictwo. Mogą one przyjąć postać czynności, regulacji, standardów czy procedur. Mechanizmy kontrole pełnią funkcję ograniczającą ryzyko, stąd ich działanie powinno być ukierunkowane na redukcję ryzyka bądź grupy ryzyka, należy jednak pamiętać, że ani nadmiar, ani niedobór mechanizmów kontrolnych nie jest wskazany. W tym przypadku liczy się ich waga, odpowiedniość, skuteczność i efektywność. Aby te cechy osiągnąć, mechanizmy kontrolne powinny58: • spełniać swój wyznaczony cel, zgodny z misją organizacji i przyjętymi zasadami etyki; • minimalizować ryzyko, do którego zostały przypisane; • dostarczać rzetelnych i wiarygodnych informacji; • być zgodne z obowiązującymi przepisami prawa oraz przyjętymi w jednostce zasadami; • zapewniać gospodarne i efektywne wykorzystanie szeroko rozumianych zasobów organizacji; • gwarantować odpowiednie zabezpieczenie majątku jednostki • przyjmować formę odpowiednią dla wagi, znaczenia, specyfiki i rodzaju ryzyka. Stąd istotne jest zapewnienie skutecznej kontroli organizacji, umożliwiającej przeciwdziałanie pojawiającym się zagrożeniom, poprzez odpowiednie zorganizowanie systemu zarządzania w jednostce oraz zapewnienie skuteczności i efektywności przyjętych w ramach tego systemu mechanizmów kontrolnych. R. Moeller, Nowoczesny audyt…, s. 48.
58
Istota i zakres działania audytu
37
Innym ważnym elementem, a zarazem potwierdzeniem działania systemu kontroli wewnętrznej jest skuteczny przepływ informacji i właściwa komunikacja59. Działalność każdej organizacji jest narażona na różnego rodzaju zagrożenia, które nie tylko mogą zakłócić jej bieżące funkcjonowanie, ale również w dłuższej perspektywie czasowej przyczynić się do pogorszenia jej pozycji na rynku. Zjawisko to potęguje złożoność gospodarcza, która powoduje, że kierownictwo w sytuacji decyzyjnej dysponuje szerokim wachlarzem informacji i danych60, tymczasem do podjęcia racjonalnej decyzji zarządczej niezbędne są tylko te odpowiednie i właściwe. Menedżerowie, którzy potrafią wykorzystać dostępne informacje, dokonać ich selekcji, a tym samym zidentyfikować najistotniejsze zagrożenia, są w stanie podjąć właściwą reakcję i uchronić organizację przed wpływem niekorzystnego ryzyka61. Niezbędne jest zatem wypracowanie odpowiednich kanałów i źródeł informacji tak, aby możliwe było sprawne podejmowanie decyzji w ramach pojawiających się zagrożeń62. Efektywne i gospodarne wykorzystanie zasobów to kolejny aspekt mający wpływ na właściwe zastosowanie i funkcjonowanie mechanizmów kontrolnych w systemie kontroli wewnętrznej. Z punktu widzenia zasobów należy zwrócić uwagę zarówno na te o charakterze finansowym, rzeczowym, ludzkim, technicznym, informatycznym, jak i inne. Odpowiednia ich implementacja, adekwatna do realizowanych celów jednostki, ma znaczący wpływ na kształtowanie system kontroli wewnętrznej. Działanie systemu kontroli wewnętrznej musi podlegać bieżącemu monitorowaniu i ocenie. Jest to niezbędne do weryfikacji zgodności 59 Zob. Z. Malara, J. Rzęchowski, Zarządzanie informacją na rynku globalnym. Teoria i praktyka, Wydawnictwo C.H. Beck, Warszawa 2011, s. 7–12. 60 Zob. W.M. Grudzewski, I.K. Hejduk, A. Sankowska, M. Wańtuchowicz, Sustainability w biznesie, czyli przedsiębiorstwo przyszłości. Zmiany paradygmatów i koncepcji zarządzania, Wydawnictwo Poltext, Warszawa 2010, s. 12. 61 Ibidem, s. 9. 62 A. Skoczylas-Tworek, Zarządzanie informacją i wiedzą jako determinanty stymulowania przewagi konkurencyjnej przedsiębiorstwa w dobie kryzysu ekonomicznego, [w:] Przedsiębiorstwo oparte na wiedzy, red. A.P. Balcerzak, Polskie Towarzystwo Ekonomiczne, Toruń 2014, s. 22.
38
Rozdział I
jego funkcjonowania z przyjętą polityką organizacji, zachodzących zmian w otoczeniu jednostki oraz pojawiających się zagrożeń. W ich obliczu wszystkie organizacje powinny być poddawane ocenie z punktu widzenia efektywności oraz skuteczności funkcjonowania. W gospodarce rynkowej występuje wiele mechanizmów umożliwiających sprawowanie kontroli nad działalnością organizacji zarówno z zewnętrznego, jak i wewnętrznego punktu widzenia. Zewnętrzny nadzór nad działalnością instytucji sprawuje z reguły rynek kapitałowy, produktów i usług czy pracy, wewnętrzny natomiast pozostaje w kompetencji władz organizacji63. Zadaniem kadry zarządzającej jest odpowiednie kierowanie oraz nadzorowanie systemów i procesów, dotyczących różnych dziedzin oraz obszarów działalności jednostki. Jeśli działania te nie są podejmowane, oznacza to, że jednostka nie jest właściwie zarządzana, a tym samym pozostaje poza kontrolą64. W instytucji o nierozbudowanej strukturze organizacyjnej menedżer jest w stanie samodzielnie dokonywać przeglądu działań organizacji, w takim przypadku kontrola stanowi część podstawowej funkcji zarządczej. Natomiast w sytuacji prowadzenia działalności na szerszą skalę kontrola efektywności funkcjonowania jednostki nie zawsze jest możliwa w odniesieniu do wszystkich obszarów65. Stąd niejednokrotnie kierownictwo sięga po narzędzia wspomagające zarządzanie, takie jak audyt. Pozycja audytu w systemie kontroli wewnętrznej jest dwoista. Dualizm ten polega na tym, że z jednej strony stanowi on element systemu kontroli wewnętrznej, jest bowiem częścią organizacji, nawet jeśli czynności audytowe są przeprowadzane przez zewnętrzną firmę audytorską, z drugiej strony jest narzędziem oceny działania tego systemu. Wspiera zarządzanie organizacją poprzez świadczenie niezależnych i obiektywnych usług, związanych z weryfikacją działalności organizacji oraz usprawnianiem procesów w niej zachodzących66. Rolą audytu 63 A. Herdan, M.M. Stuss, J. Krasodomska, Audyt wewnętrzny jako narzędzie wspomagające efektywny nadzór korporacyjny w spółkach akcyjnych, Wydawnictwo UJ, Kraków 2009, s. 8. 64 R. Moeller, Nowoczesny audyt…, s. 49. 65 Ibidem, s. 29. 66 L. Grzesiak, A. Skoczylas-Tworek, Audyt i kontrola wewnętrzna w sektorze małych i średnich przedsiębiorstw – ocena użyteczność oraz przydatności zastosowania,
Istota i zakres działania audytu
39
jest dostarczanie zarządzającemu informacji na temat prawidłowości i efektywności funkcjonowania systemu kontroli wewnętrznej, które są niezastąpione w procesie podejmowania decyzji. Skupia się przede wszystkim na identyfikacji ryzyka oraz przekazywaniu informacji najwyższemu kierownictwu odnośnie do audytowanych obszarów wraz z oceną działań jednostki pod kątem zgodności z jej celami. Stanowi również system wczesnego ostrzegania zarządzającego organizacją tak, aby nie dopuścić do wystąpienia zaburzeń w działaniu instytucji67. Każdy obszar organizacji badany przez audyt jest elementem systemu kontroli wewnętrznej, zatem każda ocena dokonywana przez audytora stanowi weryfikację wycinka tego systemu. Biorąc pod uwagę specyfikę i różnorodność funkcjonowania systemu kontroli wewnętrznej w jednostce, należy bliżej przyjrzeć się miejscu usytuowania audytu w tym systemie. Pozycja audytu w jednostce nie może być przypadkowa, ale dostosowana do potrzeb i oczekiwań kadry zarządzającej. Możliwe są następujące rozwiązania68: • model scentralizowany (podejście instytucjonalne), • model zdecentralizowany (podejście funkcjonalne), • model mieszany (podejście instytucjonalne i funkcjonalne). Model scentralizowany odnosi się do sytuacji, kiedy w ramach struktury jednostki funkcjonuje wyodrębniona komórka audytu i podlega ona pod właściwy organ zarządzający bądź kiedy organizacja ma złożoną oraz rozproszoną strukturę organizacyjną i wówczas usługi audytorskie w stosunku do podrzędnych jednostek wykonuje audytor zatrudniony w jednostce macierzystej. Takie rozwiązanie cechuje instytucjonalne podejście do funkcji audytu. „Teoretyczne Zeszyty Rachunkowości” 2013, t. 74(130), Stowarzyszenie Księgowych w Polsce Rada Naukowa, s. 32. 67 E. Bielińska-Dusza, Charakterystyka systemu audytu wewnętrznego, [w:] Audyt wewnętrzny w doskonaleniu instytucji, red. M. Lisiński, PWE, Warszawa 2011, s. 82– 83; zob. też. O.R. Whittington, K. Pany, Principles of Auditing & Other Assurance Services, McGraw-Hill Irwin, New York 2014, s. 275. 68 Por. E. Bielińska-Dusza, Formy organizacyjne systemu audytu wewnętrznego, [w:] Audyt wewnętrzny…, s. 159.
40
Rozdział I
Model zdecentralizowany opiera się na formie i sposobie korzystania z usług audytorskich świadczonych przez zewnętrzną jednostkę, określanych również jako outsourcing. W tej sytuacji audyt jest zleceniobiorcą usług w zakresie oceny wskazanego obszaru działania jednostki. Wówczas ma zastosowanie funkcjonalne podejście do audytu, związane z wykonaniem konkretnych czynności na zlecenie w danym obszarze. Model mieszany wiąże się z wykorzystaniem modelu scentralizowanego i zdecentralizowanego jednocześnie, czyli przypadku, w którym w odniesieniu do wybranych obszarów działalności organizacji usługi audytowe świadczy firma zewnętrzna (np. badanie sprawozdań finansowych), a ocena pozostałych obszarów pozostaje w gestii komórki organizacyjnej funkcjonującej w ramach struktury jednostki. Instytut IIA w opracowanych standardach wskazuje potrzebę powołania komitetu i rady audytu69, które powinny składać się z osób niezależnych od kierownictwa jednostki i wspomagać audytorów w wykonywaniu obowiązków w sposób nieskrępowany i obiektywny. Zdaniem Instytutu IIA, zarządzający audytem powinien funkcjonalnie podlegać bezpośrednio komitetowi audytu lub jego odpowiednikowi, do celów administracyjnych natomiast bezpośrednio prezesowi lub dyrektorowi organizacji70. Standardy wskazują miejsce zarządzającego audytem w strukturze instytucji, pozostawiając kierownictwu jednostki swobodę w sposobie jego kształtowania. Należy w tym miejscu zaznaczyć, że każda instytucja jest inna i działa na podstawie odmiennych uwarunkowań, przepisów oraz struktury organizacyjnej. Standardy zgodnie z ich przeznaczeniem mają w tym zakresie stanowić wskazówkę, pomoc w organizacji audytu, nie narzucać gotowych i jednoznacznych rozwiązań. Zgodnie ze Standardami Profesjonalnej Praktyki audytu Wewnętrznego IIA, rada jest organem zarządzającym (nadzorującym) organizacją, jak np. rada dyrektorów, rada nadzorcza, rada zarządzająca lub powiernicza w organizacjach non profit, lub też inna dedykowana jednostka organizacyjna – również komitet ds. audytu, któremu funkcjonalnie podlega osoba zarządzająca audytem wewnętrznym. 70 I.N. Gleim, Certificate Internal Auditor, IIA, 2004, s. 38. 69
Istota i zakres działania audytu
41
Propozycje organizacji i umiejscowienia audytu w systemie kontroli wewnętrznej są również prezentowane w literaturze przedmiotu71. Nie kwestionując żadnych z nich, warto podkreślić, że wdrażając usługę audytu w jednostce, należy wziąć pod uwagę potrzeby wynikające z konieczności zapewnienia nadzoru i kontroli nad funkcjonowaniem instytucji. Komórka ta powinna być dostosowana do wielkości, struktury i potrzeb jednostki oraz składać się z osób o odpowiednich i zróżnicowanych kwalifikacjach, aby zapewnić różnorodność wykonywanych zadań72. Podstawowym celem leżącym u podstaw wprowadzenia audytu do jakiejkolwiek instytucji powinno być dążenie do wysokiej jakości jej funkcjonowania ukierunkowanego na usprawnianie procesów zarządzania, stymulowanie stałego podnoszenia poziomu dojrzałości, w drodze wspierania wzrostu efektywności systemu kontroli wewnętrznej, sprawności działania organizacji oraz eliminacji zjawisk niepożądanych z punktu widzenia kształtowania pozycji jednostki na rynku73. Zdaniem E.J. Saunders, nie ma żadnych ustalonych norm dotyczących budowy i organizacji komórki audytu oraz liczby osób, jaka powinna być w niej zatrudniona. Decyzję taką należy podejmować na podstawie oceny stanu jednostki, jej struktury organizacyjnej oraz specyfiki funkcjonowania. Liczba zatrudnionych audytorów powinna kształtować się w zależności od potrzeb i rozwoju instytucji. Cytowany autor zaleca, aby liczebność audytorów w jednostce stanowiła 2% liczby zatrudnionych w niej pracowników74. Warto jednak uwzględnić w tym miejscu jakość czynnika ludzkiego. Jak bowiem zauważa K. Czerwiński, nawet zatrudnienie znacznej liczby audytorów w organizacji nie zrekompensuje braku osoby doświadczonej w tej dziedzinie, Zob. K. Winiarska, Miejsce komórki audytu wewnętrznego w strukturze organizacyjnej jednostki, [w:] Audyt wewnętrzny jako instrument usprawniający zarządzanie, red. K. Winiarska, Uniwersytet Szczeciński. Wydział Nauk Ekonomicznych i Zarządzania Instytut Rachunkowości”, Szczecin 2006, s. 261. 72 Por. K. Czerwiński, Audyt wewnętrzny, Wydawnictwo InfoAudit, Warszawa 2004, s. 24. 73 E. Chojna-Duch, Polskie prawo finansowe. Finanse publiczne, Wydawnictwo LexisNexis, Warszawa 2002, s. 61. 74 E.J. Saunders, Audyt i kontrola wewnętrzna…, s. 47. 71
42
Rozdział I
co w konsekwencji może przyczynić się do ograniczania zakresu prac audytorskich75. Należy również pamiętać, że każda instytucja funkcjonuje w zmieniających się warunkach, a audyt powinien nadążać za tymi zmianami, a nawet je wyprzedzać76. 1.2.2. Zakres działania audytu w jednostkach organizacyjnych Audyt stanowi narzędzie oceny funkcjonowania organizacji. Działa w środowisku kontroli wewnętrznej i dostarcza informacji na temat jego funkcjonowania. Zakres realizacji usług audytowych ukształtowany jest przez otoczenie jednostki i obejmuje obszary, systemy, procesy i zasoby działające w ramach organizacji. Chcąc określić granice aktywności audytu, należy odnieść się indywidualnie do struktury i terytorium funkcjonowania instytucji. Stąd będzie on inny w każdej jednostce, zależnie od jej otoczenia i przyjętego systemu kontroli wewnętrznej. Zakres audytu wiąże się z systemowym podejściem do oceny działalności organizacji, co oznacza, że instytucja jest postrzegana jako sieć powiązanych ze sobą procesów tworzących strukturę zależności, stanowiącą całość jednostki, która jest traktowana jako twór wielowymiarowy. Istotą takiego podejścia jest podchodzenie do badanych obszarów jako elementów powiązanych, a jednocześnie systemów otwartych posiadających różnorodne „wejścia” i „wyjścia”77. Zadaniem audytora jest koncentracja na efektywności i skuteczności działania jednostki, dlatego też powinien on określając zakres badania skupić się na podejściu systemowym tak, aby ocenić działania jednostki z punktu widzenia klienta wewnętrznego i zewnętrznego oraz otoczenia rynkowego. Dlatego też, zakres badania audytowego nie może ograniczać się do weryfikacji pojedynczych zadań czy osób.
K. Czerwiński, Audyt…, s. 32. E.J. Saunders, Audyt i kontrola wewnętrzna…, s. 47. 77 W. Piotrowski, Organizacje i zarządzanie – kierunki, koncepcje, punkty widzenia, [w:] Zarządzanie. Teoria i praktyka, red. A.K. Koźmiński, W. Piotrowski, PWE, Warszawa 1996, s. 693. 75 76
Istota i zakres działania audytu
43
¤¤ Rolą audytu jest powiązanie procesów zachodzących w ramach organizacji oraz weryfikacja prawidłowości ich działania celem dostarczenia kierownictwu informacji na temat funkcjonowania instytucji w ujęciu przekrojowym.
Zakres działania audytu może być różnie postrzegany: • z punktu widzenia literatury przedmiotu, • w odniesieniu do standardów, • w odniesieniu do przyjętej praktyki audytorskiej. W ramach literatury przedmiotu wyodrębnia się tzw. zakres podmiotowy i przedmiotowy78. Ten pierwszy obejmuje jednostki i komórki, które są bądź mogą zostać objęte badaniem audytowym. Drugi z kolei wiąże się z wyodrębnionymi do badania obszarami, procesami bądź procedurami w formie pojedynczej lub połączonej, mierzonej w zależności od specyfiki badanego zjawiska. Dla przykładu, w Polsce jest to dość powszechnie wykorzystywany podział, jednakże w swojej istocie mogący ograniczać działania audytora, poprzez zbyt szczegółowe wskazanie badanych zagadnień bądź podmiotów. Zakres audytu jest również określany „przestrzenią audytu”79, która oznacza wieloformatową mapę obejmującą granice jego działania. Uwzględnia ona obszary funkcjonowania organizacji podlegające badaniu audytowemu. Za jej określenie odpowiedzialny jest audytor80. Z kolei inni wskazują szeroko pojętą instytucję jako obszar działania audytu, w której zachodzą różne procesy badawcze zmierzające do podniesienia stopnia jej zorganizowania i dojrzałości, stanowiąc jednocześnie obiekty audytu81. Inaczej zakres działania audytu określają np. Standardy IIA, zgodnie z którymi charakter prac audytu powinien być ukierunkowany na Zob. H. Szymańska, Ogólne zagadnienia audytu wewnętrznego, [w:] Audyt wewnętrzny w strukturze kontroli zarządczej, red. T. Kiziukiewicz, Wydawnictwo Difin, Warszawa 2013, s. 23–26. 79 R. Moeller, Nowoczesny audyt…, s. 309. 80 Ibidem, s. 326. 81 M. Lisiński, System audytu wewnętrznego jako instrument doskonalenia instytucji, [w:] Audyt wewnętrzny w doskonaleniu instytucji, red. M. Lisiński, PWE, Warszawa 2011, s. 114–115. 78
44
Rozdział I
ocenę trzech procesów: kontroli, zarządzania ryzykiem i ładu organizacyjnego82. Terminy te zostały opisane wcześniej w sposób ogólny, a w tym miejscu szerzej potraktowane. Ład organizacyjny jest na dzień dzisiejszy pojęciem globalnym, które odnosi się do wszystkich organizacji, świadczonych usług handlowych, komercyjnych i publicznych na całym świecie. Wiąże się z przyjęciem przez daną instytucję pewnych, adekwatnych do jej struktury kierunków rozwoju oraz sposobów ich kontroli, które z jednej strony wspierają działalność organizacji, a z drugiej pomagają osiągnąć jej sukces83. Rolę audytu, mającą na celu prawidłowe funkcjonowanie procesów ładu organizacyjnego w jednostce, podkreśla J. Whitley84. Polega ona na wspieraniu kadry zarządzającej w usprawnianiu zarządzania organizacją poprzez85: • ocenę i promowanie właściwych zasad etyki i wartości wewnątrz organizacji, • weryfikację skuteczności zarządzania ryzykiem w jednostce, • przekazywanie informacji o ryzyku i kontroli na odpowiednie poziomy zarządzania jednostką, • koordynowanie działań i przekazywanie informacji pomiędzy audytorami zewnętrznymi i wewnętrznymi oraz kierownictwem, • ocenę formy, sposobu wdrożenia oraz skuteczności celów, programów i działań organizacji w zakresie etyki. Prawidłowość funkcjonowania ładu organizacyjnego jest uzależniona od właściwego zarządzania ryzykiem, czyli drugiego w kolejności bardzo ważnego procesu objętego usługami świadczonymi przez audytora. Samo pojęcie ryzyka i sposoby jego oceny zostały omówione Definicja audytu wewnętrznego…, s. 29. K.H. Spencer Pickett, The Internal Auditor at Work, A Practical Guide to Everyday Challenges, John Wiley & Sons, Inc., Hoboken, New Jersey 2004, s. 23. 84 J. Whitely, Internal Auditing’s Role In Corporate Governance, Internal Auditor, październik 2005, przytoczone za O. Martyniuk-Kwiatkowska, Ewolucja zadań audytu wewnętrznego, [w:] Współczesne problemy analizy ekonomicznej, Prace i Materiały Wydziału Zarządzania Uniwersytetu Gdańskiego nr 1/2006, Sopot 2006. 85 Definicja audytu wewnętrznego…, s. 14. 82 83
Istota i zakres działania audytu
45
w rozdziale III pracy, dlatego też w tej części zostanie jedynie przybliżona rola audytu w odniesieniu do zarządzania ryzykiem. Zarządzanie ryzykiem to proces, w ramach którego organizacje metodycznie uwzględniają ryzyko, związane ze swoją działalnością, dążąc do uzyskania trwałych korzyści w ramach każdego działania i portfela wszystkich działań86. Powinien być opracowany z uwzględnieniem charakteru działalności prowadzonej przez daną jednostkę, jej kultury, stylu zarządzania i celów biznesowych. Zarządzanie ryzykiem leży w gestii kierownictwa jednostki, ponieważ ponosi ono odpowiedzialność za procesy w niej zachodzące. Audytorzy mogą pełnić w tym zakresie jedynie rolę konsultantów czy doradców lub pomagać w określaniu, ocenianiu i wyborze metodologii zarządzania ryzykiem, poprzez wskazanie sposobów kontroli czy zaproponowanie mechanizmów kontrolnych, mających na celu ograniczenie pojawiającego się ryzyka87. Audyt poprzez świadczenie usług wspiera organizację w rozpoznaniu i ocenie znaczących zagrożeń oraz przyczynia się do usprawniania systemu zarządzania ryzykiem, w tym monitorowania i weryfikacji jego skuteczności88. Rola audytu w odniesieniu do procesu zarządzania ryzykiem w jednostce powinna wiązać się przede wszystkim z: • realizacją usług obejmujących ocenę procesu zarządzania ryzykiem jako części planu audytu; • aktywnym wsparciem oraz zaangażowaniem w proces zarządzania ryzykiem poprzez uczestnictwo w komitetach nadzorujących monitorowanie działań i informowanie kierownictwa o stanie ich realizacji; • uwzględnianiem ocen ryzyka w określaniu zakresu działania audytu. Por. Risk Management Standard, Fedwration of European Rism Management Associations, www.ferma.eu/risk-management/standards/risk-management-standard/ (dostęp 05.05.2014). 87 Practice Advisories…, s. 92; A. Skoczylas-Tworek, Audyt jako narzędzie optymalizacji zarządzania przedsiębiorstwem w dobie kryzysu ekonomicznego, [w:] Polityka ekonomiczna, red. J. Sokołowski, G. Węgrzyn, Prace Naukowe UE nr 307, Wydawnictwo UE, Wrocław 2013, s. 548. 88 Definicja audytu wewnętrznego…, s. 12. 86
46
Rozdział I
Ostatnim, zgodnie ze Standardami IIA, kluczowym obszarem oceny audytu jest kontrola, jak wcześniej opisano, określana systemem kontroli wewnętrznej. Działanie audytu powinno wspierać organizację w utrzymaniu skutecznej kontroli. Wykorzystując wyniki oceny ryzyka, audytorzy weryfikują prawidłowość i adekwatność jej funkcjonowania w ramach organizacji89. ¤¤ Biorąc pod uwagę zaprezentowany zakres działania audytu, należy wskazać, że audyt powinien dokonywać oceny zarządzania ryzykiem, kontroli i ładu organizacyjnego w odniesieniu do każdego procesu czy obszaru poddawanego badaniu.
Dla przykładu, jeśli obszarem badania audytu są finanse, to zadaniem audytora jest dokonanie oceny zarządzania ryzykiem w tym obszarze, weryfikacja prawidłowości organizacji i efektywności funkcjonowania systemu kontroli wewnętrznej w tym zakresie, a także ocena ładu organizacyjnego w ramach przedmiotowego obszaru. Przykład weryfikacji audytowej w odniesieniu do tych trzech elementów przedstawiono w tabeli 1.6. Zadaniem audytora jest dokonanie oceny prawidłowości i skuteczności funkcjonowania tych trzech kluczowych procesów w ramach organizacji. Prawidłowość ich działania ma miejsce wówczas, gdy kierownictwo zaplanuje je w sposób dostarczający zapewnienia, że cele i zamierzenia organizacji zostaną zrealizowane. W związku z tym zadaniem audytora jest dostarczenie90: • zapewnienia, że procesy działają zgodnie z zamierzeniami oraz umożliwiają osiągnięcie celów organizacji; • zaleceń dotyczących usprawnienia działań organizacji pod względem ich skuteczności i efektywności. Każda usługa audytu powinna koncentrować się na ocenie zgodności, poprawności, adekwatności, efektywności, skuteczności i gospodarności funkcjonowania wskazanych elementów. Practice Advisory…, s. 42. Ibidem, s. 55.
89 90
47
Istota i zakres działania audytu Tabela 1.6. Przykładowy zakres badania audytowego w odniesieniu do obszaru finansowego w ramach oceny procesów: ładu organizacyjnego, zarządzania ryzykiem i kontroli Obszar audytowy
Finanse
Zakres badania zarządzanie ryzykiem • Identyfikacja istotnego dla tego obszaru ryzyka i słabości systemu, • Ocena reakcji na zidentyfikowane ryzyka • Weryfikacja adekwatności podejmowanych działań w stosunku do pojawiających się zagrożeń • System informowania i ostrzegania kierownictwa o pojawiających się w tym obszarze zagrożeniach • Koncentracja na potencjalnych zagrożeniach związanych z oszustwem
kontrola
governance
• Ocena przyjętego • Weryfikacja ładu organizacyjskuteczności oraz nego w ramach odpowiedniości badanego obszaru, przyjętych i stosotj. jego struktury, wanych mechaniokreślonych zasad zmów kontrolnych i regulacji, podziału • Ocena adekwatności ról i odpowiedzialmechanizmów konności, przyjętych trolnych do zidentyzasad etyki itp. fikowanego ryzyka • Weryfikacja działań i odwrotnie podejmowanych • Zgodność funkcjodla zapewnienia nowania badanego efektywności i skuobszaru z przyjętymi teczności działania zasadami i regulabadanego obszaru cjami • Ocena przyjętego • Ocena skutecznoładu organizacyjneści i efektywności go w zakresie profunkcjonowania cesów i systemów badanego obszaru informatycznych dotyczących audytowanego zakresu
Źródło: opracowanie własne.
Postrzeganie zakresu działania audytu jest również określane poprzez specyfikę obszaru i rodzaj wykonywanych czynności, zatem z punktu widzenia praktyki audytorskiej, w ramach której w związku z formą świadczonych usług oraz badanym obszarem działania organizacji, wykształciły się tzw. rodzaje audytów. Uformowały się one pod wpływem historii rozwoju audytu, który przeszedł bardzo długą drogę w kształtowaniu swojej pozycji. W przeszłości był postrzegany jako
48
Rozdział I
mechanizm służący do sprawdzania transakcji finansowych91. W latach 50. i 60. XX w. obejmował podstawowe operacje księgowe, które miały na celu dokonanie przeglądu i wyodrębnienie błędów przy braku wewnętrznych uregulowań w tym zakresie92. ¤¤ Obecnie rozwój audytu podąża w kierunku oceny prawidłowości funkcjonowania systemu kontroli wewnętrznej, przede wszystkim w części dotyczącej strategii zarządzania ryzykiem, jak również dostarczenia zapewnienia o rzetelności i niezawodności mechanizmów kontroli.
Przesunięcie się od szczegółowego, drobiazgowego sprawdzania transakcji finansowych do bardziej istotnych kwestii związanych ze strategią działania organizacji znalazło swoje odzwierciedlenie w rodzajach audytu, jakie się przez ten czas ukształtowały. W literaturze przedmiotu zarówno praktycy, jak i teoretycy wyodrębniają różne odmiany audytu. Zaprezentowano je w tabeli 1.7 z uwzględnieniem podziału na rodzaje funkcjonujące w literaturze zagranicznej i polskiej. Tabela 1.7. Rodzaje audytu występujące w literaturze Literatura zagraniczna
Literatura polska
autorzy
rodzaje audytu wewnętrznego
autorzy
rodzaje audytu wewnętrznego
1
2
3
4
L.B. Sawyer, M.A. Dittehofer, J.H. Scheuner
• Audyt kompleksowy (comprehensive auditing) • Audyt ukierunkowany na zarządzanie (management-oriented auditing)
K. Czerwiński
• Audyt informatyczny • Audyt finansowy • Audyt operacyjny
91 Zob. A. Collins, Minicipial Internal Audit, Gee & Co.Printers and Publishers, London 1904, s. 4–20. 92 Por. K.H. Spencer Pickett, The Internal Auditor…, s. 10.
49
Istota i zakres działania audytu 1
2
3
4
• Audyt z udziałem audytowanych (participative auditing) • Audyt programów (program auditing) A. Fight
• Przegląd kontroli J. Stępniewski wewnętrznej (internal control reviews) • Audyt finansowy (financial audit) • Audyt zgodności (compliance audit) • Audyt operacyjny (operational audit) • Audyt śledczy (investigative audit) • Audyt informatyczny (infomation audit)
• Audyt prawidłowości • Audyt sprawności
W. Lück
• Audyt finansowy (financial auditing) • Audyt operacyjny (operational auditing) • Audyt zarządzania (management auditing) • Konsulting wewnętrzny (internal consulting)
• Audyt finansowy • Audyt niefinansowy: ȃȃ audyt operacyjny ȃȃ audyt zgodności ȃȃ audyt informatyczny ȃȃ audyt działalności ȃȃ audyt programów
J.G. Siegel J.K. Shim
B.R. Kuc • Audyt finansowy (financial audit) • Audyt wewnętrzny (internal audit) • Audyt zarządzania (management audit) • Audyt zgodności (compliance audit)
D.A. Żytyniec
• Audyt branżowy • Audyt jakości • Audyt marketingowy • Audyt finansowy • Audyt operacyjny • Audyt zarządczy • Audyt zgodności z celami, standardami i uzgodnieniami
50
Rozdział I Tabela 1.7 (cd.) 1
2
3
4 • Audyt programu projektu • Audyt systemu • Audyt procesu • Audyt wyrobu • Audyt jakości • Audyt bezpieczeństwa systemów informatycznych • Audyt bezpieczeństwa pracy
M.P. Cangemi T. Singleton
M.P. Cangemi T. Singleton
• Audyt przeglądu K. Knedler procedur (high-level M. Stasiak review of procedures) • Audyt finansowych (financial audit) • Audyt operacyjny (operational/ managerial audit)
• Audyt zarządzania (management audit) • Audyt wykonania (performance audit) • Ocena relacji nakładów do efektów (value for money audit)
• Audyt zgodności (compliance audit) • Audyt umów (contract audit) • Audyt biurowy (desk audit)
• Audyt wartości (Best Value Audit) • Audyt wszechstronny (comprehensive auditing) • Audyt zorientowany na zarządzanie (management oriented auditing)
K. Knedler • Audyt przeglądu procedur (high-level M. Stasiak review of procedures) • Audyt finansowych (financial audit) • Audyt operacyjny (operational/ managerial audit)
• Audyt zarządzania (management audit) • Audyt wykonania (performance audit) • Ocena relacji nakładów do efektów (value for money audit)
51
Istota i zakres działania audytu 1
2 • Audyt zgodności (compliance audit) • Audyt umów (contract audit) • Audyt biurowy (desk audit) • Audyt uzupełniający (follow-up audit) • Audyt systemów informatycznych (information systems audit) • Audyt handlu elektornicznego (ecommerce audit) • Audyt międzynarodowy (international audit)
3
4 • Audyt wartości (Best Value Audit) • Audyt wszechstronny (comprehensive auditing) • Audyt zorientowany na zarządzanie (management oriented auditing)
Źródło: opracowanie własne na podstawie A. Skoczylas, Audyt wewnętrzny a jakość zarządzania i informacji finansowej jednostki, [w:] Międzynarodowe standardy sprawozdawczości finansowej dla małych i średnich jednostek, red. W.A. Nowak, Oficyna a Wolters Kluwer business, Warszawa 2012, s. 213–214; I. Majchrzak, P. Łagodzki, Audyt ekologiczny jako element audytu wewnętrznego, [w:] Audyt wewnętrzny w 2007 roku, red. K. Winiarska, Zeszyty Naukowe nr 475. Prace Katedry Rachunkowości nr 29, Uniwersytet Szczeciński, Wydział Nauk Ekonomicznych i Zarządzania, Szczecin 2007, s. 185; K. Winiarska, Audyt wewnętrzny w 2007 roku. Standardy międzynarodowe – Regulacje krajowe, Wydawnictwo Difin, Warszawa 2007, s. 22–31, a także M.P. Cangemi, T. Singleton, Managing the audit Function, A Corporate Audit Department Procedures Guide, Published by John Wiley & Sons, Inc., Hoboken, New Jersey, 2003, s. 238–249; K. Knedler, M. Stasiak, Audyt wewnętrzny w praktyce – audyt operacyjny i finansowy, Polska Akademia Rachunkowości S.A. 2005, s. 29.
Charakteryzując dany rodzaj audytu, autorzy różnych publikacji kierowali się takimi kryteriami, jak: • zakres działania audytu (np. audyt przeglądu kontroli wewnętrznej), • tryb przeprowadzania audytu (usługi zapewniające, czynności doradcze), • podmiot audytu (audyt wewnętrzny i zewnętrzny), • poziom zarządzania (audyt operacyjny, strategiczny),
52
Rozdział I
• funkcje bądź rodzaje działalności organizacji (audyt finansowy, informatyczny), • przedmiot audytu (audyt programów, przeglądu procedur). Zastosowanie nawet najbardziej sprecyzowanej formy opisu kryterium nie daje podstaw do stwierdzenia, że ich dobór nie jest obciążony pewnym błędem subiektywności. Wynika on bowiem w różnym stopniu z umiejętności poznawczych, wiedzy i doświadczenia badacza, jak i z jego wewnętrznego przeświadczenia o praktycznej przydatności określonych kryteriów podziału93. Zaprezentowane w niniejszej części publikacji rodzaje audytu nie wyczerpują wszystkich zagadnień i nie dają pełnego opisu podejmowanych problemów badawczych. Dlatego też nie należy traktować ich jako katalogu zamkniętego. Form audytu jest bardzo wiele (patrz tabela 1.7) i z całą pewnością w miarę rozwoju obszarów działalności organizacji będzie ich przybywać. Jednakże, zdaniem autorów amerykańskich, L.B. Sawyera, M.A. Dittenhofera oraz J.H. Scheinera, żadna definicja audytu nie jest w stanie objąć wszystkich zadań realizowanych przez audytorów94. W związku z tym w praktyce audytorskiej przyjmuje się pewne rodzaje audytu, które jednocześnie odzwierciedlają charakter badanego zagadnienia. Należą do nich: • audyt operacyjny, • audyt zgodności, • audyt finansowy, • audyt informatyczny, • audyt efektywnościowy. Audyt operacyjny usiłuje odpowiedzieć na pytanie dlaczego problem istnieje i co jest jego przyczyną. W tym znaczeniu, odnosi się on do kategorii usług wspomagających kierowanie jednostką poprzez ocenę czterech funkcji zarządczych: planowania, organizowania, kontroli i monitoringu. Stanowi on zorientowaną na przyszłość, niezależną 93 M. Lisiński, Wariantowanie w projektowaniu organizatorskim, „Zeszyty Nau kowe, Akademia Ekonomiczna w Krakowie. Seria Specjalna. Monografie” 1992, nr 105, s. 126. 94 L.B. Sawyer, M.A. Dittenhofer, J.H. Scheiner, Sawyer’s Internal Auditing…, s. 4.
Istota i zakres działania audytu
53
i systematyczną ocenę działań organizacyjnych na różnych poziomach zarządzania95. Audyt zgodności natomiast obejmuje dwa różne, ale mimo wszystko zbliżone rodzaje zagadnień: istotę i zakres badanego obszaru oraz możliwy i pożądany stopień zgodności tego obszaru z normami, przepisami i innymi wytycznymi audytowanej organizacji. Może on dotyczyć różnorodnych zagadnień organizacji, począwszy od nadzwyczajnych przedsięwzięć, poprzez analizę regulacji wewnętrznych, czy dokonywania rutynowego przeglądu procedur. Audyt finansowy jest badaniem bieżącej pozycji finansowej organizacji. Obejmuje nie tylko ocenę prawidłowości operacji ujętych w pozycjach finansowych bilansu oraz rachunku zysków i strat, ale także weryfikację wszystkich zagadnień i działań, które mają bezpośredni wpływ na sprawność i jakość kondycji finansowej jednostki96. Audyt informatyczny zajmuje się oceną kontroli wewnętrznej, środowiska systemów przetwarzania danych i wykorzystaniem tych systemów. Ten rodzaj audytu najczęściej ocenia systemy kontroli wejścia, wyjścia i procesu przetwarzania, proces archiwizacji i ochrony danych, a także zgodność z prawem systemu komputerowego97. Audyt efektywnościowy z kolei jest rodzajem usług, które w ostatnich czasach zyskują na popularności. Koncentruje się na ocenie realizowanych zadań i usług poprzez skupienie działań na badaniu gospodarności, efektywności i skuteczności ich wykonania. W ramach tego rodzaju audytu niezbędny jest odpowiedni dobór kryteriów do oceny, w tym mierników i wskaźników prezentujących efektywność działania audytowanego obszaru czy procesu. Warto w tym miejscu nadmienić, iż kolebką tego rodzaju audytu jest Wielka Brytania, a jego pierwotna nazwa brzmi value for money audit98, z kolei termin M.P. Cangemi, T. Singleton, Managing the Audit…, s. 238–249. Ibidem, s. 238–249. 97 A. Fight, Measurement and Internal Audit, Capstone Publishing, Oxford 2002, s. 51–52, przytoczone za: K. Winiarska, Audyt wewnętrzny w 2007 roku, Wydawnictwo Difin, Warszawa 2007, s. 23; zob. też K. Liderman, Bezpieczeństwo informacyjne, Wydawnictwo Naukowe PWN, Warszawa 2012, s. 11–28. 98 J. Bourn, Public Sector Auditing: Is it Value for Money?, John Wiley & Sons Ltd., England 2007, s. 5–12. 95 96
54
Rozdział I
„audyt efektywnościowy” został przyjęty w ramach polskiego określenia tego pojęcia. ¤¤ Należy jednak pamiętać, iż nie powinno się traktować opisanych rodzajów audytów stricte w kategoriach indywidualnych, ponieważ w wyniku prowadzania czynności audytowych formy te przeplatają się i uzupełniają. Dla przykładu, realizując audyt finansowy, audytor musi oprzeć się również na aspektach operacyjnych, informatycznych, zgodności i efektywności. Stąd można powiedzieć, że prezentowane w literaturze kategorie audytu mają charakter umowny, w praktyce jednak granice pomiędzy nimi się zacierają, a najważniejsze pozostają rola i zadania audytu, jakie ma on do zrealizowania względem organizacji.
Audyt stanowi narzędzie oceny prawidłowości i efektywności funkcjonowania systemu kontroli wewnętrznej. Skupia się przede wszystkim na identyfikacji ryzyka oraz na przekazywaniu informacji najwyższemu kierownictwu w odniesieniu do badanych obszarów wraz z oceną działań jednostki pod kątem zgodności z celami instytucji tak, aby nie dopuścić do wystąpienia zaburzeń w jej funkcjonowaniu. Jego zadaniem jest znalezienie niesprawności oraz uchybień i błędów, a także wskazanie drogi eliminowania konsekwencji tych zjawisk i zabezpieczanie się przed ich ponownym wystąpieniem99. Zadaniem audytu, w ramach zapewnienia wsparcia kierownictwu, powinna być koncentracja na najważniejszych aspektach działalności organizacji, stanowiących największe ryzyko. Należy jednak zaznaczyć, że zakres badania audytowego powinien być na tyle szeroki i kompleksowy, aby umożliwił wychwycenie słabości funkcjonującego systemu zarządzania. Biorąc pod uwagę cel oraz charakter działania audytu oraz jego znaczenie dla usprawnienia procesów funkcjonujących w organizacji, usługi audytowe powinny być ukierunkowane przede wszystkim na: • identyfikację istotnych zagrożeń dla organizacji, • zaspokajanie bieżących potrzeb informacyjnych kierownictwa jednostki, • doradztwo w kluczowych obszarach biznesowych, • systematyczną ocenę wszystkich obszarów działalności jednostki, E. Bielińska-Dusza, Charakterystyka systemu audytu…, s. 82–83.
99
Istota i zakres działania audytu
55
• doskonalenie organizacji poprzez proponowanie innowacyjnych rozwiązań, • ocenę skuteczności i efektywności działania oraz przepływu informacji, • analizę gospodarności, • bieżące komunikowanie działań i innych istotnych informacji z kadrą kierowniczą oraz raportowanie, • rozpoznawanie znamion oszustw i nadużyć, w tym cyberprzestępstw, • proponowanie zastosowania nowych technologii, • poprawę jakości funkcjonowania jednostki. Usługi audytowe powinny koncentrować się na ocenie obszarów działalności organizacji narażonych na największe ryzyko, którego skutek może wiązać się z utratą płynności finansowej i stabilności funkcjonalnej jednostki. Audyt stanowi narzędzie wspierające zarządzającego jednostką, stąd powinien dostarczać kierownictwu informacji niezbędnych do prawidłowego i racjonalnego podejmowania decyzji. Nie zawsze istnieje zapotrzebowanie kierownika na dodatkowe źródła wiedzy o instytucji, jednakże w sytuacji, kiedy takie zjawisko wystąpi, zadaniem audytu jest zaspokajanie potrzeb w tym zakresie. Powinien on również świadczyć usługi doradcze w obszarach działalności, które w opinii kierownictwa wymagają niezależnego wsparcia bądź sam stać się inicjatorem takich usług. Czynności audytowe powinny koncentrować się w szczególności na optymalizacji wyników organizacji, a to możliwe jest poprzez zwiększanie efektywności i skuteczności jego działania, dostarczając tym samym racjonalnej pewności, że jednostka funkcjonuje prawidłowo oraz realizuje wyznaczone przez nią cele. Innym bardzo istotnym aspektem działalności audytu jest zapewnianie bieżącego raportowania i komunikowania kierownictwu jednostki wykrytych słabości systemu kontroli wewnętrznej. Komunikacja stanowi bardzo ważny element w zarządzaniu organizacją, a skuteczny sposób porozumiewania się jest gwarantem pozyskiwania istotnych i ważnych informacji, co skutkuje trafnością podejmowanych decyzji zarządczych.
56
Rozdział I
Kolejnym zadaniem audytu, niezmiernie istotnym szczególnie w okresie kryzysu gospodarczego, jest koncentracja na identyfikacji oszustw i nadużyć w ramach organizacji100. Zgodnie ze Standardami IIA, wykrywanie oszustw nie należy do obowiązków audytora, jednakże powinien on posiadać wiedzę umożliwiającą rozpoznanie jego znamion101. Jego rolą jest weryfikowanie podatności badanego systemu na nieuczciwe zachowania oraz ograniczanie ich poprzez rekomendowanie działań zaradczych w postaci mechanizmów kontrolnych. Audyt powinien umieć rozpoznać przesłanki wystąpienia takich zjawisk oraz podejmować działania wspierające i doskonalące system zarządzania w tym zakresie. Reasumując, zakres zastosowania audytu można rozpatrywać z punktu widzenia jego funkcji i zadań dla organizacji, przy czym zadania stanowią integralną rolę w ramach pełnienia poszczególnych funkcji. Ich rodzaje przedstawiono w tabeli 1.8. Tabela 1.8. Funkcje i zadania audytu Funkcje audytu 1
Zadania audytu 2
Opiniotwórcza Wiąże się z kształtowaniem opinii na temat działalności organizacji. Opinie wydawane przez audytorów stanowią istotne źródło informacji nie tylko dla klientów wewnętrznych jednostki, jak i jej zewnętrznych interesariuszy
3 Opiniowanie: • działań i przedsięwzięć podejmowanych w ramach organizacji, • przyjętych rozwiązań w ramach funkcjonującego systemu kontroli wewnętrznej (systemu zarządzania jednostką), • regulacji wewnętrznych pod względem zasadności i skuteczności działania, • procedur działania, • skuteczności i efektywności oraz gospodarności podejmowanych działań
L.W. Vona, The Fraud Audit: Responding to the Risk of Fraud in Core Business Systems, Wiley & Sons Ltd., 2011, s. 5. 101 Definicja audytu wewnętrznego…, s. 18. 100
57
Istota i zakres działania audytu 1
2
3
Weryfikacyjna
Polega na sprawdzeniu i ocenie funkcjonowania wybranych obszarów działalności jednostki
• realizacja zadań audytowych (w formie zadań zapewniających i doradczych), • ocena stanu faktycznego w stosunku do stanu wymaganego, • weryfikacja osiąganych rezultatów i wyników działalności jednostki, • ocena wybranych obszarów działalności jednostki poprzez zastosowanie odpowiednich technik oraz metod testowania
Doradcza
Wiąże się z każdorazowym dążeniem audytora do przysparzania wartości dodanej
• tworzenie wartości dodanej poprzez proponowanie działań korygujących, usprawniających sposób działania realizowanych procedur w ramach funkcjonującego systemu zarządzania, • proponowanie innowacyjnych rozwiązań i racjonalizatorskich projektów, • udzielanie konsultacji i porad w sytuacjach konfliktowych oraz problemowych
Optymalizacyjna
Wiąże się z funkcją • uczestnictwo w doskonaleniu doradczą i oznacza przedprocesów i procedur zachodzących stawianie właściwych w ramach organizacji, rozwiązań w ramach • proponowanie rozwiązań mających organizacji, przyczyniająna celu poprawę funkcjonowania cych się do podejmowaobszarów działalności jednostki, nia decyzji w warunkach • udoskonalenie kluczowych systemów racjonalności zarządczych
Informacyjna
Oznacza przekazywanie • generowanie danych i informacji wiadomości na temat zarządczych, stwierdzonych faktów • tworzenie rekomendacji poprzez i stanów, mających znaporównanie wniosków na bazie przeczenie z punktu widzenia prowadzanych analiz, funkcjonowania organi- • kreowanie nowych źródeł wiedzy zacji i zarządzania nią
58
Rozdział I Tabela 1.8 (cd.) 1
Komunikacyjna
2
3
Wiąże się z kierowaniem • komunikowanie podatności na ryzywyselekcjonowanych ko w systemach zarządczych grup informacji do wy• przekazywanie wyselekcjonowabranych odbiorców, nych danych do właściwych grup w celu wywołania odpoodbiorców wiedniej reakcji
Źródło: opracowanie własne.
Zdaniem L.R. Howarda, funkcje i zadania audytu są bardzo zróżnicowane i zależą od wielkości oraz struktury organizacyjnej podmiotu, a także umiejętności i doświadczenia zawodowego audytora, a w szczególności od wymagań, jakie stawia przed nim kierownictwo instytucji102. Zaprezentowane funkcje to nie wszystkie możliwości wykorzystania audytu, nie jest bowiem możliwe przedstawienie zamkniętego katalogu czynności i działań które ma on do spełnienia względem jednostki. Niemniej jednak można podjąć próbę wypunktowania najważniejszych zadań audytu w stosunku do organizacji. Należą do nich w szczególności103: • świadczenie usług konsultacyjnych i doradczych na rzecz zarządzających organizacją, • wspomaganie kierownictwa w efektywnym zarządzaniu jednostką, • świadczenie usług zapewniających w zakresie prawidłowości funkcjonowania mechanizmów kontrolnych oraz działania systemu kontroli wewnętrznej, • przysparzanie organizacji wartości dodanej, 102 L.R. Howard, Auditing, Pitman Publishing, London 1992, za: O. Martyniuk, Audyt wewnętrzny a kontrola wewnętrzna, [w:] Rachunkowość i analiza ekonomiczna. Wybrane problemy, Prace i Materiały Wydziału Zarządzania Uniwersytetu Gdańskiego, nr 2/2005, Sopot 2005. 103 A. Skoczylas, Audyt wewnętrzny a jakość zarządzania i informacji finansowej jednostki, [w:] Międzynarodowe Standardy Sprawozdawczości Finansowej dla Małych i Średnich Jednostek, red. W.A. Nowak, Oficyna a Wolters Kluwer business, Warszawa 2012, s. 229–230.
Istota i zakres działania audytu
59
• wnikanie w specyficzne problemy organizacji, • reagowanie na potrzeby i problemy kierownictwa, • identyfikowanie i badanie oszustw oraz nadużyć, • dostarczanie mechanizmów kontrolnych zapewniających osiąganie celów organizacyjnych oraz sposobów ich zastosowania, • ocena procesu kontroli, zarządzania ryzykiem i ładu organizacyjnego oraz proponowanie praktycznych rozwiązań wspomagających te procesy. Powyższy katalog może być uzupełniany w zależności od specyfiki organizacji, potrzeb kierownictwa instytucji oraz możliwości i kwalifikacji posiadanych przez audytorów.
1.3. Sylwetka zawodowa audytora 1.3.1. Etyczne i osobowościowe atrybuty pracy audytora Pojęcia etyki i moralności w odniesieniu do wykonywania zawodu audytora mogą być różnie interpretowane. Etyka stanowi naukę o kwestiach dobra i zła poprzez ustalenie zasad właściwego życia oraz reguł, jakimi należy się kierować. Jednakże bez względu na przyjęte ogólne zasady etyczne pojawiają się sytuacje problematyczne, nie pozwalające znaleźć rozsądnego rozwiązania, dotyczy to różnych branż czy grup zawodowych. W takim przypadku niezbędne jest podjęcie działań zmierzających do ustalenia przyczyny zaistniałego zdarzenia, określenie zasad etycznych mogących mieć zastosowanie oraz dokonanie wyboru właściwego postępowania, stosownie do sytuacji oraz intuicji osoby, której problem dotyczy104. W ramach dokonywania właściwych wyborów opracowane zostały zasady odpowiednie dla wybranych grup zawodowych wymagających szczególnych kompetencji, np. radców prawnych, dziennikarzy, lekarzy, brokerów ubezpieczeniowych105. Zostały one ujęte w kodeksach 104 Zob. W. Gasparski (red.), Biznes, etyka, odpowiedzialność, PWE, Warszawa 2012, s. 9–35, 79–84. 105 Kodeks etyki radcy prawnego, Krajowa Izba Radców Prawnych, www.kirp. pl/Akty-Prawne/Kodeks-Etyki-Radcy-Prawnego (dostęp 11.06.2014); Kodeks etyki
60
Rozdział I
etyki zawodowej dostosowanych, do danej profesji. Wśród tych zawodów znalazł się również audytor. Celem etyki audytorskiej jest dążenie do właściwego wykonywania zawodu audytora oraz podnoszenie społecznego zaufania do tej profesji. W odniesieniu do audytora funkcjonuje kodeks etyki wykonania zawodu audytora wewnętrznego określony przez Instytut IIA, zwany dalej kodeksem etyki Instytutu IIA. Zgodnie z jego treścią, od audytorów wymaga się pewnych określonych zachowań, z których najistotniejsze to: uczciwość, obiektywizm, poufność oraz profesjonalizm. Elementy te stanowią pewnego rodzaju determinanty etycznego zachowania, a ich przyporządkowanie do zachowań wymaganych od audytora dowodzi, że osoba wykonująca taki zawód postępuje w sposób etyczny106. Zatem etyka stanowi istotny aspekt w pracy audytorów i jest nieodzowna w tej profesji107. Powinna opierać się na zaufaniu poprzez dostarczanie obiektywnego zapewnienia dotyczącego procesów funkcjonujących w ramach organizacji108. Określone w kodeksie etyki Instytutu IIA normy stanowią pomoc w wykonywaniu zawodu audytora oraz służą jako wskazówki dla jego etycznego zachowania. Celem kodeksu etyki Instytutu IIA jest promowanie kultury etycznej w międzynarodowej profesji audytu wewnętrznego. Może mieć on zastosowanie zarówno w odniesieniu do pojedynczych osób, jak i organizacji, które świadczą usługi z zakresu audytu w dowolnym sektorze w różnych krajach109. lekarskiej, Naczelna Izba Lekarska, www.nil.org.pl/dokumenty/kodeks-etyki-lekarskiej (dostęp 11.06.2014); Kodeks etyki brokera, Stowarzyszenie Polskich Brokerów Ubezpieczeniowych i Reasekuracyjnych, www.polbrokers.pl/index.php?pr+380&id+164 (dostęp 11.06.2014). 106 M. Krawczyk, P. Sekuła, Etyka w pracy audytora wewnętrznego, „Annales. Etyka w Życiu Gospodarczym” 2008, t. 11, nr 2. 107 G. Cosserat, N. Rodda, Modern auditing, 3th ed., Wiley & Sons Ltd., United Kindom, 2009, s. 24–30. 108 Definicja audytu wewnętrznego…, s. 6. 109 Ibidem.
Istota i zakres działania audytu
61
Dokument ten uwzględnia dwa zasadnicze elementy110: 1) zasady, które odnoszą się do profesji i praktyki audytu wewnętrznego, wskazujące na cechy i predyspozycje, jakie powinien posiadać i reprezentować audytor; 2) reguły postępowania, które opisują normy zachowań, jakich oczekuje się od audytorów, wskazujące działania jakie powinny być podejmowane przez audytora, celem spełnienia wskazanych w kodeksie zasad. Zasady i reguły postępowania kodeksu etyki Instytutu IIA zostały zaprezentowane w tabeli 1.9. Tabela 1.9. Zasady kodeksu etyki audytora wewnętrznego według Instytutu IIA Zasada 1 Prawość
2
Reguła postępowania 3
Audytorzy stanowią źródło zaufania, dlatego poczynione w ramach realizowanych czynności ustalenia opierają na swoich osądach oraz postępują zgodnie z prawem
Audytorzy wewnętrzni wykonują swoje zadania rzetelnie, w sposób odpowiedzialny, przestrzegają prawa i ujawniają fakty zgodne z oczekiwaniami prawa i ich profesją. Nie powinni świadomie uczestniczyć w jakiejkolwiek działalności sprzecznej z prawem lub angażować się w działania, które są niezgodne z profesją wykonania zawodu audytora
Obiektywizm Audytorzy wewnętrzni wykazują najwyższy poziom profesjonalnego obiektywizmu w zakresie oceniania i przekazywania informacji na temat działania audytowego obszaru. Czynności przez nich realizowane nie mogą podlegać wpływom wynikającym z ich własnych interesów lub interesów innych osób
Audytorzy wewnętrzni: • nie uczestniczą w działalności, która może pozostać w kontradykcji z interesami instytucji czy wykonywaniem przez nich zawodu audytora, • nie akceptują kwestii budzących obawy w stosunku do wydawanego przez nich osądu, • ujawniają stwierdzone i istotne fakty
Ibidem, s. 8.
110
62
Rozdział I Tabela 1.9 (cd.) 1
Poufność
2
3
Audytorzy wewnętrzni wykazują Audytorzy wewnętrzni powinni: powagę i respekt dla wartości • korzystać z informacji pozyi własności informacji, jakie skanych w toku realizowanych otrzymują i nie udostępniają ich czynności audytowych w sposób bez stosownych upoważnień ostrożny, • nie wykorzystywać informacji dla własnych korzyści bądź w sposób sprzeczny z prawem lub nieetyczny
Kompetencje Audytorzy wewnętrzni wykorzy- Audytorzy wewnętrzni: stują posiadaną wiedzę, kwalifi- • angażują się w świadczenie kacje i doświadczenie w sposób takich usług, w ramach których właściwy i niezbędny dla świadposiadają właściwą wiedzę czenia czynności audytowych i kwalifikacje, • świadczą usługi zgodnie ze Standardami IIA, • podnoszą swoje kwalifikacje zawodowe oraz doskonalą jakość świadczonych usług Źródło: opracowanie własne na podstawie: Definicja audytu wewnętrznego, kodeks etyki oraz Międzynarodowe Standardy Praktyki Zawodowej Audytu Wewnętrznego, The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs Floryda 32701-4201, USA, December 2012, s. 4–8.
Poza opisanym kodeksem etyki Instytutu IIA, również inne organizacje międzynarodowe opracowały wytyczne w zakresie etyki wykonywania zawodu audytora. Wiążą się one z wykonywaniem konkretnego rodzaju audytu, np. finansowego (postanowienia komisji do spraw etyki Amerykańskiego Instytutu Dyplomowanych Księgowych – The American Institute of Certified Public Accountants – AICPA) czy informatycznego (kodeks etyki zawodowej Stowarzyszenia do spraw Audytu i Kontroli Systemów Informatycznych – Information System Audit and Control Association – ISACA)). Ponadto, biorąc pod uwagę problematykę zjawiska związanego z postrzeganiem wykonywania zawodu audytora, możemy wyróżnić jeszcze inne kodeksy, do jakich przestrzegania zobowiązana jest osoba świadcząca taki rodzaj usług. Stosownym
Istota i zakres działania audytu
63
przykładem w tym zakresie jest kodeks biegłego rewidenta. W myśl przepisów prawa polskiego biegły rewident to osoba fizyczna wpisana do rejestru biegłych rewidentów bądź na listę podmiotów uprawnionych do badania sprawozdań finansowych prowadzonych przez Krajową Radę Biegłych Rewidentów. Osoby posiadające uprawnienia do wykonywania zawodu biegłego rewidenta również, zgodnie z prawem polskim, są audytorami111. Z kolei w Stanach Zjednoczonych audytorzy świadczący usługi z tego zakresu z reguły posiadają tytuł Certified Public Accountants, stanowiący odpowiednik biegłego rewidenta112. Kodeks etyki biegłego rewidenta wprowadzony został uchwałą Krajowej Rady Biegłych Rewidentów nr 1426/33/2009 z 3 listopada 2009 r., który z dniem 1 stycznia 2012 r. został zastąpiony kodeksem etyki zawodowych księgowych Międzynarodowej Federacji Księgowych (The International Federation of Accountants – IFAC)113. Dokument został podzielony na trzy części, pierwsza odnosi się do ogólnych zasad wykonania zawodu, a dwie pozostałe do osób wykonujących wolny zawód księgowego oraz świadczących usługi w podmiotach gospodarczych. Bez względu na formę, jego część ogólna obejmuje zasady, których powinna przestrzegać każda osoba świadcząca usługi biegłego rewidenta. Obejmuje ona takie cechy, jak uczciwość, obiektywizm, zawodowe kompetencje i należytą staranność zawodową, zachowanie tajemnicy informacji oraz profesjonalne postępowanie. Ich opis przedstawiono w tabeli 1.10. Zagadnienia opisane w przedstawionych kodeksach są do siebie zbliżone i zakładają jednolity sposób postępowania audytorów w wybranych sytuacjach. Jedne z nich w sposób bardziej szczegółowy odnoszą się do określonych zjawisk, inne traktują je bardziej ogólnie, jednak nie sposób dopatrzeć się w nich braku integralności. Art. 286 ustawy z 27 sierpnia 2009 r. o finansach publicznych (Dz.U. 2013, poz. 885, z późn. zm.). 112 R. Moeller, Nowoczesny audyt…, s. 25. 113 W. Leśniewski, Nowe zasady etyki zawodowej biegłych rewidentów, http:// www.instytutrewizjifinansowej.pl/biuletyn/IRF/Biuletyn-BDO-Rewizja-Finansowa/ Zasady-etyki/Nowe-zasady-etyki-zawodowej-bieglych-rewidentow1677.html (dostęp 22.05.2014). 111
64
Rozdział I Tabela 1.10. Główne założenia kodeksu etyki zawodowych księgowych Międzynarodowej Federacji Księgowych
Postanowienia kodeksu
Opis głównych zagadnień
Uczciwość
W trakcie świadczonych usług biegły rewident postępuje w sposób otwarty i uczciwy w odniesieniu do wszystkich powiązań zarówno zawodowych, jak i gospodarczych
Obiektywizm
Świadczenie usług księgowych nie może podlegać wpływom i być podporządkowane osądom osób trzecich o charakterze zawodowym czy gospodarczym, a opinie przez nich formułowane muszą być wolne od uprzedzeń oraz konfliktów interesów
Zawodowe kompetencje i należyta staranność
Biegły rewident podejmując się świadczenia usług posiada kompetencje adekwatne do podejmowanych działań, a tym samym niezbędną wiedzę, kwalifikacje i umiejętność na poziomie wymaganym dla dostarczenia klientowi czy pracodawcy profesjonalnej usługi, opartej na najnowszych rozwiązaniach z zakresu wykonywanego zawodu. Stosuje się do regulacji prawnych i metodologii, a także zachowuje staranność ich wykorzystania oraz przestrzega odpowiednich standardów technicznych i zawodowych
Zachowanie tajemnicy informacji
Biegły rewident jest zobowiązany do przestrzegania tajemnicy o ochronie informacji pozyskanych w takcie świadczonych usług i nie ujawniania ich osobom nieuprawnionym bez odpowiedniego i wyraźnego upoważnienia, chyba że ich ujawnienie wynika z prawnych lub zawodowych uprawnień lub obowiązków. Nie może on również wykorzystywać informacji pozyskanych w związku z wykonywanym zawodem dla realizacji swoich osobistych korzyści lub osobistych korzyści stron trzecich
Profesjonalne postępowanie
W trakcie świadczonych usług, biegły rewident jest samodzielny i niezależny, podlega przepisom prawa i zasadom etyki. Postępuje zgodnie z odpowiednimi przepisami prawa i regulacjami oraz unika wszelkich działań dyskredytujących zawód
Źródło: opracowanie własne na podstawie Kodeks etyki zawodowych księgowych, International Ethics Standards Board for Accountants International Federation of Accountants545 Fifth Avenue, 14th Floor New York, New York 10017 USA, http://kibr. org.pl/pl/etyka, http://www.kibr.webserwer.pl/_doc/uchwaly/uchwala_4249-60-2011_ Kodeks_IFAC.pdf (dostęp 22.05.2014).
Istota i zakres działania audytu
65
1.3.2. Kluczowe kompetencje i umiejętności w świadczeniu usług audytowych Zawód audytora należy do tej grupy profesji, której wykonywanie wiąże się z posiadaniem odpowiednich kwalifikacji i umiejętności. Odnoszą się one do wiedzy teoretycznej, umiejętności praktycznych, zdolności i predyspozycji wyróżniających daną osobę bądź grupę osób wykonujących zawód audytora. Niektóre z nich dotyczą cech osobowościowych nabytych jeszcze przed podjęciem tej profesji, a inne kwalifikacji i umiejętności pozyskanych w związku z wykonywaniem tego zawodu. W ramach kompetencji należy odnieść się do posiadanych certyfikatów bądź innych dokumentów potwierdzających stosowne uprawnienia do świadczenia usług audytowych. ¤¤ Wykonywanie czynności audytorskich jest ograniczone posiadaniem odpowiednich kwalifikacji, które wiążą się z dysponowaniem stosownymi uprawnieniami w tym zakresie. W ramach audytu możemy mieć do czynienia z audytorem posiadającym certyfikaty międzynarodowe, krajowe bądź jednostkowe odnoszące się do przyjętych wytycznych, nadawanych przez specjalnie do tego uprawnione jednostki szkoleniowe.
Istnieją instytucje, które organizują egzaminy umożliwiające pozyskanie odpowiednich certyfikatów międzynarodowych uprawniających do świadczenia usług audytowych. Do najpopularniejszych z nich należą: • Instytut Audytorów Wewnętrznych (The Institute of Internal Auditors – IIA), • Stowarzyszenie Audytorów ds. Systemów Informatycznych i Kontroli (Information System Audit and Control Association – ISACA), • Stowarzyszenie Biegłych ds. Oszustw (Association of Certified Fraud Examiners – ACFE), • Stowarzyszenie Specjalistów z Zakresu Finansów i Rachunkowości (Association of Chartered Certified Accountants – ACCA), • Stowarzyszenie Biegłych Analityków Finansowych (Association of Chartered Financial Analyst – ACFA).
66
Rozdział I
Wydawane przez wskazane instytucje certyfikaty potwierdzają nabycie przez daną osobę odpowiednich kwalifikacji i umiejętności w zakresie wykonywania zawodu audytora. Ich zakres jest zróżnicowany w zależności od zainteresowań audytorów, począwszy od obszarów finansowych, poprzez informatyczne, oszustwa i nadużycia, skończywszy na ogólnych uprawnieniach do wykonywania tego zawodu. Certyfikaty nadawane przez wymienione instytucje i ich opis zamieszczono w tabeli 1.11. Tabela 1.11. Przykłady wybranych certyfikatów uprawniających do wykonywania zawodu audytora Instytucja Nazwa Opis uprawnień certyfikująca certyfikatu 1 2 3 The Institute of Certificate Jest to certyfikat przeznaczony dla audytoInternal Auditors Internal Auditors rów posiadających dwuletnie doświadczenie (IIA) w wykonywaniu tego zawodu. Istnieje również (CIA) możliwość jego zdobycia wcześniej, jednakże przystąpienie do egzaminu jest uzależnione od potwierdzenia posiadanego doświadczenia zawodowego. Celem pozyskania certyfikatu niezbędne jest zdanie trzyczęściowego egzaminu, obejmującego takie zagadnienia, jak: • podstawy audytu wewnętrznego, • praktyka audytu wewnętrznego, • elementy wiedzy z zakresu audytu wewnętrznego. Certyfikat uprawnia do wykonywania zawodu audytora wewnętrznego na całym świecie i jest skierowany zarówno do osób świadczących usługi audytorskie oraz tych, które chciałyby w przyszłości w tym zawodzie podjąć pracę audyt usług finansowych, • bankowość, • ubezpieczenia, • papiery wartościowe. Pozyskanie certyfikatu daje możliwość podjęcia pracy w zawodzie audytora, w szczególności w organizacji świadczącej usługi finansowe
67
Istota i zakres działania audytu 1
2
Information Sys- Certified Infortem Audit and mation Systems Control Associa- Auditor (CISA) tion (ISACA)
The Global Body for Professional Accountants (ACCA)
Association of Chartered Certified Accountants (ACCA)
Certified Government Auditing Professional (CGAP)
3 Jest to certyfikat uprawniający do oceny projektów informatycznych i systemów teleinformatycznych. O zdobycie certyfikatu mogą ubiegać się osoby posiadające pięcioletnie doświadczenie zawodowe w zakresie audytu IT lub w dziedzinie bezpieczeństwa bądź czteroletnie doświadczenie we wskazanym zakresie, pod warunkiem posiadania wykształcenia na poziomie licencjata lub trzech lat doświadczenia w przypadku posiadania tytułu magistra. Egzamin jest jednoczęściowy i obejmuje wiedzę z zakresu: • procesu audytu systemów informatycznych, • zarządzania IT, • zakupu usług informatycznych, ich rozwoju i wdrażania, • operacji systemów informatycznych, • utrzymania i wsparcia systemów IT, • ochrony informacji aktywów. Zdobyte uprawnienia są uznawane na całym świecie i dają możliwość podjęcia pracy w organizacjach o różnym profilu działalności, a korzystających z technologii informatycznych Jest to certyfikat dyplomowanego biegłego księgowego, dający możliwość wykonywania zawodu audytora w dziedzinie finansów i rachunkowości. Jego zdobycie wiąże się ze zdaniem 14 egzaminów obejmujących takie zagadnienia, jak: • rachunkowość finansowa, • rachunkowość zarządcza, • podatki, • prawo, Jest certyfikatem ukierunkowanym, dedykowanym audytorom zatrudnionym w sektorze publicznym, podsiadających dwuletnią praktykę w tym zakresie. Przyznanie certyfikatu CGAP poprzedzone jest egzaminem, w toku którego kandydat musi wykazać się znajomością zagadnień z zakresu:
68
Rozdział I Tabela 1.11 (cd.) • • • • • •
standardów audytu, ładu korporacyjnego, podstaw ryzyka i kontroli, praktyki audytu wewnętrznego, umiejętności i techniki audytu, funkcjonowania środowiska kontroli w sektorze publicznym. Certyfikat uprawnia do wykonywania zawodu audytora wewnętrznego w instytucjach publicznych na całym świecie
Certification in Control Self Assessment (CCSA)
Certyfikat z zakresu samooceny kontroli jest przeznaczony dla audytorów bądź osób zajmujących się oceną poprawy jakości. Jego uzyskanie wiąże się z posiadaniem rocznego doświadczenia w audycie, zarządzaniu ryzykiem bądź jakością, a także zdaniem egzaminu obejmującego takie zagadnienia, jak: • integracja procesu samooceny kontroli i jego elementy, • cele biznesowe i funkcjonowanie organizacji, • identyfikacja i ocena ryzyka, • teoria sterowania i aplikacji. Po uzyskaniu kwalifikacji CCSA można podjąć pracę w zawodzie audytora, bądź innych obszarach strategicznych i zarządczych jednostki
Certified Financial Services Auditor (CFSA)
Certyfikat ten jest przeznaczony dla osób pracujących w sektorze usług finansowych. Celem jego pozyskania niezbędne jest posiadanego dwuletniej praktyki zawodowej w audycie w sektorze finansowym oraz zdanie dwuczęściowego egzaminu koncentrującego się na takich zagadnieniach, jak: • audyt, • analiza biznesowa. Zdobyte kwalifikacje uprawniają do wykonywania zawodu biegłego księgowego i audytora na całym świecie
Źródło: Certified Internal Auditor, Certified Government Auditing Professional, Certification in Control Self Assessment, Certified Financial Services Auditor, The Insti-
Istota i zakres działania audytu
69
tute of Internal Auditora, www.theiia.org/certification/Pages/Certification.aspx (dostęp 13.03.2014); Certified Information Systems Auditor, Information System Audit and Control Association, www.isaca.org/Certification/CISA-Information-Systems-Auditor/ Pages/default.aspx (dostęp 10.03.2014); Association of Chartered Certified Accountants, The Global Body for Professional Accountants, www.accaglobal.com/gb/en/ qualifications/apply-now/postal.html (dostęp 10.03.2014); Certified Fraud Examiner, Association of Certified Fraud Examiners, www.acfe.com/become-cfe-qualifications. aspx (dostęp 15.03.2014); Chartered Financial Analyst, Association of Chartered Financial Analyst, www.cfainstitute.org/programs/claritas/Pages/index.aspx (dostęp 11.03.2014); Kariera w finansach, Kwalifikacje zawodowe, http://www.karierawfinansach.pl/w-branzy/artykul/acca-kwalifikacja-kursy-zakres-wiedzy-egzamin-perspektywy (dostęp 25.02.2014); R. Moeller, Nowoczesny audyt wewnętrzny, Oficyna a Wolters Kluwer business, Warszawa 2011, s. 721–743.
Przedstawione w tabeli 1.11 certyfikaty stanowią przykłady uprawnień międzynarodowych dających możliwość podjęcia pracy w zawodzie audytora w organizacjach działających w różnych krajach na świecie, z ukierunkowaniem na bardziej ogólny charakter świadczonych usług audytowych (CIA, CGAP) po specjalizację w danym zakresie (CISA, ACCA). W niektórych państwach, obok uznawania międzynarodowych kwalifikacji do wykonywania zawodu audytora, przyjęto własne tzw. krajowe uprawnienia do świadczenia usług audytowych, uregulowane ustanowionym prawem i obowiązujące w granicach państwa, którego dotyczą. Odnosi się to przede wszystkim do wykonywania zawodu audytora w ramach wybranego sektora, w szczególności publicznego bądź grupy zawodowej (biegły rewident). Przykładem jest Polska, która w latach 2003–2006 nadawała uprawnienia do wykonywania zawodu audytora wewnętrznego w jednostkach sektora finansów publicznych na podstawie własnych regulacji prawnych114. Z kolej uprawnienia biegłego rewidenta nadawane są na podstawie ustawy z 7 maja 2009 r. o biegłych rewidentach i ich samorządzie, podmiotach uprawnionych do badania sprawozdań finansowych oraz o nadzorze publicznym. Występują również kwalifikacje jednostkowe, odnoszące się do przyjętych wytycznych, nadawane przez specjalnie do tego uprawnione Zob. Compendium of the Public Internal Control Systems in the UE Member States 2012…, s. 41, 61, 71. 114
70
Rozdział I
organizacje szkoleniowe, przykładem może być zawód audytora jakości. W odniesieniu do tego rodzaju działalności audytowej niezbędne jest posiadanie wiedzy z zakresu norm jakościowych oraz umiejętności weryfikacji ich zastosowania w ramach organizacji. W proces ten z reguły angażuje się organizacje zewnętrzne wdrażające normy i nadające certyfikat, którego warunkiem utrzymania jest poddawanie się regularnym przeglądom audytowym, wykonywanym zarówno przez wyznaczonych pracowników instytucji, jak i zewnętrzną firmę audytującą. Osoby świadczące ten rodzaj usług z reguły dysponują certyfikatami audytora jakości bądź dyplomami ukończenia szkoleń albo kursów w ramach wdrażania norm ISO. Warto wspomnieć, iż Amerykańskie Stowarzyszenie Jakości (American Society of Quality – ASQ) jest organizacją, które nadaje certyfikat audytora jakości (Certified Quality Auditor – CQA). Warunkiem jego pozyskania jest posiadanie doświadczenia zawodowego oraz ustawiczne kształcenie, podobnie jak w opisywanych w tabeli 1.11 certyfikatach, a także zdanie egzaminu. Audytorzy z tego rodzaju uprawnieniami z reguły koncentrują się na badaniu jakości w obszarach produkcji. Zdobyte w tym zakresie kwalifikacje muszą być jednak aktualizowane co 3 lata115. Poza pozyskaniem odpowiednich kwalifikacji, wykonywanie zawodu audytora należy do tego rodzaju profesji, w ramach której osoby świadczące usług powinny wykazywać się pewnymi predyspozycjami i umiejętnościami116. Wśród nich należy wskazać przede wszystkim na idealizację, uniwersalizm, umiejętność agregacji obszarów, twórcze rozwiązywanie problemów, zdolności analityczne, kreatywność oraz szybkość i zdolność uczenia się. Idealizacja oznacza postrzeganie rzeczywistości inaczej poprzez eliminację czynników negatywnych zniekształcających jej obraz. Wyidealizowany obraz rzeczywistości powstaje w głowie audytora, który biorąc pod uwagę standardy, wytyczne oraz zdrowy rozsądek dąży do wykreowania danego zjawiska jako dużo lepszego niż ono jest w rze R. Moeller, Nowoczeny audyt…, s. 743–744. Zob. H.R. Montgomery, Auditing Theory and Practice, The Roland Press Company, New York 1913, s. 24–33. 115 116
Istota i zakres działania audytu
71
czywistości. Tym samym jest w stanie zaproponować sposoby doskonalenia działań i procesów podlegających badaniu audytowemu. Uniwersalizm z punktu widzenia audytu nawiązuje do standaryzacji działań, która wiąże się z badaniem obszarów działalności jednostki na podstawie przyjętych norm i standardów, zmierzając do dostosowania się do wytycznych, określanych jako wzór czy dobra praktyka. Agregacja obszarów odnosi się do zdolności łączenia procesów bądź obszarów w logiczną całość. Ta umiejętność w wykonywaniu usług audytorskich jest niezwykle istotna, ma bowiem na celu wspomniane podejście systemowe do organizacji, czyli zdolność horyzontalnego spojrzenia na pojawiające się zagrożenia i politykę zarządzania jednostką. Twórcze rozwiązywanie problemów, jako kolejna umiejętność, którą powinien wykazywać się audytor, oznacza weryfikację i próbę zrozumienia pojawiających się trudności czy niezgodności bez pochopnego wyciągania wniosków. Audytor diagnozuje pojawiające się problemy, poprzez ocenę okoliczności ich powstania, a także w celu kreowania możliwych alternatywnych rozwiązań oraz wyboru optymalnego rozstrzygnięcia. Kreatywność z kolei stanowi otwartość na rzeczy nowe, innowacyjne oraz umiejętność abstrakcyjnego myślenia, niezamykanie się w ściśle określonych schematach postępowania. Cecha ta jest bardzo pożądana przy wykonywaniu czynności audytowych, szczególnie w odniesieniu do stosowanych metod i narzędzi badawczych, a także podejścia do ocenianego obszaru przez pryzmat poprawy działania całej organizacji. Bardzo ważnym elementem wykonania zawodu audytora jest posiadanie przydatnej i uporządkowanej wiedzy. Audytor nie musi znać się na wszystkim i dysponować pełnym zasobem informacji z każdej dziedziny, są jednak pewne obszary, z zakresu których powinien posiadać wiedzę na odpowiednim poziomie. Z pewnością dotyczy to znajomości standardów audytu oraz innych wytycznych międzynarodowych związanych z funkcjonowaniem systemu kontroli wewnętrznej. Jest to podstawowy zakres wiedzy, jakim powinien dysponować audytor, a także wykazywać się umiejętnością jej wykorzystywania w praktyce. W literaturze przedmiotu niejednokrotnie wskazuje się na konieczność
72
Rozdział I
dysponowania wiedzą z rachunkowości czy innych wybranych dziedzin nauki. Należy nadmienić, iż ściśle określony rodzaj wiedzy jest wymagany, ale wyłącznie w sytuacji, kiedy zostanie takie roszczenie skierowane w stronę audytora. Przypadek taki może mieć miejsce, gdy w zespole audytowym brakuje osoby z odpowiednimi kwalifikacjami bądź kiedy pracodawca lub organizacja korzystająca z zewnętrznych usług audytowych z góry takie wymogi w stosunku do audytora narzuci (np. korzystanie z usług biegłego rewidenta). Wiedza, jaką powinien również dysponować audytor, dotyczy znajomości wykrywania oszustw. Audytor nie jest odpowiedzialny za ujawnianie oszustw i nadużyć, ale powinien posiadać wiedzę pozwalającą zidentyfikować ich znamiona. Do jego zadań należy ocena skuteczności systemu kontroli wewnętrznej, który „jest pierwszą linią obrony organizacji przed oszustwem”117. Umiejętności audytora w tym zakresie powinny odnosić się przede wszystkim do dobrej znajomości badanego obszaru tak, aby móc zidentyfikować sygnały ostrzegawcze komunikujące o możliwości popełnienia nadużycia, jak również znajomości pewnych zachowań ludzkich czy aspektów psychologicznych. W ramach świadczenia usług audytowych wymagany zakres wiedzy od audytorów jest bardzo szeroki, zależnie do rodzaju i specyfiki działalności organizacji. Nie sposób jednak dysponować znajomością wszystkich obszarów, stąd odniesienie do umiejętności związanej z gotowością do ciągłego poszerzania kompetencji. Rozwój zawodowy stanowi bardzo istotny aspekt pracy audytora i wiąże się z dążeniem do pozyskiwania aktualnych informacji na temat standardów, wytycznych i uwarunkowań zewnętrznych, jak i samej jednostki, jej obszarów i podejmowanych działań, angażowanie się w spotkania poświęcone zmianom organizacyjnym oraz podejmowanym działaniom innowacyjnym. Aby sprostać tym wyzwaniom, osoby świadczące usługi audytowe muszą poszerzać swoją wiedzę i doskonalić posiadane umiejętności. Poza wskazanymi cechami osobowościowymi i umiejętnościami osobę audytora powinny cechować takie atrybuty, jak: szczerość, odwaga, lojalność, świadomość, szybkość reagowania, elastyczność, prostota Ibidem, s. 686.
117
Istota i zakres działania audytu
73
podejmowanych działań, zdolność formułowania opinii, a także zapał i entuzjazm do działania118. Istnieje również szereg innych zdolności, jakimi powinny wykazywać się osoby świadczące usługi audytowe, a potrzeba i możliwość ich nabywania pojawia się w miarę wykonywania czynności audytowych oraz zdobywania doświadczenia w tym zawodzie. 1.3.3. Psychologiczne aspekty pracy audytora Stosunki pomiędzy audytorem a audytowanym z reguły postrzegane są jako relacje o charakterze konfliktogennym119. Osoba audytora, ze względu na specyfikę pracy związaną z oceną obszarów działalności oraz zajmowaną pozycję w organizacji, może budzić we współpracownikach pewną powściągliwość. Dystans ten jest bardzo naturalnym odruchem, któremu towarzyszy niepewność co do sposobu postępowania audytora. Celem zapobieżenia temu zjawisku to właśnie na audytorach spoczywa obowiązek budowania więzi pomiędzy nimi a osobami odpowiedzialnymi za funkcjonowanie badanych obszarów. Zadaniem audytora jest koncentrowanie się na skuteczności działania procesów, a nie na cechach i słabościach osób w nich uczestniczących. Jednakże wiedza, jaką właściciele obszarów posiadają na temat ocenianych zagadnień, jest dla audytora niezbędna. Stąd na nim spoczywa odpowiedzialność za nawiązanie właściwych relacji z audytowanymi. Dlatego też wykonanie zawodu audytora wiąże się z posiadaniem pewnych cech osobowościowych i predyspozycji. Należą do nich w szczególności: • umiejętność kooperowania z ludźmi, • opanowanie i samokontrola, • zdolność współpracy, • umiejętności komunikacyjne. Wiedza na temat właściwego postępowania z ludźmi jest niezmiernie ważna w wykonywaniu czynności audytowych. Celem audytora 118 B.D. Kush, Auditing Leadership. The Professional and Leadership Skills You Need, John Wiley & Sons, Inc. New Jersey, 2009, s. 9–10. 119 Zob. S. Kałużny, Kontrola wewnętrzna. Teoria i praktyka, PWE, Warszawa 2008, s. 200.
74
Rozdział I
jest dążenie do oceny i usprawniania działalności jednostki prowadzonej przez ludzi, z których każdy ma inne cechy osobowościowe. Audytor powinien wykazywać się odpowiednim podejściem do audytowanego, traktować go jako współpracownika, partnera do rozmowy. Niezbędne jest poszanowanie jego i posiadanej przez niego wiedzy, która może się okazać bardzo przydatna dla samego audytora. Należy pamiętać, że każda jednostka ludzka jest inna, ma swoje mocne strony, wady i przyzwyczajenia, a zadaniem audytora jest uznanie cech osobowościowych innych osób. Powinien on poprzez swoje zachowanie zachęcać badane osoby do współpracy, a nie zniechęcać je poprzez swoje samolubne czy interesowne działania. Zarówno jedna, jak i druga strona zmierza w kierunku poprawy działania audytowanego obszaru, jednak pozycja audytora jest poniekąd dominująca, ponieważ to on dokonuje oceny wybranego obszaru w oparciu o wytyczne, normy czy przepisy prawne. Na jego barkach spoczywa również obowiązek zachęcania audytowanego do współpracy poprzez odpowiednie działania, rozmowę i mediacje ukierunkowane na osiągnięcie wspólnego celu. W wykonywaniu tego zawodu niezbędne są także opanowanie i samokontrola. W toku czynności audytowych należy wykazywać się taktownością i szacunkiem dla osób zaangażowanych w proces audytowy. Nie jest wskazane pochopne wyciąganie wniosków w stosunku do działań i osób, ale wnikliwe zdiagnozowanie przyczyn problemu, jeśli ten wystąpił. Zawód audytora jest jednocześnie pracą samodzielną, w ramach której audytorzy sami proponują stosowne działania, niezbędne do poprawy badanego obszaru. Stąd niezmiernie ważna jest świadomość celów oraz zadań, a także wola ich realizacji, a co za tym idzie zdolność organizowania pracy. Ponadto umiejętne podejście do tematu, zastosowanie odpowiednich technik jego oceny, zdolność niezależnej oceny faktów bez wysuwania daleko idących wniosków, czyli odpowiednia samokontrola. Umiejętność współpracy to kolejna istotna cecha w ramach świadczenia usług audytorskich. Kooperacja w ramach wykonywania zawodu audytora jest ważna na kilku etapach podejmowanych przez niego działań. Pierwszy poziom to relacje pomiędzy audytorami a kadrą zarządzającą, czyli osobami najbardziej zainteresowanymi ustaleniami poczynionymi przez audytorów. Drugi dotyczy relacji pomiędzy audytorami, ostatni z kolei kształtuje się na linii audytor – audytowany.
Istota i zakres działania audytu
75
Relacje na poziomie audytor – kadra zarządzająca należy rozpatrywać z punktu widzenia usługodawcy i usługobiorcy. Audyt jest narzędziem, którego głównym zadaniem jest wspieranie zarządzającego w ocenie i monitorowaniu funkcjonowania jednostki. Stąd stosunki między tymi osobami powinny być oparte na relacjach partnerskich, w ramach których jedna i druga strona dąży do współpracy, a jej głównym celem jest poprawa działalności jednostki. Należy jednak pamiętać, że audyt stanowi formę pomocy i doradztwa dla kierownictwa, natomiast ostateczna decyzja w kwestii wprowadzenia ewentualnych zmian w przyjętym systemie zarządzania należy do osoby kierującej organizacją. Dlatego też audytorzy powinni wykazywać inicjatywę w zakresie doskonalenia funkcjonowania instytucji i promować swoje usługi poprzez ciągłą współpracę z kierownictwem. Stosunki pomiędzy audytorami również są niezmiernie ważne, nie tylko ze względu na zachowanie odpowiednich relacji i wymianę informacji w ramach wykonywanych czynności, ale również z punktu widzenia postrzegania pracy audytorów na zewnątrz i ich poszanowania. Z reguły czynności audytowe realizowane są zespołowo, gdzie istotna jest wymiana wiedzy, doświadczenia, jak i informacji pozyskiwanych w toku ich wykonywania. Każde, nawet najmniej widoczne nieporozumienie czy brak współpracy stają się widoczne dla osób trzecich i niejednokrotnie mogą być wykorzystywane w sposób negatywny przez osoby podlegające ocenie audytowej. Ostatni, niezwykle ważny poziom relacji to zależność pomiędzy audytorem a audytowanym. Relacje te dla niektórych kojarzą się z zależnością kontroler – kontrolowany, dlatego też niejednokrotnie budzą ogromne emocje. Jednakże są one w znacznej mierze zależne od audytora, z uwagi na fakt, że jego postawa, nastawienie i szacunek do audytowanego decydują o odwzajemnieniu tych zachowań. W utrzymaniu właściwej współpracy na poziomie audytor – audytowany bardzo pomocna może okazać się właściwa forma komunikacji, zaakceptowana przez obie strony. Komunikacja stanowi dynamiczny proces zachodzący pomiędzy audytorem a jego otoczeniem poprzez wzajemną interakcję. Narzędzie to jest jednym z najważniejszych elementów w pracy audytora. Jest ono niezbędne na każdym etapie jego pracy. Z punktu widzenia relacji audytora z otoczeniem organizacji, nie komunikacja powinna stanowić
76
Rozdział I
problem, ale jej brak. Porozumiewanie się z zarządzającymi oraz audytowanymi na każdym etapie realizowanych czynności przyczynia się do lepszego i bardziej dogłębnego zdiagnozowania badanego obszaru, jak i również poznania oczekiwań zarządzających w ramach usprawnienia jego funkcjonowania. Z kolei brak komunikacji utrudnia audytorowi właściwe zrozumienie zagadnienia i może skutkować wydłużeniem czynności audytowych, generując nieporozumienia, a w dłuższej perspektywie czasu również konflikty. Zdolności negocjacyjne to również element niejednokrotnie wykorzystywany w pracy audytora. Są one szczególnie przydatne w sytuacji, kiedy audytorowi i audytowanemu przyświecają różne cele. Wówczas zadaniem audytora jest dążenie do uzyskania kompromisu, czyli wyważonego rozwiązania w danej sytuacji. Nie oznacza to, że audytor powinien w każdym przypadku godzić się na ustępstwa w stosunku do audytowanych obszarów, szczególnie jeśli dotyczą znaczących zagrożeń oraz sytuacji naruszenia przepisów prawa. Ważne jest jednak, aby w sytuacjach pojawiających się rozbieżności, usiłował podjąć działania zmierzające do wypracowania konsensusu. Istnieje również szereg innych zdolności, jakimi powinien wykazywać się audytor120, jednak w niniejszej części publikacji skoncentrowano się na najbardziej użytecznych. Reasumując, przedstawione cechy, zdolności i umiejętności, jakie powinny charakteryzować audytora nie stanowią katalogu zamkniętego, jednakże są w dużej mierze zależne od samych audytorów. Bez względu na osobę zarządzającego czy audytowanego, to audytor powinien dążyć do wypracowania stosownego porozumienia i poziomu komunikacji. Pożądane jest wykazanie zainteresowania ze strony audytora nie tylko tym, co się dzieje w jednostce, ale również tym, co w niej nastąpi. Audyt stanowi wsparcie dla organizacji, dlatego poprzez swoje działania powinien nieustannie dążyć do poprawy jej funkcjonowania. W tym celu, niezbędne jest dysponowanie odpowiednimi kwalifikacjami oraz umiejętnościami pomocnymi w świadczeniu powierzonych mu usług.
Zob. R. Moeller, Nowoczesny audyt…, s. 376–390; K. Winiarska, Audyt wewnętrzny w 2008…, s. 111–112. 120
ROZDZIAŁ II STANDARYZACJA AUDYTU 2.1. Standardy i wytyczne wykorzystywane w audycie Audyt jest przeprowadzany w zróżnicowanym otoczeniu uwarunkowanym przez odmienne przepisy prawne, podejścia kulturowe, w ramach instytucji różniących się między sobą pod względem wielkości i złożoności zarówno przez pracowników organizacji, jak i osoby z zewnątrz1. Elementy te mogą mieć wpływ na praktykę audytu w danym środowisku pracy. Dlatego dla jednolitej jego organizacji i funkcjonowania opracowano standardy, które mają zastosowanie w odniesieniu do wykonywania zawodu audytora. O standaryzacji w zakresie audytu możemy mówić, biorąc pod uwagę wykonanie zawodu audytora oraz z punktu widzenia zastosowania wytycznych do oceny danego zjawiska czy obszaru. Dodatkowo należy zaznaczyć, iż mamy do czynienia ze standardami opracowanymi przez organizacje międzynarodowe, regionalne oraz krajowe2. Standardy wykorzystywane przez audyt pomagają w zdefiniowaniu roli i odpowiedzialności audytorów wobec jednostek wewnętrznych i zewnętrznych. Określają podstawowe reguły i dostarczają wskazówek dotyczących funkcjonowania pewnych obszarów, podmiotów 1 Definicja audytu wewnętrznego. Kodeks etyki oraz Międzynarodowe Standardy Praktyki Zawodowej Audytu Wewnętrznego, opracowany przez The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs Floryda 32701-4201, USA, s. 9. 2 A. Białas, Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, Wydawnictwo Naukowo-Techniczne, Warszawa 2006, s. 45–46.
78
Rozdział II
czy zagadnień. Zasady zawarte w standardach podążają w kierunku uzyskania optymalnego, jednolitego uporządkowania praktyki audytorskiej. Ich cechą charakterystyczną jest wielokrotność zastosowania bez względu na okoliczności i warunki w jakich działa dana organizacja. Stanowią one pewne uniwersalne podstawy przyjęte w celu umocnienia wiarygodności wyników pracy audytorów tak, aby zapewnić wysoką jakość świadczonych przez nich usług3. Wśród najbardziej powszechnych standardów i wytycznych, które są wykorzystywane przez audytorów, można wymienić: • Międzynarodowe standardy praktyki zawodowej audytu wewnętrznego IIA (The IIA Standards for the Professional Practice of Internal Auditing) opracowane przez The Institute of Internal Auditors (IIA), • Kontrola wewnętrzna – zintegrowana struktura ramowa autorstwa The Committe of Sponsoring Organizations of the Treadway Commission (COSO) zwane COSO I, • Zarządzanie ryzykiem korporacyjnym – zintegrowana struktura ramowa dokument opracowany przez The Committe of Sponsoring Organizations of the Treadway Commission (COSO) zwany COSO II, • Przewodnik – jak monitorować system kontroli wewnętrznej stworzony przez The Committe of Sponsoring Organizations of the Treadway Commission (COSO) zwany COSO III, • Międzynarodowe Standardy Najwyższych Organów Audytu (The International Standards of Supreme Audit Institutions – ISSAI) opracowane przez Międzynarodową Organizację Najwyższych Organów Audytu Wewnętrznego (International Organization of Supreme Audit Institutions – INTOSAI), • Międzynarodowe Standardy Rachunkowości i Sprawozdawczości Finansowej, które są wynikiem prac The International Accounting Standards Committee (IASC) oraz International Accounting Standards Board (IASB), 3 J.K. Kincaid, W.J. Sampias, CGAP Dyplomowany Audytor Sektora Publicznego, The Institute od Internal Auditors, Oddział Instytutu Audytorów Wewnętrznych w Polsce, Wydawca Krajowa Szkoła Administracji Publicznej, Warszawa 2004, s. 31.
Standaryzacja audytu
79
• standardy, wytyczne oraz procedury audytowania i kontrolowania systemów informatycznych (The Control Objectives for Information and Related Technology – COBIT), opracowane przez Stowarzyszenie do Spraw Audytu i Kontroli Systemów Informatycznych (Information System Audit and Control Association – ISACA), • standardy (normy) PN-EN ISO 19011 dotyczące audytowania systemów zarządzania jakością i/lub zarządzania środowiskowego wypracowane przez Międzynarodową Organizację Standaryzującą (International Organization for Standarization – ISO). Audyt został również określony w uregulowaniach prawnych rożnych krajów. Wśród nich znajdują się oddzielne akty prawne traktujące o audycie oraz odnoszące się do pewnych zjawisk, gdzie rola i zadania audytu zostały dodatkowo dookreślone. 2.1.1. Standardy profesjonalnej praktyki zawodowej audytu wewnętrznego IIA Standardy odnoszące się bezpośrednio do wykonywania zawodu audytora wewnętrznego zostały opracowane przez Instytut Audytorów Wewnętrznych – The Institute of Internal Auditors (Instytut IIA) w Stanach Zjednoczonych. Warto w tym miejscu wskazać, iż jego powstanie w 1941 r. przyczyniło się do rozwoju audytu na świecie. Już od chwili utworzenia liczba członków zwiększała się bardzo szybko. Początkowo większość stanowili Amerykanie – około 80%, zaledwie 20% osób pochodziło spoza granic Stanów Zjednoczonych. Instytut IIA celem rozpowszechniania działalności audytu tworzył oddziały lokalne. Pierwszy powstał w Nowym Jorku w grudniu 1942 r. W kolejnym roku zorganizowano oddziały w Ditroit, Chicago, Los Angeles i Philadelphii. W sierpniu 1944 r. Instytut IIA rozpoczął publikowanie magazynu „The Internal Auditor”. Do końca 1947 r. na terenie Ameryki Północnej współdziałało 19 oddziałów IIA. W kolejnych latach zostały utworzone dodatkowe jednostki w Dayton, Cleveland i Toronto. Były to pierwsze oddziały poza obszarem Stanów Zjednoczonych. Również w roku 1947 Instytut IIA ogłosił kodeks postępowania audytora wewnętrznego
80
Rozdział II
(Statement of Responsibilities of the Internal Auditor). Rok później utworzono kolejne oddziały w Londynie i Manila, co miało na celu umiędzynarodowienie organizacji IIA4. W roku 2001 utworzono oddział IIA w Polsce. W 1968 r. Instytut IIA opracował kodeks etyki dla audytorów wewnętrznych (The Code of Ethics), a dekadę później opublikował pierwszą wersję Standardów Profesjonalnej Praktyki Audytu Wewnętrznego. W kolejnych latach 2000, 2003, 2008, 2009 i 2013 Instytut IIA dokonywał nowelizacji wydanych standardów. Zmiany poszczególnych wersji dotyczyły w szczególności definicji usług świadczonych przez audytorów wewnętrznych, kompetencji w zakresie technologii informatycznych, oceny procesu governance, informowania o wynikach ze świadczonych usług audytowych5. Standardy początkowo pełniły rolę instrukcji w zakresie realizowanych czynności audytowych, obecnie wskazują na zadania i obowiązki audytora wewnętrznego w stosunku do wykonywanych przez niego usług oraz kierownictwa organizacji. Standardy IIA zostały opracowywane w celu6: • zapewnienia audytorom wewnętrznym jednolitych wskazówek działania, • podkreślenia wiarygodności zawodu audytora wewnętrznego i zaufania do tej profesji, • informowania klientów (społeczeństwa, funkcjonariuszy publicznych, kierownictwa, akcjonariuszy itp.) o roli audytu w organizacji, • ustanowienia podstaw do oceny jakości świadczonych usług audytowych. Standardy przedstawiają wymaganą strukturę zadań oraz obowiązki dla audytorów wewnętrznych. Stanowią one wskazówki niezbędne dla właściwego ukierunkowania działań oraz oceny działalności organi R. Moeller, H. Witt, Brink’s Modern Internal Auditing, 5th ed., John Wiley & Sons Ldt., New York 1999, s. 15. 5 Por. J. Cain, Understending the revised Standards, Internal Auditing & Business Risk, kwiecień 2004, s. 28–29 oraz O. Martyniuk-Kwiatkowska, Ewolucja zadań audytu wewnętrznego, [w:] Współczesne problemy analizy ekonomicznej, Prace i Materiały Wydziału Zarządzania Uniwersytetu Gdańskiego nr 1/2006, Sopot 2006, s. 39. 6 J.K. Kincaid, W.J. Sampias, CGAP Dyplomowany Audytor…, s. 31. 4
Standaryzacja audytu
81
zacji. Dodatkowo opisują one cechy osobowe, jak i wskazują właściwe postępowanie audytora. Standardy obejmują7: • definicję audytu wewnętrznego; • kodeks etyki do wykonania zawodu audytora wewnętrznego; • cechy audytora wewnętrznego; • zakres działania audytora wewnętrznego oraz najważniejsze elementy, jakie należy uwzględnić przy wykonywaniu usług audytorskich; • kryteria jakościowe niezbędne dla oceny działalności audytu wewnętrznego. Standardy IIA mają zastosowanie do wszystkich organizacji zarówno należących do sektora publicznego, jak i prywatnego na całym świecie. Jednakże nie istnieje obligatoryjny obowiązek ich stosowania w odniesieniu do osób i organizacji świadczących usługi audytu. Wynika to z faktu, iż są one jedynie wskazówkami oraz wytycznymi w zakresie pozyskiwania optymalnych rozwiązań w organizacji i wykonywania zawodu audytora. Nie mają natomiast mocy wiążących regulacji prawnych. Popularność ich zastosowania przez audytorów, a także skala rozwoju Instytutu IIA na świecie spowodowała, iż zostały uznane za standardy międzynarodowe wykonywania zawodu audytora. Standardy IIA zostały podzielone na trzy grupy: standardy atrybutów (1000–1322), standardy działania (2000–2600) oraz standardy wdrożenia, które zostały wkomponowane w dwie pozostałe grupy8. Standardy atrybutów prezentują cechy, które powinien posiadać audytor wewnętrzny. Należą do nich: niezależność i obiektywizm, a także biegłość i należyta staranność zawodowa. Dodatkowo wskazują cel i uprawnienia działalności audytora oraz jego odpowiedzialność w tym zakresie. Określają również oceny związane z monitorowaniem pracy audytu wewnętrznego oraz podnoszeniem jakości jego funkcjonowania. Standardy działania z kolei odnoszą się do czynności podejmowanych w ramach audytu wewnętrznego związanych z planowaniem usług audytowych, zakresem działania audytu, zarządzaniem i koordynowaniem Definicja audytu wewnętrznego…, s. 4–10. Ibidem.
7 8
82
Rozdział II
pracy, wykonaniem czynności audytowych, dokumentowaniem prac oraz informowaniem o ich rezultatach. Standardy wdrożenia nie stanowią oddzielnej grupy wytycznych, ale są zintegrowane z pozostałymi dwoma grupami, dzieląc je stosownie do rodzaju świadczonych usług na czynności zapewniające oraz doradcze. Specyfika usług wskazuje odmienne sposoby postępowania audytora. Główne grupy standardów, atrybutów i działania zostały przedstawione w tabeli 2.1. Tabela 2.1. Wytyczne audytu wewnętrznego według Standardów IIA STANDARDY ATRYBUTÓW 1 1000. Cel, uprawnienia i odpowiedzialność
2 Działalność audytu wewnętrznego jest określona w karcie audytu. Dokument ten obejmuje zakres i obszar działania audytu, obowiązki i odpowiedzialność audytora, uwzględnia rodzaj świadczonych usług oraz przystosowuje czynności audytowe do realiów i uwarunkowań funkcjonowania danej organizacji
1100. Niezależność Audytor podlega pod odpowiedni szczebel zarządzania orgai obiektywizm nizacją oraz ma zapewniony dostęp do materiałów, osób, pomieszczeń niezbędnych do wykonania czynności audytowych, a swoje wnioski opiera na własnych ustaleniach i opiniach. Wszelkie próby naruszenia niezależności i obiektywizmu muszą być przez audytora ujawniane 1200. Biegłość i na- Audytor musi dysponować odpowiednią wiedzą, kwalifikależyta staranność cjami i umiejętnościami odpowiednimi do przeprowadzenia zawodowa czynności audytowych w danym zakresie. Jeśli nie posiada właściwej wiedzy, powinien pozyskać pomoc i odpowiednie wsparcie merytoryczne. Poziom wiedzy i umiejętności audytorów muszą podlegać ciągłemu rozwojowi 1300. Program zapewnienia i poprawy jakości
Audyt działa na podstawie opracowanego przez zarządzającego audytem programu zapewniania i poprawy jakości, który obejmuje w szczególności oceny wewnętrzne i zewnętrzne. Oceny wewnętrzne są przeprowadzane przez audytorów i odnoszą się zarówno do samooceny ich pracy, jak i weryfikacji przez inne osoby, np. audytowanych. Oceny zewnętrzne muszą być wykonywane przez osoby spoza jednostki co najmniej raz na 5 lat
Standaryzacja audytu 1
83
2 STANDARDY DZIAŁANIA
2000. Zarządzanie Do obowiązków zarządzającego audytem wewnętrznym audytem wewnętrz- należy: nym • kierowanie pracami audytu tak, aby zapewnić organizacji przysporzenie wartości dodanej, • ustanowienie zasad i procedur właściwych do kierowania zespołem audytowym, • opracowywanie planów opartych na analizie ryzyka, • informowanie kierownictwa organizacji o planach audytu oraz zasobach niezbędnych do ich wykonania, • zapewnienie zasobów właściwych dla realizowanych czynności audytowych, • współpraca z wewnętrznymi i zewnętrznymi wykonawcami usług audytowych celem wymiany informacji, • przedstawianie kierownictwu i radzie okresowych sprawozdań z działalności audytu 2100. Charakter prac
Audytor wewnętrzny w ramach usprawnienia działalności organizacji dokonuje oceny: • skuteczności i efektywności działania mechanizmów kontrolnych, • skuteczności działania funkcjonującego systemu zarządzania ryzykiem, • skuteczności funkcjonowania przyjętego ładu organizacyjnego, uwzględniając obszar IT
2200. Planowanie zadania
W procesie planowania zadania audytowego należy uwzględnić: • istotne ryzyka ocenianej działalności, • cele zadania, • zakres zadania, • przydział zasobów, • program zadania
2300. Wykonywanie zadań
W ramach wykonania zadania audytorzy: • gromadzą wystarczające i wiarygodne informacje, • oceniają i analizują pozyskane informacje oraz dokumentują je celem sformułowania obiektywnych ustaleń i faktów
2400. Informowanie o wynikach
Audytorzy wewnętrzni informują o wynikach realizowanych zadań, w tym w szczególności: • formułują wnioski, zalecenia oraz ustalają plany działań,
84
Rozdział II Tabela 2.1 (cd.) • przekazują informację o wynikach zadań właściwym osobom, • przekazują informacje w sposób dokładny, obiektywny, jasny, zwięzły, konstruktywny i w odpowiednim terminie, • formułują ogólną opinię na temat badanego obszaru i przekazują ją kierownictwu, radzie i innym zainteresowanym osobom
2500. Monitorowanie postępów
Zarządzający audytem musi zapewnić odpowiedni proces monitorowania wdrożenia zaleceń audytowych
2600. Informowanie o akceptacji ryzyka
Zarządzający audytem wewnętrznym jest zobowiązany poinformować kierownictwo, jeśli przyjęło ono poziom ryzyka niemożliwy do zaakceptowania
Źródło: opracowanie własne na podstawie Definicja audytu wewnętrznego, Kodeks etyki oraz Międzynarodowe standardy praktyki zawodowej audytu wewnętrznego, The Institute of Internal Auditors, Altamonte Springs, Florida 32701-401, USA, December 2012, s. 9–49.
Standardy IIA w sposób przejrzysty opisują cechy zawodu audytora wewnętrznego, wskazują sytuacje niepożądane, a także określają elementy niezbędne dla właściwego przeprowadzania czynności audytowych. Ich domeną jest to, iż odnoszą się wprost do wykonania zawodu audytora bez względu na oceniany obszar czy rodzaj jednostki. Są to jedne z nielicznych, jeśli nie jedyne, wytyczne, które są właściwe do zaimplementowania przy świadczeniu usług audytowych i są stosowane bez względu na zakres oraz specyfikę funkcjonowania audytowanego obszaru. Pozostałe standardy opisane w niniejszej publikacji stanowią wytyczne właściwe do zastosowania w zależności od zakresu świadczonych usług audytu, uwzględniając specyfikę audytowanego obszaru. 2.1.2. Ramowe zasady kontroli wewnętrznej i zarządzania ryzykiem według COSO System kontroli wewnętrznej kształtuje się w każdej organizacji od momentu jej powstania i jest nieodłącznym elementem działalności każdej jednostki, stanowiącym ogniwo procesu zarządzania instytucją.
Standaryzacja audytu
85
System ten wiąże się z realizacją odpowiednich czynności przez kierującego jednostką, dzięki którym organizacja osiąga swoje cele. Działania te powinny przebiegać w sposób terminowy, zgodnie z przepisami prawa oraz procedurami wewnętrznymi, a tym samym przyczyniać się do uzyskiwania możliwie największych korzyści przy jednoczesnym efektywnym wykorzystaniu nakładów9. Biorąc pod uwagę tempo zachodzących przemian w otoczeniu organizacji, które generują zmiany w niej samej, trudno jest mówić o pewnym wzorcowym modelu systemu kontroli wewnętrznej możliwym do implementowania w każdej instytucji. Wykształciły się jednak wytyczne, których celem jest ukierunkowanie osób zarządzających na właściwe działanie tych systemów. Wśród instytucji definiujących zasady funkcjonowania kontroli wewnętrznej duży wkład wniósł i nadal wnosi Komitet Organizacji Sponsorujących Komisję Treadwaya (The Committee of Sponsoring Organizations of the Treadway Commission – COSO). Jego głównymi sponsorami w Stanach Zjednoczonych jest pięć profesjonalnych stowarzyszeń: Stowarzyszenie Amerykańskich Księgowych (The American Accounting Association – AAA), Amerykański Instytut Dyplomowanych Księgowych (The American Institute of Certified Public Accountants – AICPA), Instytut Audytorów Wewnętrznych (The Institute of Internal Auditors – IIA), Instytut Rachunkowości Zarządczej (The Institute of Management Accountants) oraz Finansowy Organ Wykonawczy (Financial Executives International – FEI)10. COSO11 jest amerykańską organizacją sektora prywatnego, której celem jest doskonalenie jakości sprawozdawczości finansowej poprzez etykę biznesu, efektywne kontrole oraz ład organizacyjny. Komitet ten założono w 1985 r. w celu sponsorowania Krajowej Komisji ds. Nieu czciwej Sprawozdawczości Finansowej (The National Commission on Zob. A. Skoczylas, W.A. Nowak, Ewolucja audytu wewnętrznego w polskim sektorze finansów publicznych, „Zeszyty Teoretyczne Rachunkowości”, Uniwersytet Łódzki, Wydział Zarządzania, Łódź 2011, s. 155–184. 10 K. Winiarska, Audyt wewnętrzny w 2008, Wydawnictwo Difin, Warszawa 2008, s. 120. 11 Nazwa Committee of Organization Sponsoring The Treadway Commission pochodzi od nazwiska założyciela organizacji Jamesa C. Treadwaya. 9
86
Rozdział II
Fraudulent Financial Raporting) w Stanach Zjednoczonych12, która badała kluczowe czynniki mogące przyczynić się do nieuczciwej sprawozdawczości finansowej oraz dawała zalecenia instytucjom publicznym oraz ich niezależnym audytorom, biegłym rewidentom, a także Nowojorskiej Giełdzie Papierów Wartościowych i innym jednostkom regulacyjnym oraz organizacjom edukacyjnym13. W 1994 r. COSO, aby pomóc jednostkom w ocenie i usprawnianiu systemów kontroli wewnętrznej, opublikował opracowanie pt. Kontrola wewnętrzna – zintegrowana koncepcja ramowa (Internal Control – Integrated Framework), zwane też modelem COSO I. Wskazuje ono elementy systemu kontroli wewnętrznej, jakie należy uwzględnić w procesie tworzenia polityki i systemu zarządzania w organizacji. W roku 2004 COSO wydał kolejne opracowanie Zarządzanie ryzykiem korporacyjnym – zintegrowana struktura ramowa (Enterprise Risk Management – Integrated Framework), w skrócie zwanym ERM bądź modelem COSO II. Publikacja ta określa podstawowe elementy zarządzania ryzykiem korporacyjnym, przedstawia kluczowe zasady i pojęcia, proponuje wspólny język ERM oraz prezentuje wskazówki do zarządzania ryzykiem w organizacjach publicznych14. Pięć lat później Komitet ogłosił trzeci i na razie ostatni model kontroli wewnętrznej zatytułowany Przewodnik – jak monitorować systemy kontroli wewnętrznej (Internal Control – Integrated Framework Guidance on Monitoring Internal Control Systems), zwany COSO III15. Dokument ten ma na celu dostarczenie wskazówek organizacjom w zakresie efektywnego i skutecznego monitorowania funkcjonujących systemów kontroli wewnętrznej w jednostkach. Zob. Report of the National Commission on Fraudulent Financial Raporting, www.coso.org/publications/ncffr.pdf (dostęp 10.06.2014). 13 Zarządzanie ryzykiem korporacyjnym – zintegrowana struktura ramowa, The Committee of Sponsoring Organizations of the Treadway Commission COSO, 2004, s. 7. 14 Ibidem. 15 Internal Control – Integrated Framework Guidance on Monitoring Internal Control Systems, Volume III — Application Techniques, June 2008, Exposure Draft, Public Comment Period, Closes August 15, 2008. 12
Standaryzacja audytu
87
Każdy ze wskazanych modeli odnosi się do definicji kontroli wewnętrznej określonej przez COSO jako „proces, który wykonywany jest przez radę nadzorczą jednostki, zarząd i innych pracowników, stworzonym, aby zapewnić w rozsądnym stopniu, że osiągnięte zostaną cele w następujących kategoriach”16: efektywność i wydajność operacji, wiarygodność sprawozdań finansowych, zgodność z aktami prawnymi i innymi przepisami. Wskazane trzy kategorie kontroli (operacyjna, finansowa, zgodności) obejmują obszary działania systemu kontroli wewnętrznej w jednostce. W ramach ich oceny Komitet COSO zaproponował wymienione wcześniej modele. Każdy z nich nawiązuje do tych samych elementów, które są ze sobą powiązane i wskazują na zaprojektowanie skutecznej struktury kontroli wewnętrznej w jednostce. Zaliczamy do nich17: środowisko kontroli, ocenę ryzyka, mechanizmy kontrolne, informację i komunikację, monitoring. Środowisko kontroli wewnętrznej określane jest fundamentem organizacji, bez którego nie jest ona w stanie funkcjonować. Odnosi się ono do takich aspektów działania instytucji, jak uczciwość i wartości etyczne, filozofia oraz styl kierownictwa, struktura organizacyjna, kompetencje, uprawnienia i obowiązki, zasoby ludzkie18. Kolejny element systemu to oszacowanie ryzyka, który koncentruje się na identyfikacji potencjalnych zagrożeń i ich ocenie z punktu widzenia znaczenia dla działalności jednostki. Reakcja zwana odpowiedzią na ryzyko stanowi następną część składową systemu i dotyczy czynności oraz mechanizmów kontrolnych, które zawierają w sobie wszelkie działania i czynności, regulacje systemu, standardy czy procedury przyjęte w organizacji w celu ograniczania ryzyka braku realizacji celów jednostki19. Committee of Sponsoring Organizations of the Treadway Commission, http:// www.coso.org/aboutus.htm (dostęp 22.05.2014). 17 K.H. Spencer Pickett, The Essential Handbook of Internal Auditing, Wydawnictwo John Wiley & Sons, Ltd, The Atrium, Southem Gate, Chichester 2005, s. 90. 18 Zob. Zarządzanie ryzykiem korporacyjnym – zintegrowana struktura ramowa, COSO, tłum. PIKW, Wydawnictwo WEMA, Warszawa 2007, s. 33–34. 19 Zob. R. Moeller, Nowoczesny audyt wewnętrzny, Oficyna a Wolters Kluwer business, Warszawa 2011, s. 48–49. 16
88
Rozdział II
Skuteczność działania przyjętego systemu kontroli wewnętrznej zależy z kolei od pozostałych dwóch elementów: informacji i komunikacji oraz monitorowania. Ich znaczenie z punktu widzenia działania systemu jest kluczowe. Informacja i komunikacja obejmuje zarówno pionowy, jak i poziomy przepływ informacji wewnątrz organizacji, jak i współpracę ze środowiskiem zewnętrznym. Dane pozyskiwane w procesie komunikacji są niezbędne do racjonalnego podejmowania decyzji zarządczych, a od ich skuteczności i efektywności zależy konkurencyjność organizacji na rynku. W obecnym, nieprzewidywalnym otoczeniu rynkowym mamy do czynienia ze zjawiskiem chaosu informacyjnego, co spowodowane jest z jednej strony występowaniem nadmiaru informacji, z drugiej ich niedostatkiem, co z kolei sprzyja pojawianiu się problemów decyzyjnych. Nie wszystkie informacje z punktu widzenia działalności organizacji są istotne, a komunikacja właściwa, dlatego też należy odpowiednio oszacowywać te zasoby i selekcjonować je biorąc pod uwagę cele wytyczone dla instytucji. Model systemu kontroli wewnętrznej zamyka etap monitorowania, który polega na wdrożeniu w organizacji odpowiednich procedur pozwalających na bieżące i okresowe kontrolowanie przyjętego systemu zarządzania jednostką. W jego wyniku kierujący instytucjami otrzymują informację, czy ustalone przez nich zasady działania są przestrzegane, funkcjonują właściwie, są aktualne oraz stanowią skuteczną ochronę przed zagrożeniami. Ideą opisanych modeli było zwrócenie uwagi na najważniejsze aspekty, na jakich powinna koncentrować się organizacja systemu kontroli wewnętrznej, jak monitorowanie oraz zarządzanie ryzykiem w jednostce. Stąd model COSO I bardziej koncentruje się na środowisku kontroli i jego mechanizmach kontrolnych, COSO II uszczegóławia proces zarządzania ryzykiem w ramach funkcjonującego systemu kontroli wewnętrznej, natomiast COSO III opisuje jego monitorowanie. Każdy z modeli wzajemnie się uzupełnia i odnosi się w dużej mierze do poprzednich. Im większa organizacja i bardziej złożona struktura jednostki, tym system kontroli wewnętrznej powinien przyjmować postać bardziej for-
Standaryzacja audytu
89
malną. W przypadku małych struktur, bardziej elastyczny, a tym samym mniej formalny proces zarządzania będzie mógł mieć korzystniejsze zastosowanie. W odniesieniu do większych struktur organizacyjnych system bardziej sformalizowany z pewnością lepiej się sprawdzi. Nie istnieje jednak stały zestaw narzędzi i metod warunkujących stateczność działania systemu zarządzania. Każda jednostka powinna zastosować w tym zakresie narzędzia adekwatne do swojej struktury, dojrzałości organizacyjnej, kompetencji i uprawnień, posiadanej wiedzy oraz umiejętności pozyskiwania i wykorzystywania informacji rynkowych, jak i tych kreowanych wewnątrz niej samej. 2.1.3. Międzynarodowe Standardy Najwyższych Organów Audytu INTOSAI Inną instytucją, która miała znaczący wpływ na kształtowanie się systemu kontroli wewnętrznej, jest Międzynarodowa Organizacja Najwyższych Organów Audytu/Kontroli (Internaltional Organization of Supreme Audit Institutions – INTOSAI). Jest to niezależna jednostka, która ma na celu przyczynianie się do usprawniania działania, a tym samym wspierania przepływu informacji pomiędzy instytucjami najwyższych organów audytu i kontroli (Supreme Audit Institution), przez które należy rozumieć „organy publiczne danego państwa, w jakikolwiek sposób wyznaczone, utworzone czy zorganizowane, które z mocy prawa sprawują najwyższą funkcję kontroli publicznej danego państwa”20. Organizacja ta została powołana do życia w 1953 r., a liczba jej członków rosła z roku na rok w szybkim tempie. Początkowo były to 34 najwyższe instytucje audytu, później już 188. Polska, reprezentowana przez Najwyższą Izbę Kontroli, przystąpiła do INTOSAI w roku 195921. Standardy kontroli INTOSAI, wydane przez Komisję Standardów Kontroli Międzynarodowej Organizacji Najwyższych Organów Kontroli. Tłum. Najwyższa Izba Kontroli, Warszawa 2000, sfinansowane ze środków pochodzących z projektu PHARE’97, s. 75. 21 Internaltional Organization of Supreme Audit Institutions, www.intosai.org/ about-us.html (dostęp 22.05.2014). 20
90
Rozdział II
Obecnie wszystkie najwyższe państwowe instytucje audytu przynależą do tej organizacji, tworząc również grupy regionalne, np. Europejska Organizacja Najwyższych Organów Audytu/Kontroli (European Internaltional Organization of Supreme Audit Institutions – EUROSAI) czy Azjatycka Organizacja Najwyższych Organów Audytu/Kontroli (Asian Internaltional Organization of Supreme Audit Institutions – ASOSAI)22. Przełomowe znaczenie dla działalności organizacji miał rok 1977, kiedy uchwalono deklarację z Limy w sprawie zasad kontroli, przyjętą podczas IX kongresu INTOSAI, a w dalszej kolejności deklarację z Meksyku w sprawie niezależności najwyższych jednostek audytu i kontroli, przyjętą na XIX kongresie INTOSAI w 2007 r. Założeniem obu dokumentów było dążenie do pełnej niezależności instytucji najwyższych organów audytu i kontroli powołanych i funkcjonujących w poszczególnych krajach23. W następstwie tych wydarzeń Międzynarodowa Organizacja Najwyższych Organów Audytu wydała w 1992 r.24 standardy kontroli, zwane standardami kontroli wewnętrznej INTOSAI, które odzwierciedlają bieżące trendy, problemy i zadania z zakresu metodyki oraz praktyki audytu i kontroli w odniesieniu do sektora publicznego. Wytyczne te są na bieżąco aktualizowane, a jak przyznaje Międzynarodowy Kongres Najwyższych Organów Audytu (International Congress of Supreme Audit Institutions – ICOSAI), podejmowane zmiany są wynikiem pojawiających się nowych opracowań dotyczących kontroli według organizacji COSO i są w nich uwzględniane25. Do grona odbiorców wytycznych INTOSAI należą przede wszystkim kadra kierownicza sektora publicznego oraz audytorzy. Dla zarządzających organizacjami wytyczne te stanowią wskazówki do właściwego 22 European Internaltional Organization of Supreme Audit Institutions, www.eurosai.org/en/about-us/about-eurosai (dostęp 22.05.014); Asian Internaltional Organization of Supreme Audit Institutions, www.asosai.org/about/about_list.jsp?gubun=ABOUT01 (dostęp 22.05.2014). 23 http://www.nik.gov.pl/aktualnosci/intosai-wspiera-niezaleznosc-nok.html (dostęp 17.01.2014). 24 Ze zmianami wprowadzonymi na XV Kongresie INTOSAI w 1995 r. w Kairze. 25 Deklaracja z Limy w sprawie zasad kontroli, www.nik.gov.pl/plik/id,2049.pdf (dostęp 22.05.2014); Deklaracja INTOSAI z Meksyku w sprawie niezależności Najwyższych Organów Kontroli, ISSAI 10, www.nik.gov.pl/plik/id,2048.pdf (dostęp 22.05.2014).
Standaryzacja audytu
91
wdrożenia, sprawowania i wykonywania kontroli w nadzorowanych przez nich instytucjach, z kolei dla audytorów i osób wykonujących czynności kontrolne są instrukcją do oceny funkcjonującego systemu kontroli wewnętrznej. Warto jeszcze raz podkreślić, że wytyczne te odnoszą się do jednostek sektora publicznego, a tym samym koncentrują na aspektach dla niego istotnych i charakterystycznych26. Standardy INTOSAI zostały podzielone na cztery części. Pierwsza obejmuje podstawowe zasady kontroli państwowej, druga dotyczy standardów ogólnych, w kolejnej ujęto standardy warsztatowe, natomiast ostatnia poświęcona jest standardom sprawozdawczym27. Podstawowe zasady kontroli obejmują w szczególności założenia ogólne w odniesieniu do czynności kontrolnych, zalecenia związane z zastosowaniem standardów INTOSAI, wskazanie zachowania niezależności w wykonywaniu czynności audytowych i kontrolnych, a także zasady, jakimi należy się kierować przy ich przeprowadzaniu. Standardy ogólne oraz standardy o znaczeniu etycznym odnoszą się do cech audytora lub osoby wykonującej czynności kontrolne, jego kwalifikacji oraz potrzeby rozwoju zawodowego, niezależności, należytej staranności zawodowej oraz zjawiska konfliktów interesów, które w dalszej kolejności powinny przyczynić się do właściwego postrzegania standardów wykonania zadań i sprawozdawczości. Trzecia grupa z kolei obejmuje wskazówki do realizacji działań odnoszące się do planowania i realizacji usług audytu bądź kontroli. Natomiast w standardach sprawozdawczości zawarto kryteria i zasady, jakimi należy się kierować przy sporządzaniu sprawozdania z audyt bądź kontroli, a ponadto wskazano wytyczne co do jego formy i treści. Dodatkowo warto zaznaczyć, iż w 1998 r. w ramach posiedzenia ICOSAI przyjęto kodeks etyki INTOSAI, a także podjęto decyzje o tym, aby stał się on częścią standardów28. 26 Wytyczne w sprawie standardów kontroli wewnętrznej w sektorze publicznym, INTOSAI, Najwyższa Izba Kontroli, s. 9, www.nik.gov.pl/plik/id,5139.pdf (dostęp 22.05.2014). 27 K. Winiarska, Audyt wewnętrzny…, s. 126–127. 28 Standardy i wytyczne ISSAI, Najwyższa Izba Kontroli, Warszawa 2011, s. 107–155.
92
Rozdział II
Obok opisanych w niniejszym rozdziale standardów INTOSAI, wprowadzono również wytyczne INTOSAI GOV9100, które odnoszą się do takich aspektów, jak29: • pojęcie kontroli wewnętrznej, • wskazanie wagi i znaczenia celów oraz ryzyka dla działalności jednostki, • komponenty sytemu kontroli wewnętrznej oparte o model COSO I, • rola i odpowiedzialność osób zaangażowanych w funkcjonowanie kontroli wewnętrznej, tj. kierownictwa, audytorów i pracowników. Stosowanie standardów INTOSAI nie jest obligatoryjne, ale najwyższe krajowe organy audytu powinny dążyć do ich wdrożenia, gdyż stanowią one dyrektywy w zakresie postępowania przy wykonywaniu czynności audytowych i kontrolnych oraz wskazują metody właściwe w tym zakresie. Do standardów tych dostosowały się kraje Unii Europejskiej, które na wniosek Komitetu Kontaktowego Prezesów Najwyższych Organów Unii Europejskiej opracowały europejskie wytyczne do stosowania standardów INTOSAI30. Grupa robocza złożona z przedstawicieli sześciu krajów: Danii, Hiszpanii, Holandii, Szwecji, Wielkiej Brytanii i Włoch, pod przewodnictwem Europejskiego Trybunału Obrachunkowego opracowała cztery grupy wytycznych w zakresie: przygotowania, uzyskania dowodów oraz zakończenia audytu bądź kontroli, a także wykonania zadań, odnoszące się do wszystkich głównych obszarów działalności organów audytu Unii Europejskiej. Miało to na celu przedstawienie wspólnej metodyki oraz skoordynowanie czynności audytu i kontroli przeprowadzanych przez najwyższe organy audytu państw członkowskich UE31. Europejskie wytyczne, podobnie jak wytyczne INTOSAI, nie stanowią obowiązkowych procedur do stosowania przez audytorów różnych państw. Każdy najwyższy organ audytu Wytyczne w sprawie standardów…, s. 12. European Implementing Guidelines for the INTOSAI Auditing Standards, Luksemburg 1998, Europejskie wytyczne do stosowania standardów kontroli INTOSAI, tłum. Najwyższa Izba Kontroli, Warszawa 2000, sfinansowane ze środków pochodzących z funduszy PHARE. 31 K. Winiarska, Audyt wewnętrzny…, s. 128. 29
30
Standaryzacja audytu
93
musi samodzielnie decydować o wdrażanych i stosowanych przez siebie procedurach, biorąc pod uwagę uwarunkowania danego kraju, jego tradycje i ustawodawstwo. Niektóre najwyższe organy audytu krajów członkowskich UE przyjęły podejście oparte na własnych standardach, a nie na standardach INTOSAI32. 2.1.4. Międzynarodowe Standardy Rachunkowości i Sprawozdawczości Finansowej Informacje ekonomiczne z zakresu działalności danej organizacji oraz jej pozycji na rynku to istotne źródło wiedzy nie tylko dla instytucji zewnętrznych, klientów czy kontrahentów, ale również dla samej jednostki. W warunkach globalizacji dążenie do jednolitości prezentowych danych finansowych obrazujących pozycję jednostki nabiera coraz większego znaczenia. Generowanie tego rodzaju informacji o działalności organizacji na podstawie jednolitych zasad nie tylko ułatwia ich benchmarking, ale również tworzy warunki zachęcające do inwestowania kapitału. Stąd dążenie do wykorzystania powszechnie obowiązujących standardów w tym zakresie ma niezmiernie istotne znaczenie i jest niezbędne dla rozwoju gospodarczego. W celu podążania do homogeniczności informacji pochodzącej z rachunkowości prowadzonej w poszczególnych organizacjach stworzono jednolite wytyczne w postaci międzynarodowych standardów rachunkowości. Składają się one z założeń koncepcyjnych, międzynarodowych standardów rachunkowości (MSR) i międzynarodowych standardów sprawozdawczości finansowej (MSSF) oraz ich interpretacji33. Stanowią one normy prowadzenia rachunkowości, a także wskazują sposoby rozwiązywania kwestii problemowych w ramach ustalania wielkości i wyceny wartości, prowadzenia ewidencji zdarzeń gospodarczych, a także zasad prezentacji sprawozdawczości34. Ustanawiają Ibidem, s. 128–129. A. Hołda, MSR/MSSF w polskiej praktyce gospodarczej, Wydawnictwo C.H. Beck, Warszawa 2013, s. 16. 34 Zob. P. Kabalski, Wybrane problemy stosowania Międzynarodowych Standardów Sprawozdawczości Finansowej w Polsce, Wydawnictwo UŁ, Łódź 2012, s. 5–9. 32 33
94
Rozdział II
dobre praktyki przyjęte przez różne instytucje oraz zbiorowości i są powszechnie akceptowalne35. Organami, które powołały do życia standardy rachunkowości, są Rada Międzynarodowych Standardów Rachunkowości (International Accounting Standards Board) oraz Rada Standardów Rachunkowości Finansowej w Stanach Zjednoczonych (Financial Accounting Standards Board – FASB). Przestrzeganie ustanowionych standardów rachunkowości jest nadzorowane przez niezależne organy publiczne, np. w Stanach Zjednoczonych instytucją nadzorującą jest Komisja Papierów Wartościowych i Giełd (Securities and Exchange Commission – SEC), w Wielkiej Brytanii i Irlandii Północnej Zespół ds. Kontroli Sprawozdawczości Finansowej (Financial Reporting Review Panel)36, w Polsce Komisja Nadzoru Finansowego. Warto również zwrócić uwagę, że standardy nie stanowią i nie mogą uchodzić za prawo powszechnie obowiązujące, stąd dla ich stosowania niezbędne jest ustanowienie obligatoryjności ich wykorzystywania. Rządy poszczególnych krajów opierające się na MSR wprowadziły dla przykładu: w Stanach Zjednoczonych i Kanadzie – Ogólnie przyjęte zasady rachunkowości (Generally Accepted Accounting Principles – US GAPP), w Wielkiej Brytanii – Standardy Rachunkowości (Accounting Standards), a w Polsce – ustawę o rachunkowości i rozporządzania wykonawcze do niej37. Podstawowym celem MSR jest dążenie do zapewnienia prowadzenia rachunkowości organizacji w sposób wiarygodny i rzetelny umożliwiający dostarczenie informacji o pozycji finansowej jednostki zainteresowanym odbiorcom38. Odnoszą się one do poszczególnych Z. Messner, Rachunkowość finansowa w systemie informacji ekonomicznej, [w:] Rachunkowość finansowa z uwzględnieniem MSSF, red. Z. Messner, Wydawnictwo Naukowe PWN, Warszawa 2007, s. 31 oraz R. Patterson, Kompendium terminów z zakresu rachunkowości po polsku i angielsku, S–Ż, Wydawnictwa Akademickie i Profesjonalne, Warszawa 2008, s. 29–31. 36 R. Patterson, Kompendium terminów z zakresu rachunkowości po polsku i angielsku, M–R, Wydawnictwa Akademickie i Profesionalne, Warszawa 2008, s. 91. 37 R. Patterson, Kompendium terminów…, S–Ż, s. 34. 38 Z. Messner, Rachunkowość finansowa…, s. 30. 35
95
Standaryzacja audytu
elementów rachunkowości mających wpływ na sprawozdawczość finansową instytucji, a tym samym prezentowanie jej wyniku finansowego. Standardy te obejmują 41 międzynarodowych standardów rachunkowości i 13 międzynarodowych standardów sprawozdawczości finansowej39. Ich zestawienie zaprezentowano w tabeli 2.2. Tabela 2.2. Międzynarodowe standardy sprawozdawczości finansowej (MSSF) i Międzynarodowe standardy rachunkowości (MSR) Międzynarodowe Standardy Sprawozdawczości Finansowej (MSSF) nr standardu
nazwa standardu
Międzynarodowe Standardy Rachunkowości (MSR) nr standardu
nazwa standardu
1 1
2 Zastosowanie standardów sprawozdawczości po raz pierwszy
3 1
4 Prezentacja sprawozdań finansowych
2
Płatności na bazie akcji
2
Zapasy
3
Połączenia przedsięwzięć
7
Sprawozdanie z przepływów pieniężnych
4
Umowy ubezpieczeniowe
8
Zasady (polityka) rachunkowości, zmiany wartości szacunkowych i korygowanie błędów.
5
Aktywa trwałe przeznaczone do sprzedaży oraz działalność zaniechana
10
Zdarzenia po zakończeniu okresu sprawozdawczego
6
Poszukiwanie i ocena zasobów mineralnych
11
Umowy o usługę budowlaną
7
Instrumenty finansowe: ujawnianie informacji
12
Podatek dochodowy
8
Segmenty operacyjne
16
Rzeczowe aktywa trwałe
9
Instrumenty finansowe
17
Leasing
Skonsolidowane sprawozdania finansowe
18
Przychody
10
R. Patterson, Kompendium terminów…, M–R, s. 34.
39
96
Rozdział II Tabela 2.2 (cd.) 1
2
3
4
11
Wspólne postanowienia umowne
19
Świadczenia pracownicze
12
Ujawnienia na temat udziałów w innych jednostkach
20
Dotacje rządowe oraz ujawnienie informacji na temat pomocy rządowej
13
Wycena wartości godziwej
21
Skutki zmian kursów wymiany walut obcych
23
Koszty finansowania zewnętrznego
24
Ujawnianie informacji o podmiotach powiązanych
26
Rachunkowość i sprawozdawczość programów i świadczeń emerytalnych
27
Jednostkowe sprawozdania finansowe
28
Inwestycje w jednostkach stowarzyszonych oraz wspólne przedsięwzięcia
29
Sprawozdawczość finansowa w warunkach hiperinflacji
31
Udziały we wspólnych przedsięwzięciach
32
Instrumenty finansowe: prezentacja
33
Zysk na akcję
34
Śródroczna sprawozdawczość finansowa
36
Utrata wartości aktywów
37
Rezerwy, zobowiązania warunkowe i aktywa warunkowe
38
Aktywa niematerialne
39
Instrumenty finansowe: ujawnianie i wycena
97
Standaryzacja audytu 1
2
3
4
40
Nieruchomości inwestycyjne
41
Rolnictwo
Źródło: opracowanie własne na podstawie Praktyczny przewodnik MSSF, Deloitte, Warszawa, styczeń 2013, s. 8–104.
Jak wynika z tabeli 2.2, standardy odnoszą się bezpośrednio do obszaru sporządzania sprawozdań finansowych nie obejmują zasad dokumentowania operacji gospodarczych40. Warto w tym miejscu podkreślić zależności zachodzące pomiędzy standardami MSR a MSSF. Głównym celem MSSF jest stopniowe zastępowanie MSR, stąd znaczna część MSR została zastąpiona przez standardy MSSF, jednakże w kwestiach nieuregulowanych w MSSF obowiązują wybrane standardy MSR41. Przedstawione standardy stanowią istotne wskazówki nie tylko dla kierowników organizacji, osób sporządzających sprawozdania finansowe, ale również audytorów w zakresie sposobu oceny systemu sprawozdawczości finansowej funkcjonującego w organizacji. 2.1.5. Standardy prowadzenia audytu i kontroli systemów informatycznych W obecnej gospodarce waga i znaczenie systemów informatycznych oraz teleinformatycznych nabiera coraz większego znaczenia. Rozwój technologii powoduje, że organizacje niejednokrotnie dążą do pełnej informatyzacji procesów w nich zachodzących. W związku z tym znacznie częściej dochodzi do przestępstw dokonywanych z użyciem komputera i Internetu, określanych mianem cyberprzestępstw. Ich Zob. S. Hońko, Różnice między MSR a polskimi zasadami rachunkowości, http://www.portalfk.pl/nowosci/roznice-miedzy-msr-a-polskimi-zasadami-rachunkowosci-175656 (dostęp 15.09.2014). 41 Zob. Praktyczny przewodnik MSSF, Deloitte, Warszawa, styczeń 2013, s. 13, 19, 4, 27, 30, 32, http://www.deloitte.com/view/pl_PL/pl/uslugi/audyt/mssf/ccebe7222c10e110VgnVCM100000ba42f00aRCRD (dostęp 15.09.2014). 40
98
Rozdział II
charakter jest bardzo szeroki, począwszy od drobnych wykroczeń finansowych poprzez kradzież danych osobowych oraz innych informacji istotnych z punktu widzenia funkcjonowania organizacji. Udział tego rodzaju przestępstw mieści się w czołówce najczęściej popełnianych nadużyć42. W odpowiedzi na rosnące zapotrzebowanie w zakresie bezpieczeństwa informatycznego pojawiła się potrzeba standaryzacji. W odniesieniu do systemów informatycznych można mówić o standardach o zasięgu międzynarodowym (International Organization for Standardization – ISO), regionalnym (European Committee for Standaridization – CEN) i krajowym (National Institute of Standards Institution – NIST), a także zaleceniach wydawanych przez organizacje branżowe (Information Systems Audit and Control Association – ISACA)43. Biorąc pod uwagę rolę oraz znaczenie standardów dotyczących środowiska i technologii informatycznych, a także zadania audytu skoncentrowano się na trzech grupach wytycznych. Pierwsza odnosi się do kontroli w ramach systemów informatycznych, druga do kwestii związanych z zabezpieczaniem tychże systemów, trzecia do zarządzania ryzykiem w ramach bezpieczeństwa informacji. Z punktu widzenia kontroli technologii informatycznych powszechnie uznawanym standardem jest Control Objectives for Information and related Technology – COBiT, który obejmuje zasady kontroli technologii IT (Information Technology) i informacji oraz koncentruje się na mechanizmach kontrolnych funkcjonujących w tym zakresie. Autorami standardu są takie jednostki, jak Instytut Nadzoru IT (IT Governance Institute – ITGI) oraz Stowarzyszenie Audytu i Kontroli Systemów Informatycznych (Information Systems Audit and Control Association – ISACA). Pierwsza z nich, specjalizuje się w procesach rozwoju i nadzoru IT, druga z kolei zajmuje się audytem IT44. Standard COBiT wy42 Badanie przestępczości gospodarczej Polska 2011. Cyberprzestępczość rosnącym zagrożeniem w biznesie, PwC, listopad 2011, www.pwc.com/crimesurvey (dostęp 15.04.2014), s. 15. 43 A. Białas, Bezpieczeństwo informacji…, s. 45–46; zob. też F. Wołowski, J. Zawiła-Niedźwiecki, Bezpieczeństwo systemów informacyjnych. Praktyczny przewodnik zgodny z normami polskimi i międzynarodowymi, Wydawnictwo edu-Libri, Kraków 2012, s. 338–337. 44 R. Moller, Nowoczesny audyt…, s. 129.
Standaryzacja audytu
99
znacza ramowe zasady dla kontroli wewnętrznej w ramach obszaru IT. Koncentrują się one wokół mechanizmów kontrolnych funkcjonujących w odniesieniu do środowiska informatycznego jednostki. Standard ten obejmuje ogólne zasady zarządzania, domeny i procesy, cele kontrolne, wytyczne dotyczące audytu IT, podsumowanie dla zarządu, wytyczne zarządzania oraz narzędzia wspomagające wdrożenie wytycznych. Opisuje on mechanizmy kontrolne w odniesieniu do zasobów, procesów oraz kryteriów informacji. Zasoby IT obejmują aplikacje, informacje, infrastrukturę oraz aktywa jednostki. Procesy IT z kolei dotyczą domen, procesów oraz czynności45, a wymagania biznesowe zostały określone jako: skuteczność, wydajność, poufność, integralność, dostępność, zgodność i wiarygodność46. Każdy system informatyczny powinien być oceniany z punktu widzenia spełnienia opisanych wymagań. W odniesieniu do bezpieczeństwa systemów informatycznych najbardziej rozpowszechnione zastosowanie mają normy ISO/IEC wypracowane przez Międzynarodową Organizację Normalizacyjną oraz Międzynarodową Komisję Elektroniczną. Organizacje te wspólnie wypracowały standardy w zakresie47: • zarządzania bezpieczeństwem informacji i systemów teleinformatycznych, • zastosowań kryptografii oraz bezpieczeństwa sieciowego, • oceny zabezpieczeń teleinformatycznych. Wśród kluczowych norm istotną pozycje zajmuje Raport techniczny dla menedżerów od spraw ochrony IT (Guidelines for the Management of IT Security), który obejmuje wytyczne w zakresie bezpieczeństwa systemów informacji. Dotyczą one zarządzania, technik informatycznych związanych z planowaniem i zarządzaniem, technik zarządzania, wyboru zabezpieczeń oraz zabezpieczeń dla połączeń z sieciami zewnętrznymi. Raport opisuje podstawowe pojęcia związane z funkcjonowaniem skutecznej ochrony systemów informatycznych oraz wskazuje Ibidem, s. 130–133; COBIT, www.isaca.org/cobit/pages/default.aspx (dostęp 22.05.2014). 46 Ibidem. 47 A. Białas, Bezpieczeństwo informacji…, s. 50. 45
100
Rozdział II
na związki między nimi, a także przedstawia czynności niezbędne do zapewnienia właściwego zabezpieczenia tychże systemów48. W odniesieniu do grupy standardów zarządzania ryzykiem bezpieczeństwa informacji, do najbardziej rozpowszechnionych należą Functional Safety of Electronical (IEC 61508), norma PN-ISO/IEC 27001:2007, Raport techniczny ISO/ IEC TR 13335:1998 oraz Orange book określana również jako Pomarańczowa księga zarządzania ryzykiem, a obejmująca zasady i koncepcje opublikowane w 2004 r. przez Ministerstwo Skarbu Jej Królewskiej Mości w Wielkiej Brytanii49. Wskazane opracowania odnoszą się do zarządzania ryzykiem jako kluczowego elementu systemu zarządzania bezpieczeństwem informacji. Ryzyko związane z obszarem IT jest bardzo istotne z puntu widzenia działania organizacji. W tym przypadku zarządzanie ryzykiem nie odbiega znacząco od zarządzania ryzykiem w innych obszarach działalności instytucji, z tą różnicą, że jest bardziej ukierunkowane na pojawiające się potencjalne zagrożenia ze strony technologii informatycznych, a także ma przełożenie na wszystkie pozostałe sfery jednostki funkcjonujące w ramach działających systemów IT. Przedstawione standardy i wytyczne w zakresie systemów informatycznych mają zastosowanie zarówno z punktu widzenia osób zarządzających obszarami IT, jak i audytorów oceniających działalność jednostki w tym zakresie, określanej również jako governance IT50. 2.1.6. Procedury normalizacyjne Dążąc do uporządkowania działań podejmowanych w zakresie nauki, techniki czy gospodarki, wprowadzono procesy normalizacyjne. Ich zadaniem jest usuwanie barier handlowych i technicznych, zagwarantowanie jakości, ochrona zdrowia i środowiska, poprawa funkcjo Ibidem, s. 47–51. Pomarańczowa księga. Zarządzanie ryzykiem – zasady i koncepcje, Ministerstwo Skarbu JEJ Królewskiej Mości, październik 2004, www.mf.gov.pl/documents/764034/3349878/20130307_4_orange_book_pl_-zarzadzanie_ryzykiem.pdf (dostęp 08.03.2014). 50 Definicja audytu wewnętrznego…, s. 44. 48 49
Standaryzacja audytu
101
nalności produktów i usług51. Znaczenie norm w dzisiejszej gospodarce rynkowej jest bardzo istotne, szczególnie z punktu widzenia klientów zewnętrznych, dla których działalność organizacji zgodna z międzynarodowymi standardami jest kluczowa. Zasadniczym założeniem wdrażania procesów normalizacyjnych w organizacjach jest w szczególności dążenie do spełnienia wymagań jakościowych, poprawianie jakości wykonywanej pracy, a przede wszystkim pozyskanie zaufania klientów wewnętrznych i zewnętrznych52. Bez względu na dziedzinę, z zakresu której dana jednostka wdraża normy, niezbędne jest potwierdzenie zgodności jej działania z przyjętymi standardami poprzez przejście certyfikacji. Proces ten jest przeprowadzany przez wyspecjalizowaną osobę bądź organizację i kończy się nadaniem stosownego dokumentu, informującego o spełnieniu wymagań danej normy, a tym samym potwierdzającego działanie instytucji zgodnie z określonym standardem53. Normy są ustanawiane i publikowane przez różne organizacje zarówno o zasięgu regionalnym (Europejski Komitet Normalizacyjny – European Committee for Standarization CEN), krajowym (Polski komitet Normalizacyjny PKN), jak i międzynarodowym (International Organization for Standarization ISO). Odnoszą się do różnych dziedzin i obszarów działania, stąd ich zastosowanie ogranicza się do specyfiki funkcjonowania danej instytucji czy obszaru. Normy mają zastosowanie w m.in. sektorze spożywczym (ISO 22000 – Food Safety Management Systems), zarządzaniu środowiskiem (ISO 14001), zarządzaniu bezpieczeństwem łańcucha dostaw (ISO 28000/PAS 28000), systemach zarządzania pomiarami (ISO 10012) czy zarządzaniu jakością usług (ISO 9000). Każda z norm w zależności od dziedziny jakiej dotyczy ma nadany odpowiedni numer, a także rok wydania. Do najpopularniejszych norm o zasięgu międzynarodowym zalicza się normy jakości, wśród których najczęstsze zastosowanie mają ISO 9000. Obejmują one określenie podstaw i terminów związanych M. Urbaniak, Zarządzanie jakością, środowiskiem oraz bezpieczeństwem w praktyce gospodarczej, Wydawnictwo Difin, Warszawa 2007, s. 42–43. 52 Ibidem, s. 14. 53 R. Moeller, Nowoczesny audyt…, s. 789–791. 51
102
Rozdział II
z systemem zarządzania jakością w jednostce, wymagania i wytyczne dotyczące doskonalenia funkcjonowania systemu oraz zasady jego audytowania54. Normy ISO 9000 obejmują serię wytycznych dotyczących projektowania (ISO 9001), produkcji (ISO 9002), produkcji i montażu (ISO 9003), systemu jakości (ISO 9004) oraz odnoszą się do każdej grupy jednostek zarówno publicznych, jak i prywatnych, handlowych czy usługowych. Ich wdrożenie dostarcza klientom organizacji informacji o ukierunkowaniu działalności jednostki na jakość55. Innym popularnym standardem wśród ISO są normy bezpieczeństwa informatycznego ISO 17799 oraz ISO 27001. Pierwsza z norm odnosi się do systemów informatycznych oraz informacji w sensie ogólnym i szczegółowym. Norma ta stanowi pewnego rodzaju listę kontrolną obejmującą działania i obszary, w których wdrożenie wytycznych w zakresie bezpieczeństwa informatycznego powinno mieć szczególne znaczenie. Ważnym elementem niezbędnym dla implementacji opisywanej normy jest przeprowadzenie oceny ryzyka w zakresie funkcjonowania systemów informatycznych działających w organizacji. Standard ISO 17799 wskazuje czynności oraz mechanizmy kontrolne, jakie powinny zostać podjęte i zastosowane w celu zabezpieczenia systemów IT. Z kolei norma ISO 27001 opisuje sposób weryfikacji i monitorowania bezpieczeństwa tychże systemów. Jako niezbędne w tym zakresie wskazuje się opracowanie polityki bezpieczeństwa, zdefiniowanie zakresu zarządzania bezpieczeństwem informacji, określenie metod i technik oceny ryzyka oraz zarządzania nim, wskazanie procedur kontroli i oceny mechanizmów kontrolnych funkcjonujących w ramach bezpieczeństwa informacji. Warto również wskazać, iż normy ISO zostały wymienione jako wytyczne do audytowania innych norm. Należą do nich ISO 10011 i obejmują takie aspekty, jak cele audytu, edukacyjne cele przeprowadzania audytu jakości czy opracowanie procesu zarządzania audytem. W tym przypadku audyt jest narzędziem weryfikacji przestrzegania S. Ziółkowski, Systemy zarządzania jakością w małych i średnich firmach, vademecum menedżera jakości, Wydawnictwo Naukowo-Techniczne, Warszawa 2007, s. 12. 55 R. Moeller, Nowoczesny audyt…, s. 794–795. 54
Standaryzacja audytu
103
norm wykorzystywanych w działalności jednostek, a tym samym dostarcza informacji na temat prawidłowości ich działania. Ten rodzaj oceny określany jest audytem jakości, a jego przeprowadzanie wymaga od osoby audytora znajomości ocenianego obszaru, nie wymaga natomiast specjalnych uprawnień co do technik czy metod audytorskich. W gospodarce funkcjonują również inne normy ustanowione dla wybranych grup czy branż. Są one na bieżąco modyfikowane bądź zastępowane nowymi wytycznymi w zależności od rozwoju danej dziedziny czy technologii. Ich znaczenie zwiększa się wraz ze wzrostem globalizacji.
2.2. Pozostałe uregulowania dotyczące audytu 2.2.1. Prawne ujęcie audytu w krajach UE Poza wytycznymi i standardami, które mają zastosowanie w audycie, różne kraje wprowadziły własne uregulowania w tym zakresie. Przepisy prawne ustanowione w ramach działalności audytu odnoszą się w szczególności do sektora publicznego, którego działanie opiera się na bazie aktów prawnych. Z kolei w odniesieniu do sektora prywatnego zjawisko to występuje znacznie rzadziej, ale pojawić się może, co zostało opisane bardziej szczegółowo w ostatnim rozdziale publikacji. Dążąc do skoncentrowania się na działalności audytu w ramach ustanowionych regulacji prawnych, należy zaznaczyć, iż można spotkać różnego rodzaju rozwiązania uprawomocnienia działalności audytu w postaci oddzielnych ustaw, przypisów prawa dotychczas funkcjonujących, jak i w formie wytycznych. Uregulowania te odnoszą się do organizacji i funkcjonowania audytu w ramach jednostek sektora publicznego, najwyższych państwowych instytucji audytu bądź kontroli czy też kontroli nad rachunkowością podmiotów gospodarczych. W tabeli 2.3. zamieszczono wykaz krajów Unii Europejskiej oraz przykłady uregulowań prawnych odnoszących się do różnej formy audytu.
104
Rozdział II Tabela 2.3. Przykładowe regulacje i wytyczne z zakresu audytu przyjęte w 27 krajach UE
Kraj UE 1
Podstawa prawna / wytyczne w zakresie funkcjonowania audytu 2
Austria
Zarządzenia ustanawiające działalność audytu: General Principles for Auditing, Guidance to Safeguard the Quality of Auditing, Principles on the Extent of Audits
Belgia
Dekret królewski dotyczący działalności audytu (The Belgian Company Code)
Bułgaria
Ustawa o audycie wewnętrznym w sektorze publicznym z 2006 r. (Public Sector Internal Audit Act)
Cypr
Ustawa traktująca o audycie (The Companies Act)
Czechy
Ustawa o audycie (The Act on Auditors)
Dania
Ustawa o audycie (The Act on Certified and Registered Auditors)
Estonia
Konstytucja (The Constitution of the Republic Of Estonia) ustanawiająca Biuro Audytu oraz ustawa dotyczaca jego działania (State Audit Office Act) Rozporządzenie w sprawie audytu (Legal Regulation of Internal Audit in Estonia)
Finlandia
Brak regulacji, funkcjonowanie audytu nie jest obowiązkowe
Francja
Ustawa konstytucyjna dotycząca ustawy budżetowej wprowadzająca wymóg skutecznej kontroli wewnętrznej i systemu audytu wewnętrznego. Regulacje ustanowione przez The Institute of Statutory Auditors (La Compagnie Nationale des Commissaires aux Comptes – CNCC) i The Order of Chartered Accountants (l’Ordre des Experts – Comptables – OEC)
Grecja
Zgodnie z konstytucją funkcjonuje The Court of Audit
Hiszpania
Procedury, wskazówki i wytyczne wydane przez Generalne Biuro Kontroli i Audytu (Spanish Audit Law)
Holandia
Działalność audytu określa Dyrekcja Generalna ds. Budżetu
Irlandia
Działalność Audytu jest uregulowana w ramach Irish Auditing and Accounting Supervisory Authority – The Companies (Auditing and Accountig Act)
Litwa
Ustawa o audycie (Law of the Republic of Lithuania amending the law of the Republuic of Lithuana on Audit)
Standaryzacja audytu
105
Luksemburg
Audyt funkcjonuje w ramach ustawy o Generalnym Inspektoracie Finansów (Genaral Inspector of Financial Information, Ministry of Finance) Audyty są z reguły określane mianem inspekcji
Łotwa
W ramach funkcjonowania audytu ustanowiono Law on Sworn Auditors, Law on Regulated Professions and Recognition of Professional Qualification and related Regulations of the Cabinet of Ministers
Malta
Audyt uregulowany w ramach Insurance Business Act
Niemcy
Audyt funkcjonuje w ramach The German Public Accountants Act
Polska
W ramach ustawy o finansach publicznych z 2002 r. uregulowano audyt wewnętrzny w jednostkach sektora finansów publicznych. Dodatkowo w ramach konstytucji funkcjonuje Najwyższa Izba Kontroli
Portugalia
Audyt funkcjonuje w ramach Regulation – decree establish the Internal Control National System i The Court of Accounts
Rumunia
Ustawa o audycie wewnętrznym w sektorze publicznym (The Government Emergency Ordinance about Internal Public Audit)
Słowacja
Powołano centralny organ administracji państwowej odpowiedzialny za kontrole finansową i audyt wewnętrzny (Ustawa w sprawie organizacji działalności rządu i organów administracji centralnej państwa) oraz wydano podręczniki zwane instrukcjami: Internal Audit Manual, System Audit Manual
Słowenia
Audyt ustanowiony w ramach ustawy o finansach publicznych (Public Finance Act)
Szwecja
Audyt uregulowany w ramach Szwedzkiego Urzędu Nadzoru Finansowego (The Swedish Financial Supervisory Authority)
Węgry
Audyt uregulowany został w ramach Ustawy o finansach publicznych (The Public Finance Act)
Wielka Brytania
Od 2013 r. przyjęto wspólny zestaw brytyjskich standardów audytu wewnętrznego w ramach sektora publicznego (UK Public Sector Internal Audit Standards)
Włochy
Audyt funkcjonuje w ramach The Italian Court fo Auditors
Źródło: opracowanie własne na podstawie Compendium of the Public Internal Control Systems in the UE Member States 2012, opracowanie Komisji Europejskiej, Luxembourg: Publications Office of the European Union, 2011, tłum. Audyt Wewnętrzny w krajach Unii Europejskiej, Ministerstwa Finansów, czerwiec 2012 r., http://www.mf.
106
Rozdział II
gov.pl/dokument.php?const=7&dzial=5526&id=283586 (dostęp 20.11.2013); Ownership Rules of Audit Firms and Their Consequences for Audit Market Concentration, DG Internal Market and Services, October 2007, http://ec.europa.eu/internal_market/ auditing/docs/market/oxera_report_annex_en.pdf (dostęp 11.05.2014); Internal Audit Service, Republic of Cyprus, http://www.internalaudit.gov.cy/internalaudit/internalaudit.nsf/dmlLegislation_en/dmlLegislation_en?OpenDocument (dostęp 11.05.2014); The Belgium Audit Regulation and Oversight, and the 8th Audit Directive, Paul von Geyt, http://www.hcmc.gr/photos/Statistics/files/Paul%20Van%20Geyt_Text.pdf (dostęp 12.05.2014); The Constitution of The Republic of Estonia, http://www.legaltext.ee/text/en/ X0000K1.htm (dostęp 14.05.2014); Legal Regulation of Internal Audit in Estonia, http://www.iacmaster.it/iacgconference2012/wp-content/uploads/2012/04/Raivo-Linnas.pdf (dostęp 15.05.2014); Background on Accountancy and Auditing in France, http://www.accademy.com/europe/ members/resources/factsheets/france/background (dostęp 15.05.2014); Spanish audit law, Spainbussines.com, http://www.spainbusiness.com/icex/ cda/controller/pageGen/0,3346,1549487_1561897_1604412_0,00.html (dostęp 15.05.2014); Audit in Ireland, ICAEW, http://www.icaew.com/en/technical/audit-and-assurance/working-in-the-regulated-area-of-audit/audit-in-ireland (dostęp 15.05.2014); Law and Regulations, Ministry of Finance Republic of Latvia, http://www.fm.gov. lv/en/s/auditing/laws_and_regulations/ (dostęp 15.05.2014); Malta Financial Services Authority, http://www.mfsa.com.mt/pages/viewcontent. aspx?id=249 (dostęp 15.05.2014); Structure of Public Auditor Oversight in Germany, http://ec.europa.eu/internal_ market/auditing/docs/relations/10122008_marten_en.pdf (dostęp 15.05.2014); S. Jorge, A. Costa, Internal Auditing Amongst Portuguese Municipalities, http://www.ucentral.cl/prontus_ucentral2012/site/artic/20131231/asocfile/ 20131231185345/20091110.pdf (dostęp 12.05.2014); V. Munteanu, M. Zuca, A. Tinta, Internal Audit Regulations in Romania and Their Convergence to European Exigencies, „Annales Universitatis Apulensis” 2010, Series Oeconomica nr 12(1), s. 268, http://www.oeconomica.uab.ro/upload/lucrari/1220101/26.pdf (dostęp 15.05.2014); System Audit Manual, Ministry of Finance of the Slovak Republic, https://www. finance.gov.sk/en/Default.aspx?CatID=98 (dostęp 14.05.2014); Public Finance Act, Republic of Slovakia, http://unpan1.un.org/intradoc/groups/ public/documents/UNTC/UNPAN015731.pdf (dostęp (14.05.2014); Internal Audit, Kommuninvest of Sweden, http://www.kommuninvest.org/en-gb/ kommuninvest/kommuninvest-of-sweden/internal-audit.php (dostęp 15.05.2014); Act on Hungary Public Finance, http://www1.worldbank.org/publicsector/pe/BudgetLaws/HungaryPublicFinanceAct1992.pdf (dostęp 15.05.2014);
Standaryzacja audytu
107
UK Public Sector Internal Audit Stamndards Advisory Board, CIPFA, http://www. cipfa.org/policy-and-guidance/technical-panels-and-boards/uk-public-sector-internal-audit-standards-advisory-board (dostęp 15.05.2014); The Italian Court of Auditors, Department of Economic and Social AffAIRS, United Nations, http://unpan1.un.org/intradoc/groups/public/documents/un/unpan002033. pdf (dostęp 15.05.2014).
Z zamieszczonych w tabeli 2.3 przykładów przyjętych rozwiązań prawnych wynika, że przeważająca większość kraju UE podjęła działania zmierzające do uregulowania działalności audytu. Regulacje, w których określono korzystanie z usług audytowych, są bardzo rozproszone zarówno z punktu widzenia różnorodności dokumentów regulujących działalność tego narzędzia, jak i zakresu oraz formy jego działania. Poczynione analizy wskazują jednoznacznie, że kraje UE dążą do zastosowania narzędzia, jakim jest audyt, do oceny działalności nie tylko instytucji należących do sektora publicznego, ale również innych podmiotów gospodarki. 2.2.2. Sarbanes-Oxley Act Poza sektorem publicznym istnieje również wyodrębniona grupa organizacji objęta regulacjami w zakresie korzystania z usług audytu zawartymi w The Sarbanes & Oxley Act (SOX) z 25 lipca 2002 r. Geneza powstania dokumentu sięga lat 90. XX i początku XXI w., kiedy w Stanach Zjednoczonych ujawniono przypadki licznych malwersacji finansowych. Wśród najsłynniejszych afer ówczesnego stulecia można wymienić: Enron, WorldCom, Bernard Madoff (USA), Allen Stanford (USA), Navin Shapiro (USA). Podobne zjawisko zaobserwowano również w innych krajach, jak Jerome Karviel (Francja), Ramalinga Raju (Indie), Navin Shapiro (USA) czy Stein Bagger (Dania)56. Przedstawiciele tychże firm tworzyli tzw. piramidy finansowe, co skutkowało wykazywaniem gigantycznego wyniku finansowego, za którym Zob. też. M.C. Knapp, Auditing Case, 9th ed., South-Western Cengage Learning, 2013, s. 3 i n. 56
108
Rozdział II
stały nierzetelne i niewiarygodne dane finansowe57. Spowodowane to było wieloletnimi zaniedbaniami w kierowaniu organizacją oraz nieskutecznością przyjętego systemu zarządzania, który nie był w stanie wykryć istotnych zagrożeń. Jednakże bez winy nie pozostawali w wielu przypadkach również audytorzy i instytucje audytorskie oceniające sprawozdawczość finansową tych jednostek (słynny przypadek Arthura Andersena). W konsekwencji tego stanu rzeczy niektóre państwa podjęły działania ograniczające występowanie podobnych zjawisk. Za przykład powinien posłużyć rząd Stanów Zjednoczonych58, który nau czony doświadczeniem opartym na kryzysie finansowym, opracował The Sarbanes-Oxley Act (SOX). Nazwa ustawy pochodzi od nazwisk jej twórców, tj. Paula Sarbanesa i Michaela Oxleya, dwóch amerykańskich senatorów. Ten akt prawny dotyczy wszystkich organizacji notowanych na giełdzie amerykańskiej, zarejestrowanych w Security Exchange Commission (SEC), a także jej spółek zależnych, które prowadzą działalność również w innych krajach, np. w Polsce. Głównym założeniem ustawy jest poprawa jakości sprawozdań finansowych, a także wskazanie roli i znaczenia audytu w tym zakresie. Obliguje ona wszystkie podmioty funkcjonujące w każdym miejscu na świecie, które wyemitowały papiery wartościowe zarejestrowane w SEC do zapewnienia bieżącego monitorowania działalności organizacji poprzez wykorzystywanie usług audytorskich. Ustawa SOX odnosi się w szczególności do takich aspektów, jak: ustanowienie organu nadzorczego, praktyki firm audytorskich, odpowiedzialności członków komitetu oraz kadry zarządzającej59. W ramach SOX ustanowiono Radę Nadzoru nad rachunkowością spółek publicznych (Public Company Accounting Oversight Board – PCAOB) jako S.T. Surdykowska, Ryzyko finansowe w środowisku globalnej gospodarki. Kulisy najbardziej spektakularnych afer finansowych ostatnich lat, Wydawnictwo Difin, Warszawa 2012, s. 74–76. 58 Zob. E.F. Kearney, R. Fernandez, J.W. Green, D.M. Zavada, Wiley Federal Government Auditing: Laws, Regulations, Standards, Practices, and Sarbanes-Oxley, 2nd ed., Wiley & Sons. Ltd., 2013, s. 3–15. 59 R. Moeller, Nowoczesny audyt…, s. 85–88. 57
Standaryzacja audytu
109
organizację niezależną podległą bezpośrednio pod Komisję Papierów Wartościowych i Giełd w Stanach Zjednoczonych (Securities and Exchange Commission – SEC). Do jej zadań należy przede wszystkim wdrażanie standardów odnoszących się do działalności audytu zewnętrznego i biegłych rewidentów. Warto w tym miejscu zaznaczyć, że PCAOB uznaje również zastosowanie innych międzynarodowych standardów oraz publikuje własne. Rada Nadzoru ma prawo do oceny jakości firm audytorskich, a także podejmowania działań egzekwujących przestrzeganie postanowień ustawy SOX60. Ustawa SOX odnosi się również do działań i praktyk świadczonych przez biegłych rewidentów oraz firmy audytorskie. Głównym założeniem w odniesieniu do usług audytorskich jest brak możliwości podejmowania się innych działań w ramach tej samej jednostki. Innymi słowy, instytucja audytorska wykonująca usługi w ramach danego podmiotu nie może realizować innych czynności związanych z obsługą finansów czy wdrażaniem systemu zarządzania kadrami bądź innych usług na jego rzecz. Zapis ten jest jak najbardziej zasadny, gdyż odnosi się do zachowania przez audytorów niezależności i obiektywizmu w odniesieniu do ocenianej jednostki. Inną kwestią dotyczącą korzystania z usług audytorskich przez organizacje objęte ustawą SOX jest obowiązek rotacji firmy audytorskiej raz na 5 lat61. Ustawa SOX obejmuje również zapisy dotyczące odpowiedzialności członków komitetu audytu oraz kadry zarządzającej. Podstawowym wymogiem podkreślanym w odniesieniu do członków komitetu audytu jest ich niezależność. Ponadto ustawa wskazuje na kwalifikacje członków komitetu zaznaczając, że trzech z nich powinno pochodzić z administracji publicznej, nie należeć do grona biegłych rewidentów, a jeden z nich posiadać odpowiednią wiedzę z zakresu finansów. W sumie w komitecie może zasiadać 5 osób. Z kolei kadra zarządzająca jest zobowiązana do ujawniania informacji o sytuacji jednostki, poprzez publikowanie sprawozdań finansowych, a także corocznej oceny mechanizmów kontrolnych 60 61
Ibidem., s. 87–89. Ibidem, s. 92–95.
110
Rozdział II
i raportowania o stanie kontroli wewnętrznej w organizacji62. Weryfikacja ta odnosi się również do działań podejmowanych przez audytorów w celu dokonania sprawdzenia adekwatności, skuteczności i efektywności funkcjonujących mechanizmów kontrolnych. Ustawa SOX służy jako przykład ograniczania oszustw i nadużyć dla wielu krajów, w tym Unii Europejskiej, która uwzględniła w znacznym stopniu zapisy tejże ustawy w treści Dyrektywy 43/WE/2006 z 17 czerwca 2006 r. w sprawie ustawowych badań rocznych sprawozdań finansowych i skonsolidowanych sprawozdań finansowych63. Warto w tym miejscu zaznaczyć, że akt ten stanowił wzór dla uchwalonej 7 maja 2009 r. polskiej ustawy o biegłych rewidentach i ich samorządzie, podmiotach uprawnionych do badania sprawozdań finansowych oraz o nadzorze publicznym64. W myśl tego aktu na jednostkach zainteresowania publicznego, w których została powołana rada nadzorcza lub komisja rewizyjna, ciąży obowiązek utworzenia komitetu audytu. Do organizacji tych należą: jednostki emitujące papiery wartościowe dopuszczone do obrotu na rynku regulowanym państwa Unii Europejskiej, banki krajowe, z wyłączeniem banków spółdzielczych, zakłady ubezpieczeń oraz reasekuracji, instytucje pieniądza elektronicznego oraz podmioty prowadzące działalność maklerską65. Należy zaznaczyć, że zapisy tejże ustawy również wyrównały w pewnym sensie szanse firm świadczących usługi audytorskie na polskim rynku, z uwagi na wprowadzenie zasad i ograniczeń związanych z rotacją firm świadczących usługi audytowe w odniesieniu do jednego podmiotu. Ibidem, s. 95–96. M. Andrzejewski, Zmiany regulacyjne w systemie rewizji finansowej jako pochodne kryzysów gospodarczych, Zeszyty Naukowe nr 10, Polskie Towarzystwo Ekonomiczne, Kraków 2011, s. 398. 64 Ustawa z dnia 7 maja 2009 r. o biegłych rewidentach i ich samorządzie, podmiotach uprawnionych do badania sprawozdań finansowych oraz o nadzorze publicznym (Dz.U. 2009, nr 77, poz. 649). 65 Rekomendacje dotyczące funkcjonowania Komitetu Audytu, Urząd Komisji Nadzoru Finansowego Warszawa, listopad 2010, s. 4, http://www.knf.gov.pl/Images/ Rekomendacje-komitet_audytu_tcm75-24820.pdf (dostęp 14.03.2013). 62
63
111
Standaryzacja audytu
2.3. Komparacja standardów i wytycznych oraz ich zastosowanie w audycie Audytor w ramach świadczenia usług może wykorzystywać różne standardy i wytyczne, które zostały opisane w niniejszym rozdziale. Celem zaprezentowania ich istoty, zakresu oraz zastosowania w audycie w tabeli 2.4 zamieszczono ich porównanie. Tabela 2.4. Wybrane standardy i wytyczne wykorzystywane w audycie Nazwa Cel standardów dokumentu 1 2 Standardy IIA Określają podstawowe zasady praktyki, wykonywania i upowszechniania audytu. Tworzą podstawy oceny działalności audytu oraz poprzez ich zastosowanie, dążą do poprawy funkcjonowania organizacji
COSO I
Wskazuje elementy i wytyczne dotyczące wdrażania systemu kontroli wewnętrznej w jednostce
Zakres standardów
Odbiorcy
3 Określają cechy organizacji oraz osób wykonujących usługi audytu wewnętrznego. Opisują charakter działań audytu wewnętrznego oraz określają kryteria jakościowe służące ich ocenie. Wskazują sposób przeprowadzania działań audytowych w zależności od rodzaju świadczonych usług: zapewniających bądź doradczych
4 Stanowią wytyczne dla wszystkich organizacji na świecie świadczących usługi audytowe i korzystających z usług audytowych, bez względu na środowisko, w jakim funkcjonuje instytucja
Określa takie elementy systemu kontroli wewnętrznej, jak: • środowisko wewnętrzne, • ocena ryzyka, • kontrola, • informacja i komunikacja, • monitorowanie
Wytyczne stanowią wskazówki dla osób zarządzających organizacjami, a także kierunki działania dla audytorów i innych instytucji oceniających w zakresie weryfikacji systemu zarządzania jednostką
112
Rozdział II Tabela 2.4 (cd.) 1
2
3
4
COSO II
Odnosi się do systemu zarządzania ryzykiem korporacyjnym w organizacji
Wytyczne wskazują elementy systemu zarządzania ryzykiem korporacyjnym oraz osoby odpowiedzialne w tym zakresie, a także opisują mechanizmy kontrolne, niezbędne dla zapewnienia skutecznego zarządzania ryzykiem
Stanowią wytyczne dla zarządu jednostki w zakresie organizacji i nadzorowania procesu zarządzania ryzykiem korporacyjnym jako elementu systemu kontroli wewnętrznej, a także dostarczają wskazówek dla audytorów i innych instytucji oceniających w zakresie weryfikacji funkcjonowania tego procesu
COSO III
Opisuje jeden z elementów kontroli wewnętrznej, jakim jest monitorowanie. Dostarcza wskazówek, jak efektywnie monitorować system kontroli wewnętrznej, a także, jakie działania należy zintensyfikować w tym zakresie
Wytyczne określają różne rodzaje ryzyka, które organizacje powinny wziąć pod uwagę w procesie monitorowania, wskazują procedury, a także określają poziom sformalizowania dokumentacji w tym zakresie
Wytyczne stanowią przewodnik dla zarządu, rad nadzorczych, audytorów i innych organów oceniających bądź ustanawiających system monitorowania kontroli wewnętrznej w jednostce
Wytyczne INTOSAI
Standardy pełnią funkcje doradcze w ramach przeprowadzania czynności audytowych lub kontrolnych. Mogą być stosowane fakultatywnie przez Najwyższe Organy Audytu bądź Kontroli
Określają podstawowe zasady odnoszące się do reguł funkcjonowania audytu i kontroli w sektorze publicznym. Wskazują cechy osób świadczących usługi audytu bądź kontroli
Standardy są wykorzystywane w sektorze publicznym, w szczególności przez Najwyższe Organy Audytu lub Kontroli
113
Standaryzacja audytu 1
2
3
4
ich kwalifikacje, wymagania, niezależność, konflikt interesów, kompetencje oraz staranność zawodową. Dostarczają szczegółowych wskazówek przeprowadzania audytu bądź kontroli oraz sprawozdawczości w tym zakresie MSR i MSSF
Standardy zawierają reguły, według których przygotowywane są sprawozdania finansowe organizacji. Przedstawiają zasady sporządzania i prezentacji sprawozdań finansowych dla potrzeb użytkowników zewnętrznych
MSSF obejmują 13 standardów, MSR – 41 dotyczących przygotowania i ujęcia poszczególnych pozycji bilansowych w sprawozdaniach finansowych
Standardy są wykorzystywane przez organizacje w większości krajów na świecie, przez audytorów, w tym w szczególności biegłych rewidentów, do badania sprawozdań finansowych oraz na potrzeby zewnętrznych użytkowników sprawozdań finansowych
Standard COBIT
Celem standardów jest rozwijanie, publikowanie oraz promowanie zbioru szeroko akceptowanych zadań dotyczących kontroli teleinformatyki. Określają podstawowe wymagania dotyczące sprawowania kontroli nad systemami teleinformatycznymi
Na dokument składają się standardy, wytyczne i procedury audytowania systemów informatycznych. Standardy definiują obowiązkowe wymagania wobec oceny systemów informatycznych i sposobu raportowania
Standardy przeznaczone są dla audytorów do oceny systemów informatycznych, a także dla kierownictwa oraz szerokiego grona użytkowników systemów IT
114
Rozdział II Tabela 2.4 (cd.) 1
Standardy (normy) PN-EN ISO 19011
2
3
Standardy stanowią pomoc w ocenie budowy i przebiegu procesów IT. Określają warunki, jakie powinny być spełnione przy budowie procesów IT oraz pomagają zrozumieć zagadnienia związane z ryzykiem wynikającym z funkcjonowania środowiska informatycznego
Wytyczne pomagają wdrożyć odpowiednie standardy. Procedury dostarczają przykładów, na których może się wzorować audytor systemów informatycznych
Normy podkreślają znaczenie audytów jako narzędzia do monitorowania i weryfikacji skutecznego wdrożenia polityki jakości i/ lub środowiskowej organizacji
Standardy określają zasady audytowania, zasady etycznego postępowania, przeprowadzania działań audytywnych, przygotowywania, zatwierdzania i rozpowszechniania raportu z audytu. Określają kompetencje audytorów, cechy osobowościowe, wiedzę i umiejętności, wykształcenie, utrzymanie i doskonalenie kompetencji, w tym ocenę audytora
4
Normy mają zastosowanie do wszystkich organizacji, które mają potrzebę przeprowadzania wewnętrznych lub zewnętrznych audytów systemów zarządzania jakością i/lub zarządzania środowiskowego lub zarządzania programem audytów. Przeznaczone są do stosowania przez szerokie gremium potencjalnych użytkowników, w tym audytorów, organizacje wdrażające systemy zarządzania jakością lub systemy zarządzania środowiskowego,
115
Standaryzacja audytu 1
2
3
4 organizacje chcące przeprowadzić audyty powyższych systemów, organizacje zaangażowane w certyfikację lub szkolenia audytorów
Źródło: opracowanie własne na podstawie A. Skoczylas, Audyt wewnętrzny a jakość zarządzania i informacji finansowej jednostki, [w:] Międzynarodowe Standardy Sprawozdawczości Finansowej dla Małych i Średnich Jednostek, red. W.A. Nowak, Oficyna a Wolters Kluwer business, Warszawa 2012, s. 217–220; Internal Control – Integrated Framework Guidance on Monitoring Internal Control Systems, vol. III, Application Techniques, June 2008, Exposure Draft, Public Comment Period, Closes August 15, 2008, tłum. Przewodnik jak monitorować systemy kontroli wewnętrznej COSO III, PIKW, Warszawa 2011, s. 11 –12.
Każde z wymienionych i opisanych standardów mogą mieć zastosowanie w procesie realizacji czynności audytowych. Zakres i charakter ich wykorzystania zależy od specyfiki obszaru poddawanego audytowi. W zależności od jego charakteru jedne wytyczne będą stanowiły dokument dominujący, inne z kolei będą miały zastosowanie w mniejszym zakresie. Dla przykładu, biegły rewident koncentruje się w ramach przeprowadzanych czynności audytorskich na MSR i MSSF jako podstawie dokonania oceny zgodności działań jednostki, ale swoją postawę i podejście do wykonywanych zadań może opierać również na Standardach IIA. Warto w tym miejscu wspomnieć, iż świadczenie usług audytowych z zakresu badania sprawozdawczości finansowej określane jest również „auditingiem”66. Podobna sytuacja odnosi się do audytora oceniającego jakość danego procesu. Podczas weryfikacji, będzie on skupiał się na sprawdzeniu zgodności przebiegu danego procesu z normami ISO, natomiast jego postępowanie może być oparte o inne standardy, odnoszące się bezpośrednio do zawodu audytora. Osoby świadczące usługi audytu Zob. Audyt zewnętrzny sprawozdania finansowego a wiarygodność przedsiębiorstwa, red. H. Żukowska, W. Janik, Wydawnictwo KUL, Lublin 2012, s. 29. 66
116
Rozdział II
jakości są określane audytorami jakości bądź według niektórych źródeł „auditorami” jakości67. Przykład zastosowania standardów i wytycznych w ramach wykonywanych czynności audytowych przedstawiono w tabeli 2.5. Tabela 2.5. Przykłady zastosowania standardów i wytycznych w odniesieniu do wybranych obszarów badania audytowego Przykłady zastosowania standardów i wytycznych Obszary badania audytowego
StanWyWy- WytyczMSR/ Normy dardy tyczne tyczne ne INCOBIT MSSF ISO IIA COSO ERM TOSAI
Ocena danych finansowych ujętych w elektronicznym systemie informacji
X
Ocena systemu zarządzania w organizacji publicznej
X
X
X
Ocena systemu zarządzania ryzykiem w organizacji sektora prywatnego
X
X
X
Analiza jakości oferowanych produktów i usług świadczonych w ramach organizacji
X
X
X
X
X
X
X
Źródło: opracowanie własne.
Z tabeli 2.5 wynika, iż osoby świadczące usługi audytowe w zależności od badanego obszaru mogą wykorzystywać wybrane standardy i wytyczne. Uniwersalne zastosowanie mają Standardy IIA, które w sposób ogólny dostarczają wskazówek odnoszących się do zachowań Zob. M. Lewandowski, I. Ochyra, D. Konkolewska, Audit wewnętrzny według norm ISO planowanie, realizacji, dokumentowanie, Wiedza i Praktyka, Warszawa 2011. 67
Standaryzacja audytu
117
audytora oraz sposobu jego postępowania. W odniesieniu do pozostałych, audytujący wykorzystuje je jako wzór w procesie weryfikacji działalności jednostki w wybranym obszarze. Ich zastosowanie nie może być bezkrytyczne, należy bowiem podkreślić, iż ujęte w standardach zapisy wskazują pewne rozwiązanie w danym zakresie, choć niejednokrotnie nie zawsze możliwe do zastosowania w ramach danej organizacji. Stąd do wykorzystania standardów należy podchodzić rozważnie. Jedyny wyjątek stanowią sytuacje, w których jednostka została zobligowana do stosowania wybranych wytycznych bądź sama wprowadziła je jako obowiązujące w jej strukturze, bądź kwalifikacje audytora wymuszają za nim ich zastosowanie (np. osoby posiadające uprawnienia CIA przestrzegają standardów IIA). Reasumując, standardy, wytyczne i normy mające zastosowanie w audycie możemy podzielić na trzy grupy, odnoszące się: • wyłącznie do osoby audytora i świadczonych przez niego usług (Standardy IIA), • do cech i prawidłowości funkcjonowania audytowanego obszaru (COSO I, MSR, COBIT), • zarówno do audytora, jak i audytowanego obszaru (ISO, INTOSAI). Bez względu na charakter i zakres świadczonych usług audytor powinien zawsze przestrzegać wytycznych regulujących jego postawę zawodową. ¤¤ Należy również zaznaczyć, iż opisane w rozdziale standardy i normy są jedynie wskazówkami dla właściwego postępowania organizacji audytowych bądź/i audytora w danym zakresie czy dziedzinie, nie mogą jednak stanowić reguł, od których nie ma odstępstw, a tym samym ograniczać działalności jednostki czy audytora.
W każdym przypadku audytor powinien kierować się zdrowym rozsądkiem, logiką i racjonalnością postępowania w taki sposób, aby realizować postawione przed nim cele oraz działać na rzecz usprawniania funkcjonowania organizacji.
ROZDZIAŁ III PROCES REALIZACJI CZYNNOŚCI AUDYTOWYCH 3.1. Ryzyko i jego analiza na potrzeby audytu 3.1.1. Istota i problemy ryzyka w audycie Ryzyko i jego analiza stanowią nieodłączny element realizacji procesu audytu. Należy jednak odróżnić znaczenie ryzyka i zarządzanie nim w organizacji realizowane z poziomu kadry kierowniczej od podejścia do niego z punktu widzenia wykonywania czynności audytowych. W pierwszym przypadku mamy do czynienia z „postępowaniem” z ryzykiem ukierunkowanym na podejmowanie decyzji niezbędnych do prawidłowego działania jednostki, gdzie decyzyjność koncentruje się w rękach osoby czy osób zarządzających instytucją, tzw. ryzyko korporacyjne. Z kolei w drugiej sytuacji ryzyko jest powiązane z ryzykiem korporacyjnym, przy czym ma na celu głównie zdiagnozowanie potrzeb podjęcia czynności oceniających poprawność, efektywność i skuteczność działań podejmowanych w zakresie zarządzania ryzykiem korporacyjnym w ramach świadczonych usług audytowych. Analiza ryzyka przeprowadzana na poziomie działalności audytowej odnosi się do jego identyfikacji w ramach jednostki oraz ogranicza się do weryfikacji ryzyka i wyboru obszaru do przeprowadzenia czynności audytowych. Audytor na podstawie poczynionych ustaleń służy pomocą w zakresie podejmowania działań ograniczających ryzyko na poziomie korporacyjnym. Dodatkowo sama działalność audytowa jest obarczona
120
Rozdział III
ryzykiem, którym z kolei zarządza audytor. Stąd o ryzyku i zarządzaniu nim możemy mówić, odnosząc się do trzech poziomów: • ryzyka korporacyjnego, za które odpowiedzialna jest kadra kierownicza; • ryzyka związanego z realizacją czynności audytowych; • zagrożeń związanych z zarządzaniem działalnością audytową. Z uwagi na fakt, że ryzyka te pozostają ze sobą w ścisłej zależności, w kolejnych częściach opracowania opisano każdy z wymienionych poziomów. Należy jednak zwrócić szczególną uwagę na odróżnienie znaczenia ryzyka estymowanego na potrzeby czynności audytowych od udziału audytu w procesie zarządzania ryzykiem korporacyjnym w jednostce, w który audyt może zostać również zaangażowany poprzez ocenę całego procesu. Wówczas podejście takie jest znacznie bardziej skomplikowane i wymaga spojrzenia z perspektywy całej organizacji. Ponadto należy w tym miejscu zaznaczyć, iż audyt może jedynie doradzać kierownictwu organizacji w zakresie podejmowanych działań odnośnie do ryzyka korporacyjnego, natomiast nie może przejąć inicjatywy w zarządzaniu nim, ponieważ zadanie to należy bezwzględnie do kierownictwa. 3.1.2. Znaczenie i zarządzanie ryzykiem w jednostce Ryzyko wiąże się z prawdopodobieństwem wystąpienia określonego zjawiska, które może mieć wpływ na działanie organizacji, jednostki, systemu czy procesu. Ryzyko może stanowić zarówno zagrożenie, jak i szansę na to, że wystąpi określone zdarzenie, działanie lub jego brak, które negatywnie bądź pozytywnie wpłynie na zdolność organizacji lub jednostki ludzkiej do osiągnięcia wyznaczonych przez nią celów. Przy określaniu ryzyka ważne jest uwzględnienie dziedziny, której ono dotyczy, ponieważ jest inaczej rozumiane w obszarach technicznych, informatycznych, biznesowych czy ekonomicznych. Dlatego też opracowanie jednej definicji tego terminu jest niemożliwe. Potwierdzeniem tego stanu rzeczy jest różnorodność formułowania tego pojęcia1 zarów J. Światowiec-Szczepańska, Ryzyko partnerstwa strategicznego. Ujęcie modelowe, Wydawnictwo UE, Poznań 2012, s. 87. 1
Proces realizacji czynności audytowych
121
no w przepisach prawa, wytycznych i standardach, jak i w literaturze przedmiotu. Na potrzeby niniejszego opracowania ryzyko będzie interpretowane z punktu widzenia zarządzania jednostką oraz zaangażowania audytu i znaczenia ryzyka dla podejmowanych działań audytowych. ¤¤ Ryzyko z punktu widzenia organizacji oznacza prawdopodobieństwo wystąpienia zdarzeń, które mogą mieć wpływ na prawidłowość, sprawność, efektywność i gospodarność funkcjonowania jednostki oraz jej zdolność decyzyjną w granicach obowiązujących przepisów prawa, wytycznych oraz wewnętrznych regulacji, co może spowodować wystąpienie skutków o wymiarze finansowym, społecznym czy gospodarczym.
Biorąc pod uwagę oddziaływanie danego ryzyka, a także makroekonomiczną jego skalę2 instytucje nie powinny pozostawać bierne, ale zarządzać ryzykiem poprzez kontrolowanie skłonności organizacji do podejmowania ryzyka. Zdaniem Petera L. Bernsteina, „zdolność kierowania ryzykiem, i wraz z nim apetytem na podjęcie ryzyka oraz dokonywanie wyborów patrząc w przyszłość, są kluczowymi elementami energii, która przyczynia się do postępu systemu ekonomicznego”3. Celem zapobieżenia i minimalizowania wystąpienia negatywnych zdarzeń, jednostka organizacyjna powinna wprowadzać odpowiednie mechanizmy kontrolne, które pomogą zabezpieczyć i wesprzeć podjęcie właściwej decyzji. Bernstein uważał, że kontrole są sposobem minimalizowania ryzyka4. Obecnie, w większości instytucji kładzie się duży nacisk na zarządzanie ryzykiem nie tylko jako na aspekt wymagany, ale jako narzędzie zarządzania, które poprawnie zaaplikowane może usprawnić funkcjonowanie organizacji. Działalność każdej instytucji narażona jest na różnego rodzaju zagrożenia, które determinują jej sytuację w różnych horyzontach czasowych. 2 P.L. Bernstein, Against the Gods, John Wiley and Sons Inc., New York 1996, s. 3; zob. A. Skoczylas, Zarządzanie ryzykiem w jednostkach sektora finansów publicznych – potrzeba czy zło konieczne, [w:] Zarządzanie finansami. Upowszechnianie i transfer wyników badań, red. D Zarzecki, Uniwersytet Szczeciński, Zeszyty naukowe nr 689, Finanse, rynki finansowe, ubezpieczenia nr 50, Szczecin 2012, s. 709. 3 Ibidem, s. 711. 4 Ibidem, s. 710–712.
122
Rozdział III
Zjawisko związane z pojawiającymi się niebezpieczeństwami dla organizacji jest wielowymiarowe, dlatego w zarządzaniu ryzykiem największym problemem jest znalezienie rozwiązań, narzędzi, mechanizmów, które pozwolą ograniczyć prawdopodobieństwo oraz skutki wpływu danego ryzyka na jej działalność. Zarządzanie ryzykiem to proces stanowiący nieodzowny element zarządzania całą organizacją, który powinien być tak zorganizowany i zaplanowany, aby dostarczyć kierownictwu racjonalnego zapewnienia, że cele organizacji są realizowane. Nie może on stanowić stałego zestawu czynności i działań, ale musi być elastyczny i stale ewoluować w zależności od rodzaju i skali pojawiających się zagrożeń, a także możliwości organizacyjnych i finansowych jednostki. Każdy proces zarządzania ryzykiem jest dynamiczny, wielokierunkowy i interaktywny, w którym prawie każdy komponent może wpłynąć na inny. Podobnie, jak system kontroli wewnętrznej, którego proces zarządzaniem ryzykiem stanowi nieodłączny element, nie powinien być realizowany w ten sam sposób w różnych organizacjach. Potrzeby i zdolności instytucji w zakresie identyfikacji, oceny i reakcji na ryzyko różnią się znacząco w zależności od sektora, struktury, sytuacji finansowej oraz przyjętej filozofii zarządzania i dojrzałości organizacji, stąd system ten powinien odpowiadać warunkom, w których funkcjonuje dana organizacja, a zastosowanie konkretnych narzędzi i metod oraz podział obowiązków w tym zakresie winien być do tych uwarunkowań odpowiednio przystosowany5. W każdej organizacji funkcjonuje wiele procedur i procesów, dotyczących różnych dziedzin i obszarów działalności. Zadaniem kadry zarządzającej jest odpowiednie nimi kierowanie i nadzorowanie, a jeśli funkcje te nie są podejmowane, oznacza to, że jednostka nie jest właściwie zarządzana, czyli pozostaje poza kontrolą6. Zarządzanie ryzykiem jest fundamentalnym elementem procesu zarządzania orga BS6079-3: 2000 Project Management Part 3 – Guide to the Management of Business Risk, za: K.H. Spencer Pickett, Essencial Handbook of Internal Auditing, John Wiley & Sons, Ltd, The Atrium, Southem Gate, Chichester 2005, s. 30. 6 R. Moeller, Nowoczesny audyt wewnętrzny, Oficyna a Wolters Kluwer business, Warszawa 2011, s. 49. 5
Proces realizacji czynności audytowych
123
nizacją7, integralną częścią procesu podejmowania decyzji, za które odpowiedzialność ponosi naczelne kierownictwo. Procesowi decyzyjnemu powinno towarzyszyć kryterium racjonalności, ale niejednokrotnie jest ono uzależnione od czynników niezależnych od osób podejmujących decyzje, takie jak uwarunkowania polityczne oraz ograniczenia prawne i finansowe. Występują również aspekty w pełni zależne od kadry kierowniczej w postaci cech osobowościowych zarządzających, co z kolei może wpływać na akceptowanie danego ryzyka na określonym poziomie, czyli tzw. apetyt na ryzyko8. Wszelkie działania kierownictwa w danym obszarze powinny być skorelowane z poziomem apetytu na ryzyko. Powinien on ulegać modyfikacjom w zależności od sytuacji w jakiej znajduje się organizacja, sposobów zarządzania ryzykiem oraz uwarunkowań decyzyjnych, jakie temu procesowi towarzyszą. Skuteczność funkcjonowania systemu zarządzania ryzykiem jest również uzależniona od efektywności działania mechanizmów kontrolnych. Za ich wdrożenie i funkcjonowanie, jak i za prawidłowość oraz skuteczność funkcjonowania systemu zarządzania ryzykiem w organizacji odpowiedzialność ponosi kierownictwo jednostki. Z uwagi na to, że ryzyko wiąże się z działaniem całej organizacji, a tym samym dotyczy wszystkich procesów w niej zachodzących, zarządzający powinni zaangażować w ten proces pracowników instytucji. W odniesieniu do poziomów zarządzania należy zaznaczyć, że z ryzykiem mamy do czynienia na każdym poziomie zarządzania począwszy od najniższych szczebli, poprzez średnie, aż po naczelne kierownictwo. Na rysunku 3.1 wskazano osoby odpowiedzialne za kształtowanie poziomu ryzyka w organizacji.
Por. K.H. Spencer Pickett, Auditing the Risk Management Process, John Wiley & Sons, Inc., Hoboken, New Jersey 2005, s. 2. 8 Enterprise Risk Managemnet – Integrated Framework: Executive Summary and Framework Enterprise Risk Management – Integrated Framework: Application Techniques, tłum. Zarządzanie ryzykiem korporacyjnym – zintegrowana struktura ramowa, COSO 2004, PIKW, Warszawa 2007, s. 42. 7
124
Rozdział III Zarządzający organizacją
Zarządzający wybranym obszarem
Zarządzający wybranym obszarem
Zarządzający poszczególnymi komórkami, wydziałami
Pracownicy Ustalanie zasad Informowanie
Rysunek 3.1. Poziomy zarządzania ryzykiem Źródło: opracowanie własne.
Warto zaznaczyć, że kadra zarządzająca ustanawia zasady zarządzania ryzykiem, jednakże każda osoba zarówno pracownik, jak i członek kierownictwa jest odpowiedzialna za dostarczanie informacji na temat sprawności działania przyjętego systemu poprzez informowanie o pojawiających się zagrożeniach i słabościach funkcjonujących mechanizmów kontrolnych. Jednakże, nie można w przypadku kierowania organizacją polegać na stałych zasadach czy metodach, ale dążyć do ich doskonalenia poprzez ocenę sytuacji jednostki z punktu widzenia pojawiających się zagrożeń. Proces ten wymaga ciągłej analizy i weryfikacji, a w tym zakresie pomocne dla menedżerów mogą się okazać dodatkowe narzędzia wsparcia w postaci usług audytu, którego celem jest wspieranie kadry kierowniczej w wypełnianiu powierzonych zadań poprzez ocenę systemu kontroli wewnętrznej oraz efektywności funkcjonującego w jego ramach procesu zarządzania ryzykiem9. 9
K. Czerwiński, Audyt wewnętrzny, InfoAudit, Warszawa 2004, s. 58.
Proces realizacji czynności audytowych
125
3.1.3. Ocena i zarządzanie ryzykiem w audycie Analogicznie jak kadra kierownicza ponosi odpowiedzialność za organizację i zarządzanie ryzykiem w ramach całej jednostki, tak audytor jest odpowiedzialny za zarządzanie ryzykiem w ramach prowadzonej działalności audytowej. Analiza ryzyka, obejmująca identyfikację, ocenę ryzyka oraz zarządzanie, jest nie tylko punktem wyjścia w pracy audytora, ale jednym z najważniejszych etapów prowadzonej usługi audytowej. Może być stosowana na wielu poziomach planowania pracy, m.in. jako: • narzędzie wspomagające opracowywanie planu oraz przygotowywanie programu zadania audytowego, • pomoc w zidentyfikowaniu zagrożeń mogących mieć wpływ na adekwatność i skuteczność systemu kontroli wewnętrznej, • wsparcie w typowaniu jednostki do badania audytowego z uwzględnieniem zagrożenia ryzykiem, • instrument do oceny procesu zarządzania ryzykiem przez kierownictwo instytucji. ¤¤ Audytor powinien analizować obszary ryzyka w odniesieniu do całej działalności jednostki w określonych przedziałach czasowych (planowanie roczne, półroczne, kwartalne). Niezależnie od tego, jego zadaniem jest dokonanie oszacowania ryzyka na poziomie każdego zadania audytowego. W procesie tym audytor identyfikuje i ocenia ryzyko związane z konkretnym obszarem działalności, który został objęty badaniem. Przy czym należy pamiętać, że pewien poziom ryzyka jest nieodzownym elementem działalności jednostki oraz nie jest możliwe zidentyfikowanie wszystkich ryzyk.
Na rysunku 3.2. przedstawione zostały poziomy dokonywania oceny ryzyka przez audytora. Z rysunku 3.2 wynika, że w audycie mamy do czynienia z dwuetapowością planowania i analizy ryzyka, a to oznacza, że ryzyko jest identyfikowane i szacowane na poziomie: • planowania okresowego (plan roczny, półroczny, kwartalny), • planowania zadania audytowego (program zadania audytowego), w tym sposobu wyboru narzędzi i technik do realizowanych czynności audytowych.
126
Rozdział III Obszar ryzyka 1 Identyfikacja obszarów ryzyka funkcjonujących w ramach organizacji
Obszar ryzyka 2 Obszar ryzyka 3 Obszar ryzyka 4
Poziom planowania okresowego (rocznego, półrocznego, kwartalnego)
Obszar ryzyka 5
Wybór obszarów ryzyka do objęcia audytem
Obszar ryzyka 2 Obszar ryzyka 5
Ryzyko 1 Identyfikacja ryzyka w ramach wybranego obszaru do badania
Ryzyko 2 Ryzyko 3
Poziom planowania zadania audytowego
Ryzyko 4 Ryzyko 5
Wybór kluczowych ryzyk w ramach badanego obszaru
Ryzyko 1 Ryzyko 3 Ryzyko 4
Wybór określonych technik i narzędzi audytowych adekwatnie do poziomu ryzyka
Metoda Techniki
Rysunek 3.2. Schemat poziomów oceny ryzyka dokonywanych przez audytora Źródło: opracowanie własne.
Proces realizacji czynności audytowych
127
W odniesieniu do rodzajów analiz ryzyka wykorzystywanych na wskazanych poziomach świadczonych usług audytowych możemy wyróżnić analizę10: • wysokopoziomową, o dużym poziomie ogólności; • szczegółową, odnoszącą się do skrupulatnego i wnikliwego badania wybranego obszaru; • nieformalną, prowadzoną w sposób szczegółowy, zwykle przez pewne gremium fachowe. Analiza wielopoziomowa jest przeprowadzana podczas planowania okresowego, kiedy audytor oszacowuje ryzyko w odniesieniu do całej organizacji i na jego podstawie określa obszary ryzyka, które powinny zostać poddane ocenie audytu w określonym horyzoncie czasowym. Analiza szczegółowa z kolei odnosi się do estymacji ryzyka na poziomie planowania zadania audytowego, czyli w ramach jednego wybranego obszaru ryzyka celem zweryfikowania potencjalnych zagrożeń oraz poddania ich ocenie w związku z przeprowadzanym zadaniem audytowym. Analiza nieformalna stanowi specyficzny rodzaj analizy, jest procesem realizowanym w sposób automatyczny i ma miejsce przy podejmowaniu decyzji, podpisywaniu dokumentów i umów. Jest to działanie wkomponowane w realizację codziennych zadań i obowiązków przez audytorów, ale również na innych stanowiskach kierowniczych oraz pracowniczych. W odniesieniu do usług audytowych polega ona na szybkim weryfikowaniu posiadanych informacji bądź pozyskiwaniu nowych celem podjęcia odpowiednich działań oraz zastosowania właściwych technik i narzędzi oceny. Brak jest jednoznacznych ustaleń oraz wymogów, w jaki sposób audytor dokonuje analizy ryzyka. Powinien on identyfikować obszary ryzyka według własnych ustaleń, uwzględniając cel działalności instytucji oraz podatność danego procesu lub zjawiska na występowanie zagrożeń. Audytor powinien również zwracać uwagę na newralgiczne punkty w funkcjonowaniu jednostki, którymi mogą być, w szczególności11: Por. A. Białas, Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, Wydawnictwo Naukowo-Techniczne, Warszawa 2006, s. 96. 11 Ibidem, s. 153. 10
128
Rozdział III
• działania mające wpływ na opinię publiczną; • przepisy prawne dotyczące działania instytucji; • liczba, rodzaj i wielkość dokonywanych operacji finansowych; • wielkość majątku, którym dysponuje jednostka oraz szereg innych aspektów stanowiących potencjalne niebezpieczeństwo dla realizacji celów organizacji. Analiza ryzyka w audycie wiąże się z przeprowadzeniem następujących czynności: • zapoznaniem się z badanym obszarem; • identyfikacją zdarzeń, które mogą mieć negatywny bądź pozytywny wpływ na funkcjonowanie danego obszaru; • oceną ryzyka biorąc pod uwagę prawdopodobieństwo jego wystąpienia oraz skutek; • wyborem obszaru do badania poprzedzonym hierarchizacją ryzyk; • zarządzaniem ryzykiem w ramach wykonywanych czynności audytowych. ¤¤ Aby przeprowadzić analizę ryzyka, niezbędna jest kompleksowa wiedza zarówno na temat organizacji, jak i audytowanego procesu czy obszaru. Jej posiadanie jest konieczne do właściwego oraz rzetelnego zidentyfikowania zjawisk, mających potencjalny wpływ na funkcjonowanie jednostki czy audytowego obszaru, w zależności od poziomu realizacji czynności audytowych. Im większy zasób posiadanych informacji przez audytora, tym większy profesjonalizm, a tym samym skuteczniejszy proces identyfikacji.
Etap rozpoznania potencjalnych zdarzeń jest niezmiernie ważnym etapem analizy ryzyka, jeśli nie najważniejszym, ponieważ na tym właśnie poziomie następuje określenie możliwych zagrożeń, co ma przełożenie na dalszy przebieg czynności audytowych. Identyfikacja ryzyka wiąże się z nazwaniem i opisaniem ryzyka, przy uwzględnieniu czynników wpływających na jego wystąpienie bądź zmaterializowanie się. Warto w tym miejscu zaznaczyć, że na poziomie analizy wielopoziomowej ocenie poddaje się ryzyka sklasyfikowane w odpowiednie grupy (obszary ryzyka). Z kolei na etapie analizy szczegółowej dotyczącej czynności audytowych ryzyko określane jest w odniesieniu do konkret-
Proces realizacji czynności audytowych
129
nego obszaru. Ryzyko powinno zostać bardzo precyzyjne sformułowane tak, aby nie pozostawiało dowolności interpretacji. Wszelkie błędy w tym zakresie zostaną i tak wychwycone na poziomie ich oceny. Innym ważnym aspektem jest również odpowiednie dostosowanie zidentyfikowanego ryzyka do obszarów działalność jednostki, nie każde bowiem ryzyko odnosi się do jednego obszaru. To samo ryzyko może być przypisane do kilku obszarów jednocześnie, ale o jego sile i znaczeniu w danym zakresie będzie decydować ocena jego poziomu. Dla przykładu, ryzyko związane z naruszeniem przepisów prawa jest adekwatne zarówno dla obszaru związanego z finansami jednostki, jak i zarządzania kadrami, jednakże jego skutek dla funkcjonowania każdego z nich może być odmienny. Kolejna kwestia, na którą warto zwrócić uwagę, to dyplomacja stosowana przy określaniu ryzyka. Nie wszystkie potencjalne zdarzenia powinny być formułowane w sposób bezpośredni, aby nie sugerowały występowania pewnych zjawisk w ramach organizacji. Należy pamiętać, że wszelkie niedociągnięcia w procesie identyfikacji ryzyka bądź zdarzenia odzwierciedlające wyłącznie sytuacje zerojedynkowe przy ocenie ryzyka będą sprawiały bardzo dużo kłopotu. Dla przykładu, ryzyko związane ze zjawiskiem korupcji. W ramach tak sformułowanego zagrożenia zbyt ogólne określenie problemu z jednej strony będzie utrudniać ocenę, z drugiej sugerować zbyt daleko idące wnioski i podejrzenia, a należy zaznaczyć, że audytor nie jest osobą uprawnioną do wykrywania zjawisk prawnie zabronionych, powinien posiadać jedynie stosowną wiedzę w tym zakresie, która pomoże mu zidentyfikować znamiona takich czynów. W odniesieniu do zagrożenia związanego ze zjawiskiem korupcji, ryzyko można określić jako „wykorzystywanie zajmowanych stanowisk dla własnych korzyści”. Innym przykładem jest ryzyko związane z brakiem regulacji wewnętrznych w danym zakresie. Posługiwanie się wyłącznie słowem „brak” spowoduje, że ryzyko zostanie ocenione wysoko, jeśli regulacje w ramach danego obszaru nie występują, natomiast jeśli regulacje zostały przyjęte, ale są niekompletne bądź nierzetelne, powoduje to, że nie mamy podstaw do dokonania odpowiedniej oceny ryzyka. Jeśli natomiast ryzyko to określimy jako „brak bądź niekompletne regulacje w badanym obszarze”, wówczas
130
Rozdział III
unikniemy nie tylko wyciągania zbyt daleko idących wniosków, ale i będziemy dysponować większą swobodą w ramach oceny danego zagadnienia. Ostatnim aspektem w procesie identyfikacji ryzyka jest bazowanie w odpowiednim zakresie na danych historycznych obrazujących sytuację jednostki. Podejście do identyfikacji ryzyka, biorąc pod uwagę założenie, że nigdy dana sytuacja nie dotyczyła organizacji bądź danego obszaru działalności, jest bardzo niebezpiecznym podejściem. Zdarzenia, które nie miały miejsca w przeszłości, ale wiążą się z funkcjonowaniem jednostki, powinny zostać zidentyfikowane. Podobna sytuacja odnosi się do zdarzeń obecnych. Unikanie ryzyka z powodu oceny, że jest ono mało prawdopodobne lub wydaje się nam, że nie sprawi istotnych skutków, może spowodować, że w najmniej oczekiwanym momencie ryzyko bez odpowiedniego nadzoru może się zmaterializować. ¤¤ Identyfikacja ryzyka stanowi listę zdarzeń, które potencjalnie mogą wystąpić i przynieść pewien skutek dla jednostki. Jej główną wartością dodaną jest budowanie świadomości ludzkiej o możliwych zjawiskach niepożądanych w stosunku do organizacji i w odniesieniu do kształtowania jej pozycji. Z kolei o znaczeniu ryzyka na dany moment czasowy decyduje jego ocena, następująca po jego identyfikacji.
Ocena ryzyka z reguły odbywa się poprzez weryfikację prawdopodobieństwa oraz siły oddziaływania ryzyka. Prawdopodobieństwo oznacza możliwość zaistnienia zdarzenia, które będzie miało wpływ na działanie danego procesu, obszaru, a tym samym całej jednostki. Powinno być ono szacowane w przedziale (0–1>, gdzie 1 oznacza zdarzenie pewne, czyli odnosi się do sytuacji, która ma miejsce, występuje. Wpływ, określany również skutkiem, świadczy o wpływie danego zdarzenia na sytuację organizacji. Biorąc pod uwagę powyższy opis, ryzyko powinno przyjmować wartości od 0,1 do 1, im wartość bliższa 1, tym większe jest prawdopodobieństwo wystąpienia danego zdarzenia i skutku jego zmaterializowania się. Warto również w tym miejscu zaznaczyć, że skutek wystąpienia zdarzenia powinien być oceniany w odniesieniu do sytuacji hipotetycznej, kiedy prawdopodobieństwo jest
131
Proces realizacji czynności audytowych
równie 1, nawet jeśli faktyczna ocena prawdopodobieństwa na to nie wskazuje. Przykład oceny ryzyka przedstawiono w tabeli 3.1. Tabela 3.1. Przykład oceny ryzyka w obszarze odnoszącym się do realizacji zakupów i wydatkowania środków finansowych Lp.
Ryzyko
Prawdopodobieństwo
Skutek
1
2
3
4
A
Brak lub nieprawidłowe przeprowadzenie wstępnej oceny celowości dokonywania wydatków
0,7
0,7
B
Brak wyraźnego podziału zadań w ramach przeprowadzonej kontroli wydatków
0,6
0,7
C
Nieprawidłowy / niekorzystny wybór oferty cenowej / firmy w ramach realizacji zakupu
0,6
0,8
D
Brak oszczędnego i efektywnego wykorzystania środków finansowych
1,0
0,1
E
Brak zapewnienia optymalizacji zastosowanych metod i środków oraz ich adekwatności do osiągnięcia założonych celów
0,8
0,6
F
Nieprawidłowy zakres przyjętych przez kierownictwo kryteriów oceny realizacji celów i zadań
0,5
0,5
G
Brak lub nieprawidłowe procedury wewnętrzne w zakresie realizacji zakupów
0,9
0,1
H
Brak lub nieprawidłowa dokumentacja odzwierciedlająca przebieg oraz skutki operacji gospodarczych
0,8
0,9
I
Brak lub nieprawidłowa kontrola merytoryczna
0,5
0,4
J
Brak lub nieprawidłowa kontrola rachunkowa
0,4
0,5
K
Brak lub nieprawidłowa kontrola formalna
0,6
0,5
L
Podpis, zatwierdzenie i opisanie dowodu księgowego przez osoby do tego nie upoważnione
0,7
0,8
M
Brak zgodności dokonywanych wydatków z realizacją zadań i celów organizacji
0,8
0,8
N
Brak bądź nieprawidłowo sporządzane plany rzeczowe / zestawienia przez kierujących komórkami organizacyjnymi
0,4
0,4
132
Rozdział III Tabela 3.1 (cd.)
1
2
3
4
O
Niewłaściwa relacja nakładów do efektów
0,7
0,9
P
Brak lub nieprawidłowe zapobieganie bądź ograniczanie wysokości szkód finansowych powstałych w działalności jednostki
0,6
0,9
Źródło: opracowanie własne.
Odnosząc się do powyższego przykładu, w ramach pierwszego zidentyfikowanego ryzyka prawdopodobieństwo zajścia zdarzenia związanego z brakiem dokonania wstępnej oceny celowości wydatku bądź nieprawidłowego przeprowadzenie takiej analizy wynosić 0,7, taka ocena oznacza dość wysokie prawdopodobieństwo wystąpienia wskazanej sytuacji, co może wynikać z braku lub nieodpowiedniości obowiązujących procedur w jednostce w tym zakresie. Z kolei skutek o wartości 0,7 będzie oznaczał konsekwencje wystąpienia takiego zdarzenia – niecelowego wydatkowania środków – wartość ta oznacza ewentualne konsekwencje dla organizacji w sytuacji, kiedy do zdarzenia dojdzie. W ramach weryfikacji przedstawionych w tabeli 3.1 ocen ryzyka audytor może wykorzystać wiele metod, może ustalić znaczenie ryzyka wyłącznie na podstawie opisu ryzyka, może tworzyć matryce ryzyka operując wieloma kryteriami12 bądź też wykorzystywać inne metody dostępne w literaturze przedmiotu13, jak i w innych opracowaniach. Wśród sposobów wykorzystywanych do oceny ryzyka można wyróżnić metody ilościowe i jakościowe. Pierwsze z nich mają zastosowanie do oceny ryzyka finansowego oraz operacyjnego, w części którą można opomiarować, z kolei drugie odnoszą się do podejścia związanego z poprawnością działania oraz podnoszeniem jakości funkcjonujących obszarów. Jest to uzasadnione specyfiką tych metod oraz narzędziami, jakie w tym celu są wykorzystywane. Zob. D. McNamee, Oszacowanie ryzyka w audycie wewnętrznym, Federacja Rozwoju Rachunkowości w Polsce, Warszawa 2004, s. 15. 13 Ibidem, s. 10–11. 12
Proces realizacji czynności audytowych
133
Metody ilościowe odnoszą się do oceny ryzyka, w ramach którego mamy do czynienia z dużą liczbą zdarzeń i ich jednoznacznością oraz danymi kwantytatywnymi. Możemy do nich zaliczyć metody: • matematyczne (probabilistyczne i nieprobabilistyczne), • statystyczne. Metody jakościowe mają zastosowanie w odniesieniu do danych i informacji o znaczeniu niemożliwym do skwantyfikowania. Są one obarczone znacznym subiektywizmem oceniającego, jednakże jego ograniczenie następuje poprzez angażowanie w ten proces znacznej liczby osób dokonujących estymacji. Możemy do nich zaliczyć w szczególności14: • metodę szacunkową, • burzę mózgów, • mapę ryzyka, • matrycę ryzyka, • samoocenę kontroli i ryzyka. Wszystkie z wymienionych metod są możliwe do zastosowania na każdym poziomie analizy ryzyka w audycie zarówno na etapie planowania okresowego, jak i podczas realizacji czynności audytowych w ramach wybranego obszaru. Metoda matematyczna jest przeprowadzana w oparciu o wzory matematyczne, z zastosowaniem arkuszy kalkulacyjnych. Jest ona bardziej pracochłonna, jednak może się lepiej sprawdzić w dłuższym okresie, kiedy część pracy jest wykonywana jednorazowo przy tworzeniu modelu i wprowadzaniu danych. W tym przypadku ważna jest również możliwość porównywania wyników analiz przeprowadzanych w kolejnych czasookresach (pomiar trendów), co może być utrudnione w przypadku analizy przeprowadzanej metodami szacunkowymi. Jak każda metoda, tak i ta jest obarczona pewnymi błędami. Do najczęściej wymienianych wad należą15: • potrzeba ciągłego jej uaktualniania i wysokie koszty wynikające przede wszystkim z zaangażowania czynnika ludzkiego, 14 15
Por. ibidem; K. Czerwiński, Audyt…, s. 59. D. McNamee, Oszacowanie ryzyka…, s. 10–11; K. Czerwiński, Audyt…, s. 64–65.
134
Rozdział III
• stosunkowo wysoki poziom zależności od subiektywnej oceny informacji, w szczególności w zakresie wyznaczenia badanego obszaru czy interpretacji wyników, • nieodpowiedni dobór kryteriów oceny ryzyka skutkujący ich małą istotnością w stosunku do całości ocenianego obszaru. Metody matematyczne wiążą się z zastosowaniem różnych algorytmów przyjętych w celu określenia poziomu zidentyfikowanego ryzyka. Mogą się one opierać o różne praktyki, bowiem nie jest wskazane, aby analizy te uwzględniały pewne stałe elementy, powinny jednak brać pod uwagę dwie miary ryzyka prawdopodobieństwo jego wystąpienia oraz wpływ na organizację. Wśród metod matematycznych możemy wyróżnić: • probabilistyczne, • nieprobabilistyczne. Metody probabilistyczne łączą zdarzenia i efekty z prawdopodobieństwem ich wystąpienia na podstawie pewnych założeń. Prawdopodobieństwo i efekty są oceniane na podstawie danych historycznych lub symulacji rezultatów, z uwzględnieniem założeń dotyczących przyszłych sytuacji. Przykładem może być analiza wartości zagrożonej, zagrożonych przepływów pieniężnych i dochodów oraz analiza dystrybucji strat kredytowych i operacyjnych16. Metody nieprobabilistyczne posługują się założeniami subiektywnymi przy szacowaniu efektów zdarzeń bez obliczania prawdopodobieństwa. Ocena efektów oparta jest na danych historycznych lub symulowanych oraz założeniach dotyczących przyszłych sytuacji. Obejmują one np. testy wrażliwości czy analizy scenariuszy17. Nie ma narzuconych metod matematycznych szacowania ryzyka. W polskiej literaturze z zakresu audytu opisywana jest jedna wybrana metoda oceny18, obejmującą jego szacowanie z uwzględnieniem kategorii ryzyka oraz określonych priorytetów. Z uwagi na znacząca popularność tej metody w niniejszej publikacji nie przedstawiono jej szerzej. Należy jednak zaznaczyć, iż opisywane w literaturze przedmiotu kryte Enterprise Risk Managemnet…, s. 54. Ibidem. 18 Podręcznik audytu wewnętrznego w administracji publicznej, Ministerstwo Finansów, Warszawa 2003, s. 82. 16 17
Proces realizacji czynności audytowych
135
ria oraz priorytety oceny nie stanowią katalogu zamkniętego i mogą być poddawane modyfikacji. Metody statystyczne z kolei wiążą się z zastosowaniem zaawansowanych technik. Wykorzystuje się je do oceny zmienności i przekształceń zjawisk masowych w danym przedziale czasowym. Jako narzędzia służące do weryfikacji wykorzystuje się m.in.: analizy wariancji, korelacji, regresji, szeregów czasowych. Ich dobór zależy od rodzaju ryzyka, którego miara dotyczy. Inne metody są stosowane w odniesieniu do oceny ryzyka inwestycyjnego, finansowego czy kredytowego. Wśród nich można wymienić analizy i modelowanie finansowych szeregów czasowych, analizę dochodu i ryzyka inwestycji finansowych, modelowanie zależności między zmiennymi finansowymi, modelowanie ryzyka rynkowego przy pomocy koncepcji Value at Risk czy modelowanie ryzyka kredytowego itp.19 W odniesieniu do metod jakościowych, szacunkowa ocena ryzyka odnosi się do zastosowania ustalonych kryteriów weryfikacji i ich przeliczników. Może mieć zastosowanie do wybranej grupy osób, które poprzez kierowanie się intuicją i własnymi odczuciami określają poziom ryzyka według przyjętych kryteriów. Metoda ta cieszy się dużą popularnością w praktyce audytorskiej z uwagi na swoją prostotę. Ryzyko w ramach tej metody jest oceniane przez audytora na podstawie jego wiedzy i doświadczenia. Jej zaletą jest łatwość zastosowania, natomiast trudność stanowi precyzyjna ocena ryzyka. Wynika to z faktu, że oceny dokonywane na podstawie doświadczenia mogą nie uwzględniać zachodzących zmian20. Ich wrodzona subiektywność powoduje, że wyniki są łatwe do podważenia21. Prezentowana w literaturze przedmiotu metoda, określana również delficką, funkcjonuje w oparciu o pewne przyjęte założenia. Podobnie jak metoda matematyczna z uwagi na jej powszechność nie została szerzej zaprezentowana. K. Jajuga, Metody statystyczne w finansach, StartSoft Polska, s. 5–16, http:// www.statsoft.pl/czytelnia/finanse/pdf/jajuga.pdf (dostęp 23.05.2014). 20 Por. K. Czerwiński, Audyt…, s. 59. 21 Podręcznik audytu…, s. 78. 19
136
Rozdział III
Kolejna z metod jakościowych zwana burzą mózgów polega na zaangażowaniu w proces identyfikacji i oceny ryzyka znacznej liczby osób, celem sporządzenia jednej zbiorczej analizy z wykorzystaniem dowolnie przyjętej techniki oceny ryzyka. Warunkiem jej skuteczności jest jednak posiadanie przez osoby uczestniczce w procesie oceny odpowiedniej wiedzy umożliwiającej zidentyfikowanie możliwie największej liczby zagrożeń oraz trafnej ich weryfikacji, adekwatnej do sytuacji, w jakiej znajduje się jednostka. Korzyści z zastosowania tej metody dotyczą zarówno procesu identyfikacji, jak i oceny ryzyka. W odniesieniu do identyfikacji pozwala ona na wszechstronne podejście do ryzyka związanego z działalnością instytucji, z kolei w ramach jego oceny umożliwia obiektywne oszacowanie ryzyka obejmujące argumenty i opinie szerokiego grona osób. Mapa ryzyka jest jednym z narzędzi w sposób przejrzysty obrazującym wyniki oceny ryzyka. Zidentyfikowane ryzyko jest oceniane pod względem prawdopodobieństwa wystąpienia oraz wpływu na organizację. Przykładową mapę ryzyka zamieszczono na rysunku 3.3. Bardzo wysokie
Dzielenie – transfer
Wysokie
Natychmiastowe podjęcie Ograniczanie Ograniczanie Ograniczanie działań
Wpływ ryzyka na Średnie organizację Niskie
Ograniczanie Ograniczanie Unikanie
Wykorzystywanie
Akceptacja
Ograniczanie Ograniczanie
Wykorzystywanie
Wykorzystywanie
NatychmiaOgraniczanie stowe podjęcie działań
Niskie
Średnie
Wysokie
Bardzo wysokie
Prawdopodobieństwo wystąpienia ryzyka Rysunek 3.3. Reakcja na ryzyko wg K.H. Spencera Picketta Źródło: K.H. Spencer Pickett, Auditing the Risk Management Process, John Wiley & Sons, Inc., Hoboken, New Jersey 2005, s. 23.
137
Proces realizacji czynności audytowych
W zależności od umiejscowienia ryzyka na mapie zarząd organizacji powinien reagować poprzez wskazanie odpowiednich sposobów monitorowania danego ryzyka, aby nie dopuścić do zwiększenia się jego poziomu. Ryzyko o niskim i średnim wpływie na instytucję oraz prawdopodobieństwie wystąpienia należy akceptować bądź wykorzystywać. Ryzyka o wysokim prawdopodobieństwie wystąpienia oraz znaczących skutkach dla jednostki powinno się unikać, z kolei pozostałe ryzyko należy ograniczać, to znaczy podejmować wszelkie czynności kontrolne powstrzymujące jego wzrost w przyszłości22. Mapa ryzyka stanowi wielokierunkowe narzędzie analizy, ponieważ uwzględnia zarówno identyfikację, ocenę ryzyka oraz informację na temat proponowanych działań, decyzji, jakie należy w stosunku do niego podjąć. Sposób jej sporządzenia wiąże się z przygotowaniem układu współrzędnych, gdzie na osi OX będą zamieszczane wartości prawdopodobieństwa dla każdego ze zidentyfikowanych ryzyk, a na osi OY wartości skutku ryzyka. Przykład mapy ryzyka stosownie do zidentyfikowanego i ocenionego ryzyka zamieszczonego w tabeli 3.1. przedstawiono na rysunku 3.4. Mapa ryzyka
Skutek
1 0,9
P
O
H
0,8
C
L
M
0,7
B
A E
0,6 0,5
J
F
0,4
N
I
K
0,3 0,2
D
G
0,1 0 0
0,1
0,2
0,3
0,4
0,5
0,6
0,7
0,8
0,9
1
Prawdopodobieństwo
Rysunek 3.4. Przykład mapy ryzyka dla obszaru dotyczącego realizacji zakupów i wydatkowania środków finansowych Źródło: opracowanie własne. 22
K.H. Spencer Pickett, Auditing the Risk…, s. 23.
138
Rozdział III
Z rysunku 3.4 wynika, iż większość zidentyfikowanych ryzyk ukształtowała się na poziomie wysokiego prawdopodobieństwa wystąpienia oraz średniego i wysokiego skutku. Biorąc pod uwagę opisany sposób postępowania z ryzykiem w odniesieniu do wskazanych zagrożeń, jednostka powinna podjąć stosowne działania ograniczające. Matryca ryzyka to narzędzie stosowane do oceny ryzyka z punktu widzenia zastosowanych mechanizmów kontrolnych. Pozwala zweryfikować luki w podejmowanych działaniach ograniczających ryzyko i ukierunkować audytora na te, które powinny zostać poddane badaniu audytowemu. Przykład matrycy ryzyka przedstawiono w tabeli 3.2. Tabela 3.2. Matryca ryzyka Mechanizmy kontrolne Mechanizm Mechanizm Mechanizm Mechanizm kontrolny 1 kontrolny 2 kontrolny 3 kontrolny 4 Ryzyko
…
Ryzyko 1 Ryzyko 2 Ryzyko 3 Ryzyko 4 … Źródło: opracowanie własne.
Matryca ryzyka określana również macierzą ryzyka jest narzędziem, którego największe korzyści z zastosowania uwidaczniają się w odniesieniu do oceny ryzyka na poziomie zadania audytowego bądź pojedynczego procesu. Przeprowadzenie bowiem oceny na poziomie całej organizacji przy zastosowaniu matrycy mogłoby być bardzo pracochłonne. Jej przygotowanie wiąże się z identyfikacją ryzyk w danym obszarze audytownym oraz mechanizmów kontrolnych funkcjonujących w ramach tego obszaru. Należy podkreślić, że danemu ryzyku może odpowiadać kilka mechanizmów kontrolnych, czyli narzędzi go ograniczających. Jednakże ich nadmiar bądź zupełny brak nie jest sytuacją pożądaną. Przykład zastosowania matrycy ryzyka w odniesieniu do ryzyk zidentyfikowanych w ramach tabeli 3.1 przedstawiono w tabeli 3.3.
139
Proces realizacji czynności audytowych Tabela 3.3. Przykład zastosowania matrycy ryzyka
Ryzyko
Mechanizmy kontrolne
Wewnętrzna Podwójna procedura kontrola wydatkowania zatwierdzania środków wydatków
Brak lub nieprawidłowe przeprowadzenie wstępnej oceny celowości dokonywania wydatków
X
X
Brak wyraźnego podziału zadań w ramach przeprowadzonej kontroli wydatków
X
X
Nieprawidłowy/niekorzystny wybór oferty cenowej/firmy w ramach realizacji zakupu
X
Brak oszczędnego i efektywnego wykorzystania środków finansowych
Weryfikacja zgodności dokonywanych wydatków z przyjętym planem finansowym
X
…
X
… Źródło: opracowanie własne.
W odniesieniu do zaprezentowanej matrycy należy podkreślić, że narzędzie to służy wyłącznie do stwierdzenia istnienia mechanizmów kontrolnych, nie rozstrzyga natomiast o ich skuteczności. Metoda samooceny kontroli i ryzyka (Control and Risk Self Assessment – CRSA)23 polega na kompleksowym, systematycznym i regularnym przeglądzie działań podejmowanych przez organizację oraz osiąganych wyników, opierając się na wybranej technice bądź modelu. Proces samooceny pozwala zidentyfikować mocne strony i obszary, 23
Zob. E.J. Saunders, Audyt i kontrola wewnętrzna…, s. 213.
140
Rozdział III
w których konieczna jest poprawa. W odniesieniu do zarządzania jednostką samoocena bywa często przyrównywana do samokontroli24, która oznacza proces świadomie inicjowany przez organizację, za pomocą którego osiąga ona zgodność pomiędzy własnym działaniem (rezultatem) a odpowiednim wzorcem25. Najważniejszą kwestią w procesie samooceny jest wskazanie celu, jaki będzie przyświecał jej przeprowadzeniu. Niezbędne jest wówczas określenie, czy podstawowym założeniem będzie ocena jednostki, jej doskonalenie czy też wdrożenie nowych standardów. Pierwszy z nich wiąże się z wykorzystaniem narzędzia samooceny do oceny działalności instytucji. Proces ten może polegać na analizie dostosowania się organizacji do przepisów prawnych, procedur wewnętrznych oraz weryfikacji prawidłowości ich przestrzegania. Drugi cel samooceny nawiązuje do doskonalenia organizacji. Z tego punktu widzenia samoocena jest narzędziem, które pomaga jednostce ocenić jej sytuację bieżącą, a tym samym określić plan rozwoju, niezbędny do usprawnienia jej funkcjonowania. Trzecia z możliwości to wdrożenie nowych standardów w instytucji. Samoocena pozwala wtedy na zweryfikowanie bieżącej sytuacji organizacji oraz ustalenie poziomu odchylenia od stanu przyjętego w normach czy standardach, do których wdrożenia będzie dążyć jednostka. Bez względu na wybór celu, jaki ma do spełnienia samoocena, do podstawowych jej zadań należy26: • identyfikacja ryzyka i ocena mechanizmów kontrolnych, • weryfikacja odpowiedzialności i własności osób zarządzających organizacją, • redukcja działalności inspekcyjnej. Proces ten powinien pomóc w zidentyfikowaniu ryzyka związanego z funkcjonowaniem instytucji oraz w ocenie adekwatności procesów zarządzania, celem ograniczenia bądź zminimalizowania ryzyka Zob. też. B.R. Kuc, Kontrola jako funkcja zarządzania, Wydawnictwo Difin, Warszawa 2009, s. 343; S. Kałużny, Kontrola wewnętrzna. Teoria i praktyka, PWE, Warszawa 2008, s. 94. 25 A. Skoczylas, Samoocena wyzwaniem dla doskonalenia zarządzania instytucjami publicznymi, [w:] Innowacyjność w systemach finansowych, red. B. Mikołajczyk, „Acta Universitatis Lodziensis” 2012, Folia Oeconomica 266, s. 18–22. 26 Por. E.J. Saunders, Audyt i kontrola wewnętrzna…, s. 214. 24
Proces realizacji czynności audytowych
141
do akceptowalnego poziomu. Zakres samooceny powinien uwzględniać ocenę kierownictwa, jak i pracowników instytucji w ramach powierzonej im odpowiedzialności. Dobrze przygotowany proces samooceny pozwala dostarczyć znaczących informacji o efektywności i skuteczności funkcjonowania jednostki oraz sprawności zarządzania nią. Proces samooceny wbrew swej prostoty zawartej w nazewnictwie nie należy do łatwych. Zakres samooceny może obejmować wszystkie obszary funkcjonujące w jednostce bądź priorytetowe obszary jej działalności. Powinien on uwzględniać: • cele obszaru działalność instytucji, który podlega samoocenie bądź cele jednostki w sytuacji, gdy ocenienie poddawana jest cała organizacja; • ryzyka powiązane z tymi celami; • wymagania kontrolne w ramach danego ryzyka oraz ocenę istniejących mechanizmów kontroli. Samoocena stanowi wieloetapowy proces, którego przebieg zamieszczono w tabeli 3.4. Tabela 3.4. Etapy procesu samooceny Lp. 1
Czynności procesu samooceny Wskazanie celu samooceny
2
Określenie obszaru, którego będzie dotyczyło badanie, oraz wskazanie podmiotowego i przedmiotowego zakresu badania
3
Określenie wielkości populacji, która będzie poddana badaniu
4
Sporządzenie ogólnego opisu funkcjonowania badanego obszaru
5
Przyjęcie techniki samooceny
6
Przeprowadzenie samooceny w oparciu o wybraną technikę
7
Sprecyzowanie wyników samooceny – uogólniona opinia na podstawie pozyskanych informacji
8
Wskazanie zaleceń, działań jakie należy podjąć w ramach usprawnienia ocenianego obszaru
9
Realizacja zaleceń
10
Kolejna samoocena
Źródło: opracowanie własne.
142
Rozdział III
Pierwszą podstawową czynnością w ramach realizacji procesu samooceny jest wskazanie celu jej przeprowadzania. Jak zostało wcześniej wspomniane, należy określić, czy samoocena odbędzie się w ramach weryfikacji istniejących procedur, czy organizacja bądź podmiot dąży do dostosowania się do nowych standardów, czy może zmierza w kierunku doskonalenia oraz usprawniania działalności. W dalszej kolejności należy wskazać obszar bądź obszary oraz komórki organizacyjne, jednostki, które będą podlegały samoocenie, czyli zdefiniować podmiotowy i przedmiotowy zakres badania. Następnie niezbędne jest określenie wielkości populacji, która będzie poddana samoocenie. W tym przypadku należy pamiętać, aby w proces ten zaangażować osoby posiadające wystarczającą wiedzę, która umożliwi im obiektywne i precyzyjne ocenienie badanego przedmiotu. Kolejny krok to przygotowanie ogólnego opisu na temat działania poddawanego weryfikacji obszaru bądź obszarów, zawierającego podstawowe informacje o skuteczności i efektywności jego, bądź ich funkcjonowania. Następnie należy określić technikę, za pomocą której zostanie przeprowadzona samoocena. Wśród najbardziej popularnych techniki możemy wyróżnić27: • kwestionariusze, • obserwacje, • warsztaty. Kwestionariusze jako narzędzie badawcze wykorzystują do oceny ankiety. Mogą się one składać z pytań zamkniętych, kiedy oczekuje się jednoznacznej odpowiedzi, bądź otwartych w sytuacji, kiedy niezbędne jest pozyskanie większej ilości informacji. Obserwacje, jako kolejna technika samooceny, polegają na uczestnictwie w procesie oceny danego obszaru osoby w formie jawnego bądź niejawnego użytkownika procesu. Warsztaty to technika zmierzająca do zaangażowania w proces samooceny jak największej liczby osób. Jej celem jest wywołanie dyskusji w ramach dążenia do porozumienia i wypracowania konsensusu w grupie osób oceniających. Wybór techniki powinien być uzależniony od możliwości pozyskania odpowiednich dowodów, jako najważniejszego elementu samooce Por. ibidem.
27
Proces realizacji czynności audytowych
143
ny. Dowód stanowi każda informacja bądź dane potwierdzające istnienie określonego zjawiska w organizacji. Dowody powinny być rzetelne, wiarygodne, istotne i aktualne. Ilość dowodów, jakimi dysponuje jednostka, wpływa na jakość, skuteczność przebiegu procesu samooceny, a w konsekwencji na jej wynik. W dalszej kolejności następuje przeprowadzenie procesu samooceny, w wyniku którego powinna powstać ogólna ocena na temat rezultatów przeprowadzonej samooceny. Na tej podstawie należy sformułować działania, jakie trzeba podjąć w ramach usprawnienia ocenianego obszaru. Zalecenia powinny zostać zrealizowane w określonym przedziale czasowym, a po upływie kilku miesięcy od pierwszej samooceny jednostka czy obszar powinny zostać poddane kolejnej ocenie celem zapewnienia bieżącego monitowania postępów w zależności od wskazanego celu samooceny28. Uproszczony przebieg procesu samooceny zaprezentowano na rysunku 3.5. WIZJA STANU DOLECOWEGO
SAMOOCENA
PLANOWANIE DZIAŁAŃ DOSKONALĄCYCH
– mocne strony instytucji – luki w zarządzaniu – obszary do poprawy
– wybór priorytetów – plan i harmonogram działań
SAMOOCENA
Rysunek 3.5. Proces samooceny Źródło: opracowanie własne.
W wyniku samooceny powinien powstać plan działań doskonalących w formie zaleceń do usprawniania funkcjonowania organizacji bądź obszaru. Jego celem jest dążenie do ustalonego stanu docelowego. Jednakże, aby można było zweryfikować, czy założony stan został osiągnięty, instytucja bądź obszar powinny być poddawane regularnemu procesowi samooceny. Poza opisanymi metodami audytorzy w swojej pracy mogą wykorzystywać również szereg innych narzędzi dotyczących analizy 28
A. Skoczylas, Samoocena wyzwaniem…
144
Rozdział III
ryzyka29. Zaprezentowane w pracy metody oceny są wśród audytorów wewnętrznych najbardziej rozpowszechnione. Kolejnym etapem analizy ryzyka jest wybór obszarów do badania. Z reguły jest on poprzedzony hierarchizacją ryzyka, która wiąże się z uszeregowaniem ryzyka według jego istotności. Możliwe są tu dwa warianty: od ryzyka najwyższego do niższego bądź od ryzyka o najmniejszym znaczeniu dla jednostki do tego o największym. Hierarchizacja ryzyka pozwala zachować przejrzystość i w odpowiedni sposób dobrać metody wyboru obszaru czy ryzyka do badania. W tej kwestii można posłużyć się różnymi metodami doboru, nie pomijając informacji, jakimi dysponujemy na temat celów organizacji, opinii kierownictwa jednostki, zasobów kadrowych oraz posiadanej praktyki audytowej. Powszechne rozwiązania w ramach wyboru obszarów czy ryzyka są następujące30: • wybór wszystkich obszarów stanowiących największe zagrożenie; • wybór części obszarów stanowiących największe zagrożenie oraz części ryzyk z obszaru mniejszego zagrożenia, biorąc pod uwagę fakt podatności oceny ryzyka na zmiany otoczenia wewnętrznego i zewnętrznego, a tym samym ewentualne skutki dla organizacji; • wybór możliwie największej liczby obszarów, począwszy od najwyższego do najniższego, w zależności od posiadanych zasobów kadrowych w audycie. Przedstawione podejścia doboru ryzyka są jedynie propozycją i nie stanowią katalogu zamkniętego. Najważniejsze na tym etapie jest posłużenie się wiedzą, intuicją, doświadczaniem audytowym, a także zapotrzebowaniem kierownictwa. Ostatni element analizy ryzyka przeprowadzanej przez audytora to zarządzaniem nim w ramach wykonywanych czynności, które wiąże się z podejmowaniem stosownych decyzji i działań. ¤¤ Z punktu widzenia audytu zarządzanie ryzykiem odbywa się na dwóch poziomach: • zarządzania ryzykiem w ramach świadczonych usług audytowych, • zarządzania ryzykiem w działalności audytowej. Zob. K. Jajuga, Zarządzanie ryzykiem, PWE, Warszawa 2007, s. 22. Por. D. McNamee, Oszacowanie ryzyka…, s. 24.
29
30
Proces realizacji czynności audytowych
145
Pierwsze spojrzenie ma na celu oparcie zakresu badania audytowego na wynikach analizy ryzyka. Wiąże się ono z wyborem obszarów i procesów, które będą podlegały w danym okresie audytowym bądź w ramach danego zadania audytowego weryfikacji. Jest ono niezbędne do ustalenia zakresu badania audytowego. Drugie podejście przez pryzmat działalności audytowej i towarzyszących jej ryzyk generujących pewne zagrożenia, które mogą mieć przełożenie na wyniki prac audytu, a te z kolei na zarządzanie organizacją. W ramach świadczonych usług audytor zarządza ryzykiem poprzez dokonywanie następujących czynności: • wybór obszarów do oceny, • wybór metod i technik badawczych, • formułowanie opinii, wniosków i zaleceń, • zarządzanie działalnością audytową. W ostatnim aspekcie zarządzania ryzykiem działalności audytowej mamy do czynienia z tzw. ryzykiem audytu31, które może być wynikiem sformułowania błędnej opinii. Na ryzyko to z reguły oddziałuje kilka czynników32: • sytuacja, w której audytor nie wykryje znaczących zagrożeń w wyniku zastosowania nieodpowiednich technik czy narzędzi (określane ryzykiem detekcji); • zdarzenie, w ramach którego mamy do czynienia z sytuacją niezależną od organizacji i wszelkie proponowane oraz podejmowane działania, nie są w stanie ograniczyć ryzyka (określane ryzykiem wrodzonym); • sytuacja związana z brakiem dostatecznych informacji, co może spowodować, że audytor nie oszacuje ryzyka na odpowiednim poziomie, przez co istotne zagrożenia zastaną w badaniu audytowym pominięte; • zdarzenie związane z brakiem wykwalifikowanej wielokierunkowo kadry, co może nie tylko skutkować wydłużeniem czynności audytowych, ale również koncentracją na mało istotnych kwestiach. Zarządzanie ryzykiem działalności audytowej wiąże się z właściwym kierowaniem pracami audytowymi, niezależnym, etycznym, 31 32
Por. K. Czerwiński, Audyt wewnętrzny…, s. 62. Zob. ibidem.
146
Rozdział III
obiektywnym i profesjonalnym postępowaniem oraz przestrzeganiem obowiązujących standardów. W odniesieniu do oceny ryzyka w audycie z punktu widzenia świadczonych usług w wyniku przeprowadzonego procesu analizy ryzyka audytor uzyskuje obszary i ryzyka, które mogą być obarczone największym zagrożeniem i mieć największy wpływ na osiąganie celów przez organizację. W oparciu o wyłonione w trakcie analizy obszary czy ryzyka audytor powinien przeprowadzić czynności związane z zaplanowaniem działań oraz testów potwierdzających wiarygodność uzyskanych wyników. Czynności te składają się na proces realizacji zadania audytowego.
3.2. Przeprowadzanie czynności audytowych 3.2.1. Etapy zadania audytowego Realizacja czynności audytowych jest uzależniona od poziomu ich wykonania oraz rodzaju świadczonych usług. ¤¤ W audycie możemy wyróżnić, podobnie jak w analizie ryzyka, dwupoziomowy system wykonawczy. Pierwszy odnosi się do poziomu planowania okresowego działań audytu, drugi z kolei do poziomu przeprowadzania zadania audytowego.
Każdy z nich jest uzależniony od formy świadczonych usług audytowych, skoncentrowanych albo na usługach zapewniających, albo doradczych. Rozróżnienie tych dwóch poziomów oraz usług jest istotne i ma przełożenie na specyfikę działań podejmowanych przez audytora. Etapy przeprowadzania czynności audytowych w zależności od poziomu ich realizacji przedstawiono w tabeli 3.5. Planowanie okresowe w audycie odnosi się jedynie do czynności zapewniających, których realizacja została określona na podstawie przeprowadzonej przez audytora analizy ryzyka. Jej celem jest wyłonienie obszarów, które będą podlegały badaniu audytowemu w kolejnych okresach. Planowanie w audycie możemy rozpatrywać na trzech etapach: • strategicznym – obejmujący okres 3–5 lat,
147
Proces realizacji czynności audytowych
• operacyjnym – obejmujący okres 12 miesięcy, • zadania audytowego – obejmujący czas realizacji czynności. Analiza potrzeb audytu na poziomie strategicznym wiąże się z oszacowaniem ryzyka oraz sporządzeniem planu działań obejmującego obszary, które powinny zostać poddane audytowi w kolejnych okresach (3–5 lat). Tabela 3.5. Ogólne etapy podejmowanych działań audytowych na poziomie planowania okresowego i realizacji czynności audytowych w zależności od rodzaju świadczonych usług Poziom planowania okresowego czynności zapewniające
czynności doradcze
Poziom realizacji czynności audytowych czynności zapewniające
czynności doradcze
Identyfikacja obszarów funkcjonujących w organizacji
Identyfikacja procesów Porozumienie ze zleceniodawcą
Identyfikacja obszarów ryzyka
Identyfikacja ryzyk
Realizacja czynności audytowych
Ocena obszarów ryzyka
Ocena ryzyk
Ocena mechanizmów kontrolnych
Wybór obszarów ryzyka do badania
Wybór ryzyk do badania
Opinia o systemie kontroli wewnętrznej
Opracowanie planu działania na dany okres czasowy
Wstępny przegląd
Realizacja czynności Ocena mechanizmów kontrolnych Opinia o systemie kontroli wewnętrznej Źródło: opracowanie własne.
Analiza potrzeb na poziomie operacyjnym wiąże się z oszacowaniem ryzyka oraz przygotowaniem listy obszarów działalności jednostki, które powinny podlegać audytowi w ciągu najbliższego okresu (roku, pół roku, kwartału).
148
Rozdział III
Wreszcie analiza potrzeb na etapie zadania audytowego polega na oszacowaniu ryzyka i przeprowadzeniu badania audytowego w odniesieniu do konkretnego obszaru bądź kilku obszarów jednocześnie. Planowanie strategiczne wiąże się z opracowaniem przez audytora długookresowego planu audytu. Tworząc taki plan audytor zyskuje możliwość wypracowania kompleksowej strategii monitorowania działalności całej jednostki oraz rozłożenia w czasie podejmowanych czynności audytowych w danych obszarach. W ramach planu strategicznego ustalana jest kolejność realizowanych zadań audytowych z uwzględnieniem obszarów obarczonych największym ryzykiem33. Strategiczny plan audytu zawiera funkcje i obszary pracy audytu w perspektywie długookresowej. W konsekwencji pozwala to na zaplanowanie obszarów ryzyka i związanych z nimi działań w kolejnych latach oraz określenia ścieżki rozwoju audytorów z ukierunkowaniem na pozyskanie niezbędnych kwalifikacji. W ramach planowania na poziomie operacyjnym audytor opracowuje roczny bądź półroczny plan audytu, obejmujący listę obszarów ryzyka, które będą stanowiły cele do zbadania w ciągu najbliższego okresu. W literaturze przedmiotu wskazuje się również kwartalny plan audytu34, który dostarcza więcej szczegółów, ponieważ odnosi się do tych zadań audytowych, które będą wykonywane przez określonych audytorów w trakcie trzech najbliższych miesięcy. Sporządzenie planu okresowego wiąże się z przeprowadzeniem analizy ryzyka. Wykorzystywana na tym poziomie metodologia oraz sposób postępowania są tożsame z metodami opisywanymi we wcześniejszych częściach rozdziału. Z kolei, w odniesieniu do usług doradczych, etap planowania zostaje pominięty, ponieważ stanowią one szczególny rodzaj czynności. Ich założeniem jest niezwłoczne reagowanie na pojawiające się ryzyko, stąd już w trakcie ich rozpoczęcia potencjalne zagrożenie jest zdiagnozowane przez zleceniodawcę. Czynności te nie mogą być zaplanowane z odpowiednim wyprzedzeniem czasowym, ponieważ stanowią narzę Audyt wewnętrzny w strukturze kontroli zarządczej, red. T. Kiziukiewicz, Wydawnictwo Difin, Warszawa 2013, s. 100. 34 Zob. K.H. Spencer Pickett, The Essential Handbook…, s. 211. 33
Proces realizacji czynności audytowych
149
dzie szybkiego reagowania i ich wcześniejsze określenie możliwe jest jedynie poprzez wskazania rezerwy czasowej ujętej w planie krótkookresowym audytu z przeznaczeniem na ich realizację. Drugi poziom podejmowania działań audytowych wiąże się z wykonaniem czynności w ramach zadania audytowego. Ogólny zarys tych czynności przedstawiono na rysunku 3.6. Planowanie Wstępny przegląd Ocena mechanizmów kontrolnych
Ograniczone badanie audytowe
Szczegółowe badanie audytowe
Opinia o systemie kontroli wewnętrznej
Rysunek 3.6. Proces realizacji czynności audytowych Źródło: opracowanie własne na podstawie K.H. Spencer Pickett, The Essential Handbook of Internal Auditing, Wiley & Sons, Ltd, The Atrium, Southem Gate, Chichester 2005, s. 223.
Pierwszy etap realizacji zadania audytowego odnosi się do oszacowania ryzyka dotyczącego konkretnego obszaru, podlegającego ocenie. Podobnie, jak w przypadku planowania strategicznego, wykorzystywane w tym zakresie metody opisano we wcześniejszych częściach rozdziału. Wstępny przegląd stanowi drugi etap procesu realizacji zadania audytowego. Polega on na gromadzeniu informacji dotyczących badanego obszaru i sposobu jego funkcjonowania. Wszystkie spostrzeżenia i ustalenia poczynione w tym zakresie należy zebrać w jednym dokumencie.
150
Rozdział III
Zarówno analiza ryzyka przeprowadzona na etapie planowania zadania audytowego, jak i wstępny przegląd są kluczem do dookreślenia zakresu badanego obszaru, tj.: • celów badania audytowego, • procedur działania, • programu zadania audytowego. Wstępny przegląd pozwala na ocenę ryzyka oraz weryfikację mechanizmów kontrolnych w danej sferze działalności jednostki. Audyt nie może swym działaniem objąć wszystkich znaczących obszarów dotyczących specyficznych działań organizacji i z góry ustalić, co zostanie zbadane, a co pominięte. Dlatego proces oceny wybranego obszaru pozwala audytorom zidentyfikować kluczowe zagrożenia dla danego rodzaju działalności. Konieczne jest również odnotowanie kwestii, które w ramach badanego obszaru nie będą podlegały audytowi, ponieważ kierownictwu jednostki często wydaje się, że audytor powinien ujawniać wszystko, co działa w systemie nieprawidłowo, tymczasem właściwe zdefiniowanie zakresu badania pozwoli uniknąć nieporozumień pomiędzy audytorem a kierownictwem instytucji. Główną korzyścią ze wstępnego przeglądu jest zrozumienie istoty badanego obszaru. Etap wstępnego przeglądu jest jedną z najtrudniejszych części w realizacji procesu audytu. Pozwala on audytorowi pozyskać odpowiednią wiedzę na temat badanego obszaru celem dokonania jego właściwej oceny. Wyniki ze wstępnego przeglądu powinny znaleźć odzwierciedlenie w programie audytu, którego sporządzenie stanowi trzeci etap realizacji czynności audytowych. Program zadania audytowego, zanim zostanie ostatecznie ustalony, powinien uwzględnić również wyniki ostatnich prac przeglądowych i kontroli, które zostały przeprowadzone przez inne instytucje audytowe bądź kontrolne, celem określenia rzeczywistego obrazu funkcjonującego obszaru oraz ustalenia przyczyn i okoliczności, w jakich były one realizowane. Należy również zwrócić uwagę na terminy realizacji tych czynności oraz sformułowane na ich podstawie zalecenia, a także identyfikowane i oszacowane ryzyka35. Czynności te stanowią punkt wyjścia 35 Practice Advisories. Strongly Recommended Guidance, The Institute of Internal Auditors, http://www.theiia.org/guidance/standards-guidance/Pages/Practice-Advisories. aspx (dostęp 26.04.2014), s. 155.
151
Proces realizacji czynności audytowych
do sporządzenia programu audytu. Jego forma może być różna w zależności od rodzaju świadczonych usług audytowych. W przypadku czynności zapewniających program powinien odnosić się do zidentyfikowanego ryzyka i jego oceny oraz określać zakres oraz formę badania audytowego36. W odniesieniu z kolei do usług doradczych programy mogą się różnić formą i zawartością, zależnie od rodzaju i specyfiki obszaru37. Proces postępowania w tym zakresie zamieszczono na rysunku 3.7. Wstępny przegląd
Usługi audytowe
ZAPEWNIAJĄCE
DORADCZE
wskazanie testów do oceny audytowanego obszaru
przewodnik testów
PROGRAM ZADANIA AUDYTOWEGO
Rysunek 3.7. Postępowanie audytora w zakresie świadczenia usług audytowych Źródło: opracowanie własne na podstawie K.H. Spencer Pickett, The Essential Handbook of Internal Auditing, Wiley & Sons, Ltd, The Atrium, Southem Gate, Chichester 2005, s. 214.
Dla czynności zapewniających opartych na ryzyku szczegółowy program zadania winien być zdefiniowany po dokonaniu wstępnego przeglądu i udokumentowaniu badanego obszaru, natomiast w odniesieniu do usług doradczych powinien zostać sformułowany w postaci przewodnika, Ibidem, s. 16–17. Definicja audytu wewnętrznego. Kodeks etyki oraz Międzynarodowe Standardy Praktyki Zawodowej Audytu Wewnętrznego opracowany przez The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs Floryda 32701-4201, USA., s. 35. 36 37
152
Rozdział III
który określa działania audytu przy uwzględnieniu zapotrzebowania zleceniodawcy. Program audytu, jako przewodnik, może definiować różne czynności, które będą w ramach danego zadania audytowego wykonywane. Dokument ten powinien również wskazywać narzędzia, które będą wykorzystane podczas świadczenia czynności audytowych. Można w nim również określić przybliżone terminy prac realizowanych z wykorzystaniem tych technik. Program zadania powinien38: • dokumentować procedury, jakie audytor wykorzysta do zebrania informacji, ich analizy oraz interpretacje w trakcie wykonywania zadania audytowego; • określać cele audytu; • przedstawiać zakres i stopień kontroli, które pozwolą na osiągnięcie celów audytu na poszczególnych etapach jego realizacji; • określać, jakie działania jednostki, obszary ryzyka, procesy i transakcje wymagają sprawdzenia; • zawierać wymagany charakter i stopień szczegółowości oceny ryzyka; • zostać sporządzony przed rozpoczęciem prac związanych z określonym zadaniem audytowym oraz podlegać odpowiedniej modyfikacji w trakcie jego realizacji. Przygotowanie programu audytu powinno być starannie przemyślane oraz skorelowane z serią testów audytowych. Dokument ten powinien wskazywać kierunki działania audytora oraz zakres badania w zależności od rozwoju ryzyka i funkcjonowania mechanizmów kontrolnych w danym obszarze tak, aby dążyć do realizacji założonych celów zadania audytowego. Kolejnym etapem realizacji zadania audytowego jest opracowanie planu audytu na podstawie wstępnego przeglądu i programu audytu. Plan audytu powinien uwzględniać informacje zgromadzone w poprzednio opisanych dokumentach i być opracowany odrębnie dla każdego zadania uwzględniając zakres, cele, czas oraz przydział zasobów39. W planie audytu powinny zostać określone następujące elementy40: Practice Advisories…, s. 153. Por. Definicja audytu wewnętrznego…, s. 31. 40 Ibidem. 38 39
Proces realizacji czynności audytowych
153
• zakres działalności obszaru, który będzie podlegał weryfikacji i ocenie; • istotne ryzyka zagrażające wytypowanej działalności, jej celom, zasobom oraz operacjom, jak również mechanizmy kontrolne, za pomocą których negatywny wpływ ryzyka jest utrzymywany na możliwym do przyjęcia poziomie; • prawidłowość oraz skuteczność systemów zarządzania ryzykiem i kontroli badanego obszaru w porównaniu z przyjętymi przez jednostkę właściwymi normami, procedurami i modelami; • możliwość wdrożenia istotnych udoskonaleń systemu zarządzania ryzykiem i kontroli danej działalności. Warto w tym miejscu podkreślić, że w Polsce do najczęściej stosowanych dokumentów zadania audytowego należą: dokument dotyczący wstępnego przeglądu, program zadania audytowego, harmonogram i program badania audytowego. Dokument zwany planem zadania jest w Polsce mało rozpowszechniony. Po przygotowaniu procedur, programu oraz planu audytu należy przystąpić do czynności audytowych związanych z badaniem danego obszaru. W tym przypadku również sposób postępowania jest odmienny w zależności od rodzaju świadczonych usług. Szczegółowy przebieg czynności audytowych zarówno zapewniających, jak i doradczych, a także występujące pomiędzy nimi różnice przeciwstawiono na rysunkach 3.8. oraz 3.9. ¤¤ Realizacja czynności audytowych w odniesieniu do usług zapewniających charakteryzuje się większą swobodą działania audytora zarówno z punktu widzenia ustalenia zakresu badania, jak i jego charakteru. Z kolei w odniesieniu do czynności doradczych niezależność jest zdominowana przez wytyczne ze strony zleceniodawcy jako osoby zgłaszającej zapotrzebowanie na realizację danych usług w konkretnie ustalonym zakresie.
Jednakże nieodłącznym elementem obu rodzajów wykonywanych czynności jest konsultowanie cząstkowych oraz końcowych ustaleń poczynionych w trakcie realizacji czynności audytowych – klientami audytu. Jest to niezwykle istotny aspekt pracy audytora i odnosi się
154
Rozdział III
Informacja / powiadomienie o przeprowadzaniu zadania
Proces zbierania wszelkich informacji na temat audytowanego obszaru
Analiza ryzyka na etapie zadania audytowego
Przygotowanie programu i harmonogramu realizacji zadania
Ograniczone badanie audytowe
Wstępne ustalenia, w tym ocena systemu kontroli wewnętrznej
Silny system
Spotkanie z audytowanymi celem przedstawienia założeń i zakresu badania
System słaby
Szczegółowe badanie audytowe
Wyciągnięcie wniosków
Projekt sprawozdania z audytu
Spotkanie podsumowujące ustalenia z audytu
Zamknięcie zadania audytowego
Ewentualne uwagi do raportu
Sprawozdanie / Raport z audytu
Rysunek 3.8. Proces realizacji czynności zapewniających Źródło: opracowanie własne.
155
Proces realizacji czynności audytowych Zlecenie wykonania zadania audytowego
Ustalenie zakresu badania audytowego ze zleceniodawcą
Informacja / powiadomienie o przeprowadzaniu zadania
Proces zbierania wszelkich informacji na temat audytowanego obszaru
Konsultacja ze zleceniodawcą
Ograniczone badanie audytowe
Konsultacja ze zleceniodawcą
Wstępne ustalenia, w tym ocena systemu kontroli wewnętrznej
Silny system
Konsultacja ze zleceniodawcą
System słaby
Konsultacja ze zleceniodawcą
Brak polecenia dalszego badania
Polecenie dalszego badania
Szczegółowe badanie audytowe
Konsultacja ze zleceniodawcą
Wyciągnięcie wniosków
Opinia audytora na temat badanego obszaru
Podjęcie decyzji przez zleceniodawcę w sprawie wdrożenia zalecań audytu
Rysunek 3.9. Proces realizacji czynności doradczych Źródło: opracowanie własne.
156
Rozdział III
do usprawniania badanych obszarów poprzez wymianę informacji, bieżące korygowanie słabości systemu kontroli wewnętrznej oraz proponowanie rozwiązań pojawiających się problemów. W ramach realizowanych czynności audytowych można wykorzystywać różne techniki badania audytowego, które zostały przedstawione w następnych częściach rozdziału. Ostatni etap realizacji zadania audytowego stanowi zakończenie czynności audytowych. Ma on na celu sformułowanie oceny na temat funkcjonujących mechanizmów kontrolnych oraz opinii o skuteczności i jakości systemu kontroli wewnętrznej. W odniesieniu do mechanizmów kontrolnych audytor powinien wskazać, czy są one odpowiednio dostosowane do zidentyfikowanego ryzyka oraz w sposób wystarczający ograniczają potencjalne zagrożenia. Z kolei w ramach oceny systemu kontroli wewnętrznej audytor powinien dostarczyć informacji, w szczególności, czy: • cele organizacji zostały jasno określone i są realizowane, • wprowadzono procedury monitorowania realizacji celów, • procedury te są aktualne i przestrzegane, • organizacja posiada narzędzia pomiaru efektywności i skuteczności realizacji celów, • ryzyko związane z osiągnięciem celów jest identyfikowane, oceniane i zarządzane. Opinia o stanie kontroli wewnętrznej jest bardzo ważnym elementem pracy audytu, stanowi ona kluczową informację na temat prawidłowości, efektywności i skuteczności działania jednostki w badanym obszarze. Powinna ona w szczególności uwzględniać w odniesieniu do audytowanego obszaru: • opis kluczowych ryzyk, • ocenę przyjętych w odniesieniu do kluczowych ryzyk mechanizmów kontrolnych, • zidentyfikowane słabości systemu w ramach funkcjonujących mechanizmów kontrolnych i ich wpływ na audytowany obszar, • wskazanie korzystnych aspektów przyjętych mechanizmów kontrolnych w odniesieniu do ograniczania zmaterializowania się ryzyka, • ogólną oceną badanego obszaru biorąc pod uwagę powyższe kwestie.
Proces realizacji czynności audytowych
157
¤¤ Ogólna ocena audytu powinna dostarczać zarządzającemu organizacją informacji na temat trafności przyjętych mechanizmów kontrolnych i ich skuteczności co do ograniczania zmaterializowania się ryzyka.
Audyt nie powinien kwestionować przyjętej przez zarząd polityki w zakresie sprawowania kontroli, ale starać się zwrócić uwagę na brakujące elementy oraz wpływ obowiązujących procedur na efektywność funkcjonowania organizacji. Zadaniem audytora jest przede wszystkim promowanie gospodarności i skuteczności oraz zachęcanie do ciągłej poprawy działania jednostki. Stąd, opinia o systemie kontroli wewnętrznej stanowi nieodzowny element sprawozdania z audytu, którego sposób i forma zostały opisane w kolejnych częściach niniejszego rozdziału. 3.2.2. Metody i techniki wykorzystywane w audycie Trudno jest jednoznacznie wskazać metody i narzędzia, jakimi powinien posługiwać się audytor w swojej pracy. W literaturze przedmiotu wskazuje się wiele technik audytowych, należy jednak pamiętać, że powinny być one dostosowane do specyfiki badanego obszaru oraz umiejętności audytora. Nie można jednoznacznie przypisać określonych narzędzi do konkretnych rodzajów świadczonych usług czy wykonywanych czynności, w każdym przypadku ich zastosowanie zależy od indywidualnego wyboru audytora41. Celem dalszych rozważań niezbędne jest wyjaśnienie terminów „metodologia”, „metoda” i „technika”. Metodologia wiąże się z poszukiwaniem, opracowywaniem i badaniem przydatności poszczególnych metod. Metoda to określony sposób świadomego postępowania, zapewniający osiągniecie założonego celu, stwarza możliwość powtarzalności działania poprzez zastosowanie wybranych technik. Z kolei technika to „sposób wykonywania określonej pracy”, obejmujący wykorzystywane sposoby, narzędzia i umiejętności42. Zatem technika stanowi zbiór 41 T. Kuzikiewicz, Audyt wewnętrzny w jednostkach sektora finansów publicznych, Wydawnictwo Difin, Warszawa 2007, s. 113. 42 Słownik współczesnego języka polskiego, t. 2, Przegląd Reader’s Digest, Warszawa 1998, s. 417.
158
Rozdział III
narzędzi i sposób realizacji składających się na określoną metodę, a ta w połączeniu z innymi metodami kształtuje metodologię stosowaną przez audytora. Dokonując wyboru metody audytu, należy kierować się następującymi kryteriami43: • jasnością i zrozumiałością, • ukierunkowaniem na cel badania audytowego, • skutecznością w osiągnięciu założonego celu, • efektywnością poprzez osiągnięcie założonego celu przy optymalnym stopniu zużycia środków i czasu. Metoda, jaka zostanie wybrana przez audytora, powinna być tak określona, aby była zrozumiała, zarówno, dla audytora, audytowanego, jak i osób zainteresowanych wynikami podjętych czynności audytowych. Stosowanie zbyt skomplikowanych narzędzi jest nie tylko czasochłonne, ale również może budzić wątpliwości w aspekcie poczynionych ustaleń audytowych oraz wyciąganych na ich podstawie wnioskach. Wybór metody badawczej powinien być dostosowany do założonego celu, jaki audytor chce osiągnąć. W tym przypadku należy kierować się kryteriami oceny, jeżeli założeniem audytora jest dążenie do sprawdzenia zgodności i legalności działania danego obszaru, metoda audytu powinna koncentrować się na porównaniu stanu faktycznego z wymaganym, jeśli z kolei ocenie ma być poddana efektywność i skuteczność obszaru, wówczas powinna być ona ukierunkowana na analizę mierników i wskaźników44 bądź opierać się na innych kryteriach oceny skuteczności działania. Wśród metod badania audytowego można wyróżnić w szczególności metody45: • dedukcji i indukcji, • oceny pełnej i wyrywkowej, 43 Zob. J. Pfaff, Metodyka realizacji czynności kontrolnych, [w:] Kontrola wewnętrzna w jednostkach gospodarczych, red. K. Winiarska, PWE, Warszawa 2010, s. 186–190. 44 Zob. R.S. Kaplan, D.P. Norton, Mapy strategii w biznesie. Jak przełożyć wartości mierzalne na wyniki, Gdańskie Wydawnictwo Psychologiczne, Sopot 2011, s. 10–28. 45 Por. ibidem.
Proces realizacji czynności audytowych
159
• bezpośrednie i pośrednie, • konfrontacji i koherentną. Metoda dedukcji wiąże się z badaniem zdarzenia przeszłego i niezbędne jest zweryfikowanie przyczyn, które je wywołało, celem podjęcia działań ograniczających pojawienie się niepożądanych zjawisk w przyszłości. Metoda ta jest działaniem ex-post, czyli po fakcie, stąd powinna być rzadko wykorzystywana w audycie. Znacznie częstsze zastosowanie posiada metoda indukcji, która oznacza badanie różnych obszarów, procesów i zjawisk zachodzących w organizacji pod względem skuteczności funkcjonujących w ich strukturze mechanizmów kontrolnych, a w oparciu o ustalone fakty formułowane są wnioski mające na celu doskonalenie działania instytucji. Metoda ta jest działaniem ex-ante, czyli prewencyjnym, w ramach której na podstawie zidentyfikowanego i ocenionego ryzyka audytorzy zabezpieczają system kontroli wewnętrznej przed ewentualnymi skutkami niepowodzeń. Metody oceny pełnej i wyrywkowej odnoszą się do wielkości badanej populacji. Audytor może dokonać weryfikacji całego zbioru danych bądź tylko jego części. Metoda oceny pełnej z pewnością jest bardziej pracochłonna, ale znacznie dokładniejsza, pozwala uniknąć pominięć i uogólnień. Z kolei metoda oceny wyrywkowej jest obarczona ryzykiem nieujęcia w badaniu audytowym danych obciążonych znaczącym błędem. Dlatego też każdy dobór próby powinien odbywać się poprzez zastosowanie techniki losowania warstwowego bądź grupowego, które polegają na podziale populacji na warstwy bądź grupy, biorąc pod uwagę pewne cechy charakterystyczne46. Jako przykład może posłużyć populacja składająca się z dokumentów księgowych, jakimi są faktury. Celem dokonania podziału tak określonej populacji należy dokonać jej rozwarstwienia na przykład z punktu widzenia rodzaju asortymentu, którego dotyczą dokumenty księgowe. W tym zakresie można je uszeregować z uwagi na faktury dotyczące zakupu: materiałów biurowych, sprzętu IT, mebli, artykułów spożywczych itd. W ramach tak określonych warstw w dalszej kolejności należy każdą z nich podzielić na grupy odnoszące się na przykład do wartości faktury, przyjmując prze46
Szerzej, R. Moeller, Nowoczesny audyt…, s. 299–308.
160
Rozdział III
działy od 10–100 zł, 101–500 zł, 501–1000 zł itd., aż do górnej granicy zakupów opiewających na najwyższą kwotę w danej warstwie. Aby próba badawcza była jak najbardziej zróżnicowana i precyzyjna, z każdej warstwy w ramach wszystkich grup należy pobrać odrębną próbę. W ten sposób z każdej grupy ustalonej z punktu widzenia wartości zakupionego asortymentu pobrana zostanie próba. Warto w tym miejscu wspomnieć, iż warstwowy dobór próby nie tylko dotyczy procesów ilościowych, ale również działań operacyjnych. Losowanie warstwowe możemy również zastosować w odniesieniu do szczegółowych wytycznych czy regulacji przyjętych w jednostce, dzieląc je na warstwy tematyczne i pobierając z każdej z nich próbę do badania. Takie działanie zapobiega koncentracji wyłącznie na wąskich aspektach i pozwala rozszerzyć zakres audytu, uwzględniając zagrożenia odnoszące się do różnych elementów badanej populacji. Metody bezpośrednia i pośrednia odnoszą się do poziomu ogólności badania danego obszaru. W odniesieniu do pierwszej metody audytor ogranicza się do koncentracji na jednym problemie i analizuje bezpośrednie przyczyny jego powstania, druga metoda dotyka pośrednio wykonywanych czynności, bez koncentracji na samej istocie tak, aby zweryfikować środowisko otaczające proces, jednostkę czy zasoby. Zarówno jedna, jak i druga metoda powinny być wykorzystywane przez audytorów celem kompleksowego podejścia do oceny działalności organizacji, zidentyfikowania potencjalnych zagrożeń oraz oceny ich stanu, a także czynników je wywołujących. Ostatnia z grupy metod badania audytowego obejmuje metody konfrontacji i koherencji. Pierwsza z nich dotyczy oceny stanu faktycznego i jego weryfikacji z przyjętymi przepisami, regulacjami wewnętrznymi czy standardami określana również badaniem zgodności. Druga wiąże się z poszukiwaniem, poprzez podejmowanie czynności audytowych, spójności, integralności pomiędzy procesami zachodzącymi w organizacji, z ukierunkowaniem ich na ogólną poprawę działania jednostki. Metodę oceny audytowej kształtuje dobór odpowiednich technik. Wybierając określoną technikę badania, audytor powinien kierować się47: Ibidem, s. 114.
47
Proces realizacji czynności audytowych
161
• celem zadania audytowego; • cechami podmiotu, który jest audytowany; • obszarem audytu i specyfiką zadania audytowego; • oceną ryzyka dotyczącego badanego obszaru, • poziomem wiedzy audytorów uczestniczących w przedmiocie audytu, • umiejętnościami i predyspozycjami posiadanymi przez audytora w zakresie stosowania określonych technik. Oprócz związku określonych technik z realizowanym zadaniem audytowym, ich wybór powinien być dostosowany również do etapu procesu audytowego, inne bowiem techniki są przydatne we wstępnej fazie audytu i podczas jego planowania, inne podczas przeprowadzania czynności audytowych, a jeszcze inne na etapie końcowym. Jednocześnie należy zaznaczyć, że niektóre techniki bądź ich elementy mogą się pojawiać na każdym etapie audytu i łączyć się z innymi technikami lub je uzupełniać. Wybór technik jest głównie podyktowany oceną sytuacji, subiektywnymi preferencjami oraz wiedzą i doświadczeniem audytora. O zastosowaniu jednej z nich decyduje zawsze audytor. W przypadku technik o charakterze uniwersalnym mogą być one wykorzystywane w różnych sytuacjach i na wszystkich etapach prac audytu. Techniki specjalistyczne mają ograniczone pole zastosowań i mogą być użyte tylko w określonych przypadkach48. Nie ma jednoznacznych wskazówek co do wyboru optymalnej techniki audytowania, jednak audytor powinien kierować się zasadą, że zastosowane sposoby, metody i narzędzia mają służyć skutecznej realizacji celów zadania audytowego. Wykorzystywane na poszczególnych etapach techniki audytowe mogą się przeplatać i uzupełniać, pozostając we wzajemnym związku, przy czym audytor powinien mieć świadomość, że są one obarczone różnym stopniem ryzyka. Techniki badania stosowane w audycie można podzielić na trzy zasadnicze grupy49: • flowcharty; 48 49
Ibidem. K.H. Spencer Pickett, The Essential Handbook…, s. 229.
162
Rozdział III
• transakcje testowe, a wśród nich testy i techniki testowania; • kwestionariusze kontroli wewnętrznej. Flowcharty polegają na przedstawieniu przebiegu badanego systemu funkcjonującego w ramach organizacji w postaci schematu (np. proces rekrutacji pracowników), co pozwala go lepiej poznać oraz wychwycić mechanizmy kontrolne zastosowane w danym obszarze. Przy posługiwaniu się tą techniką bardzo pomocna może okazać się znajomość zarządzania procesowego, które wskazuje kryteria i reguły, jakimi się kierować, aby zachować przejrzystość procesu i jednocześnie wychwycić jego słabe punkty50. Flowcharty określane są graficzną analizą procesu, czyli techniką umożliwiającą przejście przez dany proces od początku do końca. W celu ich wykonania wykorzystuje się diagramy bądź tabele umożliwiające zobrazowanie przeprowadzanych czynności w ramach danego procesu. Elementami, na które należy w tym zakresie zwrócić szczególną uwagę, są: • przebieg procesu obrazujący ciąg następujących po sobie czynności; • wskazanie osób odpowiedzialnych, tzw. właściciela bądź właścicieli procesu; • czas trwania procesu w tym liczbe osób i komórek włączonych w jego realizację; • koszt realizacji procesu w formie zaangażowanych środków. Można wyróżnić trzy formy sporządzania diagramów na potrzeby przeprowadzania czynności audytowych: • graficzna skoncentrowana na czynnościach procesu, • graficzna ukierunkowana na osoby zaangażowane w proces, • tabelaryczna. Pierwsza z metod prezentuje ciąg czynności zachodzących w danym procesie. Do sporządzenia diagramu można wykorzystywać różne figury geometryczne, znaki i obrazki wskazujące na daną czynność (np. romb oznacza podjęcie decyzji)51. Ważnym aspektem opracowy50 Zob. S. Drejewicz, Zrozumieć BPMN. Modelowanie procesów biznesowych, Wydawnictwo Helion, Gliwice 2012, s. 5–8. 51 Zob. G.W. Cosserat, N. Rodda, Modern Auditing, 3nd ed., John Wiley & Sons, Ltd. United Kindom, 2009, s. 262–263.
Proces realizacji czynności audytowych
163
wania graficznej analizy procesu jest bezpośrednie odzwierciedlenie faktycznie podejmowanych działań. Nie dozwolone jest dopisywanie czynności, które faktycznie nie zachodzą w procesie, ale logika wskazuje na to, że powinny. Wszystkie dodatkowe czynności stanowią formę usprawnienia procesu ze strony audytora, co stanowi efekt zaleceń audytu. Przy tworzeniu procesu swoje ustalenia audytor opiera wyłącznie na faktach. Przykład graficznej prezentacji procesu przedstawia rysunek 3.10.
Czynność 1
Czynność 2
Czynność 3
Wprowadzenie danych
Czynność 4
Dokumenty
Czynność 5 Nie Czynność 6
Decyzja Tak Czynność 7
Dokument
Rysunek 3.10. Graficzna prezentacja procesu skoncentrowana na czynności procesu Źródło: opracowanie własne.
Druga metoda nawiązuje do pierwszej, przy czym poszczególne czynności procesu odnoszą się do osób je wykonujących, tzw. uczestników procesu, przykład prezentuje rysunek 3.11.
164
Rozdział III
Uczestnik 1
Uczestnik 2
Uczestnik 3
Czynność 3
Czynność 4
Uczestnik 4
Czynność 1
Czynność 2
Czynność 6
Czynność 5 Czynność 7
Rysunek 3.11. Graficzna prezentacja procesu ukierunkowana na osoby w niego zaangażowane Źródło: opracowanie własne.
Przedstawiona forma graficzna uwzględnia nie tylko czynności, ale również wskazuje ich podział pomiędzy poszczególne osoby, dzięki czemu pozwala zmierzyć zaangażowanie uczestników w faktyczną realizację procesu. Ostatnia forma prezentacji to tabela obejmująca zestawienie, w następującej po sobie kolejności, czynności procesu, a także podejmowane w ich ramach działania weryfikacyjne oraz osoby je realizujące – uczestników procesu. Uwzględnia ona wszystkie elementy analizy w formie diagramu, a dodatkowo obejmuje zestawienie mechanizmów kontrolnych odnoszących się do poszczególnych czynności procesu. Przykład takiej tabeli zamieszczono poniżej – tabela 3.6. Elementy uwzględnione w tabeli stanowią jej podstawowe składowe, które mogą być rozbudowywane np. o dokumentację biorącą udział w procesie, wspomaganie systemami komputerowymi, terminy czy koszt realizacji poszczególnych czynności i inne. Ich dobór powinien być uzależniony od potrzeb osoby sporządzającej tabele, dokonującej weryfikacji przebiegu procesu, czyli audytora.
Proces realizacji czynności audytowych
165
Tabela 3.6. Tabelaryczna forma prezentacji przebiegu procesu Nazwa czynności procesu
Osoba odpowiedzialna za wykonanie czynności
Mechanizm kontrolny
Czynność 1
Mechanizm kontrolny 1 Mechanizm kontrolny 2
Uczestnik 1
Czynność 2
Mechanizm kontrolny3
Uczestnik 2
Czynność 3
Mechanizm kontrolny 1 Mechanizm kontrolny 4
Uczestnik 1
Czynność 4
Brak mechanizmów kontrolnych
Uczestnik 3
Czynność 5
Mechanizm kontrolny 5
Uczestnik 1
…
…
…
Źródło: opracowanie własne.
Transakcje testowe w audycie mają na celu dostarczenie racjonalnego zapewnienia, że dany system działa w sposób prawidłowy oraz potwierdzić wstępną opinie audytu na temat mechanizmów kontrolnych funkcjonujących w badanym obszarze. Na proces testowania składa się wiele czynności, które zostały przedstawione na rysunku 3.12. Wśród transakcji testowych wyróżnia się testy i techniki testowania. Do pierwszej grupy transakcji testowych można zaliczyć pięć rodzajów testów praktykowanych w audycie52: • przeglądowe, • przejścia przez system (walkthrough), • zgodności (compliance), • istotności/wiarygodności (substantive), • dwufunkcyje (dual purpose). Opis testów prezentuje tabela 3.7.
52
Ibidem, s. 230.
166
Rozdział III Zdefiniowanie celu testu Zdefiniowanie strategii testu
Sformułowanie programu serii testów
Wykonanie testu
Sporządzenie dokumentacji
Interpretacja wyników
Ocena wpływu wyników testu na cele audytu
Sformułowanie opinii audytora w oparciu o wyniki testów
Rysunek 3.12. Proces testowania w audycie Źródło: opracowanie własne na podstawie K.H. Spencer Pickett, The Essential Handbook of Internal Auditing, Wiley & Sons Ltd, The Atrium, Southem Gate, Chichester 2005, s. 229. Tabela 3.7. Opis zastosowania testów Nazwa testu
Opis wykorzystania
1
2
Test przeglądowy Jest to wstępne badanie systemu, które pozwala audytorowi potwierdzić, że dobrze rozumie zasady jego funkcjonowania. Jego celem jest znalezienie dowodów potwierdzających istnienie kontroli oraz obserwacja systemu na poszczególnych jego etapach, aby stwierdzić, że kontrole na każdym etapie funkcjonują prawidłowo
Proces realizacji czynności audytowych 1
167
2
Test przejścia przez system (walkthrough)
Jego celem jest ocena funkcjonowania systemu / procesu od początku do końca poprzez potwierdzenie prawidłowości opisu systemu / procesu, jakim dysponuje audytor oraz zagwarantowanie jego zrozumienia. Niejednokrotnie zdarzają się sytuacje, kiedy audytor nie dysponuje opisem systemu / procesu bądź dana procedura działa w sposób nieformalny, wówczas od audytora wymaga się, aby sam zweryfikował jej działanie
Test zgodności (compliance)
Dostarcza dowodów na to, czy zarządzanie i procedury kontrolne funkcjonują jak zakładano oraz czy są efektywne. Test ten dostarcza również dowodów na przestrzeganie procedur oraz skuteczność mechanizmów kontrolnych
Test istotności/ wiarygodności (substantive)
Pozwala ocenić, czy cele kontroli zostały osiągnięte. Słaba jakość kontroli nie przyczynia się do osiągania celów, a testy istotności są zaprojektowane po to, aby potwierdzić informacje zamieszczone we wstępnym przeglądzie oraz ocenić wpływ ryzyka rezydualnego. Test istotności może oddzielić ryzyko, które materializuje się w postaci błędu, ograniczonych informacji, konkretnej straty czy utraty pieniędzy
Test dwufunkcyj- Test ten ma na celu rozpoznanie przydatności testów kontroli ny (dual purpose) gdzie można zastosować kombinacje testów zgodności i istotności. Jego założeniem jest np. sprawdzenie faktury pod względem płatności (test zgodności) i zasadności poniesienia kosztu (test istotności), bowiem niepraktycznym by było sprawdzanie faktur dwa razy za pomocą różnych testów Źródło: opracowanie własne na podstawie K.H. Spencer Pickett, The Essential Handbook of Internal Auditing, Wiley & Sons Ltd, The Atrium, Southem Gate, Chichester 2005, s. 236.
Na podstawie zadań, jakie mają do spełnienia poszczególne z opisanych powyżej testów, można wywnioskować, iż53: • testy przeglądowe oceniają, czy cele organizacji zostały osiągnięte; • testy przejścia przez system oceniają prawidłowość i spójność działania systemu, procesu bądź procedur; Ibidem, s. 231.
53
168
Rozdział III
• testy zgodności oceniają zastosowanie mechanizmów kontrolnych; • testy istotności określają, czy cele kontroli zostały osiągnięte; • testy dwufunkcyjne sprawdzają zgodność badanego obszaru z obowiązującymi procedurami oraz oceniają powstałe nieprawidłowości i nadużycia w tym zakresie, a także analizują skuteczność audytowanego obszaru. Związki pomiędzy testami przedstawiono na rysunku 3.13. CELE SYSTEMU KONTROLI
CELE KONTROLI
MECHANIZMY KONTROLNE
TESTY ZGODN.
TESTY ISTOTN.
TESTY PRZEG.
TESTY TESTY DWUFUN. PRZEJŚĆ.
Rysunek 3.13. Związki pomiędzy testami Źródło: opracowanie własne na podstawie K.H. Spencer Pickett, The Essential Handbook of Internal Auditing, Wiley & Sons Ltd, The Atrium, Southem Gate, Chichester 2005, s. 237.
Pomiędzy zastosowaniem poszczególnych rodzajów testów występują znaczące różnice, każdy z nich odnosi się bowiem do innego etapu zadania audytowego. Odniesienie tych testów do poszczególnych faz procesu audytu przedstawiono na rysunku 3.14. Zgodnie z rysunkiem 3.14 audytor na początku, za pomocą testów przeglądowych, przejścia przez system i zgodności ocenia siłę działania mechanizmów kontrolnych w jednostce. Na tej podstawie podejmuje decyzję o przeprowadzeniu testów istotności w formie ograniczonej bądź rozszerzonej. W przypadku funkcjonowania skutecznych mechanizmów
169
Proces realizacji czynności audytowych Testy przeglądowe
Testy przejścia
Testy zgodności
Mechanizmy kontroli odpowiednie
Mechanizmy kontroli nieodpowiednie
Zgodne z ...?
Rozszerzone testy istotności
nie tak
Ograniczone testy istotności
Opinia audytu i rekomendacje Raport i informacja zwrotna
Rysunek 3.14. Odniesienie testów do etapów realizacji czynności audytowych Źródło: opracowanie własne na podstawie K.H. Spencer Pickett, The Essential Handbook of Internal Auditing, Wiley & Sons Ltd, The Atrium, Southem Gate, Chichester 2005, s. 237.
kontrolnych audytor przeprowadza ograniczone testy istotności. W sytuacji, gdy kontrole są nieefektywne, dokonywane jest szczegółowe badanie systemu i w tym celu wykorzystuje się rozszerzone testy istotności. Decyzja, jaki zakres należy testować, powinna zawsze wynikać z siły bądź słabości systemu kontroli wewnętrznej. Przy przeprowadzaniu testów audytor powinien wziąć pod uwagę takie czynniki, jak54: • relatywne ryzyko, 54 K.H. Spencer Pickett, Internal Auditor at Work. A Practical Guide to Everyday Challenges, John Wiley & Sons, Inc., Hoboken, New Jersey, 2004, s. 190; idem, The Essential Handbook…, s. 229, 238.
170
Rozdział III
• ustalenia z poprzedniego audytu bądź kontroli (jeśli miały miejsce), • opinie kierownictwa oraz informacje od właścicieli audytowanego obszaru, • cele zadania audytowego, • czas niezbędny do przeprowadzenia testów, • potrzeby kierownictwa organizacji, • własne doświadczenie, • dostępność dowodów do badania, • koszty zastosowania technik audytowych, • ocenę systemu kontroli wewnętrznej. Drugą grupą transakcji stosowanych w audycie są techniki testowania. Przy ich pomocy można zgromadzić dowody niezbędne do przeprowadzenia danego testu. Jest wiele technik, a ich liczba i rodzaj jest ograniczony tylko przez wyobraźnię i doświadczenie audytora. Najbardziej znane z nich przedstawiono w tabeli 3.8. Tabela 3.8.Techniki testowania w audycie Techniki testowania
Opis
1
2
Czynności odtworzeniowe, Sprawdzenie wyliczeń bądź procedur mogących dostarpowtórzenie (re-perforczyć wiarygodnych dowodów. Technika ta umożliwia mance) audytorom wyjaśnienie zasadności i celowości transakcji realizowanych w ramach obszaru, który jest przedmiotem zadania audytowego. Jest ona szczególnie istotna, jeśli audytor chce zweryfikować funkcjonowanie zidentyfikowanego ryzyka Obserwacja (observation) Użyteczna metoda gromadzenia przez audytora informacji dostępnych z tzw. pierwszej ręki Potwierdzenie (corroboration)
Fakty ustalone w ramach funkcjonowania jednego obszaru są porównywane z informacjami pochodzącymi z innego źródła. Technika ta jest dobrym sposobem weryfikacji dokładności ustalonych przez audytora faktów
Przegląd, kontrola, weryfi- Audytor ustala, czy dana transakcja faktycznie miała kacja (inspection) miejsce i została prawidłowo udokumentowana. Jego zadaniem jest ocenić mechanizmy kontrolne funkcjonujące w danym zakresie
Proces realizacji czynności audytowych 1
171
2
Zgodność (reconciliation) Badanie zgodności procesu poprzez jego sprawdzenie z obowiązującymi regulacjami wewnętrznymi i zewnętrznymi Opinia eksperta (expert opinion)
Pozyskanie opinii z niezależnego źródła, którą audytor może, ale nie musi wykorzystać
Wywiad (interviews)
Jedna z prostszych technik, przy pomocy której można zgromadzić wiele faktów oraz wyjaśnić wątpliwe kwestie
Przegląd opublikowanych Pozyskiwanie informacji z innych źródeł dostarczających raportów (review of pub- dowodów przedstawionych w raporcie, które mają wpływ lished reports/ research) na badany obszar Niezależne potwierdzenie Technika polegająca na potwierdzaniu przez niezależną (independent confirmation) osobę faktów ustalonych przez audytora Otrzymanie usługi przez klienta (receiving service as a client) bądź test gwarancji (vouching)
Polega na zatwierdzeniu procesu lub transakcji z wymaganą dokumentacją, np. zestawienie faktur dla dostawcy z zamówieniem na dostawę i dokumentem magazynowym potwierdzającym przyjęcie towaru
Modele matematyczne (mathematical models)
Audytor może skonstruować model, który będzie używany jako kryterium oceny szczególnych cech działalności jednostki audytowanej
Kwestionariusze (question- Formalne przeglądy, które służą ocenie audytowanego procesu bądź obszaru działalności jednostki naires) Porównanie (comparison) Sprawdzenie pozyskanych informacji z faktami lub standardami bądź innymi regulacjami Satysfakcjonujący przegląd (user satisfaction surveys)
Uzyskanie informacji zwrotnej od osoby, która użytkuje produkt bądź usługę, poprzez opinię o danej rzeczy czy usłudze od osoby go (ją) użytkującej
Źródło: opracowanie własne na podstawie K.H. Spencer Pickett, The Essential Handbook of Internal Auditing, Wiley & Sons Ltd, The Atrium, Southem Gate, Chichester 2005, s. 238.
Kolejna grupa technik badawczych wykorzystywanych w audycie to kwestionariusze kontroli wewnętrznej. Są one używane w celu oceny funkcjonujących w ramach danego obszaru mechanizmów kontrolnych. Składają się na nie serie pytań odnoszących się do konkretnych działań i dopuszczających jedynie odpowiedź „tak” lub „nie”, zaprojektowane
172
Rozdział III
po to, aby wychwycić słabości w systemie. Przykładowy kwestionariusz zamieszczono w tabeli 3.9. Tabela 3.9. Kwestionariusz kontroli wewnętrznej
Pytania
Tak
Nie
Test audytu nr /Dowody potwierdzające
Nazwa ocenianego obszaru Cel kontroli: Zapewnienie, że audytowany proces funkcjonuje prawidłowo Pytanie 1. Czy wyznaczono osobę odpowiedzialną za prawidłową realizację audytowanego procesu? Pytanie 2. Czy oceniane jest ryzyko w zakresie funkcjonowania audytowanego procesu? Pytanie 2. Czy na każdym etapie realizacji procesu wprowadzono mechanizmy kontrolne? Pytanie 3. Czy działanie i użyteczność tych mechanizmów jest na bieżąco weryfikowana? Itd. Źródło: opracowanie własne.
Poza opisanymi technikami audytor podczas realizacji zadania może posłużyć się także innymi metodami. Można do nich zaliczyć metody statystycznych prób losowych – próbkowanie (wnioskowanie odnośnie do całej populacji badanej na podstawie badania próby statystycznej) oraz metody analityczne. Metody statystyczne opierają się na wykorzystaniu różnych wzorców statystycznych pozwalających dobrać próbę do badania, jednak to metody analityczne cieszą się zdecydowanie większym uznaniem audytorów. Wśród tych ostatnich istotną rolę odgrywają takie analizy, jak: wskaźnikowa, koszt – korzyść, efektywności kosztowej, trendów, czy prognostyczna.
Proces realizacji czynności audytowych
173
W audycie można wykorzystywać wiele innych metod, zdaniem Sawyersa, bez względu na stosowane techniki, działania audytu powinny sprowadzać się przede wszystkim do55: • zrozumienia audytowanych (klientów audytu) oraz uwzględnienia w badaniu ich potrzeb, • traktowania audytu jako usługi nakierowanej na zysk w postaci wartości dodanej, • stosowania zasad jakościowych oraz opracowywania miar wyników działań, • przeprowadzania działań audytowych i kontrolnych w celu usprawniania działalności jednostki, • pełnienia roli inicjatora zmian w organizacji, • regularnego porozumiewania się w ramach audytu z klientami (audytowanymi), • podkreślania satysfakcji zawodowej audytorów. Audytorzy nie muszą korzystać ze wszystkich wymienionych technik badania, ale powinni oni tak dobierać narzędzia, aby jak najlepiej oceniany obszar zrozumieć. Nie jest istotne, ile technik zostanie zastosowanych, ważne jest, czy audyt przyczyni się do usprawnienia systemu, a tym samym przysporzenia jednostce wartości dodanej.
3.3. Raportowanie wyników z działalności audytu Raportowanie stanowi jeden z najważniejszych etapów pracy audytora. Ma ono na celu dostarczenie informacji kierownictwu organizacji o wynikach podejmowanych i zrealizowanych działań audytowych, a także prezentację obiektywnych faktów, wskazanie słabych stron systemu kontroli wewnętrznej i zaproponowanie usprawnień ułatwiających podejmowanie decyzji56. Jest to sposób na zwrócenie uwagi zarządzających na problemy pojawiające się w funkcjonowaniu jednostki57. L.B. Sawyer, M.A. Dittenhofer, J.H. Scheiner, Sawyer’s Internal Auditing, 4 ed., The Institute of Internal Auditors, Florida 1996, s. 278. 56 T. Kuzikiewicz, Audyt wewnętrzny…, s. 209. 57 L.B. Sawyer, M.A. Dittenhofer, J.H. Scheiner, Sawyer’s Internal Auditin…, s. 279. 55
th
174
Rozdział III
¤¤ Raportowanie w audycie, podobnie jak planowanie i analiza ryzyka, odbywa się na dwóch poziomach: • sprawozdawczości okresowej, • sprawozdania z zadania audytowego.
Sprawozdawczość okresowa obejmuje: • raporty z zakresu realizacji okresowych planów audytu, • raporty z zakresu wewnętrznych i zewnętrznych ocen jakości funkcjonowania audytu, • sprawozdania z zakresu okresowej oceny systemu kontroli wewnętrznej. Raporty z realizacji okresowych planów audytu są sporządzane po upływie określonego czasu celem zaprezentowania stopnia jego realizacji. Zawierają one informacje o przeprowadzanych czynnościach audytowych, wykorzystanych zasobach czy pojawiających się zagrożeniach w realizacji założonego planu. Odbiorcami raportów są reprezentanci najwyższego kierownictwa organizacji oraz rada, jeśli została powołana. Sprawozdania obejmujące ocenę jakości funkcjonowania audytu stanowią element poprawy jakości pracy audytu. Zawierają one informacje zarówno z zakresu ocen wewnętrznych, jak i zewnętrznych. Są prezentowane kierownictwu jednostki okresowo wraz z propozycją ewentualnej poprawy działań audytu w przyszłości. Oceny te zostały szerzej opisane w kolejnej części opracowania. Trzeci rodzaj dokumentu to sprawozdanie z okresowej oceny systemu kontroli wewnętrznej, które obejmuje kluczowe ryzyko zidentyfikowane i poddane ocenie w wyniku przeprowadzanych czynności audytowych oraz informacje o słabościach systemu w ramach audytowanych obszarów. Sprawozdanie to jest bardzo znaczące, ponieważ dostarcza danych z zakresu odpowiedniości i skuteczności funkcjonujących mechanizmów kontrolnych, a także propozycje ich usprawnienia. Jest ono kierowane do najwyższego kierownictwa jednostki, aby poinformować je o ewentualnych zagrożeniach w systemie zarządzania. Powinno być składane okresowo, jednakże nie rzadziej niż raz na kwar-
Proces realizacji czynności audytowych
175
tał tak, aby możliwe było podjęcie ewentualnych działań zaradczych w stosunku do zidentyfikowanych zagrożeń. Ostatnia grupa sprawozdań dotyczy działań audytowych zrealizowanych w ramach wybranego na podstawie analizy ryzyka bądź na wniosek zleceniodawcy obszaru badania. Prezentuje ono stwierdzony stan faktyczny, a także zalecenia, jakie powinny zostać podjęte przez kierownictwo jednostki w celu wzmocnienia systemu kontroli wewnętrznej przyjętego w instytucji. Sprawozdanie z zadania audytowego powinno przedstawiać rzeczywisty obraz, zawierać ogólną opinię audytora, jego wnioski oraz rekomendacje ukierunkowane na usprawnienie funkcjonowania audytowanego obszaru. Forma i zawartość informacji ujętych w dokumencie może być różna w zależności od organizacji lub rodzaju świadczonych usług audytowych. W sprawozdaniu mogą zostać wymienione jednostki organizacyjne i czynności poddane ocenie, a także informacje wyjaśniające. Może ono również zawierać dane dotyczące obserwacji, wniosków i zaleceń poczynionych w trakcie przeprowadzanych czynności audytowych oraz wskazywać, czy sprawozdanie obejmuje zaplanowane zadanie, czy też stanowi odpowiedź na zapotrzebowanie zleceniodawcy58. W sprawozdaniu powinna być również zawarta informacja wyjaśniająca dla czytelnika, jakie były założenia audytu. W określeniu zakresu powinny zostać wskazane procesy oraz okres objęty zadaniem audytowym. Działania nieuwzględnione w badaniu audytowym należy wymienić w celu dookreślenia granic czynności audytowych tak, aby jego zakres nie budził żadnych wątpliwości. Ponadto sprawozdanie winno zawierać opis rodzaju wykonywanych prac59, ocenę systemu kontroli wewnętrznej oraz propozycje działań doskonalących. Przykładowe elementy, jakie obejmuje sprawozdanie, zamieszczono w tabeli 3.10. Bez względu na formę każde sprawozdanie z czynności audytowych powinno zawierać stwierdzone fakty, ryzyka, wnioski i rekomendacje. Kategorie te są ze sobą powiązane, ponieważ60: Practice Advisories…, s. 175. Ibidem, s. 176. 60 K. Czerwiński, Audyt wewnętrzny…, s. 58. 58 59
176
Rozdział III
• ryzyka są skutkiem różnicy między wyznaczonymi wzorcami a faktycznymi ustaleniami, • rekomendacje odnoszą się do stwierdzonego ryzyka i przedstawiają sposoby jego ograniczenia. Tabela 3.10. Przykłady elementów składowych sprawozdania z zadania audytowego I. Cel, termin i zakres badania audytowego II. Opis ustaleń III. Wskazówki dotyczące wyeliminowania stwierdzonych nieprawidłowości IV. Prezentacja stanowiska audytora na temat systemu kontroli wewnętrznej I. Tytuł raportu II. Cel audytu III. Adresaci sprawozdania IV. Zakres i okres badania audytowego V. Zastosowana metodologia i przeprowadzone procedury kontrolne VI. Opinia audytora na temat systemu kontroli wewnętrznej I. Cel, terminy i zakres badania audytowego II. Ustalenia stanu faktycznego w oparciu o wybrane kryteria bądź ryzyka III. Przyczyny odstępstw od wymagań w oparciu o wybrane kryteria bądź ryzyka IV. Zalecenia w oparciu o odniesienie do wybranych kryteriów bądź ryzyk V. Ogólna ocena systemu kontroli wewnętrznej Źródło: opracowanie własne, por. R. Moeller, Nowoczesny audyt wewnętrzny, Oficyna a Wolters Kluwer business, Warszawa 2011, s. 444–455.
Zamieszczone w sprawozdaniu informacje powinny zawierać ustalenia, opinie, zalecenia audytorów oraz plany działania. Ustalenia i zalecania powstają w wyniku porównania tego, jak być powinno ze
Proces realizacji czynności audytowych
177
stanem rzeczywistym. Mniej istotne spostrzeżenia lub zalecenia mogą zostać przekazane w sposób nieformalny. Wnioski i opinie z kolei stanowią ocenę audytora odnośnie funkcjonowania systemu kontroli wewnętrznej. Wnioski powinny być czytelne, mogą one obejmować cały zakres zadania audytowego albo jego poszczególne elementy. Opinia może zawierać ogólną ocenę badanego obszaru lub być ograniczona wyłącznie do głównych procesów systemu kontroli wewnętrznej61. Sprawozdanie powinno zawierać zalecenia dotyczące ewentualnych usprawnień oraz wskazywać działania naprawcze. Zalecenia muszą być oparte na ustaleniach i wnioskach audytora oraz stanowić wskazówki dotyczące poprawy działania badanego obszaru. Mogą mieć one charakter ogólny lub szczegółowy. W niektórych okolicznościach pożądane jest przekazanie ogólnych zaleceń, aby pozostawić kadrze kierowniczej swobodę działania. W innych sytuacjach właściwym rozwiązaniem może być wskazanie konkretnych działań, jakie należy podjąć celem niezwłocznego ograniczenia poziomu ryzyka. Sprawozdanie z zadania audytowego powinno zostać przekazane audytowanym oraz kadrze kierowniczej po zakończeniu czynności audytowych. Dla najwyższego kierownictwa audytorzy mogą przygotować sprawozdanie uwypuklające kluczowe spostrzeżenia i wyniki poczynione w trakcie zadania audytowego. Dodatkowo audytor może, a nawet powinien, na etapie realizacji czynności audytowych informować kierownictwo i audytowanych o częściowych postępach prac oraz poczynionych ustaleniach. W tym celu może stosować formę sprawozdań wstępnych, fragmentarycznych czy ustnych62. Częstotliwość raportowania i rodzaj odbiorców poszczególnych rodzajów sprawozdań wskazano w tabeli 3.11. Procesowi raportowania w audycie, bez względu na rodzaj i formę sprawozdania, powinno towarzyszyć przestrzeganie kilku zasad, najważniejsze z nich zamieszczono w tabeli 3.12. 61 62
Ibidem, s. 177. Zob. Audyt wewnętrzny…, s. 214.
178
Rozdział III Tabela 3.11. Rodzaje raportów stosowanych w audycie
Nazwa raportu
Cel raportu
Odbiorca
Częstotliwość przekazywania informacji
1
2
3
4
Kierownik jednostki oraz Rada (jeśli funkcjonuje)
Okresowo – w trakcie trwania roku, a także na koniec okresu sprawozdawczego*
• Informacja o ocenach Sprawozdanie wewnętrznych, z oceny jakości audytu i poprawy • informacja o ocenach zewnętrznych, jego działania • propozycja poprawy działalności audytu
Kierownik jednostki oraz Rada (jeśli funkcjonuje)
Na koniec trwania okresu sprawozdawczego
Sprawozdanie z realizacji zadania audytowego
Kierownik jednostki, Rada jeśli istnieje, Kierownicy komórek audytowanych, a w przypadku czynności doradczych wybrane osoby audytowane zależnie od woli zleceniodawcy
Każdorazowo po zakończeniu czynności audytowych
Sprawozdania z realizacji planu okresowego audytu
• Informacja o obszarach ryzyka, które zostaną poddane ocenie audytowej w określonym czasie, • informacja o podejmowanych czynnościach audytowych (zapewniających i doradczych, monitorujących) w danym okresie czas.
• Ustalenia z przeprowadzonych czynności audytowych, • informacja o stwierdzonych zagrożeniach, • propozycje usprawnień, • informacja o stanie kontroli wewnętrznej
179
Proces realizacji czynności audytowych 1 Sprawozdanie z zakresu okresowej oceny systemu kontroli wewnętrznej
2 • informacja o realizacji okresowego planu, • informacja o podjętych działania przez komórki/ jednostki audytowane, • informacja o stanie kontroli wewnętrznej w odniesieniu do podejmowanych w danym okresie czynności audytowych
3 Kierownik jednostki oraz Rada (jeśli funkcjonuje)
4 Okresowo, po zakończeniu czynności audytowych oraz na koniec okresu sprawozdawczego
* Za okres sprawozdawczy należy rozumieć okres przyjęty przez audytora w ramach planowania czynności audytowych (rok, półrocze, kwartał). Źródło: opracowanie własne. Tabela 3.12. Zasady sporządzania sprawozdania z zadania audytowego Zasady sporządzania sprawozdania audytowego
Opis
1 Dokładność
2 Cecha ta wyraża się w uprawdopodobnieniu sprawozdania faktami. Niezmiernie ważne jest to dla zachowania wiarygodności komórki audytu i każdego audytora, aby zachować najwyższy poziom rzeczywistej, bezstronnej i obiektywnej sprawozdawczości
Obiektywizm
Wszelkie ustalenia powinny zostać oparte na faktach oraz przepisach prawa, regulacjach wewnętrznych oraz indywidualnej ocenie audytora
Jasność
Sprawozdanie powinno być zrozumiałe dla odbiorców informacji i nie wymagać interpretowania danych w nim zawartych ani ustnych wyjaśnień
Konstruktywność
Wszelkie wskazane słabości i uchybienia w systemie kontroli wewnętrznej powinny odnosić się do ryzyka oraz zawierać propozycje rozwiązania pojawiających się problemów i zagrożeń
180
Rozdział III Tabela 3.12 (cd.)
1 Kompletność
2 Ustalenia audytowe, wnioski oraz zaproponowane rozwiązania powinny odnosić się do przyjętego zakresu badania, zidentyfikowanego ryzyka oraz wniosków. Powinny być spójne z założonym celem badania i wyczerpujące
Kwantyfikacja
Należy dążyć, aby wszystkie ustalenia były powiązane z ryzykiem wyrażonym ilościowo, co pozwala na ustalenie wagi i skutków (wpływu) oddziaływania na organizację
Zwięzłość
Sprawozdanie powinno dotyczyć wyłącznie przedmiotu audytu
Zasadność
Należy brać pod uwagę wrażliwość klientów audytu, a także położyć nacisk na warunki poprawy, a nie na krytykę osób lub zdarzeń z przeszłości
Terminowość
Sprawozdanie powinno być złożone terminowo, po zakończeniu danego zadania
Źródło: opracowanie własne na podstawie Podręcznika audytu wewnętrznego w administracji publicznej, Ministerstwo Finansów, Warszawa 2003, s. 42; Definicja audytu wewnętrznego, kodeks etyki oraz Międzynarodowe standardy praktyki zawodowej audytu wewnętrznego, The Institute of Internal Auditors, Altamonte Springs, Florida, USA, s. 37.
Inne zasady, których warto przestrzegać, to m.in. unikanie sformułowań o zabarwieniu negatywnym, które mogą nie zawsze być właściwie odczytane. Nie jest również pożądane wskazywanie osób winnych powstałych zdarzeń. Należy podkreślić, że do zadań audytora nie należy określanie sprawców pewnych zajść, ale odniesienie się do ocenianego systemu jako całości. Audytora powinny przede wszystkim interesować mechanizmy kontrolne i ich umiejętność radzenia sobie z ryzykiem, dlatego też w sprawozdaniu mogą pojawić się komórki organizacyjne odpowiedzialne za realizacje danych zadań, ale uprawniony do wyciągnięcia ewentualnych konsekwencji w ich kierunku jest jedynie kierownik organizacji. Dobrą praktyką jest również zamieszczanie w sprawozdaniu informacji o charakterze pozytywnym w postaci podjęcia przez audytowanych z własnej inicjatywy bądź na wniosek audytora pewnych działań usprawniających jeszcze podczas trwania czynności audytowych.
Proces realizacji czynności audytowych
181
Proces raportowania audytu, aby być odpowiedni i skuteczny, powinien spełniać trzy podstawowe funkcje63: • dostarczać zapewnienia kierownictwu organizacji, że poziom zidentyfikowanych obszarów ryzyka jest monitorowany oraz że system kontroli wewnętrznej działa prawidłowo; • ostrzegać kierownictwo jednostki o obszarach, gdzie mogą wystąpić znaczące dla jednostki zagrożenia; • doradzać w zakresie podjęcia dodatkowych kroków celem usprawnienia systemu kontroli wewnętrznej, w tym zarządzania ryzykiem w organizacji. Ostatecznym adresatem dokumentacji generowanej na poziomie raportowania w audycie jest kierownictwo organizacji. Należy zatem pamiętać, że proces raportowania powinien być tak zorganizowany i realizowany, aby dostarczał zarządzającym informacji na temat prawidłowości funkcjonowania instytucji oraz wskazywał na mogące pojawić się zagrożenia, które będą miały znaczący wpływ na realizację jej celów.
3.4. Ocena jakości świadczenia usług audytowych Audyt jako narzędzie oceny i usprawniania organizacji powinien podlegać ocenie jakości z punktu widzenia realizowanych czynności. O jakości audytu decyduje zestaw czynności i działań podejmowanych przez audytorów celem spełnienia potrzeb i oczekiwań ustalonych lub przyjętych jako obowiązkowe bądź zwyczajowe64. Pojęcie jakości w audycie podkreślane jest zarówno w ramach Standardów IIA, jak i w literaturze przedmiotu. Standardy IIA65 wskazują, że audyt powinien podlegać zarówno wewnętrznej, jak i zewnętrznej ocenie jakości66. Oceny wewnętrzne K.H. Spencer Pickett, The Essential Handbook…, s. 253. Por. S. Nowak, Podręcznik wdrażania ISO 9001:2000, Wydawnictwo Helion, Gliwice 2007, s. 10. 65 Definicja audytu…, s. 21–22. 66 Zob. S.A. Pitt, Internal Audit Quality: Developing a Quality Assurance and Improvement Program, Wiley & Sons Ltd., 2014, s. 15–22. 63 64
182
Rozdział III
koncentrują się na monitorowaniu bieżącej realizacji działań audytowych. W ramach oceny bieżącej audytorzy mogą korzystać z następujących metod i narzędzi: • analizy ryzyka, • ankiety poaudytowej, • listy weryfikacji czynności i dokumentacji audytowej, • samooceny zespołu audytorskiego, • oceny audytu jako elementu samooceny systemu kontroli wewnętrznej. Analiza ryzyka odzwierciedla obszary zainteresowań audytu w oparciu o podejmowane działania. Pozwala w dłuższej perspektywie czasu ocenić, na ile inicjatywy podejmowane przez audytorów były trafne. Wysokiej jakości analiza ryzyka polega na dogłębnym oszacowaniu ryzyka i przeciwdziałaniu pojawiającym się zagrożeniom. Stąd o jakości funkcjonowania audytu z pewnością decyduje umiejętność, biegłość, należyta staranność zawodowa i profesjonalizm audytorów wykorzystywany w procesie analizy ryzyka, przekładający się na zasadność wyboru audytownych obszarów i formułowanych zaleceń. Ankieta poaudytowa jest narzędziem, które powinno być kierowane do każdej komórki organizacyjnej, która podlegała badaniu. Dokument ten obejmuje w szczególności zagadnienia dotyczące przygotowania audytora, sposóbu komunikacji, organizacji zadania audytowego i ewentualnych utrudnień powstałych w tym zakresie. Powinna być kierowana do osób objętych audytem po zakończeniu czynności audytowych. Lista weryfikacji czynności i dokumentacji audytowej (określana również jako checklista) obejmuje zestawienie zaplanowanych i zrealizowanych działań, zgodnie z przyjętym programem oraz w oparciu o funkcjonującą procedurę audytu w jednostce bądź standardy. Pozwala ocenić legalność postępowania audytorów według wytycznych w zakresie przeprowadzania czynności audytowych. Powinna być wykonywana przez audytora wiodącego po zakończeniu każdego zadania audytowego. Samoocena zespołu audytorskiego służy weryfikacji zgodności świadczonych usług audytowych w odniesieniu do wybranych stan-
Proces realizacji czynności audytowych
183
dardów, kodeksów etyki oraz innych uregulowań wewnętrznych bądź zewnętrznych przyjętych w jednostce bądź w kraju. Obejmuje ona wszelkie zagadnienia związane z działalnością audytu i jego organizacją oraz powinna być dokonywana wspólnie przez zespół audytowy przynajmniej raz do roku. Diagnoza audytu jako elementu samooceny systemu kontroli wewnętrznej odbywa się w formie oceny systemu zarządzania całej organizacji. Audyt stanowi kluczowy komponent systemu i stąd powinien być poddawanych weryfikacji. Dobrą praktykę w tym zakresie stanowi dokonywanie samooceny zarówno przez kierownictwo, jak i pracowników jednostki. Daje ona możliwość nie tylko pozyskania wiedzy o usługach audytowych, ale także podjęcia ewentualnych działań usprawniających w tym zakresie. Oceny zewnętrzne obejmują czynności wykonywane co najmniej raz na pięć lat przez wykwalifikowaną osobą, jednostkę bądź zespół osób67. Są one przeprowadzane przez niezależną instytucję i polegają na weryfikacji funkcjonowania oraz organizacji audytu w jednostce w oparciu o wytyczne, regulacje zewnętrzne czy wybrane standardy, w zależności od przyjętych w danym kraju norm. Ten rodzaj oceny budzi najwięcej kontrowersji przede wszystkim z tytuł wysokich kosztów. Stąd organizacje z podobnych środowisk czy branż mogą poszukiwać nieco prostszych i tańszych rozwiązań poprzez zastosowanie samooceny z potwierdzeniem jej wyników przez niezależną osobę spoza organizacji, ale ze zbliżonej branży. Szerokie zastosowanie tej metody może służyć praktykom benchmarkingu. Bez względu na przyjętą formę oceny pracy audytu, w ramach jego funkcjonowania powinien zostać opracowany program zapewnienia i poprawy jakości, który będzie odnosił się do wszystkich aspektów działania audytu oraz monitorował w sposób ciągły jego efektywność i skuteczność. Program powinien obejmować okresowe wewnętrzne i zewnętrzne oceny jakości pracy oraz wyniki bieżącego monitoringu. Jego głównym założeniem jest dążenie do usprawnienia działalności audytu poprzez eliminowanie pojawiających się błędów oraz ograniczanie ryzyka 67
Definicja audytu…, s. 22.
184
Rozdział III
występującego w tego rodzaju działalności68. Wszelkie aspekty dotyczące oceny jakości audytu są udokumentowane w formie sprawozdania z oceny audytu oraz prezentowane kadrze kierowniczej wraz ze stosownymi rekomendacjami. Poza opisanymi formami oceny jakości audytu, biorąc pod uwagę dotychczasową praktykę jego funkcjonowania, osobą, która zawsze dokonuje oceny działania audytu oraz jego przydatności, jest zarządzający jednostką. Kierownictwo z jednej strony stanowi klienta audytu, poprzez podleganie ocenie audytowej, jako właściciel wszystkich procesów, z drugiej jest zainteresowane poczynionymi ustaleniami i usprawnieniem systemu zarządzania. Zdaniem K.H. Spencera Picketta, o zapewnieniu jakości audytu można mówić jako o jednym ze standardów zarządzania. Według autora, na jakość audytu składa się m.in.69: • znajomość organizacji, • rozpoznanie i zbadanie problemów instytucji, • koncentrowanie się na reputacji organizacji i utrzymaniu jej pozycji na wysokim poziomie, • szukanie sposobów i źródeł utrzymania oraz podnoszenia jakości w instytucji, • posiadanie efektywnego i skutecznego systemu kontroli wewnętrznej, • utrzymywanie wykwalifikowanej kadry pracowniczej, zapewniającej jednostce wysoką jakość świadczonych usług, • promowanie kultury organizacyjnej, która zapewni jasne prawa i zasady postępowania. Bez względu na to, czy audytor świadczy usługi wewnątrz jednostki, czy też jako usługodawca zewnętrzny, na mechanizm zapewnienia jakości audytu składają się rozsądne i logiczne procedury, dobrze wyszkolona kadra oraz odpowiednie mechanizmy zarządzania ryzykiem. Audytorzy powinni być oceniani pod względem jakości, wydajności i użyteczności dla organizacji70, biorąc pod uwagę takie kryteria, jak: Ibidem. K.H. Spencer Pickett, The Essential Handbook…, s. 145. 70 Ibidem, s. 109. 68 69
Proces realizacji czynności audytowych
185
• przestrzeganie przyjętych standardów, regulacji i wytycznych; • poziom umiejętności, kwalifikacji i posiadanej wiedzy; • jasność sformułowania celów działania; • dobór metodologii, bądź połączenia kilku metodologii; • sporządzanie rzetelnej i opartej na faktach dokumentacji; • nadzór i monitoring sprawowany na każdym etapie prac audytu. Jeśli występują luki, niedopatrzenia choć w jednym z tych elementów może pojawić się ryzyko, które podważy wiarygodność całego procesu audytu. W każdej organizacji można przyjąć i stosować odmienne metody badania oraz wykorzystywać różne techniki testowania i oceny. Jednak należy pamiętać, że bez względu na ich zastosowane najważniejszy jest profesjonalizm samego audytora, który poprzez swoje działania powinien przysparzać wartość dodaną organizacji.
ROZDZIAŁ IV ORGANIZACJA I FUNKCJONOWANIE AUDYTU NA PRZYKŁADZIE POLSKIEJ GOSPODARKI 4.1. Struktura i kryteria oceny działalności audytu Funkcjonowanie audytu pomimo dążeń do ustanowienia jednolitych wytycznych w tym zakresie, na przykład w postaci Standardów IIA, jest zróżnicowane w zależności od organizacji, w której on działa, oraz kraju, gdzie jednostka prowadzi działalność. Wynika to ze specyfiki gospodarki oraz przyjętych uregulowań prawnych. Aby ukazać rozbieżności w zakresie organizacji i funkcjonowania audytu, posłużono się przykładem polskiej gospodarki rynkowej. W Polsce funkcjonowanie audytu zapoczątkowało wprowadzenie rewizji finansowej, o czym świadczy ustanowione Prawo o spółkach akcyjnych wprowadzone Rozporządzeniem Prezydenta Rzeczypospolitej z 22 marca 1928 r.1 Zgodnie z nim, zadaniem biegłych rewidentów było badanie sprawozdań finansowych spółek akcyjnych, a także coroczne sporządzanie bilansu, rachunku zysków i strat oraz sprawozdania zarządu spółki. Biegli rewidenci byli wyznaczani przez sąd rejestrowy z listy przedstawionej przez Izbę Przemysłowo-Handlową, na mocy Rozporządzenia Ministra Przemysłu i Handlu z 14 grudnia 1928 r. o układaniu i przedstawianiu przez Izby Przemysłowo-Handlowe Rozporządzenia Prezydenta Rzeczypospolitej, Prawo o spółkach akcyjnych wprowadzone, Dz.U., 26 marca 1928, nr 39, poz. 383. 1
188
Rozdział IV
sądom rejestrowym list, zawierających spis biegłych rewidentów2. Uregulowania w tym zakresie przejął następnie kodeks handlowy3. Dawniej funkcja rewidenta polegała na szczegółowej analizie pojedynczych zagadnień, nie dotyczyła prawidłowości funkcjonowania danego obszaru jako całości. Dodatkowo była ona negatywnie odbierana przez osoby, które tej rewizji podlegały. Z czasem zaczęto poszerzać zakres działań rewidenta o obszary wykraczające poza aspekt finansowy, co spowodowało wykształcenie się pojęcia audytu4. Zdaniem D. Krzywdy, obecnie funkcjonująca rewizja finansowa „zwana też audytem obejmuje nie tylko badanie sprawozdań finansowych, ale również propozycje niezbędnych korekt informacji w nim zawartych oraz wydanie opinii o jego wiarygodności wraz z uzupełniającym ją raportem”5. Po drugiej wojnie światowej, w Polsce w 1949 r. powołano Najwyższą Izbę Kontroli (NIK)6. Przedmiotem jej działań była kontrola działalności gospodarczej, administracyjnej i finansowej jednostek państwowych, spółdzielczych i organizacji społecznych. W listopadzie 1952 r. z kolei powołano Ministerstwo Kontroli Państwowej, które zastąpiło NIK7. Pięć lat później przywrócono jego działalność, a w roku 1959 uchwałą o rewizji finansowo-księgowej państwowych jednostek organizacyjnych wprowadzono zawód dyplomowanego biegłego księgowego8. Na początku lat 70. przekształcono rewizję finansowo-księgową w rewizję gospodarczą9. Ostatnim aktem prawnym regulującym Rozporządzenia Ministra Przemysłu i Handlu z dnia 14 grudnia 1928 roku o układaniu i przedstawianiu przez izby przemysłowo-handlowe sądom rejestrowym list, MP, 21 grudnia 1928, nr 294, poz. 720. 3 D. Krzywda, Istota i znaczenia współczesnej rewizji finansowej, „Teoretyczne Zeszyty Rachunkowości” 2001, nr 4(60), s. 319; Kodeks spółek handlowych, Dz.U. 2000, nr 94, poz. 1037. 4 Por. E.J. Saunders, Audyt i kontrola wewnętrzna w przedsiębiorstwach, PIKW S.A., EDUCATOR, Częstochowa 2002, s. 33–35. 5 D. Krzywda, Istota i znaczenie współczesnej rewizji…, s. 321. 6 Ustawa z dnia 9 marca 1949 r. o Najwyższej Izbie Kontroli, Dz.U., nr 13, poz. 74. 7 Rozporządzenia Rady Ministrów z dnia 26 października 1954 roku o powołaniu Ministerstwa Kontroli Państwowej, Dz.U., nr 50, poz. 255. 8 Uchwała Rady Ministrów z dnia 12 maja 1959 r. w sprawie rewizji finansowoksięgowej państwowych jednostek organizacyjnych, MP, nr 58, poz. 278. 9 Uchwała Rady Ministrów w sprawie resortowej kontroli działalności gospodar2
Organizacja i funkcjonowanie audytu na przykładzie polskiej gospodarki
189
rewizję finansową, w okresie gospodarki nakazowej, było rozporządzenie10 w sprawie weryfikacji rocznych bilansów przedsiębiorstw państwowych oraz innych jednostek organizacyjnych11. W chwili przejścia polskiej gospodarki z systemu nakazowego na rynkowy nastąpiła zmiana podejścia z rynku producenta na konsumenta. Dążono nie tylko do wzmożenia popytu na dobra i usługi, ale również do pozyskania klienta poprzez położenie nacisku na satysfakcję z produktów i świadczonych usług12. Podjęto działania zmierzające do zapewnienia jakości w przemyśle. W ślad za tym w roku 1987 opublikowano pierwsze wydanie serii norm ISO 9000. Z czasem okazało się, że podobne zasady oceny i utrzymania jakości można przyjąć w innych dziedzinach zarządzania w różnych branżach, a także administracji13. Inny aspekt, jaki towarzyszył przejściu polskiej gospodarki z systemu nakazowego na rynkowy, to konieczność dostosowania regulacji prawnych w zakresie rachunkowości i rewizji finansowej do potrzeb gospodarki. Wynikało to z napływu inwestorów zagranicznych, traktujących rewizję finansową jako jeden ze sposobów sprawowania kontroli nad jednostkami gospodarczymi, w które inwestowali. Grunt prawny niezależnego badania sprawozdań finansowych jednostek gospodarczych oraz powoływania biegłych rewidentów, których cele i zadania wyznaczały nowe warunki, stworzyła ustawa z 1991 r. o badaniu i ogłaszaniu sprawozdań finansowych oraz o biegłych rewidentach i ich samorządzie14. Na jej mocy w 1992 r. odbył się w Warszawie pierwszy krajowy zjazd biegłych rewidentów, na którym powołano samorząd zawodowy – Krajową Izbę Biegłych Rewidentów. W roku 1994 uchwalono do tej czej państwa z dnia 10 listopada 1971 r., MP, nr 48, poz. 309. 10 Rozporządzenie Rady Ministrów z dnia 26 lipca 1982 r. w sprawie weryfikacji rocznych bilansów przedsiębiorstw państwowych oraz innych jednostek organizacyjnych, Dz.U., nr 25, poz. 180. 11 D. Krzywda, Istota i znaczenie współczesnej rewizji…, s. 321. 12 S. Ziółkowski, Systemy zarządzania jakością w małych i średnich firmach, vademecum menedżera jakości, Wydawnictwo Naukowo-Techniczne, Warszawa 2007, s. 7. 13 S. Nowak, Podręcznik wdrażania ISO 9001:2000, Wydawnictwo Helion, Gliwice 2007, s. 13. 14 Ustawa z dnia 19 października 1991 r. o badaniu i ogłaszaniu sprawozdań finansowych oraz o biegłych rewidentach i samorządzie, Dz.U., nr 111, poz. 480.
190
Rozdział IV
pory obowiązującą ustawę o rachunkowości15, w której zakres włączono problematykę badania i ogłaszania sprawozdań finansowych16. Osiem lat później do polskiego sektora publicznego wprowadzono audyt wewnętrzny, z kolei w dalszym okresie miał miejsce rozwój audytu w zakresie energetyki i budownictwa, związany z wprowadzeniem regulacji w ramach audytu energetycznego (ustawa o wspieraniu termomodernizacji i remontów z 2008 r.17, ustawa o efektywności energetycznej z 2011 r.18, ustawa Prawo budowlane z 2013 r.19). Biorąc pod uwagę poszczególne sektory gospodarki, należy zaznaczyć, iż w Polsce audyt ewoluuje, jednakże jego działalność jest rozproszona, co wynika z faktu, iż jedne organizacje są zobowiązane do korzystania z usług audytu, inne nie, a pozostałe nie zobligowane korzystają z nich. Różnorodność taka wynika z rodzaju sektora, do którego należy organizacja, specyfiki jednostki, jej sytuacji finansowej oraz innych uwarunkowań. Charakterystyczna dywersyfikacja jest jednak zauważalna głównie z punktu widzenia sektora, do którego przynależy instytucja. Stąd w niniejszej części opracowania dokonano analizy funkcjonowania audytu w polskiej gospodarce rynkowej z punktu widzenia dwóch sektorów, publicznego i prywatnego. Kryteria oceny, jakie przyjęto, obejmują: • uregulowania prawne z zakresu audytu, • obowiązek korzystania z usług audytowych, • organizację systemu audytu, • uprawnienia do wykonywania zawodu audytora, • formę korzystania z usług audytowych (wewnętrzna i zewnętrzna), • obszary zainteresowań audytu, • metodologię realizacji usług audytowych, • ocenę jakości pracy audytu, • odbiorców informacji dostarczanych w ramach usług audytowych. Ustawa o rachunkowości z dnia 29 września 1994 r., Dz.U., nr 121, poz. 591. D. Krzywda, Istota i znaczenie współczesnej rewizji…, s. 322. 17 Ustawa o wspieraniu termomodernizacji i remontów z dnia 21 listopada 2008, Dz.U., nr 223, poz. 1459. 18 Ustawa o efektywności energetycznej z dnia 15 kwietnia 2011, Dz.U., nr 94, poz. 551. 19 Ustawa Prawo budowlane z dnia 7 lipca 1994, Dz.U. 2013, poz. 1409. 15 16
Organizacja i funkcjonowanie audytu na przykładzie polskiej gospodarki
191
4.2. Działalność audytu w sektorze publicznym 4.2.1. Uregulowania prawne w zakresie audytu Genezy kształtowania się i rozwoju audytu w polskim sektorze publicznym należy upatrywać od roku 2002, kiedy Polska została zobowiązana do spełnienia określonych warunków w sensie makroi mikroekonomicznym oraz legislacyjnym w związku z podjęciem działań zmierzających do przystąpienia do Unii Europejskiej. Jednym z nich było stworzenie skutecznego oraz efektywnego systemu kontroli finansowej i audytu, określanego mianem Publicznej Wewnętrznej Kontroli Finansowej (Public Internal Financial Control)20. Zgodnie z europejskimi wytycznymi21, kluczowym elementem funkcjonowania systemu publicznej wewnętrznej kontroli finansowej był „niezależny audyt wewnętrzny działający we wszystkich określonych przez prawo instytucjach publicznych zobowiązanych do jego utworzenia w oparciu o międzynarodowe standardy audytu wewnętrznego, a także centralny organ odpowiedzialny za harmonizację i koordynację systemu audytoryjnego w kraju”22. Dostosowanie do wymogów unijnych spowodowało konieczność prawnego uregulowania problematyki wewnętrznej kontroli finansowej i audytu w celu poprawy sprawności, przejrzystości i jawności funkcjonowania administracji publicznej oraz gospodarnego dysponowania publicznymi środkami finansowymi23. W związku z powyższym, w roku 2002 wprowadzono do ustawy o finansach publicznych24 dwa pojęcia – kontrolę finansową i audyt wewnętrzny jako integralne elementy systemu publicznej kontroli wewnętrznej. R. de Koning, Public Internal Finacial Control, Robert de Koning, Slovenia, 2007. Agenda 2000 – trójpłaszczyznowy plan działania, przyjęty przez Komisję Europejską 15 lipca 1997 r., w ostatecznym kształcie zatwierdzony na szczycie Rady Europejskiej w Berlinie w marcu 1999 r. Plan ten wytyczył kierunki reform w UE oraz ustalił wzmocnioną strategię przedakcesyjną. 22 E. Chojna-Duch, Polskie prawo finansowe. Finanse publiczne, Wydawnictwo LexisNexis, Warszawa 2002, s. 59. 23 Ibidem, s. 58–59. 24 Ustawa z dnia 26 listopada 1998 r. o finansach publicznych, Dz.U., nr 155, poz. 1014, ze zm. 20
21
192
Rozdział IV
Pierwsze z nich, kontrola finansowa, wiązało się z wdrożeniem odpowiednich procedur zapewniających prawidłowości procesów gromadzenia oraz rozdysponowania środków publicznych i gospodarowania mieniem w każdej organizacji publicznej. Drugie z nich, audyt wewnętrzny, zostało wprowadzone w ramach oceny kontroli finansowej. Jego zadaniem było dostarczanie obiektywnej i niezależnej oceny funkcjonowania jednostki w zakresie gospodarki finansowej pod względem legalności, gospodarności, celowości, rzetelności, a także przejrzystości i jawności25. W roku 2005 postrzeganie funkcji audytu uległo nieznacznej modyfikacji, a jego zadania rozszerzono o badanie systemów zarządzania i kontroli w jednostce, w tym procedur kontroli finansowej, celem dostarczenia kierownictwu niezależnej i obiektywnej informacji o zgodności i skuteczności tychże systemów26. Z czasem Publiczną Wewnętrzną Kontrolę Finansową zastąpiono Publiczną Kontrolą Wewnętrzną (Public Internal Control27), która stanowi przyjęty przez rząd danego kraju system kontroli. Jej celem jest zapewnienie, że zarządzanie finansami oraz kontrola w zakresie ponoszonych wydatków budżetowych są zgodne z odpowiednimi przepisami, planem finansowym oraz zasadami należytego zarządzania, tj. przejrzystością, efektywnością, skutecznością działania i gospodarnością. Kontrola ta nie ogranicza się wyłącznie do kontroli finansowej i audytu, które stanowią jej integralną cześć, ale obejmuje swoim zakresem całą strukturę organizacji i wszystkie obszary jej działalności. Zgodnie z dokumentem europejskim, o sile publicznej kontroli wewnętrznej stanowią trzy filary28: odpowiedzialność kierownicza, niezależny audyt wewnętrzny oraz centralna jednostka harmonizacji. Pierwszy filar publicznej kontroli wewnętrznej stanowią osoby, którym powierzono Ibidem, art. 35c. Ustawa z dnia 30 czerwca 2005 r. o finansach publicznych, Dz.U., nr 249, poz. 2104, art. 48. 27 Compendium of the Public Internal Control Systems in the UE Member States 2012, European Commission, Luxembourg: Publications Office of the European Union, 2011, http://ec.europa.eu/budget/events/picf_conference_minutes_en.pdf (dostęp 28.03.2014). 28 Ibidem. 25 26
Organizacja i funkcjonowanie audytu na przykładzie polskiej gospodarki
193
odpowiedzialność za nadzór i kontrolę w zakresie prawidłowego oraz skutecznego funkcjonowania jednostek publicznych – kierownicy instytucji. Do ich zadań należy zorganizowanie systemu kontroli w organizacji, jego unormowanie, ustalenie sposobu i zasad dotyczących jego oceny oraz raportowania. W sprawnym funkcjonowaniu systemu kierownictwo powinien wspierać audyt wewnętrzny, stanowiący drugi filar publicznej kontroli wewnętrznej. Do jego zadań należy dostarczanie informacji na temat prawidłowości i efektywności systemu kontroli w organizacji, a także składanie propozycji jego ciągłego doskonalenia. Nad właściwym działaniem kontroli na każdym poziomie zarządzania publicznego oraz funkcjonowaniem audytu w tym zakresie powinna czuwać centralna jednostka harmonizacji, stanowiąca trzeci filar systemu. Do jej kompetencji należy rozwój, promowanie oraz koordynacja kontroli i audytu w sektorze publicznym danego kraju29. Dążąc do dostosowania działania Publicznej Kontroli Wewnętrznej do europejskich wytycznych, a także działalności audytu do międzynarodowych standardów i wytycznych, znaczącej zmiany w tym zakresie dokonano w roku 2009. Wiązała się ona nie tylko z wprowadzeniem do ustawy o finansach publicznych nowelizacji definicji audytu wewnętrznego, znacznie bardziej zbliżonej do Standardów IIA, ale również zastąpieniem pojęcia kontroli finansowej – kontrolą zarządczą. ¤¤ Audyt w obecnym kształcie wiąże się ze świadczeniem usług niezależnych i obiektywnych w celu przysporzenia jednostce wartości dodanej i usprawnienia jej funkcjonowania, a także wspierania kierownika jednostki w realizacji zadań poprzez systematyczną oceną kontroli zarządczej oraz czynności doradcze30.
Na30podstawie przytoczonej definicji rolą współczesnego audytu wewnętrznego w polskim sektorze finansów publicznych staje się przede wszystkim ocena kontroli zarządczej. Do jego zadań należy czuwanie 29 A. Skoczylas-Tworek, Polski system publicznej kontroli wewnętrznej i audytu na tle krajów unii europejskiej – problemy i wyzwania, [w:] Problemy i wyzwania finansów publicznych progu dekady członkostwa Polski w Unii Europejskiej, red. B. Guziejewska, „Acta Universitatis Lodziensis” 2013, Folia Oeconomica 279, s. 59. 30 Ustawa o finansach publicznych, 2009, art. 272.
194
Rozdział IV
nad prawidłowością działania przyjętego systemu, a także ocena adekwatności, efektywności i skuteczności jego funkcjonowania31. Do najważniejszych aspektów, według polskiego ustawodawcy, których powinna dotyczyć kontrola zarządcza, należą: zgodność działalności z przepisami prawa oraz procedurami wewnętrznymi, skuteczność i efektywność działania, wiarygodność sprawozdań finansowych, ochrona zasobów, przestrzeganie i promowanie zasad etycznego postępowania, efektywność i skuteczność przepływu informacji oraz zarządzanie ryzykiem32. Poza ustawą o finansach publicznych w polskim sektorze publicznym obowiązują również inne akty prawne stanowiące uszczegółowienie postanowień ustawy, tzw. akty wykonawcze. Należą do nich: • Rozporządzenie w sprawie szczegółowego sposobu i trybu przeprowadzania audytu wewnętrznego. • Komunikaty w sprawie ogłoszenia standardów audytu wewnętrznego. Wykaz aktów prawnych dotyczących działalności audytu wewnętrznego w jednostkach sektora finansów publicznych od momentu jego zapoczątkowania do chwili obecnej zamieszczono w tabeli 4.1. Tabela 4.1. Akty prawne obowiązujące w polskim sektorze finansów publicznych w latach 2002–2009 Rok
Ustawy
Rozporządzenia
Komunikaty
1
2
3
4
2002 Ustawa z dnia 26 listopada 1998 roku o finansach publicznych (Dz.U., nr 155, poz. 1014), ze zm.)
Rozporządzenie Ministra Finansów z dnia 5 lipca 2002 r. w sprawie szczegółowego sposobu i trybu przeprowadzania audytu wewnętrznego (Dz.U., nr 111, poz. 973)
–
31 Zob. A. Skoczylas, W.A. Nowak Ewolucja audytu wewnętrznego w polskim sektorze finansów publicznych, „Zeszyty Teoretyczne Rachunkowości” 2011, t. 63 (119), Stowarzyszenie Księgowych w Polsce Rada Naukowa, s. 155–160. 32 Ibidem; Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych, Dz.U., nr 157, poz. 1240, art. 68.
Organizacja i funkcjonowanie audytu na przykładzie polskiej gospodarki 1
2
3
2003
–
2005 Ustawa z dnia 30 czerwca 2005 r. o finansach publicznych (Dz.U., nr 249, poz. 2104) 2006
–
4
–
Komunikat Ministra Finansów nr 2 z dnia 30 stycznia 2003 r. w sprawie ogłoszenia standardów audytu wewnętrznego w jednostkach sektora finansów publicznych (Dz.Urz. MF, nr 3, poz. 14)
–
Komunikat Ministra Finansów nr 6 z dnia 28 kwietnia 2004 r. w sprawie ogłoszenia Kodeksu etyki audytora wewnętrznego w jednostkach sektora finansów publicznych i Karty audytu wewnętrznego w jednostkach sektora finansów publicznych (Dz. Urz.MF, nr 6, poz. 28)
–
–
Rozporządzenie Ministra Finansów z dnia 24 czerwca 2006 r. w sprawie szczegółowego sposobu i trybu przeprowadzania audytu wewnętrznego (Dz.U., nr 112, poz. 765)
Komunikat Ministra Finansów nr 11 z dnia 26 czerwca 2006 r. w sprawie standardów audytu wewnętrznego w jednostkach sektora finansów publicznych (Dz. Urz.MF, nr 7, poz. 56) Komunikat Ministra Finansów nr 16 z dnia 18 lipca 2006 r. w sprawie ogłoszenia Kodeksu etyki audytora wewnętrznego w jednostkach
2004
–
195
196
Rozdział IV Tabela 4.1 (cd.)
1
2
3
4 sektora finansów publicznych i Karty audytu wewnętrznego w jednostkach sektora finansów publicznych (Dz.Urz.MF, nr 9, poz. 70)
2007
–
–
–
–
Rozporządzenie Ministra Finansów z dnia 10 kwietnia 2008 r. w sprawie szczegółowego sposobu i trybu przeprowadzania audytu wewnętrznego (Dz.U., nr 66, poz. 406)
–
–
–
Rozporządzenie Ministra Finansów z dnia 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego (Dz.U., nr 21, poz. 108)
Komunikat Ministra Finansów nr 8 z dnia 20 kwietnia 2010 r. w sprawie standardów audytu wewnętrznego w jednostkach sektora finansów publicznych (Dz. Urz.MF, nr 5, poz. 23)
2008
2009 Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz.U., nr 157, poz. 1240) 2010
–
2011
–
–
Komunikat Ministra Finansów nr 4 z dnia 20 maja 2011 r. w sprawie standardów audytu wewnętrznego dla jednostek sektora finansów publicznych (Dz.Urz.MF, nr 5, poz. 23)
Organizacja i funkcjonowanie audytu na przykładzie polskiej gospodarki 1
2
3
2012
–
4
–
Komunikat Ministra Finansów nr 5 z dnia 20 listopada 2012 r. w sprawie wzoru informacji o realizacji zadań z zakresu audytu wewnętrznego (Dz.Urz. Min.Fin., poz. 53)
–
Komunikat Ministra Finansów nr 2 z dnia 17 czerwca 2013 r. w sprawie standardów audytu wewnętrznego dla jednostek sektora finansów publicznych (Dz. Urz.MF, nr 2, poz. 15)
2013
–
197
Źródło: opracowanie własne na podstawie A. Skoczylas, W.A. Nowak Ewolucja audytu wewnętrznego w polskim sektorze finansów publicznych, „Zeszyty Teoretyczne Rachunkowości” 2011, t. 63(119), SKwP, s. 155–184.
Rozporządzenie odnosi się do sposobu realizacji czynności audytowych w zależności od charakteru świadczonych usług zapewniających bądź doradczych. Jego treść określa podstawowe czynności, jakie powinien przeprowadzić audytor w ramach realizacji czynności audytowych, oraz dokumenty, które powinny w toku tych czynności zostać wygenerowane wraz z ukierunkowaniem na elementy istotne w tym zakresie. Rodzaje dokumentów w sposób szczegółowy zostaną przedstawione w dalszej części rozdziału. Należy zaznaczyć, iż treść rozporządzeń wydanych na przestrzeni lat 2002–2009 podlegała nieznacznym modyfikacjom, uwarunkowanym zmianami sposobu postrzegania audytu. Komunikaty z kolei stanowią zbiór wskazówek i wytycznych związanych z funkcjonowaniem audytu oraz działalnością audytorów wewnętrznych. Dotyczą one dwóch zagadnień: pierwsze to komunikaty określające standardy działania audytu wewnętrznego w jednostkach sektora finansów publicznych, drugie już nieobowiązujące odnosiły się do karty i kodeksu etyki audytu wewnętrznego.
198
Rozdział IV
W ramach pierwszej grupy komunikatów od roku 2003 do 2006 obowiązywały w polskim sektorze publicznym standardy określone przez ministra finansów, opierające się na Standardach IIA, a ich treść obejmowała standardy ogólne związane z organizacją audytu, a także standardy szczegółowe dotyczące wykonania zawodu audytora oraz realizacji audytu wewnętrznego. Od 2010 r. przyjęto w polskim sektorze publicznym zasadność stosowania Standardów IIA, stąd dotychczas obowiązujące wytyczne zostały zastąpione treścią standardów międzynarodowych w zakresie audytu wewnętrznego. Druga grupa komunikatów dotyczyła Karty audytu wewnętrznego w jednostkach sektora finansów publicznych, która określa ogólne zasady i cele audytu wewnętrznego, prawa i obowiązki audytora, zakres działania, niezależność, sprawozdawczość, zarządzanie komórką audytu, a także relacje z innymi instytucjami kontrolnymi. Z kolei kodeks etyki audytora ujęty w formie Komunikatu Ministra Finansów określał główne zasady, których powinien przestrzegać audytor. Wśród nich wskazane zostały takie elementy, jak uczciwość, obiektywizm, poufność, profesjonalizm, relacje pomiędzy audytorami oraz konflikt interesów. Z czasem kodeks ten został poszerzony o reguły postępowania, podobnie, jak zostało to ujęte w kodeksie audytora opracowanym w ramach Standardów IIA33, a w konsekwencji uznany za nieobowiązujący w świetle przyjętych do stosowania standardów międzynarodowych34. Należy wskazać, że zarówno rozporządzenia, jak i komunikaty odnoszące się do działalności audytu w polskim sektorze publicznym zostały opracowane na poziomie dużej ogólności. Wynika to z faktu, iż podobnie jak w przypadku Standardów IIA świadczenie usług audytowych to zawód specyficzny uwarunkowany przez otoczenie, w jakim działa organizacja, jej charakterystykę i dojrzałość, a także cechy osobowościowe oraz kwalifikacje osób świadczących usługi audytowe. A. Skoczylas, W.A. Nowak, Ewolucja…, s. 155–184. Ministerstwo Finansów, Jakie zasady etyczne obowiązują audytora, http://www. mf.gov.pl/news1/-/asset_publisher/u7QN/content/jakie-zasady-etyczne-obowiazuja-audytora-wewnetrznego;jsessionid=FD398122EA3C57B7B9022009C0D4923A?redirect=http%3A%2F%2Fwww.mf.gov.pl%2Fnews1%3Bjsessionid%3DFD398122EA3C57B7B9022009C0D4923A%3Fp_p_id%3D101_INSTANCE_u7QN%26p_p_lifecycle%3D0%26p_p_state%3Dnormal%26p_p_mode%3Dview%26p_p_col_id%3Dcolumn-2%26p_p_col_count%3D1 (dostęp 15.07.2014). 33 34
Organizacja i funkcjonowanie audytu na przykładzie polskiej gospodarki
199
4.2.2. Organizacja systemu audytu i obowiązek korzystania z usług audytowych Kolejną kwestią związaną z funkcjonowaniem audytu w sektorze publicznym jest jego organizacja, którą należy rozpatrywać z punktu widzenia dwóch kryteriów: • otoczenia, w jakim funkcjonuje instytucja korzystająca z usług audytu; • miejsca audytu w strukturze organizacyjnej jednostki. Biorąc pod uwagę aspekty otoczenia, możemy mówić o działalności audytu na trzech poziomach: • centralnym, • jednostek administracji rządowej, • jednostek samorządowych. Działalność audytu na szczeblu centralnym ma miejsce w Kancelarii Prezesa Rady Ministrów oraz poszczególnych ministerstwach. W strukturze każdego z nich funkcjonuje komórka audytu wewnętrznego, która świadczy usługi na jego rzecz. Dodatkowo poziom centralny odnosi się do koordynacji audytu na szczeblu administracji rządowej. Osobą odpowiedzialną w tym zakresie jest minister finansów. Początkowo, w latach 2002–2005, wykonywał on swoje zadania przy pomocy Głównego Inspektora Audytu Wewnętrznego, zatrudnionego w Ministerstwie Finansów oraz podległej jemu komórki organizacyjnej. Do jego zadań należało wówczas określanie standardów audytu i kontroli finansowej, współpraca z zagranicznymi instytucjami, gromadzenie informacji na temat działania audytu i kontroli finansowej oraz usprawnianie funkcjonowania tych obszarów. Z końcem roku 2006 zniesiono stanowisko Głównego Inspektora Audytu Wewnętrznego, a od połowy 2009 r. minister finansów wykonuje zadania związane z koordynacją audytu samodzielnie. Obecnie do jego zadań należy w szczególności35: • zlecanie przeprowadzenia czynności audytowych w wybranych jednostkach, • ocena działania audytu w wybranych organizacjach, • wydawanie wytycznych i upowszechnianie standardów, 35 Art. 292 Ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, Dz.U., nr 157, poz. 1240.
200
Rozdział IV
• współpraca z komitetami audytu oraz krajowymi i zagranicznymi organizacjami. W ramach zharmonizowania i nadzoru nad działalnością audytu minister finansów wspierany jest przez Departament Audytu Sektora Publicznego36, obecnie Departamentu Polityki Wydatkowej oraz komitet audytu powołany na szczeblu Ministerstwa Finansów. Do zadań departamentu należy przede wszystkim podejmowanie działań służących poprawie funkcjonowania kontroli zarządczej i audytu wewnętrznego w jednostkach sektora finansów publicznych. Opiniuje on akty prawne dotyczące działalności audytu oraz kontroli zarządczej, a także podejmuje czynności mające na celu gromadzenie informacji od wszystkich organizacji publicznych. Ponadto wraz z wejściem w życie nowej ustawy, tj. od 2009 r., zobligowano poszczególnych ministrów do powołania komitetów audytu w każdym z nadzorowanych przez nich ministerstw. Ich zadaniem jest dostarczanie właściwemu ministrowi informacji w zakresie funkcjonowania audytu i kontroli zarządczej w ramach podległej jemu części sektora publicznego. Warto w tym miejscu zaznaczyć, iż komitety pełnią rolę rady określonej w ramach Standardów IIA37. Biorąc pod uwagę drugi poziom funkcjonowania audytu w sektorze publicznych, tj. w ramach jednostek administracji rządowej, należy odnieść się do organizacji, w których zgodnie z przepisami prawa polskiego audyt powinien być prowadzony. Katalog organizacji zobowiązanych do prowadzenia audytu od 2002 do chwili obecnej przedstawiono w tabeli 4.2. Z danych zamieszczonych w tabeli 4.2 wynika, że lista jednostek zobowiązanych do prowadzenia audytu w początkowej fazie jego działalności była znaczna, jednakże od roku 2009 liczba tych instytucji znacząco spadła. Warto w tym miejscu przypomnieć wykazane na początku opracowania europejskie wytyczne (Agenda 2000), a dokładanie koncepcję publicznej wewnętrznej kontroli finansowej, która wiązała się z zapewnieniem „niezależnego audytu wewnętrznego działającego we wszystkich określonych przez prawo instytucjach publicznych”. Na Od roku 2014 zadania Departamentu Audytu Sektora Publicznego przejął Departament Polityki Wydatkowej, a w jego ramach Biuro Audytu i Kontroli. 37 Definicja audytu wewnętrznego…, s. 47. 36
Organizacja i funkcjonowanie audytu na przykładzie polskiej gospodarki
201
leży się zatem zastanowić, czy zasadne jest ograniczanie działalności audytu poprzez zmniejszanie katalogu jednostek zobowiązanych oraz różnicowanie przez ustawodawcę obowiązku jego prowadzenia z uwagi na kwotę osiąganych przychodów czy dokonywanych wydatków. Czy jedynie aspekt finansowy decyduje o sprawnym i efektywnym funkcjonowaniu instytucji publicznych? Czy organizacja generująca znaczne dochody, przychody bądź wydatki, rozchody wymaga większej uwagi niż instytucja posiadająca mniejsze środki w tym zakresie? W rzeczywistości, jeden i drugi przypadek może stanowić przesłankę do pojawiania się takich zjawisk, jak oszustwa czy nadużycia38. Dlatego, każda organizacja publiczna powinna być poddawana, jeśli nie stałej ocenie audytowej świadczonej przez audytora, to okresowej weryfikacji prowadzonej przez audytora w formie usług zewnętrznych. Tabela 4.2. Katalog jednostek zobowiązywanych do zatrudnienia audytora wewnętrznego w jednostkach sektora finansów publicznych od roku 2002 do chwili obecnej Ustawa z 26 listopada Ustawa z 30 czerwca 2005 r. Ustawa z 27 sierpnia 2009 r. 1998 r. o finansach o finansach publicznych o finansach publicznych publicznych (Dz.U., nr 155, (Dz.U., nr 249, poz. 2104) (Dz.U., nr 157, poz. 1240) poz. 1014) 1 2 3 • Jednostki wg art. 83 ust. 2 • ministerstwa • Kancelaria Prezesa Rady Ministrów • Urzędy centralne • Urzędy przewodniczących komitetów wchodzących w skład Rady Ministrów • Rządowe Centrum Studiów Strategicznych
• Jednostki wg art. 121 ust. 2 • ministerstwa • Kancelaria Prezesa Rady Ministrów • Urzędy centralne • Rządowe Centrum Studiów Strategicznych • Rządowe Centrum Legislacji • Urząd Komitetu Integracji Europejskiej • Urzędy wojewódzkie
• Kancelaria Prezesa Rady Ministrów • Ministerstwa • Urzędy wojewódzkie • Izby celne • Izby skarbowe • Zakład Ubezpieczeń Społecznych, w tym w zarządzane przez niego fundusze • Kasa Rolniczego Ubezpieczenia Społecznego,
Zob. W. Jasiński, Nadużycia w przedsiębiorstwie, przeciwdziałanie i wykrywanie, Wydawnictwo Poltext, Warszawa 2013, s. 61–120. 38
202
Rozdział IV Tabela 4.2 (cd.)
1 • Rządowe Centrum Legislacji • Urzędy wojewódzkie • Urzędy celne • Urzędy skarbowe • Fundusze celowe • Zakład Ubezpieczeń Społecznych • Kasy rolniczego ubezpieczenia społecznego i zarządzane przez nie fundusze • Kasy chorych • Należące do sektora finansów publicznych państwowych osób prawnych utworzonych na podstawie odrębnych ustaw w celu wykonywania zadań publicznych • Inne jednostki sektora finansów publicznych, w tym jednostki samorządu terytorialnego, jeżeli jednostki te gromadzą znaczne środki publiczne lub dokonują znacznych wydatków publicznych
2 3 • w tym w fundusze za• Urzędy celne rządzane przez Prezesa • Izby celne Kasy Rolniczego Ubez• Urzędy kontroli skarpieczenia Społecznego, bowej • Narodowy Fundusz • Urzędy skarbowe, Zdrowia, • Izby skarbowe, • Pozostałe organizacje, • Fundusze celowe, staktórych kwota dochonowiące wyodrębnione dów lub wydatków jednostki organizacyjne, ujętych w planie finanso• Zakład Ubezpieczeń wym jednostek sektora Społecznych, finansów publicznych • kasy rolniczego ubezprzekroczyła wysokość pieczenia społecznego 40 mln i zarządzane przez nie fundusze, • Narodowy Fundusz Zdrowia, • Należące do sektora finansów publicznych państwowych osób prawnych utworzonych na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, • Powszechne jednostki organizacyjne prokuratury, • Jednostki organizacyjne Służby Więziennej, • Regionalne izby obrachunkowych • Inne jednostki sektora finansów publicznych, w tym jednostki samorządu terytorialnego, jeżeli jednostki te gromadzą znaczne środki publiczne lub dokonują znacznych wydatków publicznych
Źródło: opracowanie własne na podstawie ustawy z 26 listopada 1998 r. o finansach publicznych, ustawy z 30 czerwca 2005 r. o finansach publicznych, ustawy z 27 sierpnia 2009 r. o finansach publicznych.
Organizacja i funkcjonowanie audytu na przykładzie polskiej gospodarki
203
Ostatni poziom stanowią jednostki samorządu terytorialnego. W tym przypadku do prowadzenia audytu ustawowo zobligowane zostały urzędy wojewódzkie, a także te instytucje samorządowe, które w ramach obowiązujących przepisów prawa gromadzą znaczące środki publiczne lub dokonują znacznych wydatków. Kwota, która została przyjęta jako progowa i jej przekroczenie generuje obowiązek prowadzenia audytu, wynosi 40 mln zł. Na szczeblu samorządu terytorialnego organizacją audytu wewnętrznego koordynuje właściwy wójt, burmistrz, prezydent miasta. W odniesieniu do tego rodzaju instytucji warto podkreślić, że pozostawiono ich kierownikom pewną swobodę w zakresie funkcjonowania audytu wewnętrznego, co może przekładać się na zróżnicowanie działań audytorów w całym sektorze finansów publicznych. Wynika to z decentralizacji, a tym samym możliwości stanowienia osób zarządzających w pewnych kwestiach, w sposób niezależny od administracji rządowej. W drugim aspekcie organizację audytu można rozpatrywać z punktu widzenia jego miejsca w organizacji, czyli usytuowania audytora, jak i komórki audytu w strukturze jednostki39. Na mocy ustawy o finansach publicznych zobligowano instytucje tego sektora do zapewnienia komórkom audytu wewnętrznego niezależności organizacyjnej poprzez bezpośrednią podległość pod kierownika jednostki40. Działalnością komórki audytowej, zgodnie ze wskazaną ustawą, koordynuje audytor wewnętrzny zatrudniony przez kierownika instytucji publicznej na stanowisku kierującego komórką41. Podległość służbową w tym zakresie przedstawiono na rysunku 4.1. Struktura zaprezentowana na rysunku 4.1 powinna funkcjonować w każdej instytucji sektora publicznego. W rzeczywistości organizacja i miejsce komórki audytu, jak i samego audytora w jednostce są Zob. K. Winiarska, Miejsce komórki audytu wewnętrznego w strukturze organizacyjnej jednostki, [w:] Audyt wewnętrzny jako instrument usprawniający zarządzanie, red. K. Winiarska, Uniwersytet Szczeciński, Wydział Nauk Ekonomicznych i Zarządzania Instytut Rachunkowości, Szczecin 2006, s. 261. 40 Ustawa z dnia 27 sierpnia 2009 o finansach publicznych, Dz.U., nr 157, poz. 1240, ze zm., art. 280. 41 Ibidem, art. 277. 39
204
Rozdział IV
zróżnicowane. Dotyczy to przede wszystkim podporządkowania komórki audytu i podległości służbowej audytora. Kierownik jednostki
Komórka Komórka Audytu Audytu Wewnętrznego Wewnętrznego
Kierujący Komórką Audytu Wewnętrznego
Inne osoby, tzw. asystenci audytu wewnętrznego
Audytorzy wewnętrzni
Rysunek 4.1. Podległość organizacyjna komórki audytu wewnętrznego w organizacji sektora publicznego Źródło: opracowanie własne.
Inna kwestia ma miejsce w przypadku audytorów zatrudnianych w formie usługodawców zewnętrznych. Możliwości takie wprowadziła ustawa o finansach publicznych, w myśl której usługi audytu w ramach organizacji sektora finansów publicznych może świadczyć osoba nie zatrudniona w tej jednostce42. Zgodnie z wymogami prawnymi usługi audytowe mogą wykonywać jedynie osoby posiadające odpowiednie kwalifikacje43, które obejmują założenia ogólne związane z posiadaniem odpowiedniego wykształcenia, nieposzlakowanej opinii, a także odpowiednich uprawnień zawodowych. 4.2.3. Uprawnienia do wykonywania zawodu audytora Jak zostało wcześniej wspomniane, do realizacji usług audytowych w organizacjach sektora finansów publicznych miały i nadal mają prawo osoby posiadające odpowiednie uprawnienia i kwalifikacje. W po Ibidem, art. 275. Ibidem, art. 286.
42 43
Organizacja i funkcjonowanie audytu na przykładzie polskiej gospodarki
205
czątkowym okresie funkcjonowania audytu, tj. w latach 2003–2006, do wykonywania zawodu audytora uprawniało nabycie kwalifikacji związanych z przystąpieniem do państwowego egzaminu na audytora wewnętrznego. Sprawdzał on wiedzę z zakresu metodologii audytu, znajomości obowiązujących wówczas standardów, uregulowań prawnych dotyczących funkcjonowania finansów publicznych i administracji publicznej w Polsce, mikroekonomii, szacowania ryzyka, z kolei część praktyczna obejmowała rozwiązanie zadania audytowego44. Osoby, które zdały część pisemną, były dopiero dopuszczane do ustnej części egzaminu. Na tej podstawie uprawnienia do wykonywania zawodu audytora nabyło 2181 osób45. Zdobyte kwalifikacje uprawniały i nadal uprawniają do wykonywania tego zawodu w jednostkach publicznych na terenie całego kraju. W dniu 8 grudnia 2006 r. Komisja Egzaminacyjna przy ministrze finansów zakończyła swoją działalność, a na miejsce dotychczas funkcjonujących uregulowań wprowadzono nowe, które obowiązywały w latach 2006–200846. Kolejna zmiana uprawnień do wykonywania zawodu audytora nastąpiła w 2009 r. Uprawnienia, kwalifikacje i doświadczenie zawodowe niezbędne do wykonywania zawodu audytora w polskim sektorze publicznych w latach 2006–2008 oraz od 2009 r. zamieszczono w tabeli 4.3. Jak wynika z tabeli 4.3, opisane kwalifikacje zawodowe uprawniające do wykonywania zawodu audytora w polskim sektorze finansów publicznych w roku 2009 uległy zmianom. W ich wyniku uprawnienia do zawodu zachowały osoby, które ukończyły egzamin na audytora w latach 2003–2006, uzyskały jeden z międzynarodowych certyfikatów, biegli rewidenci, a także kontrolerzy NIK i inspektorzy kontroli skarbowej pod warunkiem ukończenia studiów podyplomowych w zakresie audytu wewnętrznego na uczelni posiadającej prawo nadawania stopnia Ustawa z dnia 26 listopada 1998 o finansach publicznych, Dz.U., nr 157, poz. 1240, ze zm., art. 35ł. 45 Komunikat nr 26 Ministra Finansów z dnia 28 grudnia 2006 r., w sprawie ogłoszenia wykazu osób posiadających zaświadczenie o złożeniu egzaminu na audytora wewnętrznego z wynikiem pozytywnym, Dz.Urz.MF, nr 15, poz. 104. 46 Ustawa z dnia 8 grudnia 2006 r. o zmianie ustawy o finansach publicznych oraz niektórych innych ustaw, Dz.U., nr 249, poz.1832. 44
206
Rozdział IV
doktora nauk ekonomicznych lub prawnych. Wprowadzono również nowy zapis uprawniający do wykonywania zawodu audytora inne niż wymienione wcześniej osoby, które ukończyły studia podyplomowe z zakresu audytu, ale przy założeniu, że posiadają one bądź zdobędą odpowiednią praktykę zawodową. Tabela 4.3. Kwalifikacje uprawniające do wykonywania zawodu audytora wewnętrznego w polskim sektorze finansów publicznych w latach 2006–2008 oraz po roku 2009
Kryteria
Audytor wewnętrzny
Osoby z aplikacją kontrolerską nik
Inspektor kontroli skarbowej z ukończonym egzaminem
Biegły rewident
1
2
3
4
5
–
• Korzystanie z pełni praw publicznych oraz pełna zdolność do czynności prawnych, • Posiadanie nieposzlakowanej opinii i rękojmia prawidłowego wykonywania zawodu biegłego rewidenta, Niekaralność za umyślnie popełnione przestępstwo lub przestępstwo skarbowe, • Ukończenie studiów wyższych w Rzeczypospolitej Polskiej lub zagranicznych
• Posiadanie Nabyte uprawnie- obywatelstwa państwa członnia kowskiego Unii Europejskiej lub innego, na podstawie którego w ramach zawartych umów przysługuje prawo podjęcia zatrudnienia na ternie Polski, • Posiadanie pełnej zdolności do czynności prawnych oraz korzystanie z pełni praw publicznych, • Niekaralność za umyślne przestępstwo bądź przestępstwo skarbowe,
W latach 2006–2008 • Posiadanie obywatelstwa polskiego • Pełna zdolność do czynności prawnych oraz korzystanie z pełni praw publicznych • Niekaralność za przestępstwo popełnione z winy umyślnej • Wyższe wykształcenie • Stan zdrowia pozwalający na zatrudnienie na określonym stanowisku
Organizacja i funkcjonowanie audytu na przykładzie polskiej gospodarki 1
2 • Wykształcenie wyższe na poziomie minimum licencjata
3
4
Kwalifikacje nabyte w drodze egzaminów
• Certyfikat międzynarodowy CIA, CGAP, CISA, ACCA, CFE, CCSA, CFSA, CFA, lub • Zdanie z wynikiem pozytywnym egzaminu na audytora przed komisją w Ministerstwie Finansów w latach 2003–2006
• Ukończenie aplikacji kontrolerskiej zakończonej złożeniem egzaminu z wynikiem pozytywnym przed komisją egzaminacyjną powołaną przez Prezesa Najwyższej Izby Kontroli
• Egzamin kwalifikacyjny na stanowisko inspektora kontroli skarbowej przed Komisją powołaną przez Generalnego Inspektora Kontroli Skarbowej
Doświadczenie zawodowe
• Z punktu widzenia certyfikatów międzynarodowych 2 letnie doświadczenie w zawodzie audytora lub równoważnym
• Skierowanie na aplikację kontrolerską trwającą nie dłużej niż 18 miesięcy
• Zdobycie praktyki polegającej na odbyciu stażu zawodowego w wyznaczonych przez dyrektora urzędu komórkach organizacyjnych urzędu, a w szczególności na uczestnictwie w postępowaniach kontrolnych lub postępowaniach przygotowawczych
207
5 studiów wyższych uznawanych w Rzeczypospolitej Polskiej za równorzędne i władanie językiem polskim w mowie i piśmie • Złożenie przed Komisją Egzaminacyjną z wynikiem pozytywnym egzaminu dla kandydatów na biegłego rewidenta • Złożenie przed Komisją z wynikiem pozytywnym końcowego ustnego egzaminu dyplomowego sprawdzającego wiedzę zdobytą w trakcie aplikacji • Odbycie rocznej praktyki w zakresie rachunkowości w państwie Unii Europejskiej oraz co najmniej dwuletnia aplikacja pod kierunkiem biegłego rewident
208
Rozdział IV Tabela 4.3 (cd.) 1
Kwalifikacje
2 • Certyfikat międzynarodowy CIA, CGAP, CISA, ACCA, CFE, CCSA, CFSA, CFA, lub • Zdanie z wynikiem pozytywnym egzaminu na audytora przed komisją w Ministerstwie Finansów w latach 2003–2006, • Legitymowanie się dyplomem ukończenia studiów podyplomowych w zakresie audytu wewnętrznego, wydanym przez jednostkę organizacyjną uprawniona do nadawania stopnia naukowego doktora nauk ekonomicznych lub prawnych
3 Od 27 sierpnia 2009 r.
4
• Zachowanie kwalifikacji pod warunkiem posiadania dwuletniej praktyki w wykonywanym zawodzie oraz ukończenia oraz ukończenia studiów podyplomowych w zakresie audytu wewnętrznego, wydanym przez jednostkę organizacyjną uprawniona do nadawania stopnia naukowego doktora nauk ekonomicznych lub prawnych
5
Zachowanie kwalifikacji
Doświad- • Z punktu widzenia certyczenie zawodowe fikatów międzynarodowych 2 letnie doświadczenie w zawodzie audytora lub równoważnym, • W ramach ukończenia studium 2 lata praktyki w zawodzie audytora Źródło: opracowanie własne na podstawie ustawy z 7 maja 2009 r. o biegłych rewidentach i ich samorządzie, podmiotach uprawnionych do badania sprawozdań fi-
Organizacja i funkcjonowanie audytu na przykładzie polskiej gospodarki
209
nansowych oraz o nadzorze publicznym, Dz.U. 2009, nr 77, poz. 649; Obwieszczenia Ministra Finansów z 24 października 2013 r. w sprawie ogłoszenia jednolitego tekstu zarządzenia Ministra Finansów w sprawie określenia szczegółowych warunków odbywania praktyki oraz przeprowadzania egzaminów kwalifikacyjnych na stanowisko inspektora kontroli skarbowej; Zarządzenia Ministra Finansów nr 32 z 30 września 1992 r. w sprawie określenia szczegółowych warunków odbywania praktyki oraz przeprowadzania egzaminów kwalifikacyjnych na stanowisko inspektora kontroli skarbowej; Zarządzenia Prezesa Najwyższej Izby Kontroli z dnia 6 października 1995 r. w sprawie aplikacji kontrolerskiej; Zarządzenia Prezesa Najwyższej Izby Kontroli z dnia 1 września 2011 r. w sprawie postępowania kontrolnego; Ustawy z 8 grudnia 2006 r. o zmianie ustawy o finansach publicznych oraz niektórych innych ustaw (Dz.U. 2006, nr 249, poz. 1832); Ustawy z 7 maja 2009 r. o biegłych rewidentach i ich samorządzie, podmiotach uprawnionych do badania sprawozdań finansowych oraz o nadzorze publicznym (Dz.U. 2009, nr 77, poz. 649).
4.2.4. Forma korzystania z usług audytowych Zdobyte kwalifikacje w zakresie audytu wewnętrznego uprawniają do świadczenia usług w charakterze usługodawcy: • zatrudnionego w jednostce, • zewnętrznego zatrudnionego w organizacji nadrzędnej, • zewnętrznego niezatrudnionego w instytucji. Od 2002 r., w myśl obowiązujących przepisów prawa polskiego, usługi audytowe mogły być przeprowadzane w jednostkach sektora finansów publicznych wyłącznie przez osobę spełniającą opisane wcześniej kwalifikacje oraz zatrudnioną w tejże instytucji. Z reguły zatrudnienie to miało formę pełnego etatu, ale zdarzały się również sytuacje zatrudniania audytora na część etatu47. Wprowadzenie do struktury jednostki audytu wiązało się z koniecznością utworzenia komórki organizacyjnej. Powyższe było również możliwe za pośrednictwem usługodawcy zewnętrznego zatrudnionego w organizacji nadrzędnej, czego przykład stanowiło prowadzenie audytu w prokuraturze rejonowej przez audytora zatrudnionego w prokuraturze okręgowej bądź państwowej szkole wyższej przez audytora zatrudnionego w Ministerstwie 47 Zob. Sprawozdanie z audytu wewnętrznego i kontroli finansowej za 2006 r., Departament koordynacji Kontroli Finansowej i Audytu Wewnętrznego, Ministerstwo Finansów, Warszawa, czerwiec 2007, s. 5.
210
Rozdział IV
Nauki i Szkolnictwa Wyższego. Z kolei, korzystanie z audytora jako usługodawcy zewnętrznego niezatrudnionego w jednostce ani w instytucji nadrzędnej wiąże się ze świadczeniem usług przez zewnętrzne osoby bądź jednostki uprawnione do wykonywania czynności audytowych. Możliwość taka pojawiła się dopiero od roku 2009, wraz z wejściem w życie nowelizacji ustawy o finansach publicznych, zgodnie z którą jednostka sektora finansów publicznych może zawrzeć z osobą fizyczną bądź instytucją zatrudniająca audytorów umowę na prowadzenie tego rodzaju usług. Jednakże fakt ten jest zastrzeżony kilkoma warunkami. Przede wszystkim organizacja, która zdecyduje się na takie rozwiązanie, musi należeć do katalogu jednostek, które mogą z takich możliwości skorzystać, tj. jednostka, której dochody, przychody bądź rozchody i wydatki w planie finansowym przekroczyły kwotę 40 mln zł, a w odniesieniu do jednostek samorządu terytorialnego 100 mln zł bądź kierownik tejże instytucji podjął decyzję o wprowadzeniu audytu. Wówczas w organizacjach nadzorowanych przez poszczególne ministerstwa niezbędna w tym zakresie jest zgoda właściwego ministra. Z kolei, osoba bądź firma świadcząca usługi audytowe dla jednostki sektora finansów publicznych musi posiadać stosowne uprawnienia, a w odniesieniu do organizacji zatrudniać osoby z odpowiednimi kwalifikacjami. W ramach realizacji audytu przez usługodawcę zewnętrznego umowa zawarta na jego wykonywanie musi opiewać na okres co najmniej jednego roku48. Należy podkreślić, że przyjęte rozwiązanie w przyszłości powinno przyczynić się do szerszego korzystania przez jednostki publiczne z usług audytowych, a także skutkować rozwojem zewnętrznych firm audytorskich. 4.2.5. Obszary zainteresowań audytu Usługi audytowe realizowane w ramach sektora publicznego koncentrują się na rożnych obszarach działalności. Zakres zainteresowań audytu zmieniał się na przestrzeni lat wraz z modyfikacją definicji au Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych, Dz.U., nr 157, poz. 1240, art. 275–279. 48
Organizacja i funkcjonowanie audytu na przykładzie polskiej gospodarki
211
dytu wewnętrznego w ramach obowiązujących aktów prawnych. Biorąc pod uwagę genezę kształtowania się audytu oraz jego działalność w polskim sektorze publicznym, w tabeli 4.4 przedstawiono kluczowe dziedziny zainteresowań audytu od roku 2002. Tabela 4.4. Ewolucja zakresu działania audytu wewnętrznego w jednostkach polskiego sektora finansów publicznych od roku 2002 Okres
Zakres świadczonych usług audytowych
Ukierunkowanie świadczonych usług audytowych
2002–2005
Audyt wewnętrzny koncentrował się na: • badaniu dowodów księgowych oraz zapisów w księgach rachunkowych • ocenie systemu gromadzenia środków publicznych i dysponowania nimi oraz gospodarowania mieniem, • ocenie efektywności i gospodarności zarządzania finansowego
2006–2009
Ocena dokonywana przez audyt wewnętrzny Audyt finansowy dotyczyła w szczególności: Audyt zgodności • zgodności prowadzonej działalności z przepiAudyt operacyjny sami prawa oraz obowiązującymi w jednostce procedurami wewnętrznymi, • efektywności i gospodarności podejmowanych działań w zakresie systemów zarządzania i kontroli, • wiarygodności sprawozdania finansowego oraz sprawozdania z wykonania budżetu
Od 2010
Ocena dokonywana przez audyt wewnętrzny dotyczy w szczególności adekwatności, skuteczności i efektywności kontroli zarządczej w dziale administracji rządowej lub jednostce
Audyt finansowy
Audyt finansowy Audyt zgodności Audyt operacyjny Audyt efektywnościowy
Źródło: opracowanie własne na podstawie ustaw o finansach publicznych obowiązujących w Polsce w latach 2002–2009.
Z tabeli 4.4 wynika, że początkowo audyt w sektorze finansów publicznych stanowił mechanizm służący do sprawdzania transakcji
212
Rozdział IV
i funkcjonujących procedur finansowych. Obejmował weryfikację przeprowadzanych operacji księgowych, które miały na celu dokonanie przeglądu i wyodrębnienie błędów, ocenę wewnętrznych uregulowań w tym zakresie, a także weryfikację systemu gromadzenia środków publicznych i dysponowania nimi z punktu widzenia gospodarności zarządzania finansowego. Z czasem jego zadania rozszerzono o badanie systemów zarządzania oraz kontroli przyjętych w jednostce49. Ponadto audytorom powierzono realizację dodatkowych usług związanych ze świadczeniem czynności doradczych, a także możliwość składania propozycji zmierzających do usprawnienia funkcjonowania organizacji, w której realizują działania audytowe. Ostatni etap ewolucji odnosił się do powierzenia audytorom funkcji związanej z oceną systemu zarządzania funkcjonującego w organizacji pod względem jego adekwatności, efektywności i skuteczności działania. ¤¤ Biorąc pod uwagę przedstawiony przegląd zakresu działania audytu w polskim sektorze publicznym, należy wskazać, że ulegał on przemianom, począwszy od realizacji funkcji stricte finansowych, poprzez weryfikacje zgodności przyjętych procedur finansowych, aż po funkcję oceniającą działalność operacyjną instytucji i wspomagającą kadrę kierowniczą w procesie zarządzaniu jednostką.
Obecnie rozwój audytu wewnętrznego podąża w kierunku oceny prawidłowości funkcjonowania systemu kontroli wewnętrznej, przede wszystkim w części dotyczącej systemu zarządzania ryzykiem, jak również dostarczania zapewnienia o rzetelności i niezawodności działania przyjętych mechanizmów kontroli50.
49 Ustawa z dnia 30 czerwca 2005 r. o finansach publicznych, Dz.U., nr 249, poz. 2104, art. 48. 50 A. Skoczylas, Audyt wewnętrzny a jakość zarządzania i informacji finansowej jednostki, [w:] Międzynarodowe Standardy Sprawozdawczości Finansowej dla Małych i Średnich Jednostek, red. W.A. Nowak, Oficyna a Wolters Kluwer business, Warszawa 2012, s. 207–215.
Organizacja i funkcjonowanie audytu na przykładzie polskiej gospodarki
213
4.2.6. Metodologia audytu Do realizacji czynności audytorzy w ramach sektora publicznego mogą wykorzystywać różne techniki i metody oraz sposoby postępowania. Aktem prawnym odnoszącym się do metodyki oraz sposobu przeprowadzania audytu są wspomniane wcześniej Rozporządzenie w sprawie przeprowadzania i dokumentowania audytu wewnętrznego, a także Komunikat w sprawie standardów audytu w jednostkach sektora finansów publicznych. Wskazane czynności oraz dokumenty generowane w toku ich realizacji wymienione zostały w tabeli 4.5. Tabela 4.5. Realizacja oraz dokumentowanie czynności audytowych w sektorze publicznym Podstawa prawna
Czynności i dokumenty audytowe
1 Plan roczny audytu
Rozporządzenie Ministra Finansów Komunikat Miniz dnia 1 lutego stra Finansów nr 2 2010 r. w sprawie z dnia 17 czerwca przeprowadzania 2013 r. w sprawie i dokumentowania standardów audytu audytu wewnętrznego wewnętrznego dla (Dz.U., nr 21, poz. jednostek sektora 108) oraz Ustawa finansów publicznych z dnia 27 sierpnia (Dz.Urz.MF, nr 2, 2009 r. o finansach poz. 15) publicznych (Dz.U., nr 157, poz. 1240) 2 3 ˅
˅
• wyniki analizy ryzyka
˅
˅
• wyniki analizy zasobów osobowych
˅
˅
• uwzględnienie wkładu wyższego kierownictwa
˅
˅
• lista obszarów ryzyka, w których zostanie przeprowadzone zadanie
–
˅
Elementy planu:
214
Rozdział IV Tabela 4.5 (cd.) 1
2
3
• informacje na temat planowego czasu trwania poszczególnych zadań
–
˅
• cykl audytu (liczba wszystkich obszarów ryzyka do liczby obszarów ryzyka poddanych badaniu w danym roku)
–
˅
–
˅
Upoważnienie Elementy upoważnienia: • podstawa prawna podjęcia badania
˅
• imię, nazwisko i stanowisko służbowe badającego
˅
• podmiotowy zakres badania
˅
• okres ważności upoważnienia
˅
• podpis wydającego upoważnienie
˅
• możliwość przedłużenie upoważnienia
˅
Zawiadomienie kierownika jednostki badanej o planowaniu przeprowadzenia czynności
˅
˅
• cele badanej działalności
˅
˅
• istotne ryzyka badanej działalności
˅
˅
• adekwatność i skuteczność procesów: ładu organizacyjnego, zarządzania ryzykiem i kontroli
˅
–
• zakres badania
˅
˅
• przydział zasobów
˅
–
˅
˅
Planowanie zadania:
Program zadania audytowego
Organizacja i funkcjonowanie audytu na przykładzie polskiej gospodarki 1
2
3
• cele zadania audytowego
˅
˅
• wyniki wcześniejszych audytów/ kontroli
–
–
• ryzyka mające wpływ na działalność jednostki badanej
˅
˅
• informacje dotyczące działalności jednostki badanej
˅
˅
Elementy programu:
1
2
3
• jednostka badana
–
˅
• zakres audytu, przedmiot i okres badania
˅
˅
• zagadnienia wymagające oceny
˅
˅
• termin badania
–
˅
• wskazówki metodyczne dotyczące sposobu i technik przeprowadzania badania
˅
˅
• organizacja i harmonogram badania
–
˅
Udostępnienie programu badania
–
˅
Obiektywizm
˅
˅
Prawa audytora: • swobodny dostęp do pomieszczeń
˅
˅
• wgląd do dokumentów dotyczących działalności badanej
˅
˅
Możliwość złożenia oświadczenia do audytowanego dotyczącego badanego przedmiotu.
–
˅
• ocena ładu organizacyjnego
˅
–
• ocena skuteczności procesów zarządzania ryzykiem
˅
–
Charakter prac audytu:
215
216
Rozdział IV Tabela 4.5 (cd.) 1
2
3
• utrzymanie skutecznych mechanizmów kontrolnych
˅
–
Sprawozdanie z audytu
˅
˅
• temat i cel czynności
˅
–
• podmiotowy i przedmiotowy zakres badania
–
˅
• data rozpoczęcia i zakończenia czynności
–
˅
• ustalenie stanu faktycznego
˅
˅
• wskazanie słabości systemu kontroli
˅
˅
• skutki lub ryzyka wynikające ze wskazanych słabości
˅
˅
• zalecenie w sprawie wyeliminowania słabości lub wprowadzenia udoskonaleń
˅
˅
• opinia o systemie kontroli w badanym obszarze
˅
˅
• data sporządzenia
–
˅
• imię i nazwisko oceniającego
–
˅
Odwołanie od sprawozdania
–
˅
• ogólnie czynności doradcze
˅
˅
• czynności z inicjatywy kierownika
–
˅
• czynności z inicjatywy audytora
–
˅
Opinie i wnioski na temat ocenianego obszaru
˅
˅
Sprawozdanie/opinia z czynności doradczych
˅
˅
Elementy sprawozdania z audytu:
Czynności doradcze:
Organizacja i funkcjonowanie audytu na przykładzie polskiej gospodarki 1
2
3
Czynności zlecone przez organ nadrzędny np. Ministra
–
˅
Sprawozdanie z wykonania planu rocznego audytu
˅
˅
217
Źródło: opracowanie własne na podstawie Rozporządzenia Ministra Finansów z dnia 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego (Dz.U., nr 21, poz. 108), Komunikatu Ministra Finansów nr 2 z dnia 17 czerwca 2013 r. w sprawie standardów audytu wewnętrznego dla jednostek sektora finansów publicznych (Dz.Urz.MF, nr 2, poz. 15), Ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz.U., nr 157, poz. 1240) oraz A. Skoczylas, System kontroli i audytu w polskiej administracji publicznej, „Zeszyty Teoretyczne Rachunkowości” 2012, t. 67(123), SKwP.
Z tabeli 4.5 wynika, że metodologia przeprowadzania audytu w jednostkach sektora finansów publicznych jest zgodna ze Standardami IIA, a niekiedy bardziej uszczegóławia czynności, jakie realizuje audytor. Jedyną różnicą jest zastosowanie tzw. planu i programu audytu, ale w tym przypadku jest to kwestia stosowanego nazewnictwa i ewentualnie generowania pewnych dodatkowych dokumentów, natomiast sam proces planowania przebiega na podstawie podobnych zasad i kryteriów. Ponadto wszelkie elementy ujęte w Standardach IIA, a nie uwzględnione w ramach rozporządzenia są i powinny być stosowane przez audytorów, ponieważ oba dokumenty zostały przyjęte jako powszechnie obowiązujące w polskich jednostkach sektora finansów publicznych. 4.2.7. Ocena jakości pracy audytu Działalność audytu wewnętrznego funkcjonującego w administracji publicznej podlega ocenie. Na przestrzeni lat 2006–2013 weryfikacji działania audytu dokonywał Departament Audytu Sektora Publicznego, obecnie Departament Polityki Wydatkowej usytuowany w Ministerstwie Finansów. Ocena ta miała odzwierciedlenie w sporządzanych rokrocznie sprawozdaniach początkowo z audytu wewnętrznego i kon-
218
Rozdział IV
troli finansowej, później audytu wewnętrznego, a następnie audytu wewnętrznego i kontroli zarządczej. Dotyczyła ona przede wszystkim organizacji podsektora rządowego oraz samorządowego w ograniczonym stopniu. Biorąc pod uwagę kryteria oceny audytu w sektorze publicznym, przyjęte przez Ministerstwo Finansów, działalność jego była oceniana z punktu widzenia następujących aspektów: • zatrudnienia w komórkach audytu wewnętrznego, • czynności realizowanych w ramach audytu, • oceny funkcjonowania audytu wewnętrznego na podstawie wyników badań ankietowych oraz pojawiających się w tym zakresie problemów. Dodatkowo, wskazany Departament przeprowadzał i nadal przeprowadza zewnętrzną ocenę działalności audytu w jednostkach sektora finansów publicznych. Warto w tym miejscu zaznaczyć, że w kolejnych latach wybrane jednostki sektora publicznego będą poddawane ocenie zewnętrznej z walidacją (m.in. organizacje nadzorowane przez Ministerstwo Sprawiedliwości i Ministerstwo Finansów). Poza ocenami zewnętrznymi, audytorzy, zgodnie ze Standardami IIA, powinni wykorzystywać inne sposoby oceny wewnętrznej, które zostały opisane w rozdziale pierwszym niniejszego opracowania. Brak jest jednak dostępnych informacji wskazujących, czy i w jakim zakresie oceny te są stosowane. 4.2.8. Odbiorcy informacji dostarczanych w ramach usług audytowych Ostatnim elementem prezentacji działalności audytowej w polskim sektorze finansów publicznych są adresaci informacji generowanych w ramach świadczonych usług. Rolą audytu wewnętrznego jest dostarczanie wiadomości i danych na temat oceny działalności jednostki do wybranej grupy interesariuszy. W tabeli 4.6 przedstawiono dokumenty, do których tworzenia audytorzy są zobligowani w ramach prowadzonej działalności oraz odbiorców informacji generowanej w ramach audytu, w oparciu o obowiązujące przepisy prawa polskiego.
Organizacja i funkcjonowanie audytu na przykładzie polskiej gospodarki
219
Tabela 4.6. Dokumenty audytowe i ich odbiorcy Rodzaj dokumentu
Odbiorca informacji
Podstawa prawna
1
2
3
Plan roczny audytu
• Kierownik jednostki • Wszystkie komórki objęte planem audytowym w danym roku • Komórka audytu utworzona w nadzorowanym jednostkę ministerstwie • Opinia publiczna
§ 8 Rozporządzenia Ministra Finansów z 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego Art. 284 ustawy z 27 sierpnia 2009 r. o finansach publicznych
Program zadania audytowego
• Kierownik jednostki • Kierownicy audytowanych komórek
§ 20 Rozporządzenia Ministra Finansów z 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego
Sprawozdanie • Kierownik jednostki z zadania audytowe- • Kierownicy audytowago w ramach usług nych komórek doradczych i zapewniających
§ 25 Rozporządzenia Ministra Finansów z 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego Standardy IIA 2060, 2440,2450, 2600
Sprawozdanie / • Kierownik jednostki notatka z czynności • Kierownicy audytowasprawdzających nych komórek
§ 28 Rozporządzenia Ministra Finansów z 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego Standardy IIA 2060, 2500
Sprawozdanie z realizacji planu rocznego audytu
§ 34 Rozporządzenia Ministra Finansów z 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego Standardy IIA 2060
• Kierownik jednostki • Komórka audytu utworzona w nadzorowanym jednostkę ministerstwie • minister finansów jako organ koordynujący • Opinia publiczna
220
Rozdział IV 1
2
Sprawozdanie z oce- • Kierownik jednostki ny jakości audytu • Audytorzy
3 § 44 Rozporządzenia Ministra Finansów z 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego Standardy IIA 1320 art. 284 Ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych
Źródło: opracowanie własne na podstawie ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz.U., nr 157, poz. 1240), Rozporządzenia Ministra Finansów z dnia 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego (Dz.U., nr 21, poz. 108), Komunikatu Ministra Finansów nr 2 z 17 czerwca 2013 w sprawie standardów audytu wewnętrznego dla jednostek sektora finansów publicznych (Dz.Urz.MF 2013, poz. 15).
Katalog osób zainteresowanych danymi zamieszczanymi w dokumentach audytowych można podzielić na interesariuszy wewnętrznych i zewnętrznych. W ramach tych pierwszych możemy mówić o kierownictwie organizacji, które jest zobowiązane zapewnić sprawność działania poszczególnych elementów składowych systemu kontroli wewnętrznej oraz skuteczność mechanizmów kontrolnych. Informacje te są dostarczane przez audytorów w formie danych o planowanych działaniach (plan roczny i program zadania), czynnościach zakończonych (sprawozdania z zadań audytowych, notatki, sprowadzania z realizacji planu rocznego), a także o jakości prowadzonej działalności audytowej (sprawozdania z oceny jakości audytu). Wysokim poziomem działania audytu są również zainteresowani sami audytorzy, celem podjęcia stosownych działań zmierzających do poprawy ich funkcjonowania. Druga grupa to klienci zewnętrzni, tj, poszczególni ministrowie odpowiedzialni za prawidłowość działania nadzorowanych przez nich jednostek sektora finansów publicznych oraz powołany w każdym z ministerstw komitet audytu (roczne plany audytu i sprawozdania z ich wykonania). Dodatkowo odbiorcą informacją z wyników przeprowadzonych działań audytowych jest również opinia publiczna, zainteresowana efektywnością funkcjonowania organizacji publicznych (sprawozdania z realiza-
Organizacja i funkcjonowanie audytu na przykładzie polskiej gospodarki
221
cji planu rocznego), jak i osoby z kręgów naukowych zorientowane na działania analityczne czy badawcze, w odniesieniu do których informacje audytowe są udostępniane w ramach obowiązujących przepisów prawnych w zakresie dostępu do informacji publicznej51.
4.3. Zastosowanie audytu w organizacjach sektora prywatnego 4.3.1. Uregulowania prawne w zakresie audytu i obowiązek korzystania z jego usług Sformułowanie zasad organizacji oraz działania audytu w polskim sektorze prywatnym jest utrudnione. Wynika to z faktu, iż nie istnieją jednoznaczne uregulowania prawne nakładające obowiązek jego funkcjonowania oraz określające sposób realizacji we wszystkich instytucjach należących do tego sektora. Do przesłanek, jakie muszą zaistnieć, aby polskie przedsiębiorstwa były skłonne do korzystania z usług audytowych, należą przede wszystkim obowiązek wynikający z przepisów prawnych bądź wola kierownika jednostki. W ramach pierwszej grupy przesłanek należy wskazać takie akty prawne, jak: • ustawa o rachunkowości, • prawo bankowe, • ustawa Sarbanesa-Oxleya (SOX). Zasadność korzystania z czynności świadczonych przez audytorów pojawia się w sytuacji, gdy jednostka jest zobligowana do publikowania sprawozdań finansowych, które z kolei powinny zostać poddane badaniu opinii biegłych rewidentów. Obowiązek taki wskazuje polska ustawa o rachunkowości, która określa podmioty zobligowane do badania sprawozdań finansowych oraz zasady oceny zgodności tych dokumentów z wytycznymi rachunkowości przyjętymi w jednostce, a także 51
Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych, art. 284.
222
Rozdział IV
sposób weryfikacji rzetelności i jasności przedstawianej sytuacji majątkowej oraz finansowej przedsiębiorstwa, w tym jego wyniku finansowego52. Kolejnym odniesieniem do przepisów prawa w zakresie obligatoryjnego wykorzystania audytu jest ustawa Prawo bankowe. Ten akt prawny wprowadza funkcjonowanie systemu zarządzania w instytucjach prowadzących działalności bankową, który obejmuje proces szacowania ryzyka oraz ocenę kontroli wewnętrznej. Według tychże uregulowań narzędzie w postaci audytu wewnętrznego stanowi element systemu kontroli wewnętrznej i powinno funkcjonować w każdym banku działającym w formie spółki akcyjnej, banku państwowego czy spółdzielczego53. Podobne przepisy w zakresie funkcjonowania systemu kontroli wewnętrznej wprowadzono w odniesieniu do instytucji ubezpieczeniowych na podstawie art. 30 ustawy z 22 maja 2003 r. o działalności ubezpieczeniowej54. Ten akt prawny nie obliguje firm świadczących usługi ubezpieczeniowe do korzystania z audytu, jednakże zobowiązuje do wypracowania regulacji wewnętrznych z zakresu działającego w nim systemu kontroli wewnętrznej. Innym przykładem stosowania audytu jest obowiązek ujęty w regulacjach zawartych w The Sarbanes & Oxley Act (SOX) z 25 lipca 2002 r., co zostało opisane w rozdziale II opracowania. Warto w tym miejscu wskazać, iż przedsiębiorstwa notowane na giełdzie amerykańskiej, a działające również na rynku polskim, są zobligowane do stosowania postanowień ustawy. Dla przykładu do organizacji takich należą Johnson & Johnson, Veolia Environnement (Dalkia Polska), McDonald’s Corporation, Procter & Gamble Co., Xerox Corporation, Hilton 52 Ustawa o rachunkowości z dnia 2 września 2009 r., Dz.U. 2009, nr 152, poz. 1223, art. 65. 53 Ustawa Prawo bankowe z dnia 2 listopada 2012 r., Dz.U. 2012, poz. 1376, art. 9; A. Skoczylas-Tworek, Audyt jako narzędzie optymalizacji zarządzania przedsiębiorstwem w dobie kryzysu ekonomicznego, [w] Polityka ekonomiczna, red. J. Sokołowski, G. Węgrzyn, Prace Naukowe UE nr 307, Wydawnictwo Uniwersytetu Ekonomicznego we Wrocławiu, Wrocław 2013, s. 549–553. 54 Ustawa o działalności ubezpieczeniowej z dnia 22 maja 2003 r., Dz.U. 2003, nr 124, poz. 1151, art. 30.
Organizacja i funkcjonowanie audytu na przykładzie polskiej gospodarki
223
Hotels Corporation, Hewlett-Packard Company, Cisco Systems Inc., Avon Products Inc. Innym przypadkiem jest sytuacja, w której kierownik danej jednostki sam zdecyduje się na korzystanie z audytu jako narzędzia wsparcia. Czynniki istotne przy podejmowaniu tego rodzaju decyzji stanowią w szczególności: wielkość organizacji, jej rozproszenie, stopień kontroli nad sytuacja jednostki, dojrzałość organizacyjna, a także branża, w jakiej działa, i wielkość posiadanych zasobów finansowych. Pierwszym istotnym kryterium jest wielkość instytucji, a także jej rozproszenie strukturalne. Audyt funkcjonuje przede wszystkim w korporacjach, dużych przedsiębiorstwach, niekiedy występuje również w średnich organizacjach, co z kolei podyktowane jest sposobem zapewnienia kontroli nad działaniem instytucji. Jak zostało wcześniej wspomniane, im mniejsza organizacja, tym stopień kontroli jest większy, a sytuacje generujące zagrożenia możliwe do opanowania. W większych przedsiębiorstwach, w których występuje znaczne rozproszenie organizacyjne, nadzór nad ryzykiem jest ograniczony, stąd niezbędne jest zastosowanie narzędzi i instrumentów dostarczających informacji obrazujących efektywność ich funkcjonowania. Z reguły zarządzający dzieli się posiadaną władzą poprzez rozdział odpowiedzialności nad poszczególnymi obszarami działalności, ponieważ kompleksowe zapanowanie nad instytucją przez jedną osobę jest niemożliwe. Jako wsparcie w sprawnym zarządzaniu kierownicy niejednokrotnie korzystają z usług audytu w formie wewnętrznej komórki organizacyjnej bądź zewnętrznych usług świadczonych przez odrębną instytucję bądź osobę. Innym aspektem decydującym o korzystaniu z usług audytu przez polskie przedsiębiorstwa jest ich dojrzałość organizacyjna. Wiąże się ona z prawdopodobieństwem przewidzenia skutków zachowania się jednostki na rynku, co jest uwarunkowane postawą i świadomością osób nią kierujących55. Instytucja dojrzała jest w stanie dostosować się w dość krótkim czasie do zmian zachodzących zarówno w jej otoczeniu wewnętrznym, jak i zewnętrznym. Bierne podejście do zarządzania R. Haffer, Samoocena i pomiar wyników działalności w systemach zarządzania przedsiębiorstwem, Wydawnictwo Naukowe UMK, Toruń 2011, s. 17–21. 55
224
Rozdział IV
organizacją powoduje brak systematycznej kontroli nad jej funkcjonowaniem oraz trudność w przewidzeniu wyników jej działalności56. W przypadku podejścia bardziej formalnego i ukierunkowanego na ciągłe usprawnianie jednostki, dysponuje się silniejszym i zintegrowanym systemem doskonalenia rezultatów jej działalności, a decyzje zarządcze nie są chaotyczne, w związku z czym istnieją racjonalne przesłanki ich podejmowania. O dojrzałości organizacji decyduje również organizacja procesów funkcjonujących w ramach jej działalności oraz zasobów ludzkich realizujących te procesy57. Do elementów przedsiębiorstwa, które decydują o byciu jednostką dojrzałą, należą m.in.: strategia działania, zdefiniowana i jasno określona odpowiedzialność, zarządzanie wiedzą i informacją, kultura organizacyjna, dostępność i wykorzystanie innowacyjnych narzędzi zarządczych oraz system pomiaru wyników działalności58. Instytucje te są w stanie zapewnić sobie względnie stabilną pozycję na rynku poprzez odpowiedni poziom sprzedaży i zysków. Proces ten wymaga jednak ciągłej analizy, weryfikacji i usprawniania, a w tym zakresie pomocne może okazać się wykorzystanie niezależnej opinii audytorskiej. W związku z tym, że dojrzałość organizacji odnosi się do wszystkich obszarów jej działalności, stąd im bardziej dojrzała instytucja, tym zakres świadczonych usług audytowych powinien być szerszy i bardziej kompleksowy59. Innym kryterium decydującym o zastosowaniu audytu jest branża, w ramach której przedsiębiorstwo prowadzi swoją działalność. Niektóre branże, jak chemiczna, farmaceutyczna, spożywcza czy przemysłowa, regularnie korzystają z usług audytowych ukierunkowanych przede wszystkim na ocenę jakości. Branża energetyczna i budowlana z kolei koncentruje się na usługach audytu energetycznego. Korzystanie Zob. K. Lisiecka, Systemy zarządzania jakością produktów. Metody analizy i oceny, Wydawnictwo AE, Katowice 2009, s. 15–22. 57 R. Haffer, Samoocena i pomiar wyników…, s. 22. 58 Zob. K. Janasz, W. Janasz, K. Kozioł, K. Szopik-Depczyńska, Zarządzanie strategiczne. Koncepcje. Metody. Strategie, Wydawnictwo Difin, Warszawa 2010, s. 17–40, 245–256; Z. Pierścionek, Zarządzanie strategiczne w przedsiębiorstwie, Wydawnictwo Naukowe PWN, Warszawa 2011, s. 15–54. 59 A. Skoczylas-Tworek, Audyt jako narzędzie…, s. 552–553. 56
Organizacja i funkcjonowanie audytu na przykładzie polskiej gospodarki
225
z audytu umożliwia przedsiębiorstwom podniesienie jakości świadczonych przez nich usług, a tym samym wpływa na opinię potencjalnych odbiorców. Bez względu jednak na branże, z usług audytu ukierunkowanego na badanie sprawozdań finansowych korzystają przedsiębiorstwa zobligowane do ich publikowania. Jeszcze inny aspekt w tym zakresie stanowi wielkość posiadanych zasobów finansowych. Warto się w tym miejscu zastanowić, czy nie jest to kryterium najistotniejsze. Usługi audytowe generują koszty dla organizacji bez względu na formę ich świadczenia, wewnętrzną w postaci komórki organizacyjnej czy zewnętrzną. Stąd organizacje niejednokrotnie korzystają z innych narzędzi, które mogą dostarczyć im oceny sprawności działania jednostki (benchmarking, controlling). Pokusić się można o wyciągniecie tezy, iż aspekt finansowy ogranicza przedsiębiorców w zakresie korzystania z usług audytu. Do tej pory jednak nie przeprowadzono diagnozy, czy wartość dodana pozyskana z tytuł korzystania z usług audytu przewyższa bądź rekompensuje koszty poniesione na jego zastosowanie. Można się również zastanowić, czy wszystko da się skalkulować z finansowego punktu widzenia. Choć biorąc pod uwagę skutek ryzyka i przełożenie go na działalność jednostki, należy zaznaczyć, że każda strata, czy moralna, czy też finansowa, ma przełożenie na kształtowanie się pozycji firmy na rynku. 4.3.2. Organizacja audytu i forma korzystania z usług audytowych Poza zróżnicowanym kryterium korzystania z usług audytu odmienna może być również forma jego zastosowania w sektorze prywatnym. W tym zakresie można wyróżnić następujące możliwości: • zastosowanie usług audytu poprzez zatrudnienie audytora oraz ustanowienie wyodrębnionej organizacyjnie komórki, • korzystanie z usług audytu poprzez czasowe powoływanie wyodrębnionej grupy pracowników w odniesieniu do specyficznych rodzajów audytu, • korzystanie z zewnętrznych usług świadczonych przez osoby fizyczne posiadające odpowiednie kwalifikacje bądź wyspecjalizowane firmy audytorskie.
226
Rozdział IV
Pierwszym rozwiązaniem jest zatrudnienie audytora oraz utworzenie odrębnej komórki w strukturze jednostki. Sposób jej organizacji i działania pozostaje jednak w gestii zarządzającego instytucją. Nie istnieją uregulowania prawne nakazujące w ramach instytucji prywatnych stosowanie pewnych rozwiązań w tym zakresie. Podobnie ma się sprawa zastosowania standardów. Dlatego też w przedsiębiorstwach napotyka się różne koncepcje w tym zakresie, począwszy od podległości audytora nie bezpośrednio pod kierownika instytucji, ale pod różne szczeble zarządzania, organizację audytu na podstawie wybranych standardów czy wytycznych bądź przyjęcie własnych regulacji w zakresie działalności audytu. Zarządzający organizacją może również utworzyć tzw. grupę audytową, powołaną spośród pracowników jednostki, celem okazjonalnego przeprowadzania czynności audytowych w danym obszarze. Z reguły zakres jej działania jest z góry określony i dotyczy oceny jakości. Wówczas możliwe jest zaangażowanie własnych sił i środków, co nie generuje kosztów finansowych, choć nieuniknione jest poniesienie wydatku na certyfikację. Ostatnie z rozwiązań to korzystanie z zewnętrznych firm audytorskich bądź osób świadczących taki rodzaj usług. Takie podejście stosowane jest z reguły w odniesieniu do badania sprawozdań finansowych przez biegłych rewidentów lub firmy zatrudniające osoby z takimi kwalifikacjami, a także w ramach zachowania posiadanej przez jednostkę certyfikacji zgodnie z normami ISO. 4.3.3. Uprawnienia do wykonywania zawodu audytora Katalog osób uprawnionych do świadczenia usług audytowych w sektorze prywatnym jest zróżnicowany. Z jednej strony może on obejmować osoby, które posiadają uprawnienia określone w takich regulacjach prawnych, jak ustawa o finansach publicznych czy ustawa o biegłych rewidentach i ich samorządzie, z drugiej dysponują kwalifikacjami odnoszącymi się do wybranych systemów jakości w zależności od branży, w której działa przedsiębiorstwo, wreszcie bazując na ogólnej wiedzy i doświadczeniu osoby oraz znajomości przez nią or-
Organizacja i funkcjonowanie audytu na przykładzie polskiej gospodarki
227
ganizacji, w której działa. W odniesieniu do posiadanych kwalifikacji należy wskazać, że w polskim sektorze prywatnym usługi audytowe zazwyczaj świadczą biegli rewidenci na podstawie ustawy o rachunkowości oraz którzy zgodnie z obowiązującymi przepisami ustawy o finansach publicznych są również audytorami wewnętrznymi60. Należy jednak zaznaczyć, iż zakres działania tej grupy zawodowej ogranicza się głównie do oceny obszarów finansowych z punktu widzenia weryfikacji sprawozdań finansowych. Tego typu usługi w ramach polskiego rynku oferują przede wszystkim firmy tzw. wielkiej czwórki, do których zalicza się: Deloitte Touche Tohmatsu, EY (dawniej Ernst & Young), KPMG Audyt Services Sp. z o.o., czy PwC (PricewaterhouseCoopers). Mogą być one również realizowane przez inne, mniejsze organizacje świadczące usługi rachunkowe i zatrudniające biegłych rewidentów. W sytuacji braku odniesienia do jakichkolwiek uregulowań prawnych, o kwalifikacjach osoby świadczącej usługi audytorskie w organizacji sektora prywatnego decyduje zarządzający jednostką. Z reguły są one uzależnione od potrzeb informacyjnych instytucji oraz jej zarządu. 4.3.4. Obszary zainteresowań audytu Rolą audytu jest dostarczanie zarządzającemu danych o efektywności i skuteczności funkcjonującego systemu kontroli wewnętrznej w odniesieniu do wszystkich obszarów działalności jednostki. W praktyce natomiast przedsiębiorcy koncentrują usługi audytorskie na wybranych kwestiach, co powoduje, że zakres ich działania jest nie tylko zróżnicowany, ale w znacznym stopniu ograniczony. Istotnym czynnikiem kształtującym obszar zastosowania audytu jest wzrost wartości przedsiębiorstwa. Jest to z pewnością najważniejszy cel działania każdej organizacji prywatnej, a wszystkie pozostałe polityki i założenia są jemu podporządkowane. Stąd zadania audytorów w wielu jednostkach koncentrują się na tych obszarach, które generują największe dochody bądź koszty dla przedsiębiorstwa. W polskiej gospodarce dominuje w tym zakresie badanie przede wszystkim zagadnień jakości i finansów. Skoncentrowanie Ustawa o finansach publicznych z dnia 27 sierpnia 2009 r., Dz.U. 2009, nr 157, poz. 1240, art. 286 ust. 1 pkt 5c. 60
228
Rozdział IV
działań audytu na ocenie jakości ma miejsce w szczególności w przedsiębiorstwach produkcyjnych, handlowych i usługowych, w pozostałych organizacjach skupiają się one głównie na obszarach finansowych. Działania audytu w obszarze finansów jednostki wiążą się głównie z badaniem bieżącej pozycji finansowej organizacji. Zakres ten dotyczy przede wszystkim problemów rachunkowości, ewidencjonowania i sprawozdawczości transakcji finansowych. Jego ocena obejmuje skuteczność funkcjonowania systemu kontroli wewnętrznej w zakresie prawidłowości sporządzanych dokumentów i zapisów księgowych. Weryfikacji podawana jest prawidłowość operacji ujętych w pozycjach finansowych bilansu oraz rachunku zysków i strat. Badanie obejmuje zagadnienia, które mają wpływ na sprawność i jakość funkcjonowania jednostki z finansowego punktu widzenia61. Z reguły audyt ten jest przeprowadzany przez niezależnego biegłego rewidenta. Z kolei, usługi audytu w zakresie jakości koncentrują się na systematycznej oraz udokumentowanej ocenie całej organizacji bądź wybranych jej obszarów działalności pod względem dostosowania ich funkcjonowania do kryteriów określonych w normach, standardach czy wytycznych62. Kryteria oceny mogą być zróżnicowane w zależności od branży oraz obszaru, jakiego dotyczą, m.in. systemu zarządzania w organizacji ISO 9000:2000, systemu zarządzania środowiskowego ISO 14000, zarządzania bezpieczeństwem i higieną pracy 18001:2004, zarządzania jakością w branży spożywczej ISO 22000:2005 (HACCP system zagwarantowania bezpieczeństwa produktu konsumentowi), czy zarządzania bezpieczeństwem łańcucha dostaw ISO 28000/PAS 28000:200563. W niektórych przedsiębiorstwach zakres audytu obejmuje kompleksowe badanie wszystkich obszarów działalności organizacji, celem zwrócenia uwagi na nieaktualne już procedury oraz podjęcie działań usprawniających dany obszar. Jego rolą jest dostarczanie da61 M.P. Cangemi, T. Singleton, Managing the Audit Function, A Corporate Audit Department Procedures Guide, John Wiley & Sons, Inc., Hoboken, New Jersey, 2003, s. 238–249. 62 Por. S. Nowak, Podręcznik wdrażania ISO…, s. 109. 63 Zob. M. Urbaniak, Zarządzanie jakością, środowiskiem oraz bezpieczeństwem w praktyce gospodarczej, Wydawnictwo Difin, Warszawa 2007, s. 96–460.
Organizacja i funkcjonowanie audytu na przykładzie polskiej gospodarki
229
nych i informacji na temat prawidłowości, efektywności i skuteczności funkcjonowania organizacji z perspektywy zarządzającego. Przykładem kompleksowego wykorzystania audytu jest z pewnością zakres działania audytu wewnętrznego w instytucjach bankowych, który jest bardzo szeroki i obejmuje badanie oraz ocenę adekwatności i skuteczności systemu kontroli wewnętrznej, a także opiniowanie systemu zarządzania przyjętego w organizacji, w tym skuteczności zarządzania ryzykiem64. Innym przykładem w odniesieniu do obszaru działania audytu są przedsiębiorstwa zobowiązane do przestrzegania postanowień wspomnianej już ustawy SOX. W tym przypadku zakres działania audytu dotyczy oceny systemu kontroli wewnętrznej funkcjonującego w organizacji, weryfikacji procedur tego systemu oraz kontroli jakości. Na podstawie wskazanego zakresu, według dokumentu SOX, do zadań audytorów należy identyfikacja słabości oraz ocena skuteczności mechanizmów systemu kontroli wewnętrznej przedsiębiorstwa, ze szczególnym zwróceniem uwagi na aspekty finansowe. 4.3.5. Metodologia audytu Metodologia stosowana w ramach usług audytowych świadczonych w jednostkach należących do sektora prywatnego pozostawiona jest w kompetencji osób realizujących czynności audytowe. W zależności od obszaru objętego audytem oraz rodzaju czynności audytowych, a także osoby go przeprowadzającej metody i techniki badania mogą być nieco odmienne. W tabeli 4.7 zamieszczono przykłady audytowanych obszarów, osób wykonujących czynności audytowe, zakres oceny, na jakim się koncentrują oraz stosowane metody i techniki. Z przedstawionych w tabeli 4.7 przykładów wynika, że techniki stosowane przez audytorów specjalizujących się w wybranych obszarach, takich jak finanse czy jakość, są podobne. Wynika to z faktu, iż pewne narzędzia oceny są niezbędne i charakterystyczne dla oceny danej dziedziny, stąd nie można ich pominąć. W zależności od osób świadczących usługi audytowe, ich kwalifikacji, a także zapotrzebowa64
Ustawa Prawo bankowe z dnia 2 listopada 2012 r., Dz.U. 2012, poz. 1376, art. 9.
230
Rozdział IV
nia organizacji audytor koncentruje się na różnych aspektach działania, stosując przy tym cały wachlarz możliwych metod i technik, charakterystycznych dla czynności audytowych bądź obszaru audytowanego. Tabela 4.7. Przykłady obszarów audytowanych Badany obszar
Osoba audytująca
Obszar koncentracji
Przykłady metod i technik oceny
1
2
3
4
Finanse
Operacyjny
Zgodności
Biegły rewident, audytor zewnętrzny
Ocena sprawozdań finansowych
Testy zgodności Testy weryfikacyjne Analiza sprawozdań finansowych Analiza finansowa Analiza wskaźnikowa
Audytor zatrudniony w organizacji (audytor wewnętrzny)
Weryfikacja poprawności i efektywności funkcjonowania aspektów finansowych w różnych obszarach działalności jednostki poprzez ukierunkowanie na gospodarność
Testy zgodności Testy weryfikacyjne Analiza wydatków ponoszonych przez organizację Analiza finansowa Analiza wskaźnikowa
Audytor wewnętrzny Ocena funkcjonoAudytor zewnętrzny wania wybranych procesów oraz poprawności i efektywności ich działania
Testy zgodności Testy weryfikacyjne Analiza wskaźnikowa Testy przejścia przez system
Audytor wewnętrzny Weryfikacja prawiAudytor zewnętrzny dłowości i legalności działania wybranych procesów, obszarów z regulacjami wewnętrznymi, przepisami prawa, wytycznymi i standardami
Testy zgodności Testy przejścia przez system
Organizacja i funkcjonowanie audytu na przykładzie polskiej gospodarki 1
2
3
231
4
Informatyczny
Audytor wewnętrzny Analiza bezpieczeńAudytor zewnętrzny stwa informacji oraz systemów informatycznych funkcjonujących w wybranym obszarze bądź całej jednostce.
Testy zgodności Testy weryfikacyjne Testy przejścia przez system
Jakości
Audytor wewnętrzny Wybrani pracownicy organizacji Audytor zewnętrzny – audytor jakości
Arkusze oceny Ankiety Kwestionariusze kontroli Testy zgodności
Ocena zgodności funkcjonowania danego procesu z przyjętymi normami ISO
Źródło: opracowanie własne.
4.3.6. Ocena jakości pracy audytu W ramach instytucji należących do sektora prywatnego, w sytuacji kiedy jednostka korzysta z usług audytu, jego ocena powinny być dokonywana zarówno w ramach ocen wewnętrznych, jak i zewnętrznych. W odniesieniu do ocen wewnętrznych należy wskazać, iż pozostają one w gestii samego audytora, wyjątek stanowi zastosowanie Standardów IIA. W ramach ocen zewnętrznych można zaangażować niezależną jednostkę oceniającą bądź zastosować ocenę benchmarkingową wśród organizacji pochodzących z tej samej branży. Jednakże w sektorze prywatnym, gdzie zysk jest celem nadrzędnym, a przedsiębiorstwa dążą do ograniczania kosztów, o jakości audytu z reguły rozstrzyga sam zarządzający. Jest to z jednej strony działanie w pełni uzasadnione, ale z drugiej ryzykowne, o czym świadczą przypadki słynnych oszustw jakie miały miejsce w latach 2006–2010, a które zostały przedstawione w rozdziale II publikacji.
232
Rozdział IV
4.3.7. Odbiorcy informacji dostarczanych w ramach usług audytowych Ostatnie kryterium weryfikacji działania audytu w sektorze prywatnym stanowią odbiorcy informacji generowanych w ramach świadczonych usług. Podobnie jak w przypadku administracji publicznej, tak i w prywatnych organizacjach adresatami danych audytowych jest kierownictwo jednostki. Jednak w ramach oceny kondycji finansowej przedsiębiorstwa opartej na badaniu sprawozdań finansowych wśród najbardziej zainteresowanych osób znajdują się również użytkownicy zewnętrzni w postaci: konkurencji, inwestorów, instytucji bankowych, klientów itd. W tabeli 4.8 przedstawiono rodzaje dokumentów audytowych, ich odbiorców oraz przykład podstawy prawnej w tym zakresie. Tabela 4.8. Dokumenty audytowe i ich odbiorcy Rodzaj dokumentu
Odbiorca informacji
Przykładowa podstawa prawna
1
2
3
Plan audytu
Kierownictwo wyższego szczebla Rada, Komitet audytu (jeśli funkcjonuje)
Standardy IIA 2010
Program zadania audytowego
Kierownictwo wyższego szczebla Rada (jeśli funkcjonuje)
Standardy IIA 2200
Sprawozdanie z zada- Kierownictwo wyższego nia audytowego szczebla Rada (jeśli funkcjonuje) Inni interesariusze (klienci, inwestorzy, konkurencja)
Standardy IIA 2400, 2440
Sprawozdanie / notatka z czynności sprawdzających
Standardy IIA 2500
Kierownictwo wyższego szczebla Rada (jeśli funkcjonuje) Inni interesariusze (klienci, inwestorzy, konkurencja)
Organizacja i funkcjonowanie audytu na przykładzie polskiej gospodarki 1
2
233
3
Sprawozdanie z reali- Kierownictwo wyższego zacji planu rocznego szczebla audytu Rada (jeśli funkcjonuje)
Standardy IIA 2060
Sprawozdanie z oce- Kierownictwo wyższego ny jakości audytu szczebla Rada (jeśli funkcjonuje) Audytorzy
Standardy IIA 1320
Źródło: opracowanie własne na podstawie: Międzynarodowych Standardów Praktyki Zawodowej Audytu Wewnętrznego zawartych w dokumencie pt. Definicja audytu wewnętrznego, Kodeks Etyki oraz Międzynarodowe Standardy Praktyki Zawodowej Audytu Wewnętrznego opracowanym przez The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs Floryda 32701-4201, USA.
W odniesieniu do organizacji należących do sektora prywatnego podkreślenia wymaga fakt, iż o ile ich kierownictwo jest zawsze zainteresowane informacjami generowanymi w ramach audytu, o tyle uwaga interesariuszy jest zorientowana na dane dotyczące ogólnej oceny pozycji jednostki, a w szczególności jej kondycji finansowej. Stąd wyjątkowe znaczenie dla szeroko rozumianej opinii publicznej mają dokumenty generowane przez biegłych rewidentów.
4.4. Audyt w polskiej gospodarce – analiza porównawcza Audyt funkcjonuje w polskiej gospodarce rynkowej od chwili zapoczątkowania rewizji finansowej i pojawienia się zawodu biegłego rewidenta. Jego działalność jest zróżnicowana w zależności od sektora, w jakim działa. Ujednolicony sposób organizacji audytu występuje w sektorze publicznym, w ramach którego jest on uregulowany w ustanowionych aktach prawnych wskazujących konkretne rozwiązania w danym zakresie. W sektorze prywatnym tylko nieliczne kwestie znajdują swoje odwzorowanie prawne. Z praktycznego punktu widzenia można dostrzec pewne podobieństwa i różnice w organizacji oraz funkcjonowaniu audytu w obu sektorach. Zostały one zaprezentowane w tabeli 4.9.
234
Rozdział IV Tabela 4.9. Zastosowanie audytu w sektorze publicznym i prywatnym polskiej gospodarki Sektor publiczny
Kryteria porównawcze
administracja rządowa
administracja samorządowa
1
2
3
• Obowiązek prowadzenia audytu w formie usług audytu wewnętrznego
Audyt wewnętrzny ustanowiony prawnie na podstawie ustawy o finansach publicznych w odniesieniu do wybranych jednostek bądź spełniających kryterium finansowe
Audyt wewnętrzny prowadzony jest w urzędach wojewódzkich oraz innych jednostkach samorządu terytorialnego spełniających kryterium finansowe albo w ramach podjęcia decyzji
Sektor prywatny małe i średnie duże korporacje przedsiębiorstwa 4 5 Audyt wewnętrzny prowadzony w oparciu o przepisy prawa (Prawo bankowe, ustawa o rachunkowości, SOX, ustawa o ubezpieczeniach). W pozostałych przypadkach o korzystaniu
Wyłącznie wola kierownictwa organizacji
albo w ramach przez kierowni- z usług stanowi wola kierownicpodjęcia decyzji ka jednostki twa jednostki przez kierownika jednostki lub właściwego ministra • Obowiązek prowadzenia audytu w formie usług audytu zewnętrznego
W wybranych jednostkach istnieje możliwość korzystania z usług usługodawcy zewnętrznego w oparciu o przepisy prawa ustawy o finansach publicznych, tj. po spełnieniu warunków finansowych
Określone przepisami ustawy Kwalifikacje do wykonywania o finansach publicznych zawodu
Korzystanie głównie w zakresie obowiązkowego badania sprawozdania finansowego przez biegłego rewidenta bądź w ramach posiadania certyfikatów jakości ISO. W pozostałych przypadkach zależy od woli kierownictwa organizacji Określone przepisami ustawy o biegłych rewidentach.
Brak uregulowań co do wymaganych kwalifikacji
Organizacja i funkcjonowanie audytu na przykładzie polskiej gospodarki 1
2
3
235
4
W pozostałych przypadkach brak uregulowań co do wymaganych kwalifikacji Obszary koncentracji usług audytorskich
Wszystkie obszary działalności jednostki
Wybrane obszary działalności jednostki, głównie dotyczące zagadnień finansów i jakości bądź wszystkie obszary działalności, jeśli jest taka wola kierownictwa organizacji
Metodologia audytu
W sposób ogólny określona przepisami prawa (Rozporządzenie w sprawie przeprowadzania i dokumentowania audytu oraz Komunikat MF w sprawie standardów audytu wewnętrznego w jednostkach sektora finansów publicznych)
Stosownie do audytowanego obszaru o metodologii decyduje audytor. Odstępstwa stanowią: badanie sprawozdań finansowych przez biegłych rewidentów oraz działanie audytorów w oparciu o Standardy IIA czy normy ISO
Organizacja i miejsce komórki w strukturze organizacji
W wybranych jednostkach obowiązek utworzenia komórki audytu wewnętrznego w strukturach jednostki bądź korzystanie z usług usługodawcy zewnętrznego
Brak uregulowań prawnych w tym zakresie, stąd zależy w pełni od woli kierownictwa. Wyjątkiem będzie przyjęcie przez jednostkę do stosowania Standardów IIA bądź innych wytycznych
Ocena pracy audytu
Zgodnie z obowiązującymi przepisami prawa audyt powinien podlegać ocenie wewnętrznej i zewnętrznej
Brak obowiązku dokonywania oceny, jedynie w sytuacji przyjęcia do stosowania Standardów IIA
Interesariusze/ Odbiorcy sprawozdań
Osoby określone w przepisach prawa ustawy o finansach publicznych: kierownictwo jednostki, komórka audytu utworzona we właściwym dla jednostki ministerstwie, minister finansów jako organ koordynujący. Dodatkowo także opinia publiczna
W odniesieniu do organizacji poddanych badaniu sprawozdań finansowych oraz posiadających certyfikaty ISO szeroko rozumiana opinia publiczna. Ponadto kierownictwo wyższego szczebla, rada i inni interesariusze
Źródło: opracowanie własne.
236
Rozdział IV
W ramach obowiązku prowadzenia audytu zarówno w sektorze publicznym, jak i prywatnym przyjęto uregulowania prawne obligujące wybrane jednostki do korzystania z usług audytu. Na ich podstawie z usług audytowych korzysta przeważająca większość jednostek sektora finansów publicznych oraz wybrane organizacje prywatne. Jednocześnie zarówno jednostki publiczne, jak i prywatne mają możliwości korzystania z usługodawcy zewnętrznego. Z praktycznego punktu widzenia zastosowanie tej formy cieszy się znacznie większą popularnością w sektorze prywatnym niż publicznym. Dla przykładu niespełna 5% jednostek administracji rządowej korzystało w 2010 r. z usług usługodawcy zewnętrznego65. W zakresie uprawnień niezbędnych do wykonywania zawodu audytora kwalifikacje wymagane w sektorze publicznym zostały jasno uregulowane w przepisach prawa. W sektorze prywatnym z kolei są one uzależnione od przyjętych zasad organizacji, a także zapotrzebowania na wybrane rodzaje usług, w szczególności dotyczące badania i oceny aspektów finansowych, skoncentrowanych na badaniu sprawozdań finansowych bądź jakości odnoszących się do przestrzegania zapisów norm ISO. Można jednak zaobserwować zjawisko honorowania ze strony obu sektorów posiadania przez audytorów kwalifikacji międzynarodowych, takich jak: CIA, ACCA, CISA i inne. W odniesieniu do koncentracji usług audytowych w kręgu zainteresowań audytora w sektorze publicznym znajdują się wszystkie obszary działalności jednostki, w sektorze prywatnym powinno być podobnie, choć znacznie częściej stosowanym rozwiązaniem jest ograniczanie działalności audytu do wybranych obszarów, istotnych w ramach działalności organizacji i postrzeganych jako ważne przez opinię publiczną oraz innych interesariuszy. Z punktu widzenia metodologii stosowanej w obu sektorach zaobserwowano występowanie podobieństwa stosowanych technik i narzędzi. Istnieją pewne regulacje w tym zakresie w odniesieniu do sektora publicznego, jednakże poziom ich ogólności pozostawia dowolność 65 Sprawozdanie z audytu wewnętrznego i kontroli zarządczej w sektorze publicznym w 2010 roku, Departament Audytu Sektora Finansów Publicznych, Ministerstwo Finansów, Warszawa, listopad 2011, s. 9.
Organizacja i funkcjonowanie audytu na przykładzie polskiej gospodarki
237
w ich zastosowaniu, co w przypadku świadczenia usług audytowych jest pożądane. Kolejna kwestia dotyczy organizacji audytu w ramach jednostki. W praktyce wybrane organizacje publiczne są prawnie zobowiązane do utworzenia komórki audytu wewnętrznego. Natomiast nie ma żadnych ustalonych norm dotyczących budowy, organizacji komórki audytu oraz liczby osób w niej zatrudnionych. Decyzję taką podejmuje zarządzający organizacją w oparciu o jej sytuację, strukturę oraz specyfikę funkcjonowania. Inną ważną kwestią jest również zapewnienie audytorowi niezależności, poprzez podporządkowanie pod odpowiedni organ. Dla przykładu, zgodnie ze Standardami IIA komórka audytu, a dokładnie audytor zarządzający tą komórką, powinien podlegać pod taki szczebel organizacji, który zapewni mu niezależność organizacyjną i funkcjonalną66 w zakresie wykonywanych zadań. Takie rozwiązanie jest niezbędne do zapewnienia otwartego i właściwego przepływu informacji pomiędzy audytorem a kierownikiem organizacji. Audytor świadczy usługi wspomagające zarządzanie instytucją, a zatem dostarcza informacji na temat bieżącego funkcjonowania jednostki i sprawności działania przyjętego systemu kontroli wewnętrznej. Stąd dane na ten temat powinny być przekazywane bezpośrednio zarządzającemu jednostką tak, aby nie doszło do ich modyfikacji, a tym samym odmiennej interpretacji bądź uznania pewnych znaczących kwestii za mało istotne. Weryfikacja pracy audytu powinna być poddawana ocenie wewnętrznej i zewnętrznej. W sektorze publicznym sprawy te zostały uregulowane prawnie, w sektorze prywatnym, natomiast kwestia ta pozostaje w gestii zarządzającego jednostką. Jak zostało jednak wspomniane, zadowolenie zarządzającego organizacją z działalności audytu ma bardzo istotne znaczenie, jednakże powinien być on w określonych odstępach czasu poddawany ocenie zewnętrznej, z punktu widzenia jakości jego działania. Odbiorcami informacji generowanych przez audytorów są zarówno kierownictwo organizacji, jak i opinia publiczna. Z punktu widzenia jednostek publicznych dane audytowe są wykorzystywane w szczególności Definicja audytu wewnętrznego…, s. 6.
66
238
Rozdział IV
przez instytucje nadrzędne do oceny działania sektora finansów publicznych, z kolei w ramach organizacji prywatnych informacje te w szczególności dostarczane przez biegłych rewidentów są użyteczne dla szerokiego grona interesariuszy. Stąd w odniesieniu do przedsiębiorstw występuje znacznie większe zainteresowanie danymi wytwarzanymi w ramach audytu z punktu widzenia klienta zewnętrznego. ¤¤ Na podstawie zaprezentowanych informacji należy wskazać, iż działalność audytu w sektorze publicznym została jednoznacznie dookreślona prawnie, a przyjęte regulacje dostosowane są do Standardów IIA. Odnośnie do sfery prywatnej można doszukiwać się pewnych podobieństw do sektora publicznego, jednakże niektóre aspekty nie zostały objęte żadnymi regulacjami czy wytycznymi w zakresie działania audytu, a pozostawione w gestii kierownictwa jednostki.
Przedstawiona w niniejszej części publikacji analiza organizacji i funkcjonowania audytu w sektorze publicznym i prywatnym na przykładzie polskiej gospodarki pozwoliła na sformułowanie przyszłych kierunków rozwoju tego narzędzia.
4.5. Kierunki rozwoju audytu Audyt stanowi narzędzie wspierające zarządzanie organizacją, jest to bowiem działalność prowadzona w ramach instytucji, jak i na jej rzecz. Na przestrzeni lat działania audytu wciąż podlegały modyfikacji, a kierunki dążenia w tym zakresie przedstawiono w tabeli 4.10. Informacje zamieszczone w tabeli 4.10 pokazują, jak zmieniał się zawód audytora na przestrzeni lat, począwszy od szczegółowego weryfikatora błędów i nieprawidłowości aż po konsultanta oceniającego i doradzającego w zakresie usprawnienia systemu zarządzania przyjętego w organizacji. Obecnie stanowi on nowoczesne narzędzie wspomagania zarządzania zorientowane na cele i zadania jednostki, ograniczanie potencjalnego ryzyka, efektywność zarządzania, doradztwo i przysparzanie wartości dodanej. Jednakże powodzenie zastosowania takiego
Organizacja i funkcjonowanie audytu na przykładzie polskiej gospodarki
239
podejścia, określanego jako „nowoczesny audyt”, jest w znacznej mierze uzależnione od samych audytorów jako osób odpowiedzialnych za zmianę postrzegania audytu z punktu widzenia klienta, która jest następstwem modyfikacji postawy audytorów oraz promowania świadczenia usług o odpowiedniej jakości. Tabela 4.10. Kierunki zmian audytu Kryterium
Przeszłość audytu
Przyszłość audytu
Charakter działania
Twarda kontrola
Ocena, analiza
Szczegółowa weryfikacja
Koncentracja na ryzyku
Koncentracja na błędach i nieprawidłowościach
Poszukiwanie możliwości
Badanie przeszłości
Ocena przyszłości
Ocena transakcji (ocena pojedynczych zadań, czynności)
Ocena procesów (podejście systemowe)
Działania kontrolne
Ocena systemu zarządzania
Kontroler
Konsultant
Perswazja
Negocjacje, współpraca
Niezależność
Kształtowanie wartości dodanej
Wiedza audytowa
Wiedza biznesowa
Katalizator
Pomoc
Świadomość
Świadomość
Postawa audytora
Źródło opracowanie własne na podstawie Ch. Chapman, U. Anderson, Implementing the Professional Practice Framework. The IIA Handbook Series, IIA 2002, s. 91, za: K.H. Spencer Pickett, The Essential Handbook of Internal Auditing, John Wiley & Sons, Ltd, England 2005, s. 271–272.
Audyt w polskiej gospodarce rynkowej funkcjonuje zarówno w organizacjach sektora publicznego, jak i prywatnego. Biorąc pod uwagę dotychczas przedstawione rozważania oraz dążąc do rozwoju audytu w polskiej gospodarce rynkowej, w przyszłości, należy koncentrować się na takich aspektach, a właściwie czynnikach determinujących jego działanie, jak: • klienci audytu,
240
Rozdział IV
• uwarunkowanie działań organizacji podlegającej audytowi, • zakres działania audytu, • jakość realizowanych usług audytowych, • kompetencje osoby bądź podmiotu świadczącego usługi audytowe, • determinanty środowiska zewnętrznego. Klientami audytu są organizacje korzystające z usług osoby bądź firmy oferującej usługi audytowe, a w przypadku funkcjonowania wewnętrznej komórki audytowej w strukturach organizacji klientem jest przede wszystkim kierownictwo jednostki. Jak zostało wcześniej wspomniane, audyt funkcjonuje zarówno w sektorze publicznym, jak i prywatnym, jednakże nie wszystkie organizacje należące do tych sektorów korzystają z jego usług. Warto byłoby zastanowić się nad kwestią obowiązkowego poddawania ocenie audytowej każdej organizacji należącej do polskiej gospodarki rynkowej. Informacje pozyskiwane w toku takich czynności stanowiłyby z pewnością cenne źródło danych nie tylko dla inwestorów, klientów, ale również innych instytucji finansowych czy fiskalnych. Takie rozwiązanie z pewnością ma również pewne wady. Wśród nich należy wymienić przede wszystkim generowanie kosztów, na które nie wszystkie organizacje są w stanie sobie pozwolić. Ponadto, o ile w odniesieniu do instytucji sektora publicznego można narzucić prawnie tego rodzaju podejście, o tyle w jednostkach sektora prywatnego nie do końca jest to możliwe. Dodatkowo zasadność funkcjonowania audytu można rozpatrywać również z punktu widzenia wielkości organizacji, zakresu i specyfiki jej działania, choć należy zaznaczyć, że opinia Europejskiej Konfederacji Instytutów Audytu Wewnętrznego (European Confederation of Institutes of Internal Auditing – ECIIA)67 w tym zakresie wskazuje, że nie rozmiar jednostki powinien decydować o wdrożeniu funkcji audytu w organizacji, ale prawdopodobieństwo i skutek zagrożeń towarzyszących jej działalności68. W ramach organizacji publicznych decyzja o korzystaniu z au67 Europejska Konfederacja Instytutów Audytorów Wewnętrznych, podlegająca pod IIA Global Instutie of Internal Auditors z siedzibą w USA, światową organizacją certyfikującą i standaryzującą audyt wewnętrzny. 68 Making the Most of the Internal Audit Function: Recommendations for Directors and Board Committees, ECIIA 2012, s. 7.
Organizacja i funkcjonowanie audytu na przykładzie polskiej gospodarki
241
dytu pozostaje przede wszystkim po stronie ustawodawcy, w przypadku natomiast sektora prywatnego należy do zarządzającego jednostką. Wśród barier ograniczających funkcjonowanie audytu we wszystkich organizacjach polskiej gospodarki, a także przestrzeń jego działania należy wymienić przede wszystkim: • niezrozumienie roli audytu; • koncentrację na przeszłych zdarzeniach, a tym samym brak świadomości mogących pojawić się zagrożeń; • niewłaściwą kulturę zarządzania organizacją; • niechęć do wprowadzania zmian; • kosztowność tego rodzaju usług. Praktyka pokazuje, iż w Polsce nie wszystkie instytucje decydują się na korzystanie z usług audytu, a te które należą do tego grona, albo zostały do tego zobligowane prawnie, albo same podjęły decyzję, ale wówczas audyt obejmuje badanie jedynie wybranych obszarów działalności. Dlatego zakres działania audytu wciąż stanowi pewne ograniczenie dla rozwoju tego narzędzia w polskiej gospodarce. Z reguły są to wyselekcjonowane obszary, skupiające się na badaniu sprawozdań finansowych, ocenie jakości bądź innych obszarach zależnych od charakteru i specyfiki działania organizacji. Należy jednak pamiętać, że pojawiające się zagrożenia odnoszą się do wszystkich zjawisk i operacji zachodzących w jednostce, stąd każde z nich, bez względu na specyfikę, powinno być poddane niezależnym okresowym ocenom. Kierunków rozwoju audytu należy upatrywać w sposobie i jakości realizowanych czynności. Jeśli jakość pracy audytorów oraz informacji przez nich dostarczanych będzie wysoka i znacząca z punktu rozwoju nie tylko samej organizacji, ale i całej gospodarki to zapotrzebowanie na audyt będzie wykazywać tendencję rosnącą. Istotne znaczenie w tym zakresie mają kompetencje osób bądź podmiotów oferujących usługi w tym zakresie. Mowa tu przede wszystkim o wiedzy, doświadczeniu, zaangażowaniu, profesjonalizmie, obiektywizmie oraz innych cechach, jakie powinien prezentować sobą audytor, a które zostały opisane we wcześniejszych częściach publikacji. Świadczenie usług audytowych, podobnie jak każda inna działalność, niesie ze sobą pewne szanse, jak i zagrożenia. Wśród korzyści,
242
Rozdział IV
jakie można wymienić w zakresie korzystania z audytu, należy wskazać przede wszystkim: • koncentrację na kluczowych obszarach działalności jednostki, • niezależną i obiektywną ocenę stanu faktycznego systemu kontroli wewnętrznej, • dostarczenie zapewnienia o prawidłowości i efektywności działania mechanizmów kontrolnych, • wspomaganie kierownictwa w sprawowaniu sprawnej i efektywnej kontroli nad jednostką, • doradztwo w zakresie doskonalenia zarządzania instytucją, • pomoc we wczesnym diagnozowaniu zagrożeń, • inwentaryzowanie i mapowanie procesów realizowanych przez jednostkę, • ocenę adekwatności systemu sprawowania władzy (zarządzania), • wnikanie w kluczowe problemy instytucji, • badanie i dochodzenie oszustw. ¤¤ Działalność audytu powinna skupiać się na najważniejszych obszarach działalności organizacji, odnosząc się tym samym do kwestii mających znaczenie dla kształtowania pozycji jednostki. Nie należy jednak zapominać o innych obszarach, które pośrednio oddziaływają na główne procesy, ponieważ organizacja to spójny system elementów zależnych od siebie nawzajem.
Dlatego zadaniem audytu jest dostarczanie zapewnienia o prawidłowości i efektywności funkcjonowania wszystkich obszarów działalności instytucji w tym przyjętych mechanizmach kontrolnych, a także dostarczanie danych o potencjalnych zagrożeniach oraz stanie zabezpieczenia jednostki przed ich wpływem. Zasadne byłoby ukierunkowanie planowania strategicznego w audycie na objęcie badaniem w określonym przedziale czasowy wszystkich obszarów działalności organizacji w ramach tzw. cyklu zarządzania. Współczesny audyt powinien stanowić szczególny rodzaj systemu informacyjno-kontrolnego w organizacji, który poprzez swoje działania przyczynia się do sprawnego oraz efektywnego funkcjonowania systemu zarządzania w instytucji. Kierunki, w jakich powinien podążać obecnie rozwój audytu, to przede wszystkim:
Organizacja i funkcjonowanie audytu na przykładzie polskiej gospodarki
243
• koncentracja na wszystkich obszarach ryzyka, • świadczenie usług doradczych, • wzrost zaangażowania audytorów w usprawnienie działalności organizacji, • ukierunkowanie badania audytowego na przyszłość, • zwiększenie zakresu działania audytu, • rozwój metodologii audytu, • większe zaangażowanie audytorów w wykrywanie oszustw i nadużyć. Audyt powinien koncentrować się na dokonywaniu oceny działalności zachodzącej na wszystkich poziomach zarządzania organizacją i analizowaniu ryzyka, które wiążą się z ich funkcjonowaniem. Głównym przedmiotem zainteresowania audytora są obszary najwyższego ryzyka, ale należy w tym zakresie wziąć pod uwagę czynnik ludzki pojawiający się w ocenie ryzyka oraz towarzyszący mu subiektywizm. Ponadto, skupienie uwagi wyłącznie na ryzyku stanowiącym największe zagrożenie ocenianym na dany moment czasowy spowoduje odwrócenie uwagi od innych aspektów działalności organizacji, których skutki zmaterializowania mogą okazać się istotne. Audyt, szczególnie działający w ramach struktury organizacyjnej, powinien dążyć do zwiększania realizacji usług doradczych, czyli tych, których wykonanie nie jest z góry zaplanowane, ale podyktowane pojawiającymi się na bieżąco zagrożeniami. Nie oznacza to rezygnacji z czynności zapewniających, ale ma stanowić wzrost zaangażowania w bieżącą działalność organizacji, a tym samym reagowania na zmienność ryzyka. Działania audytu nie mogą ograniczać się wyłącznie do wyjaśniania przyczyn zdarzeń, które zaszły, ale skupiać się na ograniczaniu podatności jednostki na ryzyko, które może wystąpić. Usługi audytu powinny stanowić formę prewencji służącej wzmocnieniu funkcjonującego systemu kontroli wewnętrznej, a tym samym rozwojowi i usprawnieniu organizacji w przyszłości. Rozszerzeniu powinien ulec zakres oceny działalności organizacji poddawany audytowi. Jego zadaniem jest weryfikacja wszystkich obszarów funkcjonujących w ramach jednostki, ze szczególnym uwzględnieniem tych istotnych z punktu widzenia pojawiających się
244
Rozdział IV
zagrożeń. Nie oznacza to skupiania się jedynie na wąskich gardłach, ale obejmowanie działaniem ważnych w danym obszarze kwestii stanowiących o efektywności i skuteczności jedostki. Audyt powinien podążać w kierunku rozwoju stosowanej metodologii poprzez urozmaicanie form, metod, narzędzi, technik oraz sporządzanej dokumentacji. W ramach prowadzonej działalności ciągły rozwój umiejętności w świadczeniu usług jest niezmiernie istotny, pozwala on nie tylko zaprezentować badane zjawisko z różnej perspektywy, ale również wskazać jego słabości i propozycje doskonalenia. Ponadto rozwój stosowanej przez audytorów metodologii powoduje ciągłe zainteresowanie kierownictwa wynikami jego działalności. Należy jednak pamiętać, aby działania te były dostosowane do potrzeb i oczekiwań zarządu organizacji, a także specyfiki badanego obszaru. Audytorzy nie są uprawnieni do wykrywania oszustw, ale ich praca powinna być ukierunkowana na aspekty i zjawiska mogące skutkować popełnieniem oszustwa czy nadużycia. Zjawisko to w ówczesnej gospodarce nabiera coraz większego znaczenia. Niestabilność organizacyjna staje się konsekwencją rosnącej presji po stronie kadry zarządzającej jednostką i przyczynia się do postępującego ograniczania mechanizmów kontrolnych głównie ze względu na skupienie uwagi na redukcji kosztów i szukaniu oszczędności, niejednokrotnie zapominając o innych elementach systemu zarządzania. Dlatego też działania audytowe ukierunkowane na identyfikowanie znamion oszustw stanowią pewnego rodzaju narzędzie służące prewencji i pozwalają na bieżąco monitorować pojawiające się zagrożenia. Można pokusić się o stwierdzenie, iż obecnie istnieje pewien trend czy też moda na korzystanie z usług audytu. Jednakże audyt stanowi wciąż działalność rozwijającą się, w ramach której pozostaje jeszcze dużo do zrobienia. Jest to związane z postępującym procesem standaryzacji, globalizacji, technologii i innych czynników mających wpływ na kształtowanie działalności organizacji, a tym samym całej gospodarki rynkowej.
ZAKOŃCZENIE Dynamika zmian zachodzących we współczesnej gospodarce rynkowej powoduje, że organizacje funkcjonujące w niepewnej rzeczywistości, chcąc przetrwać muszą podejmować działania zarówno ograniczające skutki pojawiających się zagrożeń, jaki i kształtować swoją pozycję na rynku poprzez podejmowanie efektywnych i skutecznych działań. Wiąże się to z ustanowieniem właściwie działającego systemu kontroli wewnętrznej w organizacji wyposażonego w takie narzędzia i mechanizmy kontrolne, które będą dostarczały aktualnych i rzetelnych informacji na temat pozycji jednostki oraz przyczyniały się do sprawnego jej funkcjonowania. Jednym z narzędzi wspomagających proces zarządzania organizacją jest audyt. Głównym celem publikacji było przedstawienie istoty, roli i znaczenia audytu jako instrumentu wspierającego jakość procesów decyzyjnych, w instytucjach funkcjonujących we współczesnej gospodarce rynkowej. Audyt na świecie jest szeroko rozpowszechniony i skupia się na rozpoznawaniu potencjalnych szans i zagrożeń dla organizacji w ramach struktury, w której działa. Powinien dostarczać racjonalnego zapewnienia, że cele i zadania postawione przed jednostką są w sposób efektywny i skuteczny realizowane, a ryzyko w tym zakresie ograniczane. Audyt jest procesem coraz bardziej użytecznym, nie polega bowiem on jedynie na gromadzeniu informacji, lecz ewoluuje w kierunku dostarczania kierownictwu gotowych wniosków i ustaleń, co może skutkować wzrostem racjonalizacji działań w organizacji. Na straży zachowania obiektywizmu audytorskiego stoją właściwe standardy i wytyczne ustanowione przez profesjonalne organizacje międzynarodowe, a także zasady i reguły kodeksów etyki zawodowej, których przestrzeganie prowadzi do wzrostu zaufania do pracy audytora i potwierdza jego wiarygodność.
246
Zakończenie
W ramach świadczenia usług audytorzy mogą wykorzystywać w swoim zawodzie różne dostępne techniki i metody badawcze. Metodologia audytu stanowi bardzo szeroki wachlarz analiz i instrumentów, jednakże należy pamiętać, że każda ocena jest inna, a wybór techniki audytowania wpływa na skuteczność wyników audytu, co z kolei przyczynia się do przysporzenia wartości dodanej. Diagnozy organizacji i funkcjonowania audytu dokonano na przykładzie polskiej gospodarki rynkowej, gdzie działalność audytu jest zróżnicowana w zależności od rodzaju sektora, w ramach którego działa. Z punktu widzenia instytucji sektora publicznego zastosowanie audytu zostało uregulowane prawnie i stanowi część aktu prawnego określającego organizację i funkcjonowanie finansów publicznych. Ustanowione regulacje odnoszą się nie tylko do wykonywania czynności audytowych, ale również postawy audytora. Określają również obszar działania audytu, który obejmuje ocenę systemu kontroli zarządczej funkcjonującego w danej organizacji publicznej, w ramach którego do zadań audytora należy ciągłe jego usprawnianie. Na szczególną uwagę zasługuje fakt przyjęcia do stosowania międzynarodowych standardów (Standardy IIA). Z kolei sektor prywatny w tym zakresie rządzi się nieco odmiennymi zasadami. Wola korzystania z usług audytowych jest uzależniona od obowiązku (badanie sprawozdań finansowych, certyfikaty jakości, SOX) bądź woli zarządzającego organizacją. Funkcje i zadania audytu są tu bardziej zróżnicowane, zależne od wielkości oraz struktury organizacyjnej podmiotu, a także umiejętności i doświadczenia zawodowego audytora, a w szczególności od wymagań, jakie stawia przed nim zarządzający jednostką. W tym przypadku obszar działalności audytu koncentruje się w szczególności na aspektach finansowych związanych z badaniem sprawozdawczości finansowej, jakościowych, odnoszących się do pozyskiwania i poświadczania jakości wytwarzanych produktów czy oferowanych usług bądź innych podyktowanych zapotrzebowaniem zarządzającego jednostką. Z jednej strony holistyczne podejście i zastosowanie audytu w sektorze publicznym, z drugiej pozostawiona duża swoboda jego wykorzystywania w sektorze prywatnym powodują, iż warto zastanowić się
Zakończenie
247
nad możliwymi usprawnieniami w zakresie działania audytu w polskiej gospodarce rynkowe, zmierzającymi w kierunku przyjęcia wspólnego rozwiązania. W opinii autorki, do uporządkowania kwestii związanych z działalnością audytu w Polsce przyczyniłoby się dążenie do opracowania jednolitego aktu prawnego dotyczącego wyłącznie funkcjonowania audytu. Obejmowałby on swoim zakresem zarówno działalność audytu w sektorze publicznym, jak i prywatnym przyjmując jednocześnie różne formy świadczenia usług audytowych w postaci audytu wewnętrznego i zewnętrznego. Odnosiłby on się zarówno do podmiotów zobowiązanych do korzystania z usług audytu, w szczególności publicznych, a także pozostałych mogących z tego rodzaju usług korzystać. Jednakże z chwilą podjęcia decyzji o korzystaniu z audytu przez zarządzającego jednostką, regulacje wskazywałyby zakres i możliwości działania audytu w organizacji, a także określały jego organizację i kwalifikacje osób świadczących usługi audytu. Bez względu na proponowane rozwiązania należy wskazać, iż istotną rolę w zakresie rozwoju działalności audytu odgrywa kształtowanie odpowiednich postaw menedżerskich, audyt bowiem stanowi narzędzie wspierania w szczególności tej grupy osób. Jednakże zarządzający organizacjami nie zawsze oczekują tego rodzaju pomocy. Wynika to w szczególności z braku informacji na temat działania audytu i jego możliwości bądź uwarunkowane jest brakiem środków finansowych na korzystanie z tej formy usług. Pomimo tego, biorąc pod uwagę zaprezentowane w monografii rozważania oraz konkluzje, należy podkreślić, iż zainteresowanie audytem wykazuje tendencję rosnącą, ale jego rola, szczególnie w sektorze prywatnym, pozostaje nadal niedoceniona, na co wskazuje wciąż ograniczony zakres jego działania skoncentrowany przede wszystkim na ocenie obszarów sprawozdawczości finansowej i jakości. W ramach świadczenia czynności audytowych niezbędne jest generowanie wartości dodanej w postaci proponowanych usprawnień i działań podnoszących efektywność oraz sprawność działania. Aspektem niezbędnym do realizowania postawionych przez audytem celów jest również dążenie do ciągłego podnoszenia posiadanych przez osoby świadczące usługi audytu kwalifikacji oraz poszerzania wiedzy zarówno
248
Zakończenie
w zakresie badanych obszarów, jak i stosownych technik oraz metod ewaluacyjnych. Przyczyni się to do wzrostu efektywności wykonywanych czynności, a tym samym pozwoli na promowanie jakości świadczonych usług przez audytorów, co będzie miało przełożenia na większe zainteresowanie tego rodzaju usługami wśród podmiotów gospodarki rynkowej reprezentujących zarówno sektor publiczny, jak i prywatny. Istotne jest również dążenie do zapewnienia otwartego przepływu informacji pomiędzy audytorami a pracownikami i kierownictwem jednostki, co pozwoli na lepszą identyfikację potencjalnych zagrożeń mogących mieć wpływ na funkcjonowanie organizacji, a tym samym weryfikację znamion zjawisk oszustw i nadużyć. Powyższe jest jednak uzależnione od zapewnienia odpowiednich warunków rozwoju audytu w postaci przejrzystych, klarownych i jednoznacznych uwarunkowań prawnych oraz kształtowania odpowiednich postaw menedżerskich ukierunkowanych na usprawnianie działalności organizacji poprzez korzystanie z usług audytowych.
Literatura Literatura zwarta i artykuły Andrzejewski M., Zmiany regulacyjne w systemie rewizji finansowej jako pochodne kryzysów gospodarczych, Zeszyty Naukowe nr 10, Polskie Towarzystwo Ekonomiczne, Kraków 2011. Anthony R., Govindarajan V., Management Control Systems, Irwin McGraw-Hill, Chicago 2007. Audyt wewnętrzny w jednostkach sektora finansów publicznych, red. T. Kiziukiewicz, Wydawnictwo Difin, Warszawa 2007. Bernstein Peter L., Against the Gods, John Wiley and Sons Inc., New York 1996. Białas A., Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, Wydawnictwo Naukowo-Techniczne, Warszawa 2006. Bielińska-Dusza E., Charakterystyka systemu audytu wewnętrznego, [w] Audyt wewnętrzny w doskonaleniu instytucji, red. M. Lisiński, PWE, Warszawa 2011. Bielińska-Dusza E., Formy organizacyjne systemu audytu wewnętrznego, [w:] Audyt wewnętrzny w doskonaleniu instytucji, red. M. Lisiński, PWE, Warszawa 2011. Bogdanienko J., Organizacja i zarządzanie – pojęcia podstawowe, [w:] Organizacja i zarządzanie w zarysie, red. J. Bogdanienko, Wydawnictwo Naukowe Wydziału Zarządzania Uniwersytetu Warszawskiego, Warszawa 2010. Bourn J., Public sector auditing. Is it value for money?, John Wiley & Sons Ltd., London 2007. Cain J., Understending the revised Standards, Internal Auditing & Business Risk, kwiecień 2004. Cangemi M.P., Singleton T., Managing the Audit Function, A Corporate Audit Department Procedures Guide, John Wiley & Sons, Inc., Hoboken, NJ 2003. Chapman Ch., Anderson U., Implementing the professional practice framework, [w:] The IIA Handbook Series, IIA 2002, za: K.H. Spencer Pickett, The Essential Handbook of Internal Auditing, John Wiley & Sons, Ltd., London 2005. Chojna-Duch E., Polskie prawo finansowe. Finanse publiczne, Wydawnictwo Lexis Nexis, Warszawa 2002. Collins A., Minicipial Internal Audit, Gee & Co.Printers and Publishers, London 1904. Cosserat G.W., Rodda N., Modern Auditing, Third Edition, John Wiley & Sons, Ltd. London 2009.
250
Literatura
Czerwiński K., Audyt wewnętrzny, InfoAudit, Warszawa 2004. Definicja audytu wewnętrznego, Kodeks etyki oraz Międzynarodowe Standardy Praktyki Zawodowej Audytu Wewnętrznego, opracowany przez The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs Floryda 32701-4201, USA. Drejewicz S., Zrozumieć BPMN. Modelowanie procesów biznesowych, Wydawnictwo Helion, Gliwice 2012. Enterprise Risk Managemnet – Integrated Framework: Executive Summary and Framework Enterprise Risk Management – Integrated Framework: Application Techniques, tłum. Zarządzanie ryzykiem korporacyjnym – zintegrowana struktura ramowa, COSO 2004, PIKW, Warszawa 2007. European Implementing Guidelines for the INTOSAI Auditing Standards, Luksemburg 1998 r., Europejskie wytyczne do stosowania standardów kontroli INTOSAI. Tłumaczenie Najwyższa Izba Kontroli, Warszawa 2000 r., sfinansowane ze środków pochodzących z funduszy PHARE. Fight A., Measurement and Internal Audit, Capstone Publishing, Oxford 2002, za: K. Winiarska, Audyt wewnętrzny w 2007 roku, Wydawnictwo Difin, Warszawa 2007. Gabrusewicz W., Audyt sprawozdań finansowych, Polskie Wydawnictwo Ekonomiczne, Warszawa 2010. Gleim I.N., Certificate Internal Auditor, IIA, 2004. Glosariusz terminów dotyczących kontroli i audytu w administracji publicznej, Najwyższa Izba Kontroli, Kancelarii Prezesa Rady Ministrów, Ministerstwo Finansów, Ministerstwo Spraw Wewnętrznych i Administracji, Warszawa, lipiec 2005. Grudzewski W.M., Hejduk I.K., Sankowska A., Wańtuchowicz M., Sustainability w biznesie, czyli przedsiębiorstwo przyszłości. Zmiany paradygmatów i koncepcji zarządzania, Wydawnictwo Poltext, Warszawa 2010. Grzesiak L., Skoczylas-Tworek A., Audyt i kontrola wewnętrzna w sektorze małych i średnich przedsiębiorstw – ocena użyteczność oraz przydatności zastosowania, „Teoretyczne Zeszyty Rachunkowości” 2013, t. 74(130). Haffer R., Samoocena i pomiar wyników działalności w systemach zarządzania przedsiębiorstwem, Wydawnictwo Naukowe Uniwersytetu Mikołaja Kopernika, Toruń 2011. Hamrol A., Zarządzanie jakością z przykładami, Wydawnictwo Naukowe PWE, Warszawa 2008. Herdan A., Stuss M.M., Krasodomska J., Audyt wewnętrzny jako narzędzie wspomagające efektywny nadzór korporacyjny w spółkach akcyjnych, Wydawnictwo Uniwersytetu Jagiellońskiego, Kraków 2009. Hołda A., MSR/MSSF w polskiej praktyce gospodarczej, Wydawnictwo C.H. Beck, Warszawa 2013. Howard L.R., Auditing, Pitman Publishing, London 1992, za: O. Martyniuk, Audyt wewnętrzny a kontrola wewnętrzna, [w:] Rachunkowość i analiza ekonomiczna.
Literatura
251
Wybrane problemy, Prace i Materiały Wydziału Zarządzania Uniwersytetu Gdańskiego, Sopot 2005. Internal Control – Integrated Framework Guidance on Monitoring Internal Control Systems, Volume III — Application Techniques, June 2008, Exposure Draft, Public Comment Period, Closes August 15, 2008; pol. tłum. Przewodnik jak monitorować systemy kontroli wewnętrznej COSO III, PIKW, Warszawa 2011. Jagielski J., Audyt wewnętrzny – miejsce w systemie kontroli i organizacja, „Kontrola Państwowa” 2003, nr 3. Jajuga K., Zarządzanie ryzyka, PWE, Warszawa 2007. Janasz K., Janasz W., Kozioł K., Szopik-Depczyńska K., Zarządzanie strategiczne. Koncepcje. Metody. Strategie, Wydawnictwo Difin, Warszawa 2010. Jasiński W., Nadużycia w przedsiębiorstwie, przeciwdziałanie i wykrywanie, Wydawnictwo Poltext, Warszawa 2013. Kabalski P., Wybrane problemy stosowania Międzynarodowych Standardów Sprawozdawczości Finansowej w Polsce, Wydawnictwo Uniwersytetu Łódzkiego, Łódź 2012. Kałużny S., Kontrola wewnętrzna. Teoria i praktyka, PWE, Warszawa 2008. Kaplan R.S., Norton D.P., Mapy strategii w biznesie. Jak przełożyć wartości mierzalne na wyniki, Gdańskie Wydawnictwo Psychologiczne, Sopot 2011. Kearney E.F., Fernandez R., Green J.W., Zavada D.M., Wiley Federal Government Auditing: Laws, Regulations, Standards, Practices, and Sarbanes-Oxley, Wiley & Sons. Ltd., London 2013. Kincaid J.K., Sampias W.J., CGAP Dyplomowany Audytor Sektora Publicznego, The Institute od Internal Auditors, Oddział Instytutu Audytorów Wewnętrznych w Polsce, Wydawca Krajowa Szkoła Administracji Publicznej, Warszawa 2004. Kiziukiewicz T. (red.), Audyt wewnętrzny w jednostkach sektora finansów publicznych, Wydawnictwo Difin, Warszawa 2007. Klincewicz K., Organizacja i otoczenie, [w:] Organizacja i zarządzanie w zarysie, red. J. Bogdanienko, Wydawnictwo Naukowe Wydziału Zarządzania UW, Warszawa 2010. Knapp M. C., Auditing Case, South-Western Cengage Learning, 9th ed., London 2013. Knedler K., Stasiak M., Audyt wewnętrzny w praktyce – audyt operacyjny i finansowy, Polska Akademia Rachunkowości S.A., Warszawa 2005. Koning de R., Public Internal Finacial Control, Robert de Koning, Ljubljana 2007. Krawczyk M., Sekuła P., Etyka w pracy audytora wewnętrznego, „Annales. Etyka w Życiu Gospodarczym” 2008, t. 11, nr 2. Krzemień R., Winiarska K., Audyt wewnętrzny w pytaniach i odpowiedziach. Komentarze, Wydawnictwo InfoAudit, Warszawa 2004. Krzywda D., Istota i znaczenia współczesnej rewizji finansowej, „Teoretyczne Zeszyty Rachunkowości” 2001, nr 4(60). Kuc B.R., Kontrola jako funkcja zarządzania, Wydawnictwo Difin, Warszawa 2009. Kuc B.R., Kontrola – Konroling – Audyt, Podobieństwa i różnice, Wydawnictwo PTM, Warszawa 2008.
252
Literatura
Kush B.D., Auditing Leadership. The Professional and Leadership Skills You Need, John Wiley & Sons, Inc., Hoboken 2009. Lewandowski M., Ochyra I., Konkolewska D., Audyt wewnętrzny według norm ISO. Planowanie, realizacja, dokumentowanie i ocena, Wiedza i Praktyka, Warszawa 2011. Liderman K., Bezpieczeństwo informacyjne, Wydawnictwo Naukowe PWN, Warszawa 2012. Lisiecka K., Systemy zarządzania jakością produktów. Metody analizy i oceny, Wydawnictwo Akademii Ekonomicznej w Katowicach, Katowice 2009. Lisiński M., Wariantowanie w projektowaniu organizatorskim, Zeszyty Naukowe – Akademia Ekonomiczna w Krakowie. Seria Specjalna. Monografie, nr 105, Kraków 1992. Lubińska T., Budżet zadaniowy w Polsce. Reorientacja z wydatkowania na zarządzanie pieniędzmi publicznymi, Wydawnictwo Difin, Warszawa 2007. Lück W., Die Zukunft der Interne Revision, Entwicklungstendenzen der unternehmensinternen Überwachung, Erich Schmidt Verlag, Berlin 2000. Majchrzak I., Łagodzki P., Audyt ekologiczny jako element audytu wewnętrznego, [w:] Audyt wewnętrzny w 2007 roku, red. K. Winiarska, Zeszyty Naukowe nr 475. Prace Katedry Rachunkowości nr 29, Uniwersytet Szczeciński, Wydział Nauk Ekonomicznych i Zarządzania, Szczecin 2007. Malara Z., Rzęchowski J., Zarządzanie informacją na rynku globalnym. Teoria i praktyka, Wydawnictwo C.H. Beck, Warszawa 2011. Martyniuk O., Audyt wewnętrzny a kontrola wewnętrzna, [w:] Rachunkowość i analiza ekonomiczna. Wybrane problemy, Prace i Materiały Wydziału Zarządzania Uniwersytetu Gdańskiego, UG nr 2/2005, Sopot 2005. Martyniuk-Kwiatkowska O., Ewolucja zadań audytu wewnętrznego, [w:] Współczesne problemy analizy ekonomicznej, Prace i Materiały Wydziału Zarządzania Uniwersytetu Gdańskiego nr 1/2006, Sopot 2006. Messner Z., Rachunkowość finansowa w systemie informacji ekonomicznej, [w:] Rachunkowość finansowa z uwzględnieniem MSSF, red. Z. Messner, PWN, Warszawa 2007. Moeller R., Nowoczesny audyt wewnętrzny, Oficyna a Wolters Kluwer business, Warszawa 2011. Moeller R., Witt H., Brink’s Modern Internal Auditing, 5th ed., John Wiley & Sons Ldt., New York 1999. Montgomery H.R., Auditing Theory and Practice, The Roland Press Company, New York 1913. Nowak S., Podręcznik wdrażania ISO 9001:2000, Wydawnictwo Helion, Gliwice 2007. Osborne D., Geabler T., Rządzić inaczej, Media Rodzinna, Poznań 2005. Padzik K., Leksykon zarządzania zasobami ludzkimi. Human Resources Management (HRM), Podstawowe pojęcia z dziedziny zarządzania zasobami ludzkimi, C.H. Beck, Warszawa 2002.
Literatura
253
Patterson R., Kompendium terminów z zakresu rachunkowości po polsku i angielsku, M–R, Wydawnictwa Akademickie i Profesionalne, Warszawa 2008. Patterson R., Kompendium terminów z zakresu rachunkowości po polsku i angielsku, S–Ż, Wydawnictwa Akademickie i Profesjonalne, Warszawa 2008. Pfaff J., Metodyka realizacji czynności kontrolnych, [w:] Kontrola wewnętrzna w jednostkach gospodarczych, red. K. Winiarska, PWE, Warszawa 2010. Pierścionek Z., Zarządzanie strategiczne w przedsiębiorstwie, Wydawnictwo Naukowe PWN, Warszawa 2011. Piotrowski W., Organizacje i zarządzanie – kierunki, koncepcje, punkty widzenia, [w:] Zarządzanie. Teoria i praktyka, red. A.K. Koźmiński, W. Piotrowski, PWE, Warszawa 1996. Pitt S.A., Internal Audit Quality: Developing a Quality Assurance and Improvement Program, Wiley & Sons Ltd., London 2014. Podręcznik audytu wewnętrznego w administracji publicznej, Ministerstwo Finansów, Warszawa 2003. Porter B., Simon J., Principles of External Auditing, John Wiley & Sons. Ltd., London 2014. Przewodnik – jak monitorować systemy kontroli wewnętrznej. Kontrola wewnętrzna – zintegrowana struktura ramowa, PIKW, Warszawa 2011. Saunders E.J., Audyt i kontrola wewnętrzna w przedsiębiorstwach, PIKW S.A., EDUCATOR, Częstochowa 2002. Sawyer L.B., Dittenhofer M.A., Scheiner J.H., Sawyer’s Internal Auditor, Altamonte Springs 1996. Seligman M.E.P., Csikszentmihalyi M., Positive psychology: an introduction, „American Psychologist” 2000, vol. 55(1). Seligman M.E.P, Steen T.A., Park N., Person C., Positive psychology progress: an empirical validation of interventions, „American Psychologist” 2005, vol. 60(5). Simons R., Levers of Control: How Managers Use Innovative Control Systems to Drive Strategic Renewal, Harvard Business School Press, Boston 1995. Skoczylas A., Audyt wewnętrzny a jakość zarządzania i informacji finansowej jednostki, [w:] Międzynarodowe Standardy Sprawozdawczości Finansowej dla Małych i Średnich Jednostek, red. W.A. Nowak, Oficyna a Wolters Kluwer business, Warszawa 2012. Skoczylas A., Samoocena wyzwaniem dla doskonalenia zarządzania instytucjami publicznymi, [w:] Innowacyjność w systemach finansowych, red. B. Mikołajczyk, „Acta Universitatis Lodziensis” 2012, Folia Oeconomica 266. Skoczylas A., System kontroli i audytu w polskiej administracji publicznej, „Zeszyty Teoretyczne Rachunkowości” 2012, t. 67(123). Skoczylas A., Zarządzanie ryzykiem w jednostkach sektora finansów publicznych – potrzeba czy zło konieczne, [w:] Zarządzanie finansami. Upowszechnianie i transfer wyników badań, red. D. Zarzecki, Uniwersytet Szczeciński, Zeszyty naukowe nr 689, Finanse, rynki finansowe, ubezpieczenia nr 50, Szczecin 2012.
254
Literatura
Skoczylas-Tworek A., Audyt jako narzędzie optymalizacji zarządzania przedsiębiorstwem w dobie kryzysu ekonomicznego, [w:] Polityka ekonomiczna, red. J. Sokołowski, G. Węgrzyn, Prace Naukowe UE nr 307, Wydawnictwo UE, Wrocław 2013. Skoczylas-Tworek A., Zarządzanie informacją i wiedzą jako determinanty stymulowania przewagi konkurencyjnej przedsiębiorstwa w dobie kryzysu ekonomicznego, [w:] Przedsiębiorstwo oparte na wiedzy, red. A.P. Balcerzak, Polskie Towarzystwo Ekonomiczne, Toruń 2014. Skoczylas A., Nowak W.A., Ewolucja audytu wewnętrznego w polskim sektorze finansów publicznych, „Zeszyty Teoretyczne Rachunkowości”, t. 63(119), Stowarzyszenia Księgowych w Polsce Rada Naukowa, Warszawa 2011. Słownik języka polskiego PWN, red. M. Szymczak, Wydawnictwo Naukowe PWN, Warszawa 1995. Słownik współczesnego języka polskiego, t. 2, Przegląd Reader’s Digest, Warszawa 1998. Spencer Pickett K.H., Auditing the Risk Management Process, John Wiley & Sons, Inc., NJ, Hoboken 2005. Spencer Pickett K.H., The Essential Handbook of Internal Auditing, John Wiley & Sons, Ltd., The Atrium, Southem Gate, Chichester 2005. Spencer Pickett K.H., The Internal Auditor at Work. A Practical Guide to Everyday Challenges, John Wiley & Sons, Inc., NJ, Hoboken 2004. Surdykowska S.T., Ryzyko finansowe w środowisku globalnej gospodarki. Kulisy najbardziej spektakularnych afer finansowych ostatnich lat, Wydawnictwo Difin, Warszawa 2012. Szymańska H., Ogólne zagadnienia audytu wewnętrznego, [w:] Audyt wewnętrzny w strukturze kontroli zarządczej, red. T. Kiziukiewicz, Wydawnictwo Difin, Warszawa 2013. Światowiec-Szczepańska J., Ryzyko partnerstwa strategicznego. Ujęcie modelowe, Wydawnictwo UE, Poznań 2012. Urbaniak M., Zarządzanie jakością, środowiskiem oraz bezpieczeństwem w praktyce gospodarczej, Wydawnictwo Difin, Warszawa 2007. Vona L.W., The Fraud Audit: Responding to the Risk of Fraud in Core Busines Systems, Wiley & Sons, 2011. Whitley J., Internal Auditing’s Role in Corporate Governance, „Internal Auditor”, vol. 62, issue 5, October 2005, za: O. Martyniuk-Kwiatkowska, Ewolucja zadań audytu wewnętrznego, [w:] Współczesne problemy analizy ekonomicznej, Prace i Materiały Wydziału Zarządzania Uniwersytetu Gdańskiego 2006, nr 1, Sopot 2006. Whittington O.R., Pany K., Principles of Auditing & Other Assurance Services, McGraw-Hill Irwin, New York 2014. Winiarska K., Teoretyczne i praktyczne aspekty audytu wewnętrznego, Wydawnictwo Difin, Warszawa 2005. Winiarska K., Audyt wewnętrzny w 2008, Wydawnictwo Difin, Warszawa 2008.
Literatura
255
Winiarska K., Miejsce komórki audytu wewnętrznego w strukturze organizacyjnej jednostki, [w:] Audyt wewnętrzny jako instrument usprawniający zarządzanie, red. K. Winiarska, Uniwersytet Szczeciński, Wydział Nauk Ekonomicznych i Zarządzania Instytut Rachunkowości, Szczecin 2006. Winiarska K., Audyt wewnętrzny w 2007 roku. Standardy międzynarodowe – Regulacje krajowe, Wydawnictwo Difin, Warszawa 2007. Wołowski F., Zawiła-Niedźwiecki J., Bezpieczeństwo systemów informacyjnych. Praktyczny przewodnik zgodny z normami polskimi i międzynarodowymi, Wydawnictwo edu-Libri, Kraków 2012. Zarządzanie ryzykiem korporacyjnym – zintegrowana struktura ramowa, COSO, tłum. PIKW, Wydawnictwo WEMA, Warszawa 2007. Ziółkowski S., Systemy zarządzania jakością w małych i średnich firmach, vademecum menedżera jakości, Wydawnictwo Naukowo-Techniczne, Warszawa 2007. Żukowska H., Janik W. (red.), Audyt zewnętrzny sprawozdania finansowego a wiarygodność przedsiębiorstwa, Wydawnictwo KUL, Lublin 2012.
Raporty i sprawozdania Badanie przestępczości gospodarczej Polska 2011. Cyberprzestępczość rosnącym zagrożeniem w biznesie, PwC, listopad 2011, www.pwc.com/crimesurvey (dostęp 20.05.2014). BS6079-3: 2000 Project Management Part 3 – Guide to the Management of Business Risk. Compendium of the Public Internal Control Systems in the UE Member States 2012 opracowanie Komisji Europejskiej, Luxembourg: Publications Office of the European Union, 2011, tłum.: Audyt Wewnętrzny w krajach Unii Europejskiej, Ministerstwa Finansów, czerwiec 2012 r., http://www.mf.gov.pl/dokument.php?const=7&dzial=5526&id=283586 (dostęp 20.11.2013). Compendium of the Public Internal Control Systems in the UE Member States 2012 opracowanie Komisji Europejskiej, Luxembourg: Publications Office of the European Union, 2011, http://ec.europa.eu/budget/events/picf_conference_minutes_ en.pdf (dostęp 28.03.2014). Making the most of the Internal Audit Function: Recommendations for Directors and Board Committees, ECIIA 2012. Rekomendacje dotyczące funkcjonowania Komitetu Audytu, Urząd Komisji Nadzoru Finansowego Warszawa, listopad 2010, s. 4, http://www.knf.gov.pl/Images/Rekomendacje-komitet_audytu_tcm75-24820.pdf (dostęp 14.03.2013). Report of The National Commission on Fraudulent Financial Raporting, www.coso. org/publications/ncffr.pdf (dostęp 10.06.2014).
256
Literatura
Sprawozdanie roczne. Audyt wewnętrzny i kontrola zarządcza w sektorze publicznym, Departament Audytu Sektora finansów Publicznych, Ministerstwo Finansów, Warszawa, sierpień 2013. Sprawozdanie z audytu wewnętrznego i kontroli finansowej za 2006 r., Departament koordynacji Kontroli Finansowej i Audytu Wewnętrznego, Ministerstwo Finansów, Warszawa, czerwiec 2007. Sprawozdanie z audytu wewnętrznego i kontroli zarządczej w sektorze publicznym w 2010 roku, Departament Audytu Sektora Finansów Publicznych, Ministerstwo Finansów, Warszawa, listopad 2011.
Akty prawne i standardy Kodeks spółek handlowych, Dz.U. 2000, nr 94, poz. 1037. Komunikat Ministra Finansów nr 2 z 17 czerwca 2013 w sprawie standardów audytu wewnętrznego dla jednostek sektora finansów publicznych, Dz.Urz. MF 2013, poz. 15. Komunikat nr 26 Ministra Finansów z dnia 28 grudnia 2006 r., w sprawie ogłoszenia wykazu osób posiadających zaświadczenie o złożeniu egzaminu na audytora wewnętrznego z wynikiem pozytywnym, Dz.Urz. MF, nr 15, poz. 104. Rozporządzenie Komisji (WE) nr 1126/2008 z dnia 3 listopada 2008 r. przyjmujące określone międzynarodowe standardy rachunkowości zgodnie z rozporządzeniem (WE) nr 1606/2002 Parlamentu Europejskiego i Rady, Dz.Urz. UE, L320/1, www. eur-lex.europa.eu/LexUriServ.do?uri=OJ:L:2008:30:0001:0481:PL:PDF (dostęp 12.06.2014). Rozporządzenia Ministra Finansów z dnia 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego, Dz.U., nr 21, poz. 108, Rozporządzenia Ministra Przemysłu i Handlu z dnia 14 grudnia 1928 roku o układaniu i przedstawianiu przez izby przemysłowo-handlowe sądom rejestrowym list, MP z 21 grudnia 1928, nr 294, poz. 720. Rozporządzenia Prezydenta Rzeczypospolitej, Prawo o spółkach akcyjnych wprowadzone, Dz.U. 26 marca 1928 r., nr 39, poz. 383. Rozporządzenia Rady Ministrów z dnia 26 października 1954 roku o powołaniu Ministerstwa Kontroli Państwowej, Dz.U., nr 50, poz. 255. Rozporządzenie Rady Ministrów z dnia 26 lipca 1982 r. w sprawie weryfikacji rocznych bilansów przedsiębiorstw państwowych oraz innych jednostek organizacyjnych, Dz.U., nr 25, poz. 180. Standardy i wytyczne ISSAI, Najwyższa Izba Kontroli, Warszawa 2011. Standardy kontroli INTOSAI, wydane przez Komisję Standardów Kontroli Międzynarodowej Organizacji Najwyższych Organów Kontroli. Tłum. Najwyższa Izba Kontroli, Warszawa 2000.
Literatura
257
Standardy (normy) PN-EN ISO 19011 dotyczące audytowania systemów zarządzania jakością i/lub zarządzania środowiskowego, s. 7, za: A. Hamrol, Zarządzanie jakością z przykładami, Wydawnictwo Naukowe PWE, Warszawa 2008. Uchwała Rady Ministrów w sprawie resortowej kontroli działalności gospodarczej państwa z dnia 10 listopada 1971 r., MP, nr 48, poz. 309. Uchwała Rady Ministrów z dnia 12 maja 1959 r. w sprawie rewizji finansowo-księgowej państwowych jednostek organizacyjnych, MP, nr 58, poz. 278. Ustawa o działalności ubezpieczeniowej z dnia 22 maja 2003 r., Dz.U. 2003, nr 124, poz. 1151. Ustawa o efektywności energetycznej z dnia 15 kwietnia 2011, Dz.U., nr 94, poz. 551. Ustawa o finansach publicznych z dnia 27 sierpnia 2009 r., Dz.U., nr 157, poz. 1240 ze zm. Ustawa o rachunkowości z dnia 29 września 1994 r., Dz.U., nr 121, poz. 591. Ustawa o rachunkowości z dnia 02 września 2009 r., Dz.U. 2009, nr 152, poz. 1223. Ustawa o wspieraniu termomodernizacji i remontów z dnia 21 listopada 2008, Dz.U., nr 223, poz. 1459. Ustawa Prawo bankowe z dnia 2 listopada 2012 r., Dz.U. 2012, poz. 1376. Ustawa Prawo budowlane z dnia 7 lipca 1994, Dz.U. 2013, poz. 1409. Ustawa z dnia 9 marca 1949 r. o Najwyższej Izbie Kontroli, Dz.U., nr 13, poz. 74. Ustawa z dnia 19 października 1991 r. o badaniu i ogłaszaniu sprawozdań finansowych oraz o biegłych rewidentach i samorządzie, Dz.U., nr 111, poz. 480. Ustawa z dnia 29 sierpnia 1997 r. o Narodowym Banku Polskim, Dz.U. 2013, nr 908. Ustawa z dnia 4 września 1997 r. o działach administracji rządowej, Dz.U. 2013, nr 743. Ustawa z dnia 26 listopada 1998 r. o finansach publicznych, Dz.U., nr 155, poz. 1014, ze zm. Ustawa z dnia 30 czerwca 2005 r. o finansach publicznych, Dz.U., nr 249, poz. 2104. Ustawa z dnia 8 grudnia 2006 r. o zmianie ustawy o finansach publicznych oraz niektórych innych ustaw, Dz.U., nr 249, poz.1832. Ustawa z dnia 7 maja 2009 r. o biegłych rewidentach i ich samorządzie, podmiotach uprawnionych do badania sprawozdań finansowych oraz o nadzorze publicznym, Dz.U. 2009, nr 77, poz. 649. Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych, Dz.U., nr 157, poz. 1240.
Inne źródła Asian Internaltional Organization of Supreme Audit Institutions, www.asosai.org/about/ about_list.jsp?gubun=ABOUT01 (dostęp 22.05.2014). Association of Chartered Certified Accountants, The Global Body for Professional Accountants, www.accaglobal.com/gb/en/qualifications/apply-now/postal.html (dostęp 10.03.2014).
258
Literatura
Certified Fraud Examiner, Association of Certified Fraud Examiners, www.acfe.com/ become-cfe-qualifications.aspx (dostęp 15.03.2014). Certified Information Systems Auditor, Information System Audit and Control Association, www.isaca.org/Certification/CISA-Information-Systems-Auditor/Pages/ default.aspx (dostęp 10.03.2014). Certified Internal Auditor, Certified Government Auditing Professional, Certification in Control Self Assessment, Certified Financial Services Auditor, The Institute of Internal Auditora, www.theiia.org/certification/Pages/Certification.aspx (dostęp 13.03.2014). Chartered Financial Analyst, Association of Chartered Financial Analyst, www.cfainstitute.org/programs/claritas/Pages/index.aspx (dostęp 11.03.2014). COBIT, www.isaca.org/cobit/pages/default.aspx (dostęp 22.05.2014). Committee of Sponsoring Organizations of the Treadway Commission, http://www. coso.org/aboutus.htm (dostęp 22.05.2014). Deklaracja INTOSAI z Meksyku w sprawie niezależności Najwyższych Organów Kontroli, ISSAI 10, www.nik.gov.pl/plik/id,2048.pdf (dostęp 22.05.2014). Deklaracja z Limy w sprawie zasad kontroli, www.nik.gov.pl/plik/id,2049.pdf (dostęp 22.05.2014). European Internaltional Organization of Supreme Audit Institutions, www.eurosai.org/ en/about-us/about-eurosai (dostęp 22.05.014). Europejski Trybunał Obrachunkowy, Kontrola wewnętrzna, http://eca.europa.eu/framework/budgetary_control/budgetary_control_internal_pl.htm (dostęp 01.06.2012). Hońko S., Różnice między MSR a polskimi zasadami rachunkowości, http://www.portalfk.pl/nowosci/roznice-miedzy-msr-a-polskimi-zasadami-rachunkowosci-175656 (dostęp 15.09.2014). http://www.nik.gov.pl/aktualnosci/intosai-wspiera-niezaleznosc-nok.html (dostęp 17.01.2014). Internaltional Organization of Supreme Audit Institutions, www.intosai.org/about-us. html (dostęp 22.05.2014). Jajuga K., Metody statystyczne w finansach, StartSoft Polska, s. 5–16, http://www.statsoft.pl/czytelnia/finanse/pdf/jajuga.pdf. (dostęp 23.05.2014). Kariera w finansach, Kwalifikacje zawodowe, http://www.karierawfinansach.pl/w-branzy/artykul/acca-kwalifikacja-kursy-zakres-wiedzy-egzamin-perspektywy (dostęp 25.02.2014). Kodeks etyki brokera, Stowarzyszenie Polskich Brokerów Ubezpieczeniowych i Reasekuracyjnych, www.polbrokers.pl/index.php?pr+380&id+164 (dostęp 11.06.2014). Kodeks etyki lekarskiej, Naczelna Izba Lekarska, www.nil.org.pl/dokumenty/kodeks-etyki-lekarskiej (dostęp 11.06.2014). Kodeks etyki radcy prawnego, Krajowa Izba Radców Prawnych, www.kirp.pl/Akty-Prawne/Kodeks-Etyki-Radcy-Prawnego (dostęp 11.06.2014). Kodeks etyki zawodowych księgowych, International Ethics Standards Board for Ac-
Literatura
259
countants International Federation of Accountants 545 Fifth Avenue, 14th Floor New York, New York 10017 USA, http://kibr.org.pl/pl/etyka, http://www.kibr. webserwer.pl/_doc/uchwaly/uchwala_4249-60-2011_Kodeks_IFAC.pdf (dostęp 22.05.2014). Komisja Wspólnot Europejskich, Oświadczenie dotyczące przestrzegania ładu administracyjno-regulacyjnego wydane przez Komisję Europejską, Bruksela 30.05.2007 r. http://ec.europa.eu/atwork/synthesis/doc/governance_statement_pl.pdf (dostęp 01.06.2012). Kontrola zarządcza w sektorze publicznym, Standardy, Ministerswo Finansów, http:// www.mf.gov.pl/dokument.php?const=7&dzial=5524&id=263919&typ=news (dostęp 01.06.012). Leśniewski W., Nowe zasady etyki zawodowej biegłych rewidentów, http://www.instytutrewizjifinansowej.pl/biuletyn/IRF/Biuletyn-BDO-Rewizja-Finansowa/Zasady-etyki/Nowe-zasady-etyki-zawodowej-bieglych-rewidentow1677.html (dostęp 22.05.2014). Ministerstwo Finansów, Dostosowanie kontroli finansowej do Standardów UE, http://www.mf.gov.pl/dokument.php?const=1&dzial=350&id=29114 (dostęp 01.06.2012). Pomarańczowa księga. Zarządzanie ryzykiem – zasady i koncepcje, Ministerstwo Skarbu JEJ Królewskiej Mości, październik 2004, www.mf.gov.pl/documents/764034/3349878/20130307_4_orange_book_pl_-zarzadzanie_ryzykiem. pdf (dostęp 8.03.2014). Practice Advisories. Strongly Recommended Guidance, The Instuitute of Internal Auditors, http://www.theiia.org/guidance/standards-guidance/Pages/Practice-Advisories.aspx (dostęp 15.04.2014). Praktyczny przewodnik MSSF, Deloitte, Warszawa, styczeń 2013, http://www.deloitte. com/view/pl_PL/pl/uslugi/audyt/mssf/ccebe7222c10e110VgnVCM100000ba42f00aRCRD (dostęp 15.09.2014). Risk Management Standard, Fedwration of European Rism Management Associations, www.ferma.eu/risk-management/standards/risk-management-standard/ (dostęp 5.05.2014). Wytyczne w sprawie standardów kontroli wewnętrznej w sektorze publicznym, INTOSAI, Najwyższa Izba Kontroli, www.nik.gov.pl/plik/id,5139.pdf (dostęp 22.05.2014). Zarządzanie ryzykiem korporacyjnym zintegrowana struktura ramowa, streszczenie dla kierownictwa, COSO, wrzesień 2004, http://www.coso.org/documents/COSO_ ERM_ExecutiveSummary_Polish.pdf (dostęp 01.06.2012).
Spis tabel Tabela 1.1. Rodzaje kontroli ze względu na charakter jej sprawowania 15 Tabela 1.2. Różnice między kontrolą (wewnętrzną) i audytem (wewnętrznym) 23 Tabela 1.3. Audyt wewnętrzny i zewnętrzny – podobieństwa i różnice 25 Tabela 1.4. Terminologia stosowana w audycie z podziałem na grupy tematyczne 27 Tabela 1.5. Rodzaje zadań doradczych świadczonych przez audytora 30 Tabela 1.6. Przykładowy zakres badania audytowego w odniesieniu do obszaru finansowego w ramach oceny procesów: ładu organizacyjnego, zarządzania ryzykiem i kontroli 47 Tabela 1.7. Rodzaje audytu występujące w literaturze 48 Tabela 1.8. Funkcje i zadania audytu 56 Tabela 1.9. Zasady kodeksu etyki audytora wewnętrznego według Instytutu IIA 61 Tabela 1.10. Główne założenia kodeksu etyki zawodowych księgowych Międzynarodowej Federacji Księgowych 64 Tabela 1.11. Przykłady wybranych certyfikatów uprawniających do wykonywania zawodu audytora 66 Tabela 2.1. Wytyczne audytu wewnętrznego według Standardów IIA 82 Tabela 2.2. Międzynarodowe standardy sprawozdawczości finansowej (MSSF) i Międzynarodowe standardy rachunkowości (MSR) 95 Tabela 2.3. Przykładowe regulacje i wytyczne z zakresu audytu przyjęte w 27 krajach UE 104 Tabela 2.4. Wybrane standardy i wytyczne wykorzystywane w audycie 111 Tabela 2.5. Przykłady zastosowania standardów i wytycznych w odniesieniu do wybranych obszarów badania audytowego 116 Tabela 3.1. Przykład ocena ryzyka w obszarze odnoszącym się do realizacji zakupów i wydatkowania środków finansowych 131 Tabela 3.2. Matryca ryzyka 138 Tabela 3.3. Przykład zastosowania matrycy ryzyka 139 Tabela 3.4. Etapy procesu samooceny 141 Tabela 3.5. Ogólne etapy podejmowanych działań audytowych na poziomie planowania okresowego i realizacji czynności audytowych w zależności od rodzaju świadczonych usług 147 Tabela 3.6. Tabelaryczna forma prezentacji przebiegu procesu 165 Tabela 3.7. Opis zastosowania testów 166 Tabela 3.8.Techniki testowania w audycie 170
262
Spis tabel
Tabela 3.9. Kwestionariusz kontroli wewnętrznej Tabela 3.10. Przykłady elementów składowych sprawozdania z zadania audytowego Tabele 3.11. Rodzaje raportów stosowanych w audycie Tabela 3.12. Zasady sporządzania sprawozdania z zadania audytowego Tabela 4.1. Akty prawne obowiązujące w polskim sektorze finansów publicznych w latach 2002–2009 Tabela 4.2. Katalog jednostek zobowiązywanych do zatrudnienia audytora wewnętrznego w jednostkach sektora finansów publicznych od roku 2002 do chwili obecnej Tabela 4.3. Kwalifikacje uprawniające do wykonywania zawodu audytora wewnętrznego w polskim sektorze finansów publicznych w latach 2006–2008 oraz po roku 2009 Tabela 4.4. Ewolucja zakresu działania audytu wewnętrznego w jednostkach polskiego sektora finansów publicznych od roku 2002 Tabela 4.5. Realizacja oraz dokumentowanie czynności audytowych w sektorze publicznym Tabela 4.6. Dokumenty audytowe i ich odbiorcy Tabela 4.7. Przykłady obszarów audytowanych Tabela 4.8. Dokumenty audytowe i ich odbiorcy Tabela 4.9. Zastosowanie audytu w sektorze publicznym i prywatnym polskiej gospodarki Tabela 4.10. Kierunki zmian audytu
172 176 178 179 194 201 206 211 213 219 230 232 234 239
Spis rysunków Rysunek 3.1. Poziomy zarządzania ryzykiem Rysunek 3.2. Schemat poziomów oceny ryzyka dokonywanych przez audytora Rysunek 3.3. Reakcja na ryzyko wg K.H. Spencera Picketta Rysunek 3.4. Przykład mapy ryzyka dla obszaru dotyczącego realizacji zakupów i wydatkowania środków finansowych Rysunek 3.5. Proces samooceny Rysunek 3.6. Proces realizacji czynności audytowych Rysunek 3.7. Postępowanie audytora w zakresie świadczenia usług audytowych Rysunek 3.8. Proces realizacji czynności zapewniających Rysunek 3.9. Proces realizacji czynności doradczych Rysunek 3.10. Graficzna prezentacja procesu skoncentrowana na czynności procesu Rysunek 3.11. Graficzna prezentacja procesu ukierunkowana na osoby w niego zaangażowane Rysunek 3.12. Proces testowania w audycie Rysunek 3.13. Związki pomiędzy testami Rysunek 3.14. Odniesienie testów do etapów realizacji czynności audytowych Rysunek 4.1. Podległość organizacyjna komórki audytu wewnętrznego w organizacji sektora publicznego
124 126 136 137 143 149 151 154 155 163 164 166 168 169 204