Audyt wewnętrzny – geneza, podstawy działania i organizacja (cz. I)
Dobre Praktyki 2021 (zawarte w nich zasady) dzielą się na sześć grup, przy czym grupę trzecią poświęcono tzw. systemom i funkcjom wewnętrznym spółki jako nieodzownym narzędziom sprawowania nad nią nadzoru. Składają się na nie głównie kontrola wewnętrzna, zarządzanie ryzykiem, nadzór zgodności działalności z prawem (compliance), a także skuteczna funkcja audytu wewnętrznego. Oczywiście systemy te i funkcje powinny być dostosowane do wielkości spółki oraz rodzaju i skali działalności. Za ich działanie odpowiada zarząd. Natomiast rada nadzorcza monitoruje ich skuteczność, m.in. na podstawie dostarczanych okresowo sprawozdań, przygotowanych przez osoby odpowiedzialne za te systemy i funkcje oraz przez zarząd spółki. Monitorowanie może być powierzone komitetowi audytu wyodrębnionemu w ramach rady nadzorczej. Nie zwalnia to jednak rady nadzorczej od dorocznej oceny skuteczności funkcjonowania tych systemów i funkcji.
W cz. II omówiono wystandaryzowane (tradycyjne) sposoby podejścia do prowadzenia audytów wewnętrznych według wydanych przez Instytut Audytorów Wewnętrznych międzynarodowych standardów praktyki zawodowej audytu wewnętrznego). Link ⇒tutaj⇐.
W cz. III artykułu zaprezentowano zastosowanie metodyk Agile, nastawionych na szybkie reagowanie na zmiany i współpracę z klientem. Link ⇒tutaj⇐.
W marcu 2021 r. Rada Nadzorcza Giełdy Papierów Wartościowych w Warszawie (dalej GPW) podjęła uchwałę[1] w sprawie Dobrych Praktyk Spółek Notowanych na GPW 2021 (dalej Dobre Praktyki), zastępując nimi dotychczas obowiązujące Dobre Praktyki Spółek Notowanych na GPW 2016. Dobre Praktyki[2] określają zasady ładu korporacyjnego spółek akcyjnych będących emitentami akcji, obligacji zamiennych lub obligacji z prawem pierwszeństwa, dopuszczonych do obrotu na rynku regulowanym prowadzonym przez GPW. Weszły w życie 1.07.2021 r. Pierwszy raport nt. stosowania zawartych w nich zasad spółki powinny były dostarczyć do 31.07.2021 r., a w raporcie rocznym za 2021 r. miały zawrzeć pierwsze oświadczenie o ich stosowaniu.
[1] Uchwała Rady Nadzorczej Giełdy Papierów Wartościowych w Warszawie S.A. nr 13/1834/2021 z 29.03.2021 r.
[2] Są one wynikiem pracy ekspertów reprezentujących różne grupy uczestników rynku kapitałowego, wchodzących w skład Komitetu Konsultacyjnego GPW ds. Ładu Korporacyjnego.
[3] Ustanowienie komitetu audytu w jzp jest w zasadzie obowiązkowe. W myśl uobr do jego zadań należy m.in. monitorowanie skuteczności systemów kontroli wewnętrznej i systemów zarządzania ryzykiem oraz audytu wewnętrznego, w tym w zakresie sprawozdawczości finansowej (art. 130 § 1 pkt 1b).
[4] Zob. R. Moeller, Nowoczesny audyt wewnętrzny, Wolters Kluwer, Warszawa 2015, s. 25.
[5] Tamże, s. 27 i 28.
[6] P. Bednarek, Historyczne uwarunkowania rozwoju audytu wewnętrznego, „Prace Naukowe Uniwersytetu Ekonomicznego we Wrocławiu” 2009.
Dobre Praktyki 2021 (zawarte w nich zasady) dzielą się na sześć grup, przy czym grupę trzecią poświęcono tzw. systemom i funkcjom wewnętrznym spółki jako nieodzownym narzędziom sprawowania nad nią nadzoru. Składają się na nie głównie kontrola wewnętrzna, zarządzanie ryzykiem, nadzór zgodności działalności z prawem (compliance), a także skuteczna funkcja audytu wewnętrznego. Oczywiście systemy te i funkcje powinny być dostosowane do wielkości spółki oraz rodzaju i skali działalności. Za ich działanie odpowiada zarząd. Natomiast rada nadzorcza monitoruje ich skuteczność, m.in. na podstawie dostarczanych okresowo sprawozdań, przygotowanych przez osoby odpowiedzialne za te systemy i funkcje oraz przez zarząd spółki. Monitorowanie może być powierzone komitetowi audytu wyodrębnionemu w ramach rady nadzorczej. Nie zwalnia to jednak rady nadzorczej od dorocznej oceny skuteczności funkcjonowania tych systemów i funkcji.
Chociaż w praktyce gospodarczej wskazane systemy i funkcja audytu wewnętrznego działają raczej w dużych (giełdowych) spółkach, nie zmienia to faktu, że mają stanowić istotne wsparcie spółki podczas realizacji jej celów oraz wspomagać bezpieczeństwo jej funkcjonowania. Biorąc zaś pod uwagę, że zarząd i rada nadzorcza mają w skuteczny, bezpieczny i zgodny z prawem sposób zapewnić osiągnięcie postawionych przez właścicieli celów, powinny być zainteresowane wdrożeniem oraz działaniem takich systemów i funkcji. Systemy kontroli wewnętrznej, zarządzania ryzykiem, nadzoru zgodności działalności z prawem oraz funkcja audytu stanowią bowiem niejako „zbrojne ramię” tych organów spółki.
Wraz z rozwojem spółki, wzrostem skali, a często komplikowaniem się działalności skuteczne zarządzanie spółką i nadzór nad nią przez zarząd i radę nadzorczą stają się trudniejsze. Coraz większe znaczenie przypisuje się funkcji audytu wewnętrznego, gdyż stanowi istotne wsparcie zarządzania i nadzoru. Bez wyodrębnienia tej funkcji w spółce bieżące/okresowe monitorowanie skuteczności systemów kontroli przez radę nadzorczą lub utworzony w jej ramach komitet audytu[3] może być znacznie utrudnione.
Audyt wewnętrzny – geneza powstania
Historia audytu i zawodu audytora sięga wielu wieków wstecz. Jak podaje Robert Moeller[4], według ustaleń historyków, na podstawie odnalezionych zapisków w kamieniu, datowanych na 3500–3000 lat p.n.e., pisarze w cywilizacjach Mezopotamii wykorzystywali zaawansowane systemy kontroli wewnętrznej oparte na znaczkach, kropkach i haczykach.
Powstanie audytu należy wiązać z potrzebą niezależnej weryfikacji czynności podejmowanych przez inne osoby. Zwykle towarzyszył on mniej lub bardziej sformalizowanemu prowadzeniu systemu obliczeń (rachunkowości).
Do lat 30. XX w. wiele przedsiębiorstw nie przywiązywało jednak większej wagi do audytu wewnętrznego. Jego znaczenie istotnie wzrosło w wyniku światowego kryzysu gospodarczego. Powstała w 1934 r. amerykańska Komisja Papierów Wartościowych i Giełd (SEC) zaczęła wymagać, aby zarejestrowane przez nią spółki dostarczały sprawozdania finansowe potwierdzone przez niezależnych audytorów. Skłoniło to spółki do utworzenia własnych działów audytu, których podstawowym zadaniem miało być wspieranie i uzupełnianie audytorów zewnętrznych. Ci skupiali się bowiem na wyrażeniu opinii nt. wiarygodności i prawidłowości sprawozdań finansowych przedsiębiorstwa, a nie na wykrywaniu słabych punktów kontroli wewnętrznej czy nawet błędów w zapisach[5].
Z czasem oczekiwania i wymagania wobec audytu wewnętrznego zaczęły rosnąć i wykraczać poza sferę sprawozdań finansowych (audytu finansowego). Za istotną zmianę w funkcjonowaniu audytu wewnętrznego uznaje się pracę dyplomową Victora Z. Brinka nt. konieczności wprowadzenia nowoczesnego, na ówczesne czasy, audytu wewnętrznego. Zorganizował on taki audyt, pracując w Ford Motor Co.
Obok audytu finansowego zaczął się rozwijać audyt operacyjny. Definicję audytu wewnętrznego, która stworzyła podstawy do ukierunkowania się na audyt operacyjny, zaprezentowali Victor Z. Brink i James A. Cashin[6]: audyt wewnętrzny pojawia się jako specjalna część szeroko pojętej rachunkowości, wykorzystujący podstawowe techniki i metody audytu. Fakt, że biegły rewident i audytor wewnętrzny stosują wiele tych samych technik, często prowadzi do błędnego poglądu, że ich ostateczne cele niewiele się różnią. Audytor wewnętrzny, jak każdy audytor, zajmuje się dochodzeniem prawdziwości twierdzeń, ale badane przez niego twierdzenia obejmują dużo większy zakres i dotyczą wielu spraw, których związek z księgowością jest często odległy. Ponadto audytor wewnętrzny jako członek przedsiębiorstwa jest bardziej zainteresowany tym, aby uczynić badane obszary działalności jak najbardziej efektywnymi. Świadczenie usług na rzecz zarządu w dużym stopniu oddziałuje na jego sposób myślenia i ogólne podejście.
[7] Tamże.
[8] Zob. K. Winiarska, Rozwój audytu wewnętrznego na świecie, „Zeszyty Naukowe Uniwersytetu Szczecińskiego” 2015, nr 864.
[9] Tamże.
W 1942 r. w Stanach Zjednoczonych została powołana – dziś najstarsza i największa na świecie – organizacja skupiająca audytorów wewnętrznych: The Institute of Internal Auditors (IIA, Instytut Audytorów Wewnętrznych). Zrzesza w blisko 200 oddziałach narodowych i organizacjach afiliowanych ponad 170 tys. osób. Jej wybitnymi członkami byli wspomniany wcześniej Victor Z. Brink oraz Lawrence B. Sawyer, dzięki którym rozszerzony został zakres prac audytora wewnętrznego. Obejmował on wiele usług dla zarządu, takich jak[7]:
- przegląd i ocena niezawodności oraz wystarczalności działań księgowych, finansowych i operacyjnych mechanizmów kontrolnych,
- udzielanie zapewnienia o stopniu zgodności z ustanowioną w przedsiębiorstwie polityką, planami i procedurami,
- udzielanie zapewnienia o stopniu, w jakim aktywa przedsiębiorstwa są chronione przed utratą z różnych przyczyn,
- udzielanie zapewnienia o wiarygodności danych rachunkowości i innych tworzonych w organizacji,
- ocena jakości dokonań w toku wykonywania przydzielonych obowiązków.
Od tamtego czasu audyt wewnętrzny się rozwijał. W 1978 r. Instytut Audytorów Wewnętrznych wprowadził międzynarodowe standardy praktyki zawodowej audytu wewnętrznego (dalej standardy IIA), które definiowały jego działalność jako niezależną, oceniającą, ustanowioną w ramach organizacji jako usługa dla tej organizacji.
Omawiając rozwój audytu wewnętrznego, Kazimiera Winiarska wyróżnia trzy jego etapy: tradycyjny, współczesny i nowoczesny[8].
Tradycyjny audyt wewnętrzny pełnił funkcje kontrolne na potrzeby kontrolera, a przedmiotem kontroli była jakość rachunkowości. Oferował kontrolerowi (obecnie radzie nadzorczej) usługi audytu finansowego, audytu zgodności i audytu nadużyć.
Współczesny audyt wewnętrzny zapewnia kontrolę wewnętrzną oraz wewnętrzne doradztwo dla kadry zarządzającej. Nie jest jednak do końca jasne, kogo ten audyt obsługuje. Niektórzy audytorzy uważają, że ich zadaniem jest obsługa dwóch podmiotów: rady nadzorczej i kadry zarządzającej wyższego szczebla. Inni uznają, że pracują tylko na rzecz rady nadzorczej.
Nowoczesny audyt wewnętrzny stanowi zmodyfikowaną wersję współczesnego audytu wewnętrznego. W poprzednich etapach audytów wewnętrznych chętnie współpracował z radą nadzorczą, nie widząc zarazem potrzeby akceptacji przez kadrę zarządzającą niższego szczebla (operacyjną). Nowocześni audytorzy wewnętrzni uważają, że samo wsparcie kadry zarządzającej wyższego szczebla nie wystarczy do przeprowadzenia skutecznego audytu. Potrzebne jest zaangażowanie kadry zarządzającej niższego szczebla (operacyjnej), ponieważ to ona kieruje większość zadań audytowych do audytorów wewnętrznych. Nowoczesny audyt wewnętrzny jest usytuowany w centrum złożonego i subtelnego układu czterech głównych interesariuszy: zarządu, audytorów zewnętrznych (biegłych rewidentów), wyższej kadry zarządzającej i operacyjnej kadry zarządzającej.
Zdaniem K. Winiarskiej nowoczesny audyt wewnętrzny to najbardziej prawdopodobna przyszłość instytucji. Nie jest to jednak jedyny możliwy scenariusz rozwoju. Audytorzy mogą dokonać zupełnie innego wyboru przedmiotu badania i odbiorców, ich ustaleń i wyników.
Instytut Audytorów Wewnętrznych przeprowadził w latach 2006 i 2010 obszerne badania nt. funkcjonowania audytu wewnętrznego. Z badania, które odbyło się w 2010 r., wynika, że kluczowymi obszarami działania audytu wewnętrznego były audyty operacyjne, audyty zgodności z przepisami aktów wykonawczych, audyty ryzyka finansowego, badanie oszustw i nieprawidłowości, oceny efektywności i systemów kontroli, audyty ryzyka systemów informatycznych oraz audyty ryzyka informacji.
Badania pokazały, że obserwowane trendy zainteresowania audytu wewnętrznego to[9]:
- nadzór korporacyjny,
- zarządzanie ryzykiem,
- opracowanie strategii oraz działań operacyjnych firmy (np. strategiczna karta wyników),
- etyka audytu,
- działania społeczne i ochrona środowiska.
Z perspektywy lat widać, że audyt wewnętrzny podlega ciągłym zmianom. Zmiany te miały dotychczas raczej charakter ewolucyjny, polegający na dostosowaniu się do zmian w otoczeniu i oczekiwań interesariuszy.
Audyt wewnętrzny – podstawy funkcjonowania
Każdy zawód wymaga określenia celu, przedmiotu i sposobu działania oraz ustalenia zasad regulujących działanie członków zawodu. Tak też jest w przypadku audytorów wewnętrznych. Za główne standardy postępowania uznaje się standardy IIA, mające na celu m.in.: wyznaczenie ramowych zasad wykonywania i upowszechniania szerokiego zakresu usług audytu wewnętrznego, a także dostarczanie audytorom wewnętrznym wskazówek, jak przestrzegać obowiązkowych elementów standardów. Jak można przeczytać we wprowadzeniu do standardów, zbudowano je w postaci stwierdzeń określających podstawowe wymogi wobec praktyki zawodowej audytu wewnętrznego, sposoby oceny skuteczności jego działań oraz wyjaśniających zastosowane terminy i pojęcia. Standardy dzielą się na dwie główne kategorie: standardy atrybutów – określające cechy organizacji i osób zajmujących się audytem wewnętrznym, oraz standardy działań (33) – opisujące charakter i funkcjonowanie audytu wewnętrznego oraz kryteria jakościowe oceny jego działań. Rozwinięciem standardów atrybutów i standardów działań są standardy wdrożenia (54), które opisują wymagania stawiane usługom zapewniającym lub doradczym.
W myśl standardów IIA usługi zapewniające polegają na dokonywaniu przez audytorów wewnętrznych obiektywnej oceny dowodów, służącej dostarczeniu opinii lub wniosków nt. jednostki, operacji, funkcji, procesów, systemów lub innych zagadnień. Charakter i zakres zadania ustala audytor wewnętrzny. Usługi doradcze wykonywane są zwykle w odpowiedzi na konkretne zapotrzebowanie zleceniodawcy.
Cel działania oraz uprawnienia i odpowiedzialność audytora wewnętrznego w organizacji reguluje Standard 1000. Wymaga on, aby kwestie te były formalnie uregulowane w tzw. karcie audytu wewnętrznego, która ustala pozycję tego audytu w strukturze organizacji, w tym charakter podległości funkcjonalnej kierującego audytem wewnętrznym wobec rady nadzorczej, uprawnienia dostępu do danych, personelu i majątku rzeczowego w zakresie koniecznym do wykonywania zadań audytowych, oraz określa zakres działania audytu wewnętrznego. Kartę zatwierdza rada nadzorcza, ale jest ona także dokumentem uznanym i akceptowanym przez kierownictwo. Okresowo powinna być przeglądana, aby ocenić, czy określony w niej cel działania, uprawnienia i odpowiedzialność audytora wewnętrznego pozostają aktualne i umożliwiają realizację wyznaczonych zadań.
[10] Ustawa z 27.08.2009 r. (tekst jedn. DzU z 2021 r. poz. 305).
[11] Obecnie obowiązuje rozporządzenie z 4.09.2015 r. w sprawie audytu wewnętrznego oraz informacji o pracy i wynikach tego audytu (tekst jedn. DzU z 2018 r. poz. 506).
[12] Zob. A. Skoczylas, W. Nowak, Ewolucja audytu wewnętrznego w polskim sektorze finansów publicznych, „Zeszyty Teoretyczne Rachunkowości” 2011, 63 (119).
[13] www.isaca.org.
[14] Pominięte zostało, jako drugorzędne, rozpatrywanie dokumentów regulujących organizację wewnętrzną i bieżącą pracę audytu wewnętrznego.
[15] Na potrzeby artykułu przyjmuje się, że prezentowane rozwiązania dotyczą dużych podmiotów, korporacji, spółek giełdowych, w których powołanie komórki audytu wewnętrznego lub zatrudnienie audytora wewnętrznego, z uwagi na rozmiar działalności, jest istotnie uzasadnione.
[16] W organizacji polskich spółek domyślnie radzie nadzorczej spółki.
Standardy IIA są stosowane od dłuższego czasu w przedsiębiorstwach prywatnych. W przypadku polskich przedsiębiorstw sektora finansów publicznych podstawą funkcjonowania audytu wewnętrznego (począwszy od jego wprowadzenia w 2002 r.), regulującą zasady jego działania i organizacji, jest ustawa o finansach publicznych[10]. Wydano do niej przepisy wykonawcze w postaci: rozporządzenia MF[11], komunikatów ministerstwa finansów w sprawie ogłoszenia standardów audytu wewnętrznego, kodeksu etyki audytora wewnętrznego oraz karty audytu wewnętrznego w jednostkach sektora finansów publicznych. Rozporządzenie określa sposób przeprowadzania audytu wewnętrznego w zależności od charakteru świadczonych usług, a także wskazuje najważniejsze dokumenty, jakie powinny zostać utworzone w wyniku audytu. Z kolei komunikaty stanowią zbiór wskazówek i wytycznych związanych z działaniami audytu oraz audytorów wewnętrznych.
Początkowo audyt wewnętrzny w jednostkach sektora finansów publicznych, podobnie jak w przypadku przedsiębiorstw prywatnych, skupiał się na wykonywaniu zadań dotyczących działania kontroli w obszarze finansów (księgi rachunkowe, gromadzenie i wydatkowanie środków publicznych, zarządzanie finansami). Charakter zadań powodował, że audyt wewnętrzny postrzegano jako swoistą kontrolę finansową[12]. Spojrzenie na audyt wewnętrzny uległo zmianie wraz z nowelizacją ustawy o finansach publicznych dokonaną w 2005 r.
Oprócz badania systemów zarządzania i kontroli, w tym finansowych, zmierzającego do obiektywnej oceny adekwatności, efektywności i skuteczności tych systemów, audytor wewnętrzny zaczął pełnić funkcję doradcy w zakresie usprawnienia działań jednostki. Kolejna nowelizacja ustawy o finansach publicznych (2009 r.) przybliżyła audyt wewnętrzny do standardów IIA, wyznaczając mu zadanie podejmowania działań w dziedzinie kontroli zarządczej i wykonywania czynności doradczych.
Przedmiotem kontroli zarządczej jest ocena realizacji czynności przez zarządzającego organizacją, dzięki którym organizacja osiąga postawione jej cele. W myśl art. 68 tej ustawy są to m.in. czynności zmierzające do osiągnięcia: zgodności działań z przepisami prawa i procedurami, skuteczności i efektywności działań, wiarygodności sprawozdań finansowych, ochrony zasobów, racjonalnego zarządzania (ochrony przed) ryzykiem. Tak definiowana kontrola zarządcza jest bliska rozwiązaniom przyjętym w międzynarodowych standardach kontroli COSO (Committee of Sponsoring Organizations of the Treadway Commission) i INTOSAI (International Organisation of Supreme Audit Institutions), i wykracza poza tradycyjnie rozumiane pojęcie kontroli polegającej na porównaniu stanu rzeczywistego z zamierzonym.
Począwszy od 1.01.2017 r., na podstawie wydanego 12.12.2016 r. przez MRiF komunikatu, podstawą działania audytu wewnętrznego w sektorze finansów publicznych stały się standardy IIA. Tym samym osiągnięto zgodność zasad działania audytu wewnętrznego w sektorze finansów publicznych i sektorze przedsiębiorstw prywatnych.
Rosnący postęp technologiczny oparty w coraz większym stopniu na rozwiązaniach IT wymusza na audytorach wewnętrznych konieczność specjalizacji w tym obszarze. Oprócz standardów IIA celowe jest stosowanie międzynarodowych wytycznych dla kontroli, zorientowanych na technologie informacyjne i powiązane, tzw. COBIT (Control Objectives for Information and Related Technology). Standardy COBIT są publikowane i aktualizowane przez ITGI (IT Governance Institute) oraz związaną z nim organizację ISACA (Information Systems Audit and Control Association)[13]. ISACA jest przewodnikiem uzupełniającym IIA w sprawach związanych z technologią.
Standardy COBIT definiują zorientowane na pięć dziedzin zasady ramowe nadzoru IT. Są to:
- powiązanie strategiczne – należy podejmować starania zmierzające do powiązania działań IT z pozostałymi działaniami przedsiębiorstwa,
- zapewnienie wartości – konieczne są procesy zapewniające realizację przez IT oczekiwanych korzyści w ramach strategii optymalizacji kosztów,
- zarządzanie ryzykiem – kadra zarządzająca powinna być świadoma poziomu ryzyka możliwego do zaakceptowania dla przedsiębiorstwa oraz skutków jego urzeczywistnienia się, w tym IT,
- zarządzanie zasobami – należy wybierać optymalne inwestycje w IT oraz zapewnić odpowiednie ich wykorzystanie,
- pomiar wydajności – nieodzowne jest śledzenie i monitorowanie efektywności wdrażanych strategii, projektów i procesów.
Standardy COBIT są zorganizowane w postaci trójwymiarowego sześcianu IT, którego płaszczyznami są: zasoby IT, procesy IT i wymagania biznesowe. Zasoby IT obejmują wszystkie zasoby IT w przedsiębiorstwie (ludzie, infrastruktura, aplikacje, informacja). Procesy IT obejmują domeny (grupy procesów IT, tj. planowanie i organizacja, pozyskiwanie i wdrażanie, dostarczanie i wparcie, monitoring i ocena), procesy (pogrupowane czynności) i czynności (działania konieczne do osiągnięcia założonych celów). Wymagania biznesowe są każdorazowo poddawane ocenie przez pryzmat siedmiu atrybutów: skuteczności, wydajności, poufności, integralności, dostępności, zgodności z przepisami i wiarygodności. Poszczególne wymiary sześcianu i ich dalsze składowe są w standardach COBIT szeroko i wnikliwie rozwijane (uszczegóławiane), co umożliwia ich wykorzystanie w toku audytu.
Podsumowując przegląd głównych standardów stanowiących podstawę funkcjonowania audytu wewnętrznego, nasuwa się wniosek, że bez względu na rodzaj podmiotu, w którym powołano audyt wewnętrzny, kluczowymi i podstawowymi standardami organizującymi pracę audytorów są standardy IIA. W pewnych przypadkach mogą one – z uwagi na specyfikę danego podmiotu lub przedmiotu zadania audytowego – wymagać rozwinięcia czy uzupełnienia. Pomocne mogą się okazać standardy specyficzne, właściwe w danych okolicznościach, takie jak COBIT, czy też w przypadku audytów jakości – normy ISO, pozwalające na lepsze rozpoznanie analizowanego tematu.
Audyt wewnętrzny – organizacja jego działania w przedsiębiorstwie
Prawidłowe zorganizowanie audytu wewnętrznego w przedsiębiorstwie jest kluczowe dla jego skutecznego działania. Poniżej zaprezentowane zostaną istotne, decydujące o tym strategiczne rozwiązania – odpowiednie umiejscowienie komórki audytu wewnętrznego w strukturze organizacyjnej przedsiębiorstwa i zdefiniowanie roli audytu wewnętrznego w powiązaniu z innymi komórkami organizacyjnymi przedsiębiorstwa[14].
Standardy IIA zawierają wytyczne, które przesądzają o umiejscowieniu audytu wewnętrznego w przedsiębiorstwie[15]. W szczególności Standard 1100 wymaga, aby audyt wewnętrzny był niezależny i obiektywny, co ma zagwarantować m.in. bezpośrednie jego podporządkowanie takiemu szczeblowi zarządzania przedsiębiorstwem, który zapewnia wypełnienie nałożonych na audyt wewnętrzny zadań. W interpretacji tego standardu czytamy, że audyt wewnętrzny jest niezależny organizacyjnie wtedy, gdy kierujący nim podlega funkcjonalnie radzie. Oznacza to, że np. rada zatwierdza kartę audytu wewnętrznego, oparty na analizie ryzyka plan audytu wewnętrznego, budżet i plan zasobów audytu wewnętrznego.
Za minimum spełnienia wymogu niezależności uważa się podleganie audytu wewnętrznego w przedsiębiorstwie osobie, która ma wystarczającą władzę, aby zapewnić niezależność audytu i umożliwiać szeroki zakres jego prac, aby mogła odpowiednio przeanalizować informacje o wynikach wykonanego zadania i zlecić podjęcie właściwych działań w odpowiedzi na zalecenia audytora wewnętrznego. Podległość kierującego audytem wewnętrznym zwykle polega na podległości administracyjnej prezesowi zarządu, a funkcjonalnej – radzie[16]. Kierujący audytem wewnętrznym musi się komunikować i współpracować bezpośrednio z radą. To karta audytu, jak wspominano, ustala pozycję audytu wewnętrznego w strukturze organizacji, w tym charakter podległości funkcjonalnej kierującego audytem, określa zakres działania audytu, przyznaje prawo dostępu do danych, personelu i majątku rzeczowego, nieodzownych do wykonywania zadań audytowych.
W parze ze standardami IIA szły od kilku już lat wspomniane na wstępie Dobre Praktyki, będące zbiorem zasad ładu korporacyjnego (corporate governance) oraz reguł postępowania spółek notowanych na GPW, mających kształtować relację spółek giełdowych z ich otoczeniem rynkowym. Stosowanie Dobrych Praktyk jest dobrowolne, jednak uzasadnienie ich wdrożenia stanowi przekonanie, że spółkom zależy na budowaniu swojej reputacji i utrzymywaniu dobrych relacji z inwestorami, w czym Dobre Praktyki są pomocne.
[17] www.gpw.pl.
[18] Niewyodrębnienie komitetu ryzyka nie oznacza oczywiście, że zarządzanie ryzykiem nie było monitorowane przez radę nadzorczą w całości lub nie utworzono komitetu ryzyka w ramach struktur zarządczych.
Na dokument Dobre Praktyki 2016 składają się następujące rozdziały: I – „Polityka informacyjna i komunikacja z inwestorami”, II – „Zarząd i Rada Nadzorcza”, III – „Systemy i funkcje wewnętrzne”, IV – „Walne zgromadzenie i relacje z akcjonariuszami”, V – „Konflikt interesów i transakcje z podmiotami powiązanymi”, VI – „Wynagrodzenia”. Każdy rozdział rozpoczyna się od ogólnego wskazania celu, jaki powinna osiągnąć spółka giełdowa, rekomendacji, o stosowaniu których spółka ma obowiązek poinformować w oświadczeniu o stosowaniu zasad ładu korporacyjnego oraz zasad szczegółowych, w stosunku do których obowiązuje formuła: „stosuj lub wyjaśnij” (comply or explain). Trwałe lub incydentalne niestosowanie danej zasady rodzi dla spółki obowiązek niezwłocznego poinformowania o tym fakcie wraz z uzasadnieniem.
W odniesieniu do audytu wewnętrznego zastosowanie mają przede wszystkim postanowienia rozdz. III, wskazujące na potrzebę wdrożenia w przedsiębiorstwie (spółce) dobrze działających systemów kontroli wewnętrznej, zarządzania ryzykiem oraz zgodności z przepisami (compliance), a także skutecznego audytu wewnętrznego. Odpowiedzialny za wdrożenie i sprawne funkcjonowanie tych systemów jest zarząd spółki, a osoby odpowiedzialne za ich funkcjonowanie podlegają bezpośrednio prezesowi lub innemu członkowi zarządu, mając zarazem zapewnioną możliwość raportowania bezpośrednio do rady nadzorczej lub komitetu audytu. Dobre Praktyki 2016 dodatkowo wskazywały, że w odniesieniu do osoby kierującej audytem wewnętrznym i innych osób odpowiedzialnych za realizację jej zadań stosuje się zasady niezależności określone w standardach IIA.
Jak już wspomniano, w bieżącym roku nastąpiła nowelizacja Dobrych Praktyk. W obecnym kształcie zawierają one analogiczne rozdziały jak w 2016 r., ale zmianie/aktualizacji uległy zapisy rozdziałów (patrz tabela).
Dobre Praktyki 2016 i 2021 – porównanie rozdz. III „Systemy i funkcje wewnętrzne”
2016 | 2021 |
Spółka giełdowa utrzymuje skuteczne systemy: kontroli wewnętrznej, zarządzania ryzykiem oraz nadzoru zgodności działalności z prawem (compliance), a także skuteczną funkcję audytu wewnętrznego, odpowiednie do wielkości spółki i rodzaju oraz skali prowadzonej działalności | Sprawnie działające systemy i funkcje wewnętrzne są nieodzownym narzędziem sprawowania nadzoru nad spółką. Systemy obejmują spółkę i wszystkie obszary działania jej grupy, które mają istotny wpływ na sytuację spółki |
III.Z.1. Za wdrożenie i utrzymanie skutecznych systemów kontroli wewnętrznej, zarządzania ryzykiem, compliance oraz funkcji audytu wewnętrznego odpowiada zarząd spółki | 3.1. Spółka giełdowa utrzymuje skuteczne systemy: kontroli wewnętrznej, zarządzania ryzykiem oraz nadzoru zgodności działalności z prawem (compliance), a także skuteczną funkcję audytu wewnętrznego, odpowiednie do wielkości spółki i rodzaju oraz skali prowadzonej działalności, za działanie których odpowiada zarząd |
III.R.1. Spółka wyodrębnia w swojej strukturze jednostki odpowiedzialne za realizację zadań w poszczególnych systemach lub funkcjach, chyba że wyodrębnienie jednostek organizacyjnych nie jest uzasadnione z uwagi na rozmiar lub rodzaj działalności prowadzonej przez spółkę | 3.2. Spółka wyodrębnia w swojej strukturze jednostki odpowiedzialne za zadania poszczególnych systemów lub funkcji, chyba że nie jest to uzasadnione z uwagi na rozmiar spółki lub rodzaj jej działalności |
III.Z.3. W odniesieniu do osoby kierującej funkcją audytu wewnętrznego i innych osób odpowiedzialnych za realizację jej zadań zastosowanie mają zasady niezależności określone w powszechnie uznanych, międzynarodowych standardach praktyki zawodowej audytu wewnętrznego | 3.3. Spółka należąca do indeksu WIG20, mWIG40 lub sWIG80 powołuje audytora wewnętrznego kierującego funkcją audytu wewnętrznego, działającego zgodnie z powszechnie uznanymi międzynarodowymi standardami praktyki zawodowej audytu wewnętrznego. W pozostałych spółkach, w których nie powołano audytora wewnętrznego spełniającego ww. wymogi, komitet audytu (lub rada nadzorcza, jeżeli pełni funkcje komitetu audytu) co roku dokonuje oceny, czy istnieje potrzeba powołania takiej osoby |
Brak analogicznej zasady w DPSN GPW 2016 | 3.4. Wynagrodzenie osób odpowiedzialnych za zarządzanie ryzykiem i compliance oraz kierującego audytem wewnętrznym powinno być uzależnione od realizacji wyznaczonych zadań, a nie od krótkoterminowych wyników spółki |
III.Z.2. Z zastrzeżeniem zasady III.Z.3, osoby odpowiedzialne za zarządzanie ryzykiem, audyt wewnętrzny i compliance podlegają bezpośrednio prezesowi lub innemu członkowi zarządu, a także mają zapewnioną możliwość raportowania bezpośrednio do rady nadzorczej lub komitetu audytu | 3.5. Osoby odpowiedzialne za zarządzanie ryzykiem i compliance podlegają bezpośrednio prezesowi lub innemu członkowi zarządu |
Brak analogicznej zasady w DPSN GPW 2016 | 3.6. Kierujący audytem wewnętrznym podlega organizacyjnie prezesowi zarządu, a funkcjonalnie przewodniczącemu komitetu audytu lub przewodniczącemu rady nadzorczej, jeżeli rada pełni funkcję komitetu audytu |
Brak analogicznej zasady w DPSN GPW 2016 | 3.7. Zasady 3.4–3.6 mają zastosowanie również w przypadku podmiotów z grupy spółki o istotnym znaczeniu dla jej działalności, jeśli wyznaczono w nich osoby do wykonywania tych zadań |
III.Z.4. Co najmniej raz w roku osoba odpowiedzialna za audyt wewnętrzny (w przypadku wyodrębnienia w spółce takiej funkcji) i zarząd przedstawiają radzie nadzorczej własną ocenę skuteczności funkcjonowania systemów i funkcji, o których mowa w zasadzie III.Z.1, wraz z odpowiednim sprawozdaniem
III.Z.6. W przypadku gdy w spółce nie wyodrębniono organizacyjnie funkcji audytu wewnętrznego, komitet audytu (lub rada nadzorcza, jeżeli pełni funkcję komitetu audytu) co roku dokonuje oceny, czy istnieje potrzeba dokonania takiego wydzielenia |
3.8. Co najmniej raz w roku osoba odpowiedzialna za audyt wewnętrzny, a w przypadku braku wyodrębnienia w spółce takiej funkcji zarząd spółki, przedstawia radzie nadzorczej ocenę skuteczności funkcjonowania systemów i funkcji, o których mowa w zasadzie 3.1, wraz z odpowiednim sprawozdaniem |
III.Z.5. Rada nadzorcza monitoruje skuteczność systemów i funkcji, o których mowa w zasadzie III.Z.1, w oparciu m.in. o sprawozdania okresowo dostarczane jej bezpośrednio przez osoby odpowiedzialne za te funkcje oraz zarząd spółki, jak również dokonuje rocznej oceny skuteczności funkcjonowania tych systemów i funkcji, zgodnie z zasadą II.Z.10.1. W przypadku gdy w spółce działa komitet audytu, monitoruje on skuteczność systemów i funkcji, o których mowa w zasadzie III.Z.1, jednakże nie zwalnia to rady nadzorczej z dokonania rocznej oceny skuteczności funkcjonowania tych systemów i funkcji | 3.9. Rada nadzorcza monitoruje skuteczność systemów i funkcji, o których mowa w zasadzie 3.1, w oparciu m.in. o sprawozdania okresowo dostarczane jej bezpośrednio przez osoby odpowiedzialne za te funkcje oraz zarząd spółki, jak również dokonuje rocznej oceny skuteczności funkcjonowania tych systemów i funkcji, zgodnie z zasadą 2.11.3. W przypadku gdy w spółce działa komitet audytu, monitoruje on skuteczność systemów i funkcji, o których mowa w zasadzie 3.1, jednakże nie zwalnia to rady nadzorczej z dokonania rocznej oceny skuteczności funkcjonowania tych systemów i funkcji |
Brak analogicznej zasady w DPSN GPW 2016 | 3.10. Co najmniej raz na 5 lat w spółce należącej do indeksu WIG20, mWIG40 lub sWIG80 dokonywany jest, przez niezależnego audytora wybranego przy udziale komitetu audytu, przegląd funkcji audytu wewnętrznego |
[DPSN – Dobre Praktyki Spółek Notowanych.
Źródło: Opracowanie własne na podstawie Dobrych Praktyk 2016 i 2021.]
W dużych międzynarodowych i polskich korporacjach stosuje się wiele rozwiązań dotyczących organizacji, tworzenia i funkcjonowania audytu wewnętrznego, niejednokrotnie powiązanego z komórką zarządzania ryzykiem. W ramach rady nadzorczej dużych spółek nie zawsze wyodrębnia się komitety audytu i komitety ryzyka. W okresie wdrożenia Dobrych Praktyk, na przełomie lat 2015 i 2016, autor przeprowadził badanie przyjętych rozwiązań. Objęło ono wybrane duże korporacje międzynarodowe oraz polskie spółki giełdowe z indeksu WIG20. Przy analizie polskich rozwiązań wzięty został pod uwagę wykaz spółek wchodzących wówczas do indeksu WIG20, w podziale na sektory.
Analiza wykazała, że w sektorze gospodarki, ale głównie w bankowości, ubezpieczeniach i energetyce, obserwuje się rozdzielność komórek audytu wewnętrznego i ryzyka. Natomiast w spółkach sektora paliwowego komórki te były połączone w strukturze organizacyjnej.
We wszystkich objętych analizą spółkach przy radzie nadzorczej był utworzony komitet audytu. Jedynie w przypadku dwóch spółek sektora bankowego wyodrębniony został też komitet ryzyka nadzorujący zarządzanie ryzykiem[18].
Badania wykazały także istnienie różnych rozwiązań w zakresie umiejscowienia komórki audytu wewnętrznego i komórki ryzyka w strukturze organizacyjnej przedsiębiorstw, a także nadzorujących ich pracę komitetów rady nadzorczej. Komórka audytu wewnętrznego była jednak zawsze umiejscowiona w pionie prezesa zarządu, z możliwością raportowania do komitetu audytu przy radzie nadzorczej spółki. Tym samym spółki z indeksu WIG20 już wtedy stosowały się do zaleceń Dobrych Praktyk. Stwierdzone warianty rozwiązań organizacyjnych przedstawia rysunek 1.

[19] W założeniu model ten stanowi ochronę przed zdarzeniami mogącymi negatywnie wpłynąć na realizację celów organizacji.
[20] Obok firm z sektora energetycznego i surowcowego rozwiązania te są szeroko stosowane również w bankowości, stanowiąc tym samym pewien wzorzec dobrych praktyk dla pozostałych dużych przedsiębiorstw.
Ze względu na to, że podmiotem wykonywania zadań audytowych są najczęściej komórki (jednostki) biznesowe przedsiębiorstwa, audyt wewnętrzny powinien stanowić kolejną linię weryfikacji działań (I linia weryfikacji to wspomniane jednostki biznesowe i działające tam mechanizmy kontrolne). Audyt wewnętrzny stosuje w swoich działaniach, podobnie jak biegli rewidenci, podejście oparte na ryzyku. W dużych przedsiębiorstwach, korporacjach, niejednokrotnie w podejściu modelowym wyodrębnia się także wyspecjalizowane jednostki zajmujące się zarządzaniem ryzykiem (por. rysunek 1). Jednostki te, podobnie jak inne tego typu specjalistyczne jednostki wsparcia biznesu, np. komórki zgodności z przepisami (compliance), komórki bezpieczeństwa, są tworzone poza jednostkami biznesowymi i stanowią kolejne w strukturze organizacji narzędzie kontrolne. Wyodrębnianie tych komórek służy lepszemu zarządzaniu niektórymi ważnymi obszarami organizacji, co jest istotne dla zapewnienia bezpiecznej realizacji jej celów.
Opisane podejście jest nazywane modelem trzech linii obrony w przedsiębiorstwie[19]. W modelu tym audyt wewnętrzny może i powinien stanowić zarówno I, jak i II linię obrony. Stosowanie modelu trzech linii obrony w przedsiębiorstwie wspierane jest przez międzynarodowe organizacje audytu wewnętrznego jako ważne narzędzie integracji, koordynacji i łączenia w jednostce funkcji zapewniających oraz funkcji wsparcia w obrębie jednostki w aspekcie skutecznego wdrożenia systemu zarządzania ryzykiem i kontroli wewnętrznej.
Model trzech linii obrony przedstawia rysunek 2. Jest on często stosowany w praktyce jako sprawdzone rozwiązanie organizacyjne (zob. rysunek 3). Zarówno teoria, jak i praktyka pokazują, że jest skutecznym rozwiązaniem i dlatego stosują go duże przedsiębiorstwa[20].


Zaloguj się
Aby czytać dalej, jeśli masz wykupiony abonament
Kup dostęp do tego artykułu
Cena dostępu do pojedynczego artykułu tylko 12,30
Kup abonament
Abonamenty on-line | Prenumeratorzy | Członkowie SKwP | ||||||||
|
Bezpłatny dostęp do tego artykułu i ponad 3500 innych, dla prenumeratorów miesięcznika „Rachunkowość". Pomoc w uzyskaniu dostępu:
|
15% rabat na wszystkie zakupy. Zapytaj o kod w swoim Oddziale. Stowarzyszenie Księgowych w Polsce jest organizacją, do której należy ponad 26 000 księgowych, a członkostwo wiąże się z licznymi korzyściami. |
„Rachunkowość” - od 75 lat źródło rzetelnej wiedzy!
Skróty w artykułach
- dyrektywa 112 – dyrektywa Rady 2006/112/WE z 28.11.2006 r. w sprawie wspólnego systemu podatku od wartości dodanej (DzUrz UE L 347 z 11.12.2006 r.)
- dyrektywa 2013/34/UE – dyrektywa Parlamentu Europejskiego i Rady 2013/34/UE z 26.06.2013 r. w sprawie rocznych sprawozdań finansowych, skonsolidowanych sprawozdań finansowych i powiązanych sprawozdań niektórych rodzajów jednostek (...) (DzUrz UE L 182 z 29.06.2013 r.)
- Kc – ustawa z 23.04.1964 r. Kodeks cywilny (DzU z 2023 r. poz. 1610)
- KIMSF – interpretacje Komitetu ds. Interpretacji Międzynarodowej Sprawozdawczości Finansowej
- Kks – ustawa z 10.09.1999 r. Kodeks karny skarbowy (DzU z 2023 r. poz. 654)
- Kp – ustawa z 26.06.1974 r. Kodeks pracy (DzU z 2023 r. poz. 1465)
- Kpc – ustawa z 17.11.1964 r. Kodeks postępowania cywilnego (DzU z 2023 r. poz. 1550)
- Ksh – ustawa z 15.09.2000 r. Kodeks spółek handlowych (DzU z 2022 r. poz. 1467)
- KSR – Krajowe Standardy Rachunkowości
- MSR – Międzynarodowe Standardy Rachunkowości (ang. International Accounting Standards) wydawane od 2002 r. jako MSSF
- MSSF – Międzynarodowe Standardy Sprawozdawczości Finansowej (ang. International Financial Reporting Standards)
- Op – ustawa z 29.08.1997 r. Ordynacja podatkowa (DzU z 2023 r. poz. 2383)
- Ppsa – ustawa z 30.08.2002 r. Prawo o postępowaniu przed sądami administracyjnymi (DzU z 2023 r. poz. 1634)
- rozporządzenie o instrumentach finansowych – rozporządzenie Ministra Finansów z 12.12.2001 r. w sprawie szczegółowych zasad uznawania, metod wyceny, zakresu ujawniania i sposobu prezentacji instrumentów finansowych (DzU z 2017 r. poz. 277)
- rozporządzenie o konsolidacji – rozporządzenie Ministra Finansów z 25.09.2009 r. w sprawie szczegółowych zasad sporządzania przez jednostki inne niż banki, zakłady ubezpieczeń i zakłady reasekuracji skonsolidowanych sprawozdań finansowych grup kapitałowych (DzU z 2017 r. poz. 676)
- rozporządzenie składkowe – rozporządzenie Ministra Pracy i Polityki Socjalnej z 18.12.1998 r. w sprawie szczegółowych zasad ustalania podstawy wymiaru składek na ubezpieczenia emerytalne i rentowe (DzU z 2023 r. poz. 728)
- rozporządzenie z 13.09.2017 r. – rozporządzenie Ministra Rozwoju i Finansów w sprawie rachunkowości oraz planów kont dla budżetu państwa, budżetów jednostek samorządu terytorialnego, jednostek budżetowych, samorządowych zakładów budżetowych, państwowych funduszy celowych oraz państwowych jednostek budżetowych mających siedzibę poza granicami Rzeczypospolitej Polskiej (DzU z 2020 r. poz. 342)
- specustawa – ustawa z 2.03.2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (tekst jedn. DzU z 2023 r. poz. 1327)
- uobr – ustawa z 11.05.2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym (DzU z 2023 r. poz. 1015)
- uor – ustawa z 29.09.1994 r. o rachunkowości (DzU z 2023 r. poz. 120)
- updof – ustawa z 26.07.1991 r. o podatku dochodowym od osób fizycznych (DzU z 2022 r. poz. 2647)
- updop – ustawa z 15.02.1992 r. o podatku dochodowym od osób prawnych (DzU z 2022 r. poz. 2587)
- upol – ustawa z 12.01.1991 r. o podatkach i opłatach lokalnych (DzU z 2023 r. poz. 70)
- US GAAP – Amerykańskie Standardy Rachunkowości (ang. Generally Accepted Accounting Principles)
- ustawa akcyzowa – ustawa z 6.12.2008 r. o podatku akcyzowym (DzU z 2023 r. poz. 1542)
- ustawa emerytalna – ustawa z 17.12.1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych (DzU z 2023 r. poz. 1251)
- ustawa KAS – ustawa z 16.11.2016 r. o Krajowej Administracji Skarbowej (DzU z 2023 r. poz. 615)
- ustawa o KRS – ustawa z 20.08.1997 r. o Krajowym Rejestrze Sądowym (DzU z 2023 r. poz. 685)
- ustawa o PCC – ustawa z 9.09.2000 r. o podatku od czynności cywilnoprawnych (DzU z z 2023 r. poz. 170)
- ustawa o VAT – ustawa z 11.03.2004 r. o podatku od towarów i usług (DzU z 2023 r. poz. 1570)
- ustawa o zfśs – ustawa z 4.03.1994 r. o zakładowym funduszu świadczeń socjalnych (DzU z 2023 r. poz. 998)
- ustawa zasiłkowa – ustawa z 25.06.1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa (DzU z 2022 r. poz. 1732)
- ustawa zdrowotna – ustawa z 27.08.2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych (DzU z 2022 r. poz. 2561)
- usus – ustawa z 13.10.1998 r. o systemie ubezpieczeń społecznych (DzU z 2023 r. poz. 1230)
- uzpd – ustawa o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne
- Założenia koncepcyjne MSSF – Założenia koncepcyjne sprawozdawczości finansowej (Conceptual Framework for Financial Reporting)
- CEIDG – Centralna Ewidencja i Informacja o Działalności Gospodarczej
- EOG – Europejski Obszar Gospodarczy
- FEP – Fundusz Emerytur Pomostowych
- FGŚP – Fundusz Gwarantowanych Świadczeń Pracowniczych
- FP – Fundusz Pracy
- FS – Fundusz Solidarnościowy
- IASB – Rada Międzynarodowych Standardów Rachunkowości
- IS – izba skarbowa
- KAS – Krajowa Administracja Skarbowa
- KIS – Krajowa Informacja Skarbowa
- KNF – Komisja Nadzoru Finansowego
- KRBR – Krajowa Rada Biegłych Rewidentów
- KRS – Krajowy Rejestr Sądowy
- KSB – Krajowe Standardy Badania
- MF – Minister Finansów
- MPiPS – Minister Pracy i Polityki Społecznej
- MRiF – Minister Rozwoju i Finansów
- MRiPS – Minister Rodziny i Polityki Społecznej
- MSiG – Monitor Sądowy i Gospodarczy
- NSA – Naczelny Sąd Administracyjny
- PANA – Polska Agencja Nadzoru Audytowego
- PIBR – Polska Izba Biegłych Rewidentów
- PKD – Polska Klasyfikacja Działalności
- pkpir – podatkowa księga przychodów i rozchodów
- PPK – pracownicze plany kapitałowe
- RM – Rada Ministrów
- SA – sąd apelacyjny
- sf – sprawozdanie finansowe
- skok – spółdzielcza kasa oszczędnościowo-kredytowa
- SN – Sąd Najwyższy
- SO – sąd okręgowy
- TK – Trybunał Konstytucyjny
- TSUE – Trybunał Sprawiedliwości Unii Europejskiej
- UCS – urząd celno-skarbowy
- UE – Unia Europejska
- US – urząd skarbowy
- WDT – wewnątrzwspólnotowa dostawa towarów
- WNT – wewnątrzwspólnotowe nabycie towarów
- WSA – wojewódzki sąd administracyjny
- zfśs – zakładowy fundusz świadczeń socjalnych