Audyt wewnętrzny – tradycyjne metody działania (cz. II)
Standardy wyznaczają ramowe zasady wykonywania i upowszechniania zakresu usług audytu wewnętrznego oraz dostarczają audytorom wewnętrznym wskazówek, jak korzystać z obowiązkowych elementów standardów. Działanie audytu wewnętrznego polega na systematycznej, dokonywanej w uporządkowany sposób ocenie zarządzania ryzykiem, kontroli ładu organizacyjnego w jednostce, przyczyniając się do ich poprawy.
W cz. I artykułu przedstawiono genezę i ogólne podstawy działania i organizacji audytu wewnętrznego w jednostce. Link ⇒tutaj⇐.
W cz. III artykułu zaprezentowano zastosowanie metodyk Agile, nastawionych na szybkie reagowanie na zmiany i współpracę z klientem. Link ⇒tutaj⇐.
Obecnie większość zadań audytu wewnętrznego jest wykonywana tradycyjnie, stosownie do wydawanych przez Instytut Audytorów Wewnętrznych (The Institute of Internal Auditors, IIA) międzynarodowych standardów praktyki zawodowej audytu wewnętrznego (dalej standardy IIA). Jest to istotne również dlatego, że w praktyce audytorskiej biegłych rewidentów od dłuższego czasu stosuje się KSB 610 (Z) w brzmieniu MSB 610 (zmienionego 2013) Wykorzystanie pracy audytorów wewnętrznych. Standard ten określa warunki i sposoby korzystania z pracy audytorów wewnętrznych, w trakcie wykonywania ustawowego badania, do gromadzenia dowodów badania lub też ich zaangażowania do bezpośredniego uczestnictwa w pracach zespołu badającego sf pod kierownictwem kluczowego biegłego rewidenta.
Aby to jednak mogło nastąpić, konieczne jest poznanie organizacji i metod pracy audytu wewnętrznego, na co wprost wskazuje KSB 610 w pkt 8: W zależności od tego, czy status organizacyjny funkcji audytu wewnętrznego oraz stosowne polityki i procedury w odpowiedni sposób wspierają obiektywizm audytorów wewnętrznych, poziom kompetencji funkcji audytu wewnętrznego oraz czy funkcja ta stosuje systematyczne i metodyczne podejście, biegły rewident może mieć możliwość wykorzystania pracy funkcji audytu wewnętrznego w konstruktywny i uzupełniający sposób. Niniejszy MSB odnosi się do obowiązków biegłego rewidenta, gdy na podstawie wstępnego zrozumienia przez niego funkcji audytu wewnętrznego (…) biegły rewident zamierza wykorzystać pracę funkcji audytu wewnętrznego jako część uzyskanych dowodów badania. Takie wykorzystanie tej pracy zmienia rodzaj lub rozłożenie w czasie, albo ogranicza zakres przeprowadzanych bezpośrednio przez biegłego rewidenta procedur badania.
Tradycyjny audyt wewnętrzny – standaryzowane metody
Każdy zawód wymaga określenia celu, przedmiotu i sposobu działania oraz ustalenia zasad regulujących postępowanie członków zawodu. Tak też jest w przypadku audytorów wewnętrznych. Za główne standardy postępowania uznaje się standardy IIA.
Standardy wyznaczają ramowe zasady wykonywania i upowszechniania zakresu usług audytu wewnętrznego oraz dostarczają audytorom wewnętrznym wskazówek, jak korzystać z obowiązkowych elementów standardów. Działanie audytu wewnętrznego polega na systematycznej, dokonywanej w uporządkowany sposób ocenie zarządzania ryzykiem, kontroli ładu organizacyjnego w jednostce, przyczyniając się do ich poprawy.
Audyt wewnętrzny może świadczyć w jednostce usługi zapewniające i usługi doradcze.
Usługi zapewniające polegają, w myśl standardów IIA, na dokonywanej przez audytorów wewnętrznych obiektywnej ocenie dowodów, służącej dostarczeniu opinii lub wniosków nt. jednostki, operacji, funkcji, procesów, systemów lub innych zagadnień. Charakter i zakres zadania ustala audytor wewnętrzny. Natomiast usługi doradcze są zwykle wykonywane w odpowiedzi na konkretne zapotrzebowanie zleceniodawcy.
Kluczowe etapy wykonywania czynności przez audytorów wewnętrznych, według standardów IIA, można pogrupować jako:
- planowanie zadań,
- przeprowadzenie zadania,
- raportowanie wyników.
Planowanie zadań
Planuje się zadania określone w zatwierdzonym rocznym planie audytów lub zlecone doraźne, wynikające z bieżących potrzeb. Opracowuje się i dokumentuje objęte planem zadania (program), których wykonanie – w myśl standardów – wymaga uwzględnienia takich aspektów, jak cel, zakres, czas oraz odpowiednie (pod względem wiedzy, umiejętności, kompetencji) i wystarczające (co do ilości) zasoby niezbędne do realizacji danego zadania z należytą starannością zawodową.
Podczas planowania zadania należy uwzględnić odnoszące się do niego strategie, cele i ryzyka jednostki. W szczególności trzeba rozważyć, w jaki sposób istotne ryzyka zagrażające realizacji celów jednostki są przez nią kontrolowane oraz jak kontrola przyczynia się do ograniczenia tych ryzyk. Pomocna może się okazać analiza adekwatności i skuteczności zarządzania ryzykiem oraz ładu korporacyjnego (jeśli takie w jednostce wyodrębniono).
Ustalając cele danego zadania audytowego, audytorzy wewnętrzni rozważają również prawdopodobieństwo wystąpienia istotnych błędów, oszustw, niezgodności i innych zagrożeń.
Cel zadania audytowego wyznacza zakres – zarówno podmiotowy, jak i przedmiotowy – czynności niezbędnych do wykonania. Zakres podmiotowy zadania określa, które jednostki w organizacji i/lub spółce w przypadku prowadzenia tzw. zadań grupowych (np. grup kapitałowych, holdingów) będą audytowane. Natomiast zakres przedmiotowy zadania obejmuje analizę dokumentacji, systemów wspierających wykonywanie czynności sprawdzających w obszarze badanym, np. majątek rzeczowy będący w posiadaniu jednostki, łącznie z tym, który znajduje się pod kontrolą jednostek trzecich.
Program zadania obejmuje zatem procedury: identyfikacji, badania, analizy, oceny oraz dokumentowania informacji przewidzianych do uwzględnienia w toku realizacji zadania. Tak opracowany program realizacji zadania musi zostać zatwierdzony przez kierownika zadania przed rozpoczęciem prac.
Przeprowadzenie zadania
W toku przeprowadzania zadania audytowego audytorzy wewnętrzni zbierają, analizują, oceniają i dokumentują informacje odpowiednie i wystarczające do osiągnięcia celów zadania.
Zebrane materiały powinny spełniać kryteria odpowiedniości, wiarygodności i wystarczalności. Informacja jest odpowiednia, jeśli stanowi podstawę ustaleń i zaleceń oraz jest zgodna z celami zadania. Informacja wiarygodna to najlepsza informacja możliwa do uzyskania za pomocą własnych technik audytu. Informacja wystarczająca to informacja rzeczowa, odpowiednia i przekonująca – na jej podstawie rozważna, dobrze poinformowana osoba doszłaby do tych samych wniosków, co audytor.
Raportowanie wyników
Zebrane i przeanalizowane w toku wykonania zadania informacje podlegają podsumowaniu w postaci raportu z realizacji zadania. Raport wskazuje cel, zakres i wyniki w formie wniosków, a także zaleceń (rekomendacji) i/lub działań. Tam, gdzie to uzasadnione, audytorzy wewnętrzni przedstawiają opinię. Standardy IIA wskazują, że opinie zawarte w raporcie wykonania zadań mogą przybierać formę ocen, wniosków lub innych opisów wyników. Zadania, w przypadku których wyrażenie opinii jest uzasadnione, mogą dotyczyć mechanizmów kontroli w konkretnym procesie lub jednostce organizacyjnej, lub odpowiadających na konkretne ryzyko. Do sformułowania opinii konieczna jest ocena wyników przeprowadzonego zadania i ich znaczenia.
Standardy IIA nie precyzują rodzajów wydawanych opinii; mogą to określać wypracowane procedury/podręczniki wewnętrzne.
Wyniki są przekazywane (raportowane) osobom na właściwym poziomie zarządzania jednostką, a w szczególności osobom zlecającym zadanie. Jeżeli zdaniem osoby kierującej audytem wewnętrznym kierownik komórki będącej przedmiotem audytu wewnętrznego przyjął poziom ryzyka, który może być nie do zaakceptowania dla jednostki, konieczne jest nasilenie działania, np. omówienie tej kwestii z kierownictwem wyższego szczebla. Jeżeli kierujący audytem wewnętrznym stwierdzi, że decyzja nie została zmieniona, przekazuje sprawę radzie nadzorczej.
Sformułowane w toku realizacji zadania rekomendacje służą kierownictwu jako rady pomocne przy ograniczaniu zidentyfikowanych słabości mechanizmów kontrolnych mających obniżać ryzyko do dającego się akceptować poziomu. Postęp we wdrażaniu rekomendacji podlega zwykle monitorowaniu, jednak decyzja co do rozwiązań służących ograniczaniu ryzyka i wdrożenia w jednostce skutecznego systemu kontroli wewnętrznej należy do kierownictwa.
Zadania doradcze
Cel, zakres i oczekiwane wymagania w odniesieniu do realizacji zadań doradczych należy uzgodnić ze zleceniodawcą zadania, np. członkiem zarządu/dyrektorem odpowiedzialnym za dany obszar działalności. Programy zadań doradczych mogą mieć różną postać i treść, zależnie od charakteru zadania. Jeśli jednak w trakcie wykonywania zadania audytorzy wewnętrzni mieliby zastrzeżenia do jego zakresu, to konieczne jest ich omówienie ze zleceniodawcą, który zdecyduje, czy zadanie będzie kontynuowane.
Słabości audytu tradycyjnego
Audyt wewnętrzny podlegał – na przestrzeni czasu – cyklicznym zmianom podyktowanym zwykle potrzebą dostarczania oczekiwanych przez zleceniodawców informacji. Historycznie większe znaczenie miała potrzeba dostarczania informacji ex post, będąca skutkiem oczekiwania od audytorów wewnętrznych badań i ocen noszących znamiona kontroli.
Oznacza to, że większość zadań audytowych jest wykonywana w mniej lub bardziej odległym czasie od zaistnienia zdarzeń będących przedmiotem analiz. Na podstawie zdarzeń historycznych są wyciągane wnioski i formułowane zalecenia na przyszłość. Stopień skomplikowania badanych kwestii oraz wnikliwości analizy pociągają za sobą nieodłącznie wydłużenie czasu realizacji zadania przy zazwyczaj ograniczonych zasobach. Na wydłużenie czasu wpływają także zmiany personelu i opóźnienia w dostarczeniu dokumentów czy wyjaśnień przez audytowanych.
Tradycyjny audyt wewnętrzny działa w usystematyzowany sposób, któremu sprzyja model kaskadowy (waterfall model). W tradycyjnym audycie można wyróżnić następujące po sobie fazy realizacji zadania: planowanie, gromadzenie dokumentacji, analiza dokumentacji, uzyskiwanie dodatkowych wyjaśnień, raportowanie. Niezwykle istotna dla przebiegu prac i wyciągania prawidłowych wniosków, ale i czasochłonna jest faza planowania zadania. W związku z tym, że zlecane zadania cechuje duża rozpiętość tematyczna, a trudno oczekiwać od audytora wewnętrznego bieżącej znajomości wszystkich zagadnień biznesowych, czas konieczny do zaznajomienia się przez zespół audytowy z tematyką obszaru będącego przedmiotem zadania audytowego może być długi.
Kolejnymi fazami, istotnie wydłużającymi czas realizacji zadania, są: gromadzenie i analiza dokumentacji oraz uzyskiwanie dodatkowych wyjaśnień audytowanych. Fazy te są w zasadzie niezależne od audytorów.
Możliwości skutecznego nacisku na ich skrócenie są zwykle ograniczone, gdyż strona audytowana oprócz obsługi audytu, co jest zazwyczaj dla niej sprawą drugorzędną, musi się w pierwszej kolejności skupić na wypełnianiu bieżących zadań.
Następną istotną fazą audytu tradycyjnego jest raportowanie ustaleń i zaleceń (rekomendacji). Faza ta winna nastąpić po finalizacji realizacji poprzedniego etapu prac/skompletowaniu i przeanalizowaniu wszystkich niezbędnych informacji i dowodów. Praktyka wskazuje jednak, że niektóre elementy dokumentacji zadania są kompletowane w fazie raportowania, a inne po niej (zwykle dotyczy to jednak kwestii mniej istotnych, nieobjętych raportem z wykonania zadania audytowego).
[1] W rzeczywistości istnieje wiele różnic w podejściu metodycznym do przeprowadzania audytu i kontroli oraz w celowości ich realizacji. Zwykle audyt wykracza poza standardową kontrolę. W niniejszym artykule pominięto rozważania w tym zakresie.
[2] 4 Internet rzeczy, internet przedmiotów (internet of things) – koncepcja, zgodnie z którą dające się jednoznacznie identyfikować przedmioty mogą pośrednio albo bezpośrednio gromadzić, przetwarzać lub wymieniać dane za pośrednictwem instalacji elektrycznej (inteligentnej) KNX lub sieci komputerowej.
Przy podejściu tradycyjnym audyt wewnętrzny może być postrzegany w większym stopniu jako kontrola[1], a w mniejszym jako doradztwo. Wynika to z atrybutu niezależności audytora wewnętrznego oraz faktu wskazywania na nieprawidłowości w działaniu komórki objętej audytem.
Tymczasem obecnie, wobec szybko zmieniającego się otoczenia, coraz większe znaczenie przypisuje się dostarczaniu informacji wyprzedzających (ex ante). Największy wpływ na ten stan rzeczy mają zmiany zachodzące w przemyśle, określane jako rewolucja 4.0. Ich tempo narzucają w szczególności szybki rozwój IT, powstawanie rozwiązań opartych na sztucznej inteligencji czy internetu rzeczy[2]. W konsekwencji wymusza to potrzebę dostosowania się do nowych warunków działania przedsiębiorstw, co dotyczy również audytu wewnętrznego.
Zaloguj się
Aby czytać dalej, jeśli masz wykupiony abonament
Kup dostęp do tego artykułu
Cena dostępu do pojedynczego artykułu tylko 12,30
Kup abonament
Abonamenty on-line | Prenumeratorzy | Członkowie SKwP | ||||||||
|
Bezpłatny dostęp do tego artykułu i ponad 3500 innych, dla prenumeratorów miesięcznika „Rachunkowość". Pomoc w uzyskaniu dostępu:
|
15% rabat na wszystkie zakupy. Zapytaj o kod w swoim Oddziale. Stowarzyszenie Księgowych w Polsce jest organizacją, do której należy ponad 26 000 księgowych, a członkostwo wiąże się z licznymi korzyściami. |
„Rachunkowość” - od 75 lat źródło rzetelnej wiedzy!
Skróty w artykułach
- dyrektywa 112 – dyrektywa Rady 2006/112/WE z 28.11.2006 r. w sprawie wspólnego systemu podatku od wartości dodanej (DzUrz UE L 347 z 11.12.2006 r.)
- dyrektywa 2013/34/UE – dyrektywa Parlamentu Europejskiego i Rady 2013/34/UE z 26.06.2013 r. w sprawie rocznych sprawozdań finansowych, skonsolidowanych sprawozdań finansowych i powiązanych sprawozdań niektórych rodzajów jednostek (...) (DzUrz UE L 182 z 29.06.2013 r.)
- Kc – ustawa z 23.04.1964 r. Kodeks cywilny (DzU z 2023 r. poz. 1610)
- KIMSF – interpretacje Komitetu ds. Interpretacji Międzynarodowej Sprawozdawczości Finansowej
- Kks – ustawa z 10.09.1999 r. Kodeks karny skarbowy (DzU z 2023 r. poz. 654)
- Kp – ustawa z 26.06.1974 r. Kodeks pracy (DzU z 2023 r. poz. 1465)
- Kpc – ustawa z 17.11.1964 r. Kodeks postępowania cywilnego (DzU z 2023 r. poz. 1550)
- Ksh – ustawa z 15.09.2000 r. Kodeks spółek handlowych (DzU z 2022 r. poz. 1467)
- KSR – Krajowe Standardy Rachunkowości
- MSR – Międzynarodowe Standardy Rachunkowości (ang. International Accounting Standards) wydawane od 2002 r. jako MSSF
- MSSF – Międzynarodowe Standardy Sprawozdawczości Finansowej (ang. International Financial Reporting Standards)
- Op – ustawa z 29.08.1997 r. Ordynacja podatkowa (DzU z 2023 r. poz. 2383)
- Ppsa – ustawa z 30.08.2002 r. Prawo o postępowaniu przed sądami administracyjnymi (DzU z 2023 r. poz. 1634)
- rozporządzenie o instrumentach finansowych – rozporządzenie Ministra Finansów z 12.12.2001 r. w sprawie szczegółowych zasad uznawania, metod wyceny, zakresu ujawniania i sposobu prezentacji instrumentów finansowych (DzU z 2017 r. poz. 277)
- rozporządzenie o konsolidacji – rozporządzenie Ministra Finansów z 25.09.2009 r. w sprawie szczegółowych zasad sporządzania przez jednostki inne niż banki, zakłady ubezpieczeń i zakłady reasekuracji skonsolidowanych sprawozdań finansowych grup kapitałowych (DzU z 2017 r. poz. 676)
- rozporządzenie składkowe – rozporządzenie Ministra Pracy i Polityki Socjalnej z 18.12.1998 r. w sprawie szczegółowych zasad ustalania podstawy wymiaru składek na ubezpieczenia emerytalne i rentowe (DzU z 2023 r. poz. 728)
- rozporządzenie z 13.09.2017 r. – rozporządzenie Ministra Rozwoju i Finansów w sprawie rachunkowości oraz planów kont dla budżetu państwa, budżetów jednostek samorządu terytorialnego, jednostek budżetowych, samorządowych zakładów budżetowych, państwowych funduszy celowych oraz państwowych jednostek budżetowych mających siedzibę poza granicami Rzeczypospolitej Polskiej (DzU z 2020 r. poz. 342)
- specustawa – ustawa z 2.03.2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (tekst jedn. DzU z 2023 r. poz. 1327)
- uobr – ustawa z 11.05.2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym (DzU z 2023 r. poz. 1015)
- uor – ustawa z 29.09.1994 r. o rachunkowości (DzU z 2023 r. poz. 120)
- updof – ustawa z 26.07.1991 r. o podatku dochodowym od osób fizycznych (DzU z 2022 r. poz. 2647)
- updop – ustawa z 15.02.1992 r. o podatku dochodowym od osób prawnych (DzU z 2022 r. poz. 2587)
- upol – ustawa z 12.01.1991 r. o podatkach i opłatach lokalnych (DzU z 2023 r. poz. 70)
- US GAAP – Amerykańskie Standardy Rachunkowości (ang. Generally Accepted Accounting Principles)
- ustawa akcyzowa – ustawa z 6.12.2008 r. o podatku akcyzowym (DzU z 2023 r. poz. 1542)
- ustawa emerytalna – ustawa z 17.12.1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych (DzU z 2023 r. poz. 1251)
- ustawa KAS – ustawa z 16.11.2016 r. o Krajowej Administracji Skarbowej (DzU z 2023 r. poz. 615)
- ustawa o KRS – ustawa z 20.08.1997 r. o Krajowym Rejestrze Sądowym (DzU z 2023 r. poz. 685)
- ustawa o PCC – ustawa z 9.09.2000 r. o podatku od czynności cywilnoprawnych (DzU z z 2023 r. poz. 170)
- ustawa o VAT – ustawa z 11.03.2004 r. o podatku od towarów i usług (DzU z 2023 r. poz. 1570)
- ustawa o zfśs – ustawa z 4.03.1994 r. o zakładowym funduszu świadczeń socjalnych (DzU z 2023 r. poz. 998)
- ustawa zasiłkowa – ustawa z 25.06.1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa (DzU z 2022 r. poz. 1732)
- ustawa zdrowotna – ustawa z 27.08.2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych (DzU z 2022 r. poz. 2561)
- usus – ustawa z 13.10.1998 r. o systemie ubezpieczeń społecznych (DzU z 2023 r. poz. 1230)
- uzpd – ustawa o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne
- Założenia koncepcyjne MSSF – Założenia koncepcyjne sprawozdawczości finansowej (Conceptual Framework for Financial Reporting)
- CEIDG – Centralna Ewidencja i Informacja o Działalności Gospodarczej
- EOG – Europejski Obszar Gospodarczy
- FEP – Fundusz Emerytur Pomostowych
- FGŚP – Fundusz Gwarantowanych Świadczeń Pracowniczych
- FP – Fundusz Pracy
- FS – Fundusz Solidarnościowy
- IASB – Rada Międzynarodowych Standardów Rachunkowości
- IS – izba skarbowa
- KAS – Krajowa Administracja Skarbowa
- KIS – Krajowa Informacja Skarbowa
- KNF – Komisja Nadzoru Finansowego
- KRBR – Krajowa Rada Biegłych Rewidentów
- KRS – Krajowy Rejestr Sądowy
- KSB – Krajowe Standardy Badania
- MF – Minister Finansów
- MPiPS – Minister Pracy i Polityki Społecznej
- MRiF – Minister Rozwoju i Finansów
- MRiPS – Minister Rodziny i Polityki Społecznej
- MSiG – Monitor Sądowy i Gospodarczy
- NSA – Naczelny Sąd Administracyjny
- PANA – Polska Agencja Nadzoru Audytowego
- PIBR – Polska Izba Biegłych Rewidentów
- PKD – Polska Klasyfikacja Działalności
- pkpir – podatkowa księga przychodów i rozchodów
- PPK – pracownicze plany kapitałowe
- RM – Rada Ministrów
- SA – sąd apelacyjny
- sf – sprawozdanie finansowe
- skok – spółdzielcza kasa oszczędnościowo-kredytowa
- SN – Sąd Najwyższy
- SO – sąd okręgowy
- TK – Trybunał Konstytucyjny
- TSUE – Trybunał Sprawiedliwości Unii Europejskiej
- UCS – urząd celno-skarbowy
- UE – Unia Europejska
- US – urząd skarbowy
- WDT – wewnątrzwspólnotowa dostawa towarów
- WNT – wewnątrzwspólnotowe nabycie towarów
- WSA – wojewódzki sąd administracyjny
- zfśs – zakładowy fundusz świadczeń socjalnych