Kontrola wewnętrzna w dobie technologii cyfrowych
Kluczowe wyzwania, z którymi obecnie mierzą się jednostki, wynikają w istocie nie z samych technologii cyfrowych (digital technologies), ale ze sposobu ich wdrażania i stosowania(1). Niektórzy mogą być przeciwni zmianom z obawy przed tym, że ich stanowiska pracy zostaną zlikwidowane, a ich praca zastąpiona funkcjami nowych technologii. Inni – z braku umiejętności lub przeszkolenia – mogą nie potrafić efektywnie wykorzystywać możliwości, jakie one dają.
(1) Artykuł bazuje na dokumencie: Re-inventing Internal Controls in the Digital Age, April 2019, PwC, ACCA, INSEAD EMI.
Wykorzystywanie technologii cyfrowych na potrzeby kontroli wewnętrznej
Dobrze przemyślany program zmian, wspierany i wdrażany przez kierownictwo, ma kluczowe znaczenie dla dostosowania funkcji kontrolnych w jednostce do nowej rzeczywistości oraz przygotowania się na zmiany.
Powstaje pytanie: jak jednostki powinny dostosować kontrolę wewnętrzną, aby zapewnić skuteczną ochronę aktywów, zapobiegać oszustwom, weryfikować dokumentację finansową, monitorować wydajność, zapewnić nieprzerwaną działalność?
Postęp technologiczny wpływa na sposób działania jednostki. Firmy muszą zdawać sobie sprawę z tego, że aby uzyskać odporność biznesową, muszą wprowadzić zmiany w organizacji (w tym zmiany kontroli wewnętrznej).
Korzystanie z technologii cyfrowych umożliwia dostęp do dużej liczby danych, co z kolei wzbudza obawy o wzrost zagrożeń cybernetycznych i bezpieczeństwo informacji, a także uczciwe, etyczne i dopuszczalne korzystanie z tych danych. Wprowadzenie sztucznej inteligencji w celu usprawnienia lub zastąpienia procesu podejmowania decyzji przez ludzi, aby nastąpiło w odpowiedzialny sposób, wymaga oceny czterech kluczowych elementów: uczciwości, wyjaśnialności, bezpieczeństwa i odpowiedzialności.
Najważniejsze nowe technologie i ryzyka ich stosowania
Przetwarzanie w chmurze
Przetwarzanie w chmurze (cloud computing) to niemal nieograniczona moc obliczeniowa, która dzięki potężnym algorytmom pozwala analizować wszystkie dane transakcyjne i „wyłapywać” nietypowe działania. Nie uważa się jej już za technologię wschodzącą, ponieważ korzystanie z niej stało się powszechne na całym świecie. Wiele jednostek korzysta z usług dostawców chmury na swoje potrzeby w zakresie IT – począwszy od infrastruktury, a skończywszy na platformach i oprogramowaniu.
Ryzyko rośnie w razie korzystania z technologii chmury hybrydowej (łączącej chmurę firmową/prywatną z chmurą publiczną) lub ze środowiska wielochmurowego (integrującego wiele chmur publicznych). W takim przypadku nieodzowne jest wdrożenie przez firmy odpowiednich kontroli w celu wzmocnienia własnego środowiska IT. Wielu dostawców usług w chmurze stosuje wysokie standardy kontroli, które udostępnia klientom, np. dokonuje atestacji technologii kontroli, udostępnia narzędzia pomocne przy usprawnianiu kontroli wewnętrznej. Nie zwalnia to jednak jednostek z odpowiedzialności za przeprowadzane przez nie kontrole związane z wykorzystaniem chmury.
Kluczowe zagrożenia, z którymi muszą się zmierzyć jednostki, dotyczą danych. Zagrożenia dla cyberbezpieczeństwa wzrosły, ze względu na korzystanie z infrastruktury innych jednostek i istnienie wielu centrów danych, w których znajdują się aplikacje i dane. Dane osobowe są ustawowo chronione w wielu krajach. Dodatkowo należy zwrócić uwagę na ocenę nieprzewidzianych zagrożeń, np. wynikających z braku wystarczającej znajomości technologii przez personel jednostki.
W przypadku korzystania z usług internetowych firmy Amazon odpowiedzialność za bezpieczeństwo jest współdzielona. Zazwyczaj Amazon przejmuje odpowiedzialność za „bezpieczeństwo chmury” (oprogramowanie, system obliczeniowy, bazy danych, przechowywanie danych, infrastrukturę fizyczną sieci), a klienci są odpowiedzialni za „bezpieczeństwo w chmurze” (platformy z aplikacjami, zarządzanie tożsamością i dostępem, szyfrowanie i uwierzytelnianie, integralność danych, konfigurację systemu operacyjnego, sieci i zapór, system plików i danych, ochronę ruchu w sieci).
Amazon świadczy usługi umożliwiające klientom ochronę danych za pomocą aplikacji Macie. Stosuje uczenie maszynowe (machine learning). Macie pozwala jednostkom określić, jakie poufne dane znajdują się w ich zasobach w chmurze. Umożliwia ostrzeganie klientów o uzyskiwaniu lub przenoszeniu danych w nietypowy sposób. To pomaga uniknąć ryzyka nieautoryzowanego dostępu oraz wycieku danych osobowych i własności intelektualnej. Jednostki muszą jednak pamiętać o swoich obowiązkach i o tym, że ich własne środowisko kontroli powinno być odpowiednio ocenione pod kątem ryzyka oraz poddawane niezależnym audytom. Dzięki specjalnym narzędziom, które umożliwiają audyt usług sieciowych w czasie rzeczywistym, kontrole mają raczej prewencyjny niż detektywistyczny(2) charakter.
(2) Kontrola detektywistyczna – rodzaj kontroli wewnętrznej, procedury zapasowe, które mają na celu przechwytywanie przedmiotów lub zdarzeń, które zostały pominięte przez pierwszą linię obrony (przyp. red.).
Drony
Drony to bezzałogowe statki powietrzne, które mogą być wyposażone w kontroler naziemny i kamery pokładowe. Pozyskane przez dron dane, takie jak filmy i obrazy, można przesłać do bazy w celu ich analizy. Korzyści ze stosowania dronów to szybkość przechwytywania filmu, obrazu, możliwość dostępu do odległych miejsc (np. na morzu), większa precyzja obserwacji, możliwość inspekcji oraz sprawdzenia zgodności z przepisami dotyczącymi zdrowia i bezpieczeństwa ludzi.
Drony mogą być narażone na szczególne ryzyko spowodowane operowaniem w powietrzu. Władze lotnicze muszą rozwijać systemy sterowania ruchem w powietrzu, zapobiegające kolizjom oraz uwzględniające ryzyka transgraniczne. Prywatność i wykorzystanie danych stanowi wyzwanie, biorąc pod uwagę, że operatorzy dronów zbierają ogromne ilości danych, w tym informacje poufne lub wrażliwe, dotyczące własności bądź ludzkich zachowań.
W branży budowlanej korzysta się z dronów do przeprowadzania kontroli wewnętrznej. W przypadku budowy dużych obiektów na rozległym obszarze, służą one m.in. do sprawdzenia postępu prac, weryfikacji i wyceny robót w toku, bieżącej obserwacji, np. przestrzegania przepisów bhp, a ich obecność może zniechęcać pracowników do „obchodzenia” kontroli i zaniżania jakości pracy.
Drony są też stosowane do monitorowania transportu kolejowego – m.in. przewozu samochodów. Wyposażone w skanery i kamery do rozpoznawania poszczególnych samochodów mogą działać w czasie rzeczywistym na określonym obszarze, co znacznie przyspiesza kontrolę i inwentaryzację oraz obniża koszty eksploatacji i zarządzania taborem kolejowym.
Drony zastępują również kontrole inspektorów w transporcie morskim. Firmy żeglugowe korzystają z nich do po‑
zyskiwania obrazów statków na morzu, co umożliwia przeglądy i kontrole stanu statku, sprawdzanie zgodności ładunku z umowami i przepisami eksportowymi oraz koordynację planowanego załadunku/rozładunku kontenerów w porcie. Inspekcje dokonywane przez drony przynoszą też korzyści klientom, umożliwiając im podgląd transportowanych towarów.
Automatyzacja procesów
Automatyzacja procesów (Robotic Process Automation, RPA), której nie należy mylić z robotami przemysłowymi, jest potężnym narzędziem zapewniającym wykonywanie w krótszym czasie i po niższych kosztach, czasochłonnych i przeprowadzanych dotychczas ręcznie, opartych na regułach, zadań biurowych. Pozwala podsumować działania użytkownika końcowego (zwykle za pomocą graficznego interfejsu użytkownika – Graphical User Interface, GUI), stosującego aplikacje widoczne na ekranie oraz na „poziomie” serwera i baz danych.
Szacuje się, że w skali globalnej można zautomatyzować ok. 45% czynności, oszczędzając koszty siły roboczej o wartości 2 bilionów dolarów. Automatyzacja pracy pozwala jednostkom na cyfryzację kosztownych czynności wykonywanych ręcznie i kontroli wewnętrznych. Zmniejsza też liczbę błędów, poprawia jakość pracy, zapewnia zgodność z przepisami oraz daje satysfakcję klientom, ograniczając liczbę zgłaszanych przez nich zapytań i reklamacji.
Automatyzacja może być stosowana na wszystkich liniach ochrony przed błędami – od kontroli operacyjnych i uzgodnień po audyt wewnętrzny. W przypadku czynności wykonywanych ręcznie ryzyko błędu ludzkiego jest wysokie i – dodatkowo – nie zawsze osiąga się oczekiwany poziom przejrzystości. Obecnie wiele działów finansowych nadal stosuje arkusze kalkulacyjne Excel, mimo że wdrożenie nawet podstawowej automatyzacji znacznie poprawiłoby kontrolę i przejrzystość.
Z uwagi na względną łatwość automatyzacji procesów kluczowe znaczenie ma kontrola dostępu do sterującego nią oprogramowania oraz dokonywania zmian IT. Wielu użytkowników biznesowych może traktować automatyzację jako element systemu (aplikację), którą końcowy użytkownik, niebędący programistą, może modyfikować i przetwarzać w ramach tzw. End-User Computing (EUC), bez jakiejkolwiek kontroli.
Ponieważ na skutek automatyzacji procesów można szybko przetwarzać dużą liczbę transakcji, kluczowe jest jej należyte skonfigurowanie i zaprojektowanie, gdyż błędy w tym zakresie mogą w krótkim czasie ujemnie wpłynąć na miliony transakcji.
Ochrona przed wszystkimi ryzykami automatyzacji może nastąpić w ramach zwykłych kontroli IT. Jednak decyzja o wyborze czynności, które mają być poddane automatyzacji, wykracza poza kompetencje IT i dlatego jednostki same powinny ustalić, które czynności mają zostać zautomatyzowane.
Blockchain
Blockchain (łańcuch bloków) to zdecentralizowana księga kryptograficznie zabezpieczonych transakcji zawartych w sieci między równymi sobie kontrahentami (Peer-to-peer, P2P). Pozwala uczestnikom na zawieranie w sposób przejrzysty bezpiecznych transakcji, bez konieczności sprawowania nadzoru przez centralny organ (stronę trzecią). Sieć węzłów przeprowadza ocenę transakcji i statusu kontrahenta za pomocą odpowiednich algorytmów. Przedmiotem zweryfikowanych transakcji mogą być kryptowaluty, umowy, dokumenty lub inne informacje. Po zweryfikowaniu transakcja jest łączona z innymi transakcjami w celu utworzenia nowego bloku danych w księdze głównej. Jeśli jest zakończona, nowy blok dodaje się, w sposób trwały i niezmienny, do istniejącego łańcucha bloków.
Blockchain można podzielić na kategorie na podstawie modelu uprawnień. Jeśli każda osoba może w nim uczestniczyć i nie musi uzyskiwać pozwolenia na dostęp, blockchain jest publiczny, podobnie jak księga główna i historia transakcji. W przeciwnym razie jest on prywatny. Blockchain publiczny nie ma centralnego organu nadzoru (np. rządu lub banku). Kontrahenci mogą zawierać transakcje bezpośrednio między sobą, korzystając ze zdecentralizowanej księgi. Po zatwierdzeniu transakcji przez wszystkie węzły, zastosowaniu mechanizmów uzgodnienia i dodaniu do księgi nie można zmienić jej zawartości bez naruszenia całego łańcucha – dlatego jest on trwały.
Istnieją zachęty ekonomiczne (zazwyczaj zarabianie kryptowaluty) do zastosowania mechanizmów uzgodnienia, które zabezpieczają sieć. Bitcoin, Litecoin, Ethereum, DASH, Ripple i Hyperledger to przykłady popularnych publicznych łańcuchów bloków. Prywatne łańcuchy bloków stosują tę samą rozproszoną architekturę co publiczne, jednak tylko wybrani uczestnicy mogą się w nich rejestrować i/lub odczytywać transakcje w księdze.
Jedną z największych barier przyjęcia blockchain przez korporacje są obawy dotyczące technologii, a zwłaszcza jej niezawodności, szybkości, bezpieczeństwa, skalowalności, współpracy z innymi systemami i nadzorem regulacyjnym. Technologia blockchain jest jednak obiecująca. Od 2019 r. realizuje się i tworzy wiele projektów blockchain obsługujących dostawy, finansowanie handlu, ubezpieczenia, opiekę zdrowotną, rejestr gruntów, procedury identyfikacji klienta, tożsamość cyfrową i udostępnianie danych.
(3) Programy komputerowe lub protokoły transakcji automatycznie wdrażające warunki umów.
Chociaż technologia blockchain sama w sobie jest wysoce bezpieczna i niezawodna, to jednak nie zapewnia 100% bezpieczeństwa konta i portfela. Nadzór nad poświadczeniami ma kluczowe znaczenie dla ochrony zasobów cyfrowych przechowywanych w łańcuchu bloków. Inteligentne umowy(3), podobnie jak tradycyjne reguły biznesowe, obarczone są błędami kodowania i niewłaściwej interpretacji wyników. Ponadto, podobnie jak w przypadku każdego zautomatyzowanego systemu, większość awarii występuje w takcie przekazu danych. Niezależnie od poziomu bezpieczeństwa technologii blockchain jednostki powinny dokładnie rozważyć, komu przyznać prawo dostępu do danych i kluczy szyfrujących.
Firma DNV GL dostarczająca usługi zapewniania jakości stworzyła dla producentów win rozwiązanie blockchain o nazwie My Story. Umożliwia branży winiarskiej prezentację łańcucha dostaw konsumentom, którzy mają natychmiastowy dostęp do informacji o cechach wina, takich jak jakość, autentyczność, pochodzenie, składniki, zużycie wody i energii, które są weryfikowane przez cały proces wytwórczy. Butelki na wino mają kod QR, dzięki któremu konsumenci mogą zobaczyć pełną historię produktu i jego drogę z winnicy do butelki. Ta technologia może być stosowana przez branże narażone na podrabianie produktów.
Sztuczna inteligencja
Sztuczna inteligencja (Artificial Intelligence, AI) to program komputerowy, który wykonuje inteligentne czynności, naśladując ludzką logikę i zachowania.
Samouczenie się maszyn (Machine Learning) to umiejętność niezależnego „uczenia się” maszyn bez uprzedniego zaprogramowania.
Głębokie uczenie (Deep Learning) to algorytmy umożliwiające programom naśladowanie zdolności ludzkiego mózgu w celu obserwacji, analizowania, uczenia się i tworzenia.
Zwykle wyróżnia się trzy rodzaje analityki danych (w kolejności rosnącej złożoności):
- opisowa (descriptive analytics) podsumowuje i wizualizuje to, co się wydarzyło,
- predykcyjna (predictive analytics) przewiduje, co się wydarzy,
- nakazowa (prescriptive analytics) dostarcza wytycznych do podjęcia określonych działań.
Wiele jednostek łączy analitykę danych z automatyzacją w celu monitorowania swojej działalności. Przechwytywanie danych z transakcji staje się normą, dlatego monitorowanie transakcji w czasie rzeczywistym lub okresowo może być wykorzystywane do kontroli prewencyjnej i detektywistycznej, umożliwiającej uniknięcie ryzyka. Bogatsze źródła danych i technologie wielkich zbiorów danych (Big Data) umożliwiają stosowanie bardziej wyrafinowanych technik, które odchodzą od analizowania danych z przeszłości, idąc w kierunku przewidywania (predykcji) zagrożeń. Systemy AI umożliwiają stosowanie metod predykcyjnych, wyciągnięcie wniosków z zebranych danych i proponowanie najlepszych działań, jakie należy podjąć, aby osiągnąć cel. Mogą się nauczyć dostosowywania swojego działania dzięki analizie wcześniejszego wpływu na otoczenie.
Jednostki stosują systemy AI do pełnienia funkcji poznawczych (percepcja, rozumowanie, uczenie się i rozwiązywanie problemów) oraz do wspomagania i usprawniania procesu podejmowania decyzji przez ludzi. W ostatnich latach odnotowuje się postępy w stosowaniu sztucznej inteligencji w dziedzinie uczenia się maszyn, w szczególności głębokiego uczenia.
Jednym z kluczowych zagrożeń przy stosowaniu AI jest jej funkcjonowanie na pograniczu dużej niewiadomej. Czy zaufać komputerowi obsługującemu kontrole, jeśli nie da się od razu zaobserwować lub wytłumaczyć, w jaki sposób maszyna podjęła określone decyzje?
Branża hotelarska intensywnie korzysta ze sztucznej inteligencji i analizy danych. Sieci hoteli działają w systemie globalnym, obsługując miliony zapisów i transakcji klientów. Aby chronić ich dane, hotele stosują technologie analizy danych w celu ciągłego skanowania systemów i minimalizowania zagrożeń.
Dostawcy kart kredytowych od dawna korzystają z analityki do wykrywania podejrzanych działań, m.in. zagranicznych transakcji o dużej wartości. Jednak dotychczas oszustwa wykrywano po dokonaniu transakcji. Tymczasem współczesne metody wykorzystujące analitykę predykcyjną mogą zgłaszać alerty i blokować podejrzane transakcje w czasie rzeczywistym. Algorytmy uczenia maszynowego odgrywają bardziej prewencyjną i proaktywną rolę, pomagając instytucjom obsługującym karty kredytowe w wykrywaniu wcześniej nieznanych oszustw.
Dawniej firmy użytkujące środki trwałe wymagające szczególnej pieczy (np. pociągi, samoloty, windy) planowały z wyprzedzeniem systematyczne przeglądy i czynności konserwacyjne, aby ograniczyć ryzyko nieprawidłowego działania. Obecnie, dzięki nowoczesnej technice, do analizy predykcyjnej stosuje się czujniki urządzeń (internet rzeczy), zbierające w sposób ciągły strumienie danych nt. obiektów z ich otoczenia. Uczące się maszyny pomagają w ustalaniu komponentów, które mogą ulec awarii i wymagać konserwacji. W ten sposób ostrzegają personel techniczny, który podejmuje działania naprawcze, np. zapobiegające opóźnieniom lotów, co pozwala na oszczędności.
Również banki korzystają z zaawansowanych analiz, takich jak języki programowania statystycznego i analityka wizualna. Są bardziej efektywne, dzięki czemu mogą realizować przeglądy biznesowe potencjalnych klientów lub transakcji o wysokim ryzyku. Niepokojące transakcje, które zostały zidentyfikowane na podstawie przeglądów, są przekazywane z powrotem do systemu analizy danych opartego na AI.
United Overseas Bank zamierza rozszerzyć wykorzystanie głębokiego uczenia się maszyn na potrzeby analizy artykułów prasowych. Automatyczne i inteligentne wyszukanie określonych treści zaczerpniętych z prasy pozwala na ich wprowadzenie do profili ryzyka klientów, co usprawnia analizę klienta banku (Know Your Customer, KYC).
Dzięki korzystaniu z modeli predykcyjnych oraz analizy behawioralnej zastosowanej w odniesieniu do pracowników, firmy zyskują narzędzia strategicznego planowania, z coraz większą dokładnością, zagadnień kadrowych. Za pomocą systemu AI można śledzić wszystko, co sygnalizuje zaangażowanie pracownika lub jego brak: o której godzinie przychodzi i wychodzi z pracy, ile razy loguje się do poczty elektronicznej itp. Na podstawie analizy tych danych menedżerowie otrzymują profil poszczególnych pracowników, którzy z dużym prawdopodobieństwem odejdą z firmy w ciągu 9 mies. Dzięki temu otrzymują narzędzie umożliwiające podjęcie z wyprzedzeniem decyzji, czy daną osobę zatrzymać w firmie.
Odpowiedzialna sztuczna inteligencja. Każda technologia wymaga użytkowania w sposób odpowiedzialny i etyczny. Sztuczna inteligencja nie jest wyjątkiem. Systemy AI wspomagają podejmowanie decyzji przez ludzi i stale uczą się dziś interakcji z nimi i ze środowiskiem. W przyszłości będą prawdopodobnie działać bardziej samodzielnie i podejmować bardziej skomplikowane decyzje, które wcześniej wymagały ludzkiego osądu.
Zanim jednak ludzie będą mogli w pełni korzystać z AI, muszą wiedzieć, czy można jej zaufać. W ostatnich latach wzrosły obawy co do sposobu, w jaki ona działa, gdyż może wpłynąć na prywatność, cyberbezpieczeństwo, zatrudnienie, nierówności (inequality) i środowisko. Konwencjonalne technologie (np. autopiloty lub roboty przemysłowe) działają przy użyciu deterministycznego oprogramowania. Skutki jego stosowania są przewidywalne. Natomiast sztuczna inteligencja jest ze swojej istoty niedeterministyczna. Jeśli jej czynniki wchodzą w interakcję z otoczeniem i się uczą, to ich zachowanie ewoluuje. Jak zatem można zaufać AI?
W odniesieniu do AI mówi się o konieczności minimalizowania uprzedzeń, które mogą skutkować niesprawiedliwymi decyzjami. Ponieważ systemy sztucznej inteligencji są projektowane przez ludzi, to oni przenoszą swoje uprzedzenia do wsadowych danych (training data) AI, na podstawie których się ona uczy. Amerykańska organizacja informacyjna ProPublica za stronniczy rasowo uznała COMPAS – szeroko stosowane w USA przez system penitencjarny narzędzie, które wykorzystuje algorytmy oparte na AI do przewidywania prawdopodobieństwa ponownego popełnienia przestępstwa. Z analizy wynika, że system przeceniał ryzyko recydywy w przypadku oskarżonych Afroamerykanów i zaniżał je w przypadku białych. Firmy powinny sprawdzać zbiory danych i algorytmy pod kątem stronniczości oraz wprowadzić odpowiednie metody jej łagodzenia, aby określonych osób lub ich grup nie stawiać w niekorzystnej sytuacji.
Główne ryzyka. Konsumenci chcą zrozumieć, w jaki sposób modele AI podejmują decyzje, zwłaszcza jeśli wpływają one na ich życie. Rozwój możliwych do zinterpretowania algorytmów AI, których koncepcję, mocne i słabe strony oraz prawdopodobne przyszłe zachowanie można wyjaśnić, staje się obecnie priorytetem zarówno firm technologicznych, jak i instytutów badawczych.
Niektórzy zamiast próbować zrozumieć AI, przyjęli podejście pragmatyczne, pytając o „wyniki”, a nie o to: „jak?”. Przykładowo banki przyjęły systemy przeciwdziałania praniu brudnych pieniędzy, które tradycyjnie sygnalizowały podejrzane transakcje za pomocą reguł opartych na pytaniach o źródła transakcji, ich wartość itp. Podczas testowania AI jedną z metod było porównanie jej wyników z systemem tradycyjnym przez zadanie pytań: „Czy system AI wytwarza takie same alerty, co system oparty na regułach?”, „Czy system AI dostarcza dodatkowych ważnych alertów, których nie wytwarzał system oparty na regułach?” oraz „Czy system AI ignoruje fałszywe alerty zawarte w systemie opartym na regułach?”. Odpowiedzi na te pytania pozwalają na ulepszenie wyników, ale nie na zrozumienie trudnej logiki, na której opiera się system sztucznej inteligencji.
Bezpieczeństwo i ochrona. Uczciwe i wyjaśnialne systemy AI nadal mogą być niebezpieczne w stosowaniu (np. wobec zmiany zbiorów danych wejściowych i algorytmów). Bezpieczeństwo i niezawodność sztucznej inteligencji można jednak poprawić dzięki rygorystycznej ocenie modeli, porównywaniu wydajności i ciągłemu monitorowaniu procesu decyzyjnego.
Firmy muszą ustanowić odpowiedzialność ogółu komórek w przedsiębiorstwie za stosowanie AI i spójność operacji. Obejmuje to zarówno odpowiedzialność wewnętrzną (np. modele zarządcze i organy zatwierdzające), jak i zewnętrzną (wobec podmiotów, które proszą o informacje nt. danych wejściowych, służących do podejmowania decyzji wspieranych przez system AI).
Kontrola AI powinna obejmować dane wejściowe, algorytmy, procesy i założenia sprawozdawcze. Testowanie i monitorowanie kontroli wymaga powołania interdyscyplinarnych zespołów grupujących specjalistów ds. audytu, specjalistów ds. procesów biznesowych i personel techniczny, gdyż podejmowanie decyzji na podstawie sztucznej inteligencji musi być możliwe do audytowania i prześledzenia, szczególnie w sytuacjach krytycznych.
Cały proces, który prowadzi do decyzji opartych na AI, wymaga udokumentowania. Można to osiągnąć już dzisiaj, jednak w ciągu następnych kilku lat działy kontroli wewnętrznej i zewnętrzne firmy audytorskie z pewnością opracują bardziej wyrafinowane metody i mechanizmy audytowania AI(4).
(4) Ze względu na podobieństwo podejścia do kontroli wewnętrznej innych niż opisane nowych technologii cyfrowych, takich jak druk 3D, wirtualna rzeczywistość, przewidywana rzeczywistość, zrezygnowano z ich omawiania.
Bezpieczeństwo cybernetyczne i informacyjne
Nadrzędnym problemem przy stosowaniu wszystkich technologii cyfrowych jest zapewnienie bezpieczeństwa cybernetycznego i informacyjnego. Dane, które powstają w wyniku cyfryzacji, są stale zagrożone włamaniem hakerów, szantażem przestępców czy utratą na skutek dostępu do nich nieautoryzowanych użytkowników, zarówno wewnętrznych, jak i zewnętrznych.
Bezpieczeństwo cybernetyczne i informacyjne wchodzi w zakres ochrony przed ryzykiem, a odpowiedzialność za ochronę spoczywa na firmie. Jednak technologie, które narażają jednostki na ryzyka, mogą być również wykorzystane do ochrony przed ryzykiem.
Wiele jednostek zezwala na udostępnianie plików i folderów wszystkim swoim pracownikom, a w rezultacie mają oni szerszy dostęp do danych, niż jest to konieczne do wykonywania powierzonych zadań. Wprowadzenie skutecznych kontroli poufnych danych ma kluczowe znaczenie dla zapobiegania ich kradzieży przez zewnętrznych agresorów czy złośliwych użytkowników wewnętrznych.
Jeden z zakładów ubezpieczeń zdrowotnych, który zastosował platformę zabezpieczania danych Varonis, zamknie ponad 850 tys. odsłoniętych folderów z danymi pacjentów. W wysoce uregulowanym środowisku z wrażliwymi danymi klientów i pacjentów rozwiązania technologiczne mogą służyć do zgłaszania alertów o podejrzanej aktywności na serwerach zawierających pliki.
Platforma DatAlert korzysta z uczenia maszynowego do ciągłego monitorowania i analizowania wzorców zachowań w plikach i danych oraz do określania, kiedy użytkownik plików zachowuje się podejrzanie (porównując jego działania z działaniami współpracowników, ich normalnymi godzinami pracy i ich typowym zachowaniem).
Systemy i dane
Zdaniem 76% dyrektorów generalnych dane mają kluczowe znaczenie i są ważne dla zrozumienia ryzyka, na jakie jest narażona firma; jedynie 22% z nich uważa, że dane z ich firm są odpowiednie.
Jednostki często zdają sobie sprawę, że barierą przy stosowaniu analityki danych są same dane. Ważna jest dostępność i jakość danych, ale procesy biznesowe jednostki są zwykle ubogie w dane. Poza wdrożeniem systemu planowania zasobów przedsiębiorstwa (Enterprise Resource Planning, ERP) do tworzenia i wzbogacania danych, istnieją także inne metody umożliwiające szybsze osiągnięcie tego celu. Są to:
- Pozyskiwanie danych ze źródeł zewnętrznych. Niektóre firmy zajmujące się usługowo danymi dostarczają analityczne dane wyjściowe. Inne sprzedają własne dane. Istnieją także platformy handlowe, umożliwiające jednostkom kupowanie i sprzedawanie danych firmowych.
- Digitalizacja zapisów ręcznych. Techniki sztucznej inteligencji obejmują optyczne rozpoznawanie znaków (Optical Character Recognition, OCR), co służy digitalizacji zapisów ręcznych, a także przetwarzanie języka naturalnego (Natural Language Processing, NLP), co umożliwia zrozumienie kontekstu języka użytego w dokumencie. Dzięki tym zabiegom kluczowe dane mogą zostać przechwycone z nieustrukturyzowanych dokumentów tekstowych.
- Wzbogacanie danych. Dane firmowe można poddać działaniom „inżynierii danych”, np. przez zamieszczenie w dokumentach nowego pola, wykorzystywanego do analiz. Nowym polem może być np. „czas potrzebny na opłacenie faktury”, który można ustalić na podstawie zawartych w dokumentach danych typu „termin płatności faktury” lub „termin otrzymania należności objętych fakturą”. Korzystając z tego nowo utworzonego pola, jednostki mogą poprawić swoje przepływy pieniężne, lepiej reagując na wczesne i opóźnione płatności lub wpływy z faktur.
Przeszkodą w analizie danych może być ich niska jakość. Wyniki analizy będą bezużyteczne, jeśli dane wejściowe są nieprawidłowe. Aby rozwiązać ten problem, wskazane jest:
- oczyszczenie danych historycznych z przeszłych transakcji; umożliwia to korzystanie z nich na potrzeby miarodajnych analiz, zarówno opisowych (przedstawienie przeszłości), jak i predykcyjnych (przedstawienie przyszłości); dane z przeszłości mogą być także przydatne do „trenowania” algorytmów maszyn, aby mogły przewidywać i prognozować przyszłość,
- zapewnienie dobrej jakości danych w przyszłości dzięki wprowadzeniu procedur nadzoru nad nimi, co pozwala traktować dane jako zasoby i umożliwić dalsze analizy; jednostki muszą podejść do nadzoru nad danymi całościowo i ustalić, kto jest za nie odpowiedzialny i kto jest ich właścicielem oraz dokonywać ciągłej oceny krytycznych danych; firmy coraz częściej wyodrębniają funkcję dyrektora ds. danych, gdyż zdają sobie sprawę, że jest to zadanie złożone, którego realizacja wymaga stałej pieczy.
Wpływ na interesariuszy
Dział finansowy będzie w przyszłości korzystał z nowych technologii cyfrowych do poprawy jakości procesów i kontroli. Automatyzacja zadań pozwoli się skupić na działaniach tworzących wartość dodaną w partnerskich relacjach z biznesem. Dyrektor finansowy i dział finansów odgrywają kluczową rolę przy wprowadzaniu kultury kontroli w jednostce i tworzeniu klimatu otwartości na zmiany. Księgowi powinni rozważyć, czy dostęp do dokumentów w formie papierowej jest potrzebny.
Audyt wewnętrzny powinien podchodzić do nowych technologii dwojako. Po pierwsze wziąć pod uwagę nowe lub podwyższone ryzyko, jakie stwarzają technologie stosowane przez firmę, oraz sposób zabezpieczenia się przed tymi zagrożeniami. Powinien zadać sobie pytanie, czy personel audytu wewnętrznego ma odpowiednie umiejętności do kontroli nowych technologii, takich jak AI i blockchain, aby sprostać nowym zagrożeniom.
Po drugie działy audytu wewnętrznego, które są zaawansowane w korzystaniu z analityki danych, powinny tworzyć systemy audytu umożliwiające przeprowadzanie kontroli z regularną częstotliwością lub w trybie ciągłym. Jest to wykonalne, gdy testy analizy danych można wbudować w skrypty uruchamiane w dowolnym momencie.
Audytorzy zewnętrzni oprócz przeprowadzania własnych kontroli mogą polegać na uznanych przez nich za skuteczne kontrolach wewnętrznych stosowanych przez jednostki. Audytorzy często opierają się na systemach i kontrolach IT, gdyż wykorzystywanie przez firmę nowych technologii nie zmienia podstawowych zagrożeń, jakie rodzi środowisko kontroli IT. Jednak ryzyko nadmiernego zaufania do skuteczności kontroli wewnętrznej wzrosło ze względu na powszechność technologii i wielość sposobów korzystania z nich.
Dla audytorów zewnętrznych kluczowe domeny kontroli sytemu IT to jego projekt, bezpieczeństwo, nadzór nad zmianami i działaniem IT. Dwie lub trzy dekady temu audyty zewnętrzne wymagały udziału specjalistów SAP, dziś mogą potrzebować osób z wiedzą z zakresu blockchain.
Oprócz znajomości metod badania ogólnego środowiska kontroli IT audytorzy muszą mieć odpowiednie kwalifikacje pozwalające na badanie projektu i działania zautomatyzowanych elementów kontroli. Potrzebna jest dobra znajomość danej technologii, aby wyniki audytu miały odpowiedni poziom pewności.
Nawet jeśli firmy nie wdrożyły w pełni technologii cyfrowych, niezależne audyty mogą być przeprowadzane z wykorzystaniem technologii, którą posługuje się audytor podczas badania nowoczesnych technologii. Narzędzia stosowane do takiego audytu stają się coraz bardziej wyrafinowane, m.in. dzięki korzystaniu z dronów i AI. Zapewniają one pożytek w postaci wysokiego poziomu pewności, jaki audyt może osiągnąć, i wzrostu wydajności badania.
Audytorzy PwC analizują dane na podstawie uczenia maszynowego. Dzięki temu identyfikują anomalie w danych, które były przedmiotem badania przeprowadzanego ręcznie. Możliwość zbadania 100% treści kont księgi głównej jednostki lub danych transakcyjnych pozwala audytorom skoncentrować się na transakcjach, które wykazują nietypo‑
we cechy, a które mogły nie zostać wytypowane do testowania przy losowym wyborze próbek. W tym przypadku sztuczna inteligencja i jej algorytmy identyfikują nietypowe sytuacje (zamiast polegać na ludziach) w celu analizy i rozpoznania podejrzanych działań. PwC używa też dronów do inwentaryzacji w celu potwierdzenia stanów masowych zapasów wykazanych w sprawozdaniach finansowych badanej firmy. Dokładność tych pomiarów (np. tysięcy ton węgla w hałdach) wynosi 99%.
Wyzwania dla jednostek
Nowe technologie cyfrowe zmieniły sposób współpracy człowieka z maszyną, kreując nowe role, przynosząc nowe konflikty i definiując na nowo zaufanie. Dlatego firmy powinny się skoncentrować na tworzeniu kultury innowacji i przyjmowania nowych technologii przez personel.
Kreowanie pozytywnych ludzkich doświadczeń ma kluczowe znaczenie dla podniesienia „ilorazu cyfrowego”. Jednak klientom, pracownikom i kulturze korporacyjnej nadal poświęca się mniej uwagi niż strategii wdrażania i stosowania technologii, co spowalnia integrację technologii cyfrowych z innymi rozwiązaniami stosowanymi w jednostce.
Brak umiejętności cyfrowych jest zwykle wymieniany jako jedna z najważniejszych barier w uzyskaniu oczekiwanych wyników z inwestycji w nowe technologie. Poza umożliwianiem zdobycia „cyfrowych umiejętności” jednostki powinny wykorzystywać talenty tych pracowników, których automatyzacja nie zastąpi w najbliższym czasie. W jednostce przyszłości, w której ludzie i technologia będą współistnieć i współpracować, cechy ludzkie – takie jak kreatywność, empatia i etyka – staną się ważniejsze niż kiedykolwiek wcześniej.
Główne wnioski
1. Nie ma wątpliwości, że wytyczne COSO(5) nie zmieniają się wraz z zastosowaniem technologii cyfrowych i są nadal aktualne, odpowiednie i skuteczne. Nie oznacza to jednak, że nowe technologie nie zmienią środowiska kontroli wewnętrznej. Wpływają bowiem na sposób jej projektowania, wdrażania i przeprowadzania, biorąc pod uwagę większą dostępność informacji i stosowanie zautomatyzowanych procedur. W dobie cyfrowej technologii powstają warunki do poprawy efektywności, zakresu i trwałości kontroli wewnętrznej.
(5) Committee of Sponsoring Organizations of the Treadway Commission – wspólna inicjatywa 5 amerykańskich organizacji sektora prywatnego, mająca na celu dostarczanie wytycznych z zakresu ładu organizacyjne‑ go, etyki biznesowej, kontroli wewnętrznej, zarządzania ryzykiem korporacyjnym, oszustw i sprawozdawczości finansowej. COSO wypracował model kontroli wewnętrznej, dzięki któremu firmy i organizacje mogą oceniać własne systemy kontroli.
2. Nawet jedynie podstawowa automatyzacja może poprawić kontrolę wewnętrzną dzięki zaszczepieniu w jednostce dyscypliny i standaryzacji procesów. Jednak sam proces kontroli i jego elementy sterujące muszą być – przed rozważeniem i wprowadzeniem automatyzacji – odpowiednio zaprojektowane. Automatyzacja słabo działającej kontroli wewnętrznej przynosi efekt przeciwny do zamierzonego i zwiększa ryzyko.
3. Wiele jednostek już obecnie wdraża lub bada nowe technologie i celowość ich stosowania w działalności lub do procesów kontrolnych. Przykładowo sztuczna inteligencja służy do wykrywania anomalii procesów, a technologia dronów do inspekcji i nadzoru.
4. Gdy dostawy są połączone z internetem rzeczy (internet of things) za pomocą łańcucha bloków (blockchain) kontrole obejmują cały ekosystem firm i osób wchodzących ze sobą w interakcje za pośrednictwem technologii. Granica między kontrolą wewnętrzną i zewnętrzną ulega zatarciu. W rezultacie koncepcja kontroli „wewnętrznej” może wymagać ponownego przemyślenia i odpowiedniej modyfikacji.
5. W dobie cyfrowej technologii nadzór nad danymi i kultura kontroli nabierają większego znaczenia, ponieważ więcej mechanizmów kontrolnych jest osadzonych w zautomatyzowanych systemach. Należy jednak zachować zawodowy sceptycyzm, aby móc kwestionować zautomatyzowany system i potrafić określić, kiedy się myli.
6. Ciągłe testowanie i monitorowanie działania kontroli wewnętrznej wymaga powołania interdyscyplinarnych zespołów mających umiejętności audytorskie – ułatwia to testowanie kontroli, nadzorowanie procesów oraz budowanie systemów kontroli opartych na technologiach cyfrowych.
Zdaniem 85% dyrektorów sztuczna inteligencja w ciągu najbliższych 5 lat znacząco zmieni sposób prowadzenia działalności. Nie ulega wątpliwości, że technologie cyfrowe mogą poprawić jakość, dokładność i skuteczność kontroli wewnętrznej. Jednostki muszą wiedzieć, jak je bezpiecznie osadzić w ramach kontroli, uwzględniając ryzyko spowodowane ich stosowaniem. Powinny rozważyć – poza kwestiami ryzyka – jak stosować technologię w sposób odpowiedzialny i etyczny, szczególnie w przyszłości, gdy maszyny będą działać bardziej autonomicznie.
Nie da się uniknąć stosowania technologii cyfrowych, a ci, którzy nie zainwestują w nie, stracą. Obserwujemy szybki rozwój nie tylko kontroli zarządczych, lecz także sposobu prowadzenia firm. Ograniczenia wynikają jedynie z szybkości działania ludzi.
System kontroli wewnętrznej
Zbudowanie i zapewnienie skutecznego działania kontroli wewnętrznej to dziś nieodzowny element funkcjonowania każdej jednostki.
Komponenty | Zasady |
1.Środowisko kontroli |
1.Jednostka wykazuje zaangażowanie na rzecz uczciwości i wartości etycznych
2.Zarząd wykazuje niezależność od kierownictwa oraz sprawuje nadzór nad stworzeniem i funkcjonowaniem kontroli wewnętrznej 3.Kierownictwo pod nadzorem zarządu ustala struktury, linie zależności służbowych, uprawnienia i obowiązki służące realizacji celów stawianych jednostce 4.Jednostka podejmuje działania w celu pozyskania, szkolenia i utrzymania kompetentnych pracowników 5.Jednostka egzekwuje odpowiedzialność pracowników za wywiązywanie się z realizacji celów kontroli wewnętrznej |
2.Ocena ryzyka |
6.Jednostka określa cele z wystarczającą ścisłością, co umożliwia rozpoznanie i ocenę stopnia, w jakim poszczególne ryzyka zagrażają realizacji tych celów 7.Jednostka rozpoznaje ryzyka zagrażające realizacji celów w całej jednostce oraz analizuje te ryzyka pod kątem ustalenia sposobów ochrony przed nimi 8.Jednostka rozważa możliwość popełnienia oszustwa przy ocenie ryzyk zagrażających realizacji celów 9.Jednostka rozpoznaje i ocenia zmiany, które mogą znacząco wpływać na system kontroli wewnętrznej |
3.Działania kontrolne |
10.Jednostka dobiera i wypracowuje działania kontrolne, które przyczyniają się do zmniejszenia (do dającego się akceptować poziomu) ryzyka zagrażającego realizacji celów 11.Organizacja dobiera i opracowuje ogólne działania kontrolne nad technologią, aby wspierać realizację celów 12.Organizacja wdraża działania kontrolne za pomocą zasad, które określają oczekiwania, oraz za pomocą procedur, które te zasady wprowadzają w życie |
4.Informacja i komunikacja |
13.Jednostka uzyskuje lub tworzy i wykorzystuje przydatne, wysokiej jakości informacje, których celem jest wspieranie funkcjonowania kontroli wewnętrznej 14.Jednostka przekazuje wewnętrznie informacje, w tym dotyczące celów i obowiązków związanych z kontrolą wewnętrzną, aby wspomóc funkcjonowanie kontroli wewnętrznej 15.Jednostka komunikuje się ze stronami trzecimi w sprawach dotyczących funkcjonowania kontroli wewnętrznej |
5.Monitorowanie |
16.Jednostka dobiera, opracowuje i przeprowadza bieżące i/lub okresowe oceny działania kontroli wewnętrznej, aby móc stwierdzić istnienie i działanie komponentów kontroli wewnętrznej 17.Jednostka, na postawie oceny kontroli wewnętrznej, informuje w odpowiednim czasie osoby odpowiedzialne za podejmowanie działań naprawczych, w tym kierownictwo i zarząd, o wszelkich jej niedociągnięciach |
Najbardziej znanym i uznanym na świecie systemem kontroli wewnętrznej jest COSO, który powstał w 1992 r. Podlegał on wielokrotnie aktualizacjom, jednak jego podstawowe zasady, w tym definicja kontroli wewnętrznej, nie uległy zmianie. Brzmi ona następująco:
„Kontrola wewnętrzna to realizowany przez zarząd, kierownictwo oraz innych pracowników jednostki proces, którego celem jest zapewnienie wystarczającej pewności dotyczącej realizacji celów związanych z działalnością, sprawozdawczością i zgodnością”.
W modelu COSO wskazuje się na 5 zintegrowanych komponentów kontroli wewnętrznej, a w ich ramach na 17 zasad dotyczących różnych poziomów struktury organizacyjnej.
Powstaje pytanie, czy stosowanie nowych technologii cyfrowych nie zmienia tych komponentów i zasad (lub części z nich) albo nie czyni ich zbędnymi.
Skróty w artykułach
- dyrektywa 112 – dyrektywa Rady 2006/112/WE z 28.11.2006 r. w sprawie wspólnego systemu podatku od wartości dodanej (DzUrz UE L 347 z 11.12.2006 r.)
- dyrektywa 2013/34/UE – dyrektywa Parlamentu Europejskiego i Rady 2013/34/UE z 26.06.2013 r. w sprawie rocznych sprawozdań finansowych, skonsolidowanych sprawozdań finansowych i powiązanych sprawozdań niektórych rodzajów jednostek (...) (DzUrz UE L 182 z 29.06.2013 r.)
- Kc – ustawa z 23.04.1964 r. Kodeks cywilny (DzU z 2023 r. poz. 1610)
- KIMSF – interpretacje Komitetu ds. Interpretacji Międzynarodowej Sprawozdawczości Finansowej
- Kks – ustawa z 10.09.1999 r. Kodeks karny skarbowy (DzU z 2023 r. poz. 654)
- Kp – ustawa z 26.06.1974 r. Kodeks pracy (DzU z 2023 r. poz. 1465)
- Kpc – ustawa z 17.11.1964 r. Kodeks postępowania cywilnego (DzU z 2023 r. poz. 1550)
- Ksh – ustawa z 15.09.2000 r. Kodeks spółek handlowych (DzU z 2022 r. poz. 1467)
- KSR – Krajowe Standardy Rachunkowości
- MSR – Międzynarodowe Standardy Rachunkowości (ang. International Accounting Standards) wydawane od 2002 r. jako MSSF
- MSSF – Międzynarodowe Standardy Sprawozdawczości Finansowej (ang. International Financial Reporting Standards)
- Op – ustawa z 29.08.1997 r. Ordynacja podatkowa (DzU z 2023 r. poz. 2383)
- Ppsa – ustawa z 30.08.2002 r. Prawo o postępowaniu przed sądami administracyjnymi (DzU z 2023 r. poz. 1634)
- rozporządzenie o instrumentach finansowych – rozporządzenie Ministra Finansów z 12.12.2001 r. w sprawie szczegółowych zasad uznawania, metod wyceny, zakresu ujawniania i sposobu prezentacji instrumentów finansowych (DzU z 2017 r. poz. 277)
- rozporządzenie o konsolidacji – rozporządzenie Ministra Finansów z 25.09.2009 r. w sprawie szczegółowych zasad sporządzania przez jednostki inne niż banki, zakłady ubezpieczeń i zakłady reasekuracji skonsolidowanych sprawozdań finansowych grup kapitałowych (DzU z 2017 r. poz. 676)
- rozporządzenie składkowe – rozporządzenie Ministra Pracy i Polityki Socjalnej z 18.12.1998 r. w sprawie szczegółowych zasad ustalania podstawy wymiaru składek na ubezpieczenia emerytalne i rentowe (DzU z 2023 r. poz. 728)
- rozporządzenie z 13.09.2017 r. – rozporządzenie Ministra Rozwoju i Finansów w sprawie rachunkowości oraz planów kont dla budżetu państwa, budżetów jednostek samorządu terytorialnego, jednostek budżetowych, samorządowych zakładów budżetowych, państwowych funduszy celowych oraz państwowych jednostek budżetowych mających siedzibę poza granicami Rzeczypospolitej Polskiej (DzU z 2020 r. poz. 342)
- specustawa – ustawa z 2.03.2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (tekst jedn. DzU z 2023 r. poz. 1327)
- uobr – ustawa z 11.05.2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym (DzU z 2023 r. poz. 1015)
- uor – ustawa z 29.09.1994 r. o rachunkowości (DzU z 2023 r. poz. 120)
- updof – ustawa z 26.07.1991 r. o podatku dochodowym od osób fizycznych (DzU z 2022 r. poz. 2647)
- updop – ustawa z 15.02.1992 r. o podatku dochodowym od osób prawnych (DzU z 2022 r. poz. 2587)
- upol – ustawa z 12.01.1991 r. o podatkach i opłatach lokalnych (DzU z 2023 r. poz. 70)
- US GAAP – Amerykańskie Standardy Rachunkowości (ang. Generally Accepted Accounting Principles)
- ustawa akcyzowa – ustawa z 6.12.2008 r. o podatku akcyzowym (DzU z 2023 r. poz. 1542)
- ustawa emerytalna – ustawa z 17.12.1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych (DzU z 2023 r. poz. 1251)
- ustawa KAS – ustawa z 16.11.2016 r. o Krajowej Administracji Skarbowej (DzU z 2023 r. poz. 615)
- ustawa o KRS – ustawa z 20.08.1997 r. o Krajowym Rejestrze Sądowym (DzU z 2023 r. poz. 685)
- ustawa o PCC – ustawa z 9.09.2000 r. o podatku od czynności cywilnoprawnych (DzU z z 2023 r. poz. 170)
- ustawa o VAT – ustawa z 11.03.2004 r. o podatku od towarów i usług (DzU z 2023 r. poz. 1570)
- ustawa o zfśs – ustawa z 4.03.1994 r. o zakładowym funduszu świadczeń socjalnych (DzU z 2023 r. poz. 998)
- ustawa zasiłkowa – ustawa z 25.06.1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa (DzU z 2022 r. poz. 1732)
- ustawa zdrowotna – ustawa z 27.08.2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych (DzU z 2022 r. poz. 2561)
- usus – ustawa z 13.10.1998 r. o systemie ubezpieczeń społecznych (DzU z 2023 r. poz. 1230)
- uzpd – ustawa o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne
- Założenia koncepcyjne MSSF – Założenia koncepcyjne sprawozdawczości finansowej (Conceptual Framework for Financial Reporting)
- CEIDG – Centralna Ewidencja i Informacja o Działalności Gospodarczej
- EOG – Europejski Obszar Gospodarczy
- FEP – Fundusz Emerytur Pomostowych
- FGŚP – Fundusz Gwarantowanych Świadczeń Pracowniczych
- FP – Fundusz Pracy
- FS – Fundusz Solidarnościowy
- IASB – Rada Międzynarodowych Standardów Rachunkowości
- IS – izba skarbowa
- KAS – Krajowa Administracja Skarbowa
- KIS – Krajowa Informacja Skarbowa
- KNF – Komisja Nadzoru Finansowego
- KRBR – Krajowa Rada Biegłych Rewidentów
- KRS – Krajowy Rejestr Sądowy
- KSB – Krajowe Standardy Badania
- MF – Minister Finansów
- MPiPS – Minister Pracy i Polityki Społecznej
- MRiF – Minister Rozwoju i Finansów
- MRiPS – Minister Rodziny i Polityki Społecznej
- MSiG – Monitor Sądowy i Gospodarczy
- NSA – Naczelny Sąd Administracyjny
- PANA – Polska Agencja Nadzoru Audytowego
- PIBR – Polska Izba Biegłych Rewidentów
- PKD – Polska Klasyfikacja Działalności
- pkpir – podatkowa księga przychodów i rozchodów
- PPK – pracownicze plany kapitałowe
- RM – Rada Ministrów
- SA – sąd apelacyjny
- sf – sprawozdanie finansowe
- skok – spółdzielcza kasa oszczędnościowo-kredytowa
- SN – Sąd Najwyższy
- SO – sąd okręgowy
- TK – Trybunał Konstytucyjny
- TSUE – Trybunał Sprawiedliwości Unii Europejskiej
- UCS – urząd celno-skarbowy
- UE – Unia Europejska
- US – urząd skarbowy
- WDT – wewnątrzwspólnotowa dostawa towarów
- WNT – wewnątrzwspólnotowe nabycie towarów
- WSA – wojewódzki sąd administracyjny
- zfśs – zakładowy fundusz świadczeń socjalnych