Co kontroluje rada nadzorcza?

System Kontroli Wewnętrznej w Audycie: Klucz do Bezpieczeństwa Firmy

06/04/2023

Rating: 4.97 (6028 votes)

W dzisiejszym dynamicznym i złożonym środowisku biznesowym, system kontroli wewnętrznej stanowi fundament skutecznego zarządzania i zrównoważonego rozwoju każdej organizacji. Jest to nie tylko zbiór procedur i zasad, ale przede wszystkim strategiczne narzędzie, które pomaga firmom osiągać cele, minimalizować ryzyko i chronić aktywa. Audyt, zarówno zewnętrzny, jak i wewnętrzny, odgrywa kluczową rolę w ocenie i wzmacnianiu tego systemu. Zrozumienie, czym jest system kontroli wewnętrznej w audycie i jak działa, jest niezbędne dla każdego przedsiębiorcy, menedżera i specjalisty ds. finansów.

Jaka jest różnica pomiędzy procesem audytu a kontrolą?
Kontrola wewnętrzna jest systemem ciągłym Audyt wewnętrzny to kontrola przeprowadzana w określonych momentach, natomiast kontrola wewnętrzna odpowiada za kontrole ciągłe, które mają na celu zapewnienie efektywności operacyjnej i skuteczności poprzez kontrolę ryzyka.
Spis treści

Czym jest System Kontroli Wewnętrznej?

System kontroli wewnętrznej to proces, na który składają się działania podejmowane przez zarząd, kierownictwo i innych pracowników organizacji, mające na celu zapewnienie racjonalnej pewności co do osiągnięcia celów w następujących kategoriach:

  • Efektywność i sprawność operacyjna: Osiąganie celów biznesowych, efektywne wykorzystanie zasobów.
  • Wiarygodność sprawozdawczości finansowej: Zapewnienie, że sprawozdania finansowe są rzetelne, dokładne i zgodne z obowiązującymi standardami.
  • Zgodność z przepisami prawa i regulacjami: Działanie w zgodzie z obowiązującymi przepisami, regulacjami i wewnętrznymi politykami.

System kontroli wewnętrznej nie jest jednorazowym działaniem, ale ciągłym procesem, który musi być stale monitorowany i dostosowywany do zmieniających się warunków biznesowych i ryzyk.

Rodzaje Kontroli Wewnętrznej

Kontrole wewnętrzne można klasyfikować na różne sposoby, w zależności od kryterium podziału. Oto najczęściej spotykane klasyfikacje:

Kontrole Obowiązkowe i Dobrowolne

  • Kontrole obowiązkowe (Mandatory controls): Są to kontrole, które muszą być stosowane niezależnie od okoliczności. Ich głównym celem jest zapobieganie naruszeniom prawa lub polityki firmy oraz minimalizacja ryzyka związanego z bezpieczeństwem i higieną pracy. Przykładem może być obowiązkowe przestrzeganie procedur bezpieczeństwa przeciwpożarowego.
  • Kontrole dobrowolne (Voluntary controls): Są stosowane według uznania organizacji i jej kierownictwa. Ich wprowadzenie zależy od oceny ryzyka i korzyści, jakie mogą przynieść. Przykładem może być wprowadzenie dodatkowych procedur kontroli jakości, które nie są wymagane przez przepisy, ale podnoszą standardy firmy.

Kontrole Uznaniowe i Nieuznaniowe

  • Kontrole uznaniowe (Discretionary controls): Pozwalają menedżerom na pewną swobodę w ich interpretacji i stosowaniu, w zależności od ich oceny ryzyka w danej sytuacji. Przykładem może być limit wydatków, który menedżer może przekroczyć w wyjątkowych okolicznościach, po uzasadnieniu i akceptacji wyższego szczebla zarządzania.
  • Kontrole nieuznaniowe (Non-discretionary controls): Muszą być stosowane ściśle i bez wyjątku. Są to zazwyczaj kontrole o kluczowym znaczeniu dla bezpieczeństwa i zgodności. Przykładem może być automatyczne blokowanie dostępu do systemu po kilku nieudanych próbach logowania.

Kontrole Manualne i Automatyczne

  • Kontrole manualne (Manual controls): Są wykonywane ręcznie przez pracowników. Zależą od ludzkiego osądu i działania. Przykładem może być ręczne sprawdzanie faktur pod względem poprawności danych przed ich zatwierdzeniem do zapłaty.
  • Kontrole automatyczne (Automated controls): Są zaprogramowane w systemach informatycznych organizacji. Działają automatycznie, bez udziału człowieka, co zwiększa ich szybkość i efektywność. Przykładem może być automatyczne generowanie raportów o przekroczeniach limitów kredytowych przez system bankowy.
  • Systemy mieszane: Wiele systemów kontroli łączy elementy kontroli manualnych i automatycznych. Przykładem może być system przyznawania klientom terminów płatności, gdzie system automatycznie akceptuje lub odrzuca wnioski na podstawie ratingu kredytowego, ale pozostawia menedżerowi możliwość ręcznego zatwierdzenia wniosków w pewnym zakresie.

Kontrole Ogólne i Aplikacyjne (Systemy Informatyczne)

Ta klasyfikacja dotyczy specyficznie systemów informatycznych.

  • Kontrole ogólne (General controls): Pomagają zapewnić wiarygodność danych generowanych przez systemy informatyczne. Dotyczą infrastruktury IT, bezpieczeństwa, zarządzania zmianami, dostępu do systemów i ciągłości działania. Ich celem jest zapewnienie, że systemy działają zgodnie z założeniami, a dane wyjściowe są wiarygodne.
  • Kontrole aplikacyjne (Application controls): Są zautomatyzowane i zaprojektowane w celu zapewnienia kompletnego i dokładnego rejestrowania danych od momentu ich wprowadzenia do systemu aż po dane wyjściowe. Dotyczą konkretnych aplikacji biznesowych i zapewniają poprawność przetwarzania transakcji. Przykładem może być kontrola poprawności formatu danych wprowadzanych do formularza online.

Typowe Procedury Kontrolne

W praktyce organizacje stosują różnorodne procedury kontrolne, które można podzielić na kilka kategorii:

Kontrole Fizyczne

Kontrole fizyczne mają na celu ochronę aktywów fizycznych organizacji przed kradzieżą, zniszczeniem lub nieuprawnionym dostępem. Przykłady:

  • Ograniczenia dostępu: Kontrola dostępu do budynków, określonych pomieszczeń biurowych, magazynów lub fabryk za pomocą bramek obrotowych, kart magnetycznych, kodów dostępu, haseł.
  • Zabezpieczenia fizyczne: Mocowanie środków trwałych (np. komputerów) w celu zapobiegania ich usunięciu, stosowanie sejfów i kas pancernych do przechowywania gotówki i dokumentów wartościowych.
  • Monitoring wizyjny: Kamery CCTV monitorujące kluczowe obszary organizacji.

Limity Autoryzacji i Zatwierdzania

Limity autoryzacji i zatwierdzania określają zakres uprawnień pracowników do podejmowania decyzji finansowych i operacyjnych. Mają na celu zapobieganie nieautoryzowanym transakcjom i wydatkom. Przykłady:

  • Limity wydatków: Określenie maksymalnej kwoty, jaką pracownik na danym stanowisku może wydać bez dodatkowej zgody. Np. młodszy menedżer może być uprawniony do rezerwacji lotów biznesowych do kwoty 500 PLN, a bilety droższe wymagają akceptacji przełożonego.
  • Procesy zatwierdzania: Wymaganie zatwierdzenia transakcji przez osobę o wyższych uprawnieniach przed jej realizacją. Np. faktury powyżej określonej kwoty muszą być zatwierdzone przez kierownika działu.

Segregacja Obowiązków

Segregacja obowiązków polega na rozdzieleniu kluczowych funkcji i zadań między różnych pracowników, aby żaden pojedynczy pracownik nie miał pełnej kontroli nad całym procesem. Minimalizuje to ryzyko błędów i oszustw. Przykłady:

  • Obsługa gotówki: W dziale poczty firmy otrzymującej płatności gotówkowe, pracownik rejestrujący gotówkę jest inną osobą niż pracownik otwierający pocztę.
  • Funkcje zarządcze: Na poziomie kierowniczym, oddzielenie funkcji przewodniczącego rady nadzorczej od funkcji dyrektora generalnego.
  • Audyt wewnętrzny: Funkcja audytu wewnętrznego powinna być całkowicie oddzielona od działu finansowego i raportować bezpośrednio do zarządu lub komitetu audytu.

Kontrole Zarządcze

Kontrole zarządcze są wykonywane przez menedżerów w ramach ich codziennych obowiązków. Mają na celu monitorowanie i ocenę wyników, identyfikowanie odchyleń i podejmowanie działań naprawczych. Przykłady:

  • Analiza odchyleń: Menedżerowie porównują planowane wyniki z rzeczywistymi i analizują przyczyny odchyleń.
  • Zarządzanie wydajnością podwładnych: Regularna ocena i monitorowanie wydajności pracowników.
  • Kontrola nadzoru: Nadzór nad codziennymi transakcjami i operacjami na niższych szczeblach zarządzania.
  • Kontrole organizacyjne: Struktura organizacyjna, zakres obowiązków i odpowiedzialności określone w schemacie organizacyjnym.

Kontrole Arytmetyczne i Księgowe

Kontrole arytmetyczne i księgowe mają na celu zapewnienie dokładnego rejestrowania i przetwarzania transakcji. Zapobiegają błędom rachunkowym i nieprawidłowościom w księgach rachunkowych. Przykłady:

  • Uzgodnienia: Regularne uzgadnianie sald kont bankowych z wyciągami bankowymi, uzgadnianie sald kont rozrachunków z kontrahentami.
  • Bilans próbny: Sporządzanie bilansu próbnego w celu sprawdzenia poprawności księgowań i wykrycia błędów.

Kontrole Zasobów Ludzkich

Kontrole zasobów ludzkich obejmują procedury związane z rekrutacją, szkoleniem, oceną i rozwojem pracowników. Mają na celu zapewnienie, że organizacja zatrudnia kompetentnych i uczciwych pracowników. Przykłady:

  • Weryfikacja kwalifikacji: Sprawdzanie dyplomów, certyfikatów i referencji kandydatów do pracy.
  • Sprawdzanie przeszłości kryminalnej: W przypadku stanowisk wymagających szczególnej odpowiedzialności.
  • Szkolenia i ocena kompetencji: Zapewnienie, że pracownicy posiadają odpowiednie umiejętności i wiedzę do wykonywania swoich zadań.

Kontrola Wewnętrzna (Internal Check)

Kontrola wewnętrzna (Internal check) to system, w którym procedury księgowe organizacji są tak ułożone, że procedury te nie znajdują się pod absolutną i niezależną kontrolą jednej osoby. Praca jednego pracownika uzupełnia pracę innego, umożliwiając ciągły audyt działalności. Jest to forma wbudowanej kontroli, gdzie praca jednego pracownika jest automatycznie weryfikowana przez pracę innego.

Kluczowe elementy kontroli wewnętrznej:

  • Kontrole są wdrażane na bieżąco, w odniesieniu do codziennych transakcji.
  • Kontrole działają w sposób ciągły, jako integralna część systemu.
  • Praca każdej osoby jest komplementarna do pracy innej osoby.

Dzięki takiemu podziałowi obowiązków, żadna osoba nie ma wyłącznej kontroli nad żadną transakcją.

Audyt Wewnętrzny

Audyt wewnętrzny jest niezależną funkcją oceniającą, utworzoną w organizacji w celu badania i oceny jej działalności jako usługi dla organizacji. Jest to funkcja zapewniająca i doradcza, która pomaga organizacji osiągnąć jej cele poprzez systematyczną i zdyscyplinowaną ocenę i doskonalenie skuteczności procesów zarządzania ryzykiem, kontroli i ładu korporacyjnego.

Definicja i Cele Audytu Wewnętrznego

Audyt wewnętrzny wspiera kierownictwo w skutecznym wykonywaniu ich obowiązków. W tym celu audyt wewnętrzny dostarcza kierownictwu analiz, ocen, rekomendacji, porad i informacji dotyczących ocenianych działań.

Cele Audytu Wewnętrznego

Formalne cele audytu wewnętrznego mogą obejmować niektóre lub wszystkie z poniższych:

  • Przegląd systemów rachunkowości i kontroli wewnętrznej: Ocena adekwatności i skuteczności systemów kontroli wewnętrznej.
  • Badanie informacji finansowych i operacyjnych: Sprawdzenie rzetelności, dokładności i terminowości informacji finansowych i operacyjnych.
  • Przegląd „3E” (ekonomia, efektywność i skuteczność): Ocena ekonomiczności, efektywności i skuteczności operacji i programów.
  • Przegląd zgodności z przepisami prawa i regulacjami: Sprawdzenie, czy organizacja działa zgodnie z obowiązującymi przepisami prawa, regulacjami i wewnętrznymi politykami.
  • Przegląd ustaleń dotyczących ochrony aktywów: Ocena adekwatności środków ochrony aktywów organizacji przed stratami, kradzieżą lub nieuprawnionym dostępem.
  • Przegląd realizacji celów i założeń korporacyjnych: Ocena postępów w realizacji celów strategicznych organizacji.
  • Identyfikacja istotnych ryzyk dla organizacji i monitorowanie polityki zarządzania ryzykiem oraz strategii zarządzania ryzykiem: Pomoc w identyfikacji, ocenie i zarządzaniu ryzykiem w organizacji.
  • Specjalne dochodzenia w razie potrzeby: Przeprowadzanie dochodzeń w sprawach podejrzenia oszustw, nieprawidłowości lub innych problemów.

Dlaczego Audyt Wewnętrzny jest Konieczny?

Znaczenie audytu wewnętrznego zostało podkreślone w raporcie Turnbulla. Stwierdza on, że spółki publiczne notowane na giełdzie, które nie posiadają funkcji audytu wewnętrznego, powinny dokonywać przeglądu potrzeby posiadania takiej funkcji co najmniej raz w roku. Raport Turnbulla dalej stwierdza, że spółki publiczne notowane na giełdzie, które posiadają funkcję audytu wewnętrznego, powinny dokonywać przeglądu zakresu, uprawnień i zasobów tej funkcji co najmniej raz w roku.

Turnbull sugeruje, że potrzeba funkcji audytu wewnętrznego będzie zależeć od kilku czynników. Należą do nich:

  • Skala, różnorodność i złożoność działalności organizacji: Im większa i bardziej złożona organizacja, tym większa potrzeba audytu wewnętrznego.
  • Liczba pracowników: Potrzeba funkcji audytu wewnętrznego wzrasta wraz z liczbą pracowników lub gdy relacje między pracownikami stają się bardziej złożone.
  • Korzyści przewyższające koszty: Ocena, czy korzyści z wdrożenia i działania funkcji audytu wewnętrznego przewyższają koszty.
  • Zmiany w strukturach organizacji, procesach raportowania lub podstawowych systemach informatycznych: Zmiany te mogą zwiększać ryzyko i potrzebę wzmocnienia kontroli.
  • Charakter ryzyka, zmiany ryzyka i pojawiające się ryzyka: Organizacje działające w środowisku o wysokim ryzyku potrzebują silnej funkcji audytu wewnętrznego.
  • Problemy i kwestie związane z systemami kontroli wewnętrznej, zarówno rzeczywiste, jak i postrzegane: Audyt wewnętrzny może pomóc w identyfikacji i rozwiązaniu problemów z kontrolami.
  • Występowanie coraz większej liczby niewyjaśnionych lub niedopuszczalnych zdarzeń: Wzrost liczby nieprawidłowości może wskazywać na słabości w systemie kontroli wewnętrznej i potrzebę audytu.

Audyt Wewnętrzny a Kontrola Wewnętrzna

Audyt wewnętrzny jest wewnętrzną, ale niezależną funkcją zapewniającą. Chociaż audytorzy wewnętrzni są zazwyczaj pracownikami organizacji, powinni działać niezależnie od kierownictwa, tak aby ich analizy, oceny i raporty były wolne od stronniczości lub nieuzasadnionych wpływów. Szef audytu wewnętrznego powinien raportować do zarządu lub komitetu audytu. Niektóre organizacje wzmacniają niezależność, zlecając funkcję audytu wewnętrznego zewnętrznym firmom profesjonalnym (outsourcing audytu wewnętrznego).

Badanie audytu wewnętrznego jest wewnętrzną oceną kontroli wewnętrznych i jako takie jest kontrolą zarządczą mającą na celu zapewnienie zgodności i dostosowania kontroli wewnętrznych do z góry ustalonych standardów.

Kluczowe Ryzyka

Audyt wewnętrzny dokonuje przeglądu i raportuje o kontrolach wewnętrznych w odniesieniu do kluczowych ryzyk wpływających na organizację. Celem powinno być sprawdzenie, w jakim stopniu kontrole pozwolą kontrolować ryzyko, jeśli się zmaterializuje. Wnioski z tych raportów powinny umożliwić kierownictwu ponowne rozważenie kontroli oraz ich modyfikację lub przeprojektowanie, jeśli to konieczne.

Informacje Finansowe i Operacyjne

Audyt wewnętrzny może badać te informacje w celu upewnienia się, że są one dokładne, przydatne do celu i terminowe. Można stosować testy w celu ustalenia, czy informacje są prawidłowo mierzone, a zatem nadają się jako podstawa do informowania kierownictwa i interesariuszy zewnętrznych.

Jaka jest różnica pomiędzy audytem wewnętrznym a oceną wewnętrzną?
Kontrole wewnętrzne to rodzaj czynności kontrolnych w ramach procesów. Audyty wewnętrzne to oceny procesów przeprowadzane przez członków tej samej organizacji, którzy są niezależni lub nie mają żadnej odpowiedzialności za wykonanie procesu . Jako przykład wykorzystajmy proces zarządzania zmianą lub rozwoju systemu.

Zgodność (Compliance)

Coraz częściej organizacje muszą wdrażać standardy wydajności w zakresie zgodności. Może to być w celu zaspokojenia wymagań zewnętrznych organów regulacyjnych lub działania zgodnie z z góry ustalonymi standardami wewnętrznymi. Audyt wewnętrzny powinien dokonywać przeglądu operacji pod kątem zgodności z takimi standardami. W tym względzie praca audytorów wewnętrznych rozszerza się, ponieważ organizacje coraz częściej dążą do zgodności nie tylko ze standardami branżowymi dla produktów i usług, ale także z kryteriami istotnymi dla standardów środowiskowych.

Rodzaje Audytu Wewnętrznego

W ramach swoich obowiązków audytorzy wewnętrzni mogą przeprowadzać różne rodzaje audytu. Należą do nich:

Audyty Operacyjne

Audyty operacyjne mogą dotyczyć efektywności działalności organizacji. Oceniają wydajność w stosunku do z góry ustalonych kryteriów. Koncentrują się na usprawnianiu operacji, identyfikacji obszarów do poprawy i zwiększaniu wartości dodanej dla organizacji.

Audyty Systemów

Audyty systemów służą do testowania i oceny kontroli, jak opisano w ostatniej sekcji. Sprawdzają, czy można polegać na kontrolach w zakresie zapewnienia skutecznego alokowania i zarządzania zasobami. Sprawdzają również, czy informacje dostarczane przez systemy organizacji są dokładne. Testy zgodności weryfikują, czy kontrole wewnętrzne są stosowane w prawidłowy sposób. Testy merytoryczne weryfikują dokładność danych liczbowych i mogą być wykorzystywane do identyfikacji błędów i pominięć.

Audyt Transakcji lub Rzetelności (Probity Audit)

Audyt transakcji lub rzetelności dotyczy wykrywania oszustw i innych rodzajów zachowań przestępczych lub niezgodnych z prawem. Może być jednak również rozszerzony na kwestie związane z uczciwością postępowania, bezstronnością, odpowiedzialnością i przejrzystością, które czasami uważa się za wchodzące w zakres audytu społecznego. Ogólnie rzecz biorąc, audyt społeczny może dotyczyć wszelkich kwestii związanych z ładem korporacyjnym.

Czym zajmują się audytorzy wewnętrzni?

Wszystkie organizacje stoją w obliczu ryzyka, na przykład:

  • Ryzyko reputacyjne: Ryzyko dla reputacji organizacji, jeśli źle traktuje klientów lub pracowników.
  • Ryzyko związane z bezpieczeństwem i higieną pracy.
  • Ryzyko awarii dostawcy.
  • Ryzyko finansowe.

Audytorzy wewnętrzni niezależnie oceniają i analizują zarządzanie ryzykiem i kontrolę ryzyka w organizacji.

Audytorzy wewnętrzni (i funkcja audytu wewnętrznego) działają niezależnie od operacji, które oceniają, raportując bezpośrednio do zarządu – zazwyczaj za pośrednictwem komitetu audytu – w celu zapewnienia skutecznego nadzoru i zarządzania.

Aby ocenić, jak dobrze ryzyko jest identyfikowane, zarządzane i minimalizowane, audytor wewnętrzny ocenia jakość procesów zarządzania ryzykiem, systemów kontroli wewnętrznej i procesów ładu korporacyjnego we wszystkich częściach organizacji. Audytor wewnętrzny następnie zgłasza swoje ustalenia bezpośrednio i niezależnie na najwyższy szczebel kierownictwa wykonawczego i do komitetu audytu zarządu.

Ryzyko, którym zajmuje się audytor wewnętrzny, to nie tylko ryzyko finansowe, ale także ryzyko niefinansowe, takie jak cyberbezpieczeństwo, łańcuchy dostaw i ryzyko związane z ESG, w tym zmiany klimatu, a nawet ocena kultury korporacyjnej lub inicjatyw dotyczących różnorodności i integracji.

Wiedza audytora wewnętrznego na temat zarządzania ryzykiem umożliwia mu również pełnienie funkcji konsultanta, doradzającego i działającego jako katalizator usprawnień w praktykach organizacji. Tak więc, na przykład, jeśli realizowany jest duży nowy projekt – audytor wewnętrzny może pomóc w zapewnieniu, że ryzyko projektu zostanie jasno zidentyfikowane i ocenione, a także podjęte zostaną działania w celu zarządzania nim.

Czym nie jest audyt wewnętrzny?

Każdy słyszał o audytorach, a dla wielu będzie to oznaczać to, co technicznie nazywa się audytem zewnętrznym. Audytorzy zewnętrzni analizują i testują sprawozdania finansowe, aby upewnić się, że sprawozdania finansowe dają prawdziwy i rzetelny obraz sytuacji finansowej organizacji. Jak sama nazwa wskazuje, audytorzy ci muszą być zewnętrzni w stosunku do organizacji, której sprawozdania są audytowane, a nie wewnętrzni.

Audytorzy wewnętrzni zatem nie audytują sprawozdań finansowych organizacji, chociaż mogą audytować wszelkie mechanizmy ładu korporacyjnego lub kontrole ryzyka związane z procesem audytu zewnętrznego.

Jeśli chcesz poznać inne artykuły podobne do System Kontroli Wewnętrznej w Audycie: Klucz do Bezpieczeństwa Firmy, możesz odwiedzić kategorię Audyt.

Go up