Planowanie Audytu Wewnętrznego od Podstaw

Audyt wewnętrzny to kluczowy element skutecznego zarządzania każdą organizacją. Jest to niezależna ocena operacji, zarządzania, kontroli wewnętrznej i procesów zarządzania ryzykiem, mająca na celu usprawnienie efektywności i skuteczności organizacji. W przeciwieństwie do audytów zewnętrznych, które skupiają się na zgodności z przepisami, audyty wewnętrzne oferują szersze spojrzenie, pozwalając firmom na identyfikację obszarów do poprawy i optymalizację procesów.

Różnica między Audytem Wewnętrznym a Zewnętrznym

Podstawową różnicą między audytami wewnętrznymi a audytami zgodności, czasami nazywanymi audytami zewnętrznymi, jest podmiot przeprowadzający audyt. Audyty wewnętrzne są zazwyczaj przeprowadzane przez audytorów wewnętrznych, którzy są pracownikami firmy. Z kolei audyty zewnętrzne są realizowane przez niezależnych audytorów zewnętrznych, często posiadających certyfikaty w danej dziedzinie audytu.

Chociaż zewnętrzne audyty zgodności z przepisami są niezbędne, często mają one wąski zakres i konkretny cel. Na przykład, PCI DSS koncentruje się na danych posiadaczy kart kredytowych. Audyty wewnętrzne oferują szerszy zakres, pozwalając organizacji skupić się na obszarach priorytetowych lub tych, które mogą nie być badane podczas formalnego audytu zgodności.

Korzyści z Efektywnego Audytu Wewnętrznego

Efektywny audyt wewnętrzny przynosi wiele korzyści organizacji, dostarczając kierownictwu i liderom dodatkowej perspektywy na usprawnienie operacji.

W kontekście Systemu Zarządzania Jakością (QMS), audyt wewnętrzny odgrywa kluczową rolę w ocenie skuteczności QMS organizacji, zapewniając zgodność z normami, takimi jak ISO 9001, oraz identyfikując obszary do poprawy, które mogą podnieść ogólną jakość i wydajność. Audyty wewnętrzne przygotowują organizacje do audytów zewnętrznych, oswajając interesariuszy i właścicieli procesów z procesem audytu. Ustalenia z audytów wewnętrznych mogą być szybko naprawione, a obserwacje mogą dać kierownictwu lepszy wgląd w działalność, ludzi, technologie i procesy. Impuls z raportów z audytu wewnętrznego może zachęcić do optymalizacji, oszczędzając organizacji koszty i ostatecznie poprawiając satysfakcję klienta.

Krok po Kroku: Planowanie Audytu Wewnętrznego od Podstaw

Planowanie audytu wewnętrznego od podstaw wymaga systematycznego podejścia. Oto kluczowe kroki, które pomogą Ci stworzyć skuteczny program audytu:

1. Wstępne Planowanie Audytu

Każdy projekt audytu wewnętrznego powinien rozpocząć się od jasnego zrozumienia, dlaczego dany projekt został umieszczony w planie audytu. Przed rozpoczęciem prac terenowych należy odpowiedzieć na następujące pytania i uzyskać ich zatwierdzenie:

• Jakie kluczowe ryzyko lub obawę przedsiębiorstwa rozwiązuje audyt?
• Dlaczego Komitet Audytu, kierownictwo lub inny kluczowy menedżer specjalnie zwrócił się o pomoc do audytu wewnętrznego?
• W jaki sposób proces wspiera organizację w osiąganiu jej celów i podstawowych założeń biznesowych?
• Jaki jest ogólny harmonogram audytu i jak ten projekt wpisuje się w plan?
• Czy ten proces był audytowany w przeszłości, a jeśli tak, jakie były wyniki poprzednich audytów?
• Czy ustalenia audytu lub niezgodności zostały zbadane i naprawione zgodnie z planem działań naprawczych?
• Czy w procesie zaszły ostatnio lub od czasu poprzedniego audytu istotne zmiany?
• Jaki jest zakres projektu i jakie konkretne wymagania należy spełnić, aby osiągnąć sukces?

Przed rozpoczęciem audytu warto upewnić się, czy audyt jest nadal aktualny. Skontaktuj się z liderem biznesowym przed rozpoczęciem audytu, aby ustalić, czy zaszły jakiekolwiek zmiany – w zespole lub ryzyku, które audyt ma na celu zwalczać – które wpływają na pilność lub konieczność audytu. Dodatkowo, uczestnicy projektu powinni przejrzeć raport z audytu i wyniki audytu, aby odświeżyć swoje zrozumienie środowiska, zakresu i parametrów projektu. Zespół może również chcieć przejrzeć wszelkie standardy, ramy odniesienia i wymagania regulacyjne istotne dla projektu lub programu.

2. Zaangażowanie Ekspertów ds. Ryzyka i Procesów

Przeprowadzanie audytu w oparciu o wewnętrzne informacje firmy jest pomocne w ocenie skuteczności operacyjnej kontroli procesu. Wykorzystaj ekspertów wewnątrz firmy, a także zewnętrznych ekspertów merytorycznych; może to być szczególnie pomocne w dużych organizacjach, gdzie można znaleźć zasoby w różnych działach, krajach lub departamentach z tą samą wiedzą specjalistyczną, którzy mogą zapewnić wsparcie lub wgląd, zachowując jednocześnie swoją niezależność.

Aby audyt wewnętrzny nadążał za zmieniającym się krajobrazem biznesowym i zapewniał prawidłowe zaprojektowanie kluczowych procesów i kontroli, poszukiwanie zewnętrznej wiedzy eksperckiej jest najlepszą praktyką dla przyszłościowych i współczesnych audytorów wewnętrznych. Audytorzy wewnętrzni mogą znaleźć tę wiedzę ekspercką na wiele sposobów. Oprócz praktyk doradztwa w zakresie ryzyka, wiele firm konsultingowych zajmujących się audytem wewnętrznym ma praktyki konsultingowe, które pomagają ich klientom poprawić wydajność ich procesów.

Na przykład, wyobraź sobie, że audytujesz dział obsługi klienta. Zaangażowanie dyrektora lub partnera z firmy konsultingowej specjalizującej się w obsłudze klienta nie tylko zapewnia perspektywę na to, jak wiodące firmy realizują ten proces, ale może również rzucić światło na pojawiające się ryzyka lub trendy branżowe, które mogłeś przeoczyć. Aby rozwijać talenty, umiejętności i rozwój, specjaliści ds. audytu wewnętrznego powinni być na bieżąco z aktualnymi trendami, tematami i motywami w swojej branży. Inne świetne zasoby do nauki o pojawiających się ryzykach i najlepszych praktykach procesowych obejmują:

• Zasoby online, takie jak Deloitte’s Internal Audit Perspectives, EY’s Insights, KPMG’s Insights & Resources, The Protiviti View i RSM Insights, mogą pokazać, w jaki sposób specjaliści ich firm podchodzą do różnych ryzyk biznesowych.
• Źródło: The IIA Competency Framework for Internal Audit Professionals

Zasoby te można wykorzystać do identyfikacji istotnych ryzyk, informowania o procedurach audytu wewnętrznego i zachęcania do ciągłego doskonalenia programu audytu wewnętrznego. Posiadanie odpowiednich osób i talentów do wykonywania niezbędnych czynności audytowych ma kluczowe znaczenie dla sukcesu programu, a pozyskiwanie dodatkowych zasobów podczas audytu może być trudne. Ustalając wcześniej swoich ekspertów merytorycznych, możesz usprawnić przepływ pracy audytu i zmniejszyć tarcie.

3. Ramy Odniesienia dla Audytu Wewnętrznego: IPPF i COSO ICIF

Międzynarodowe Ramy Praktyki Zawodowej (IPPF), zbierając wytyczne od Instytutu Audytorów Wewnętrznych (IIA), zawierają zarówno obowiązkowe, jak i zalecane najlepsze praktyki. IPPF ma na celu wspieranie ogólnej misji: „Wzmacnianie i ochrona wartości organizacyjnej poprzez zapewnianie opartego na ryzyku i obiektywnego zapewnienia, doradztwa i wglądu”. Podstawowymi elementami IPPF są: Podstawowe Zasady Profesjonalnej Praktyki Audytu Wewnętrznego, Definicja Audytu Wewnętrznego, Kodeks Etyki i Międzynarodowe Standardy Profesjonalnej Praktyki Audytu Wewnętrznego.

Oprócz IIA, organizacje takie jak ISACA mogą również提供 wytyczne dotyczące procesów audytu wewnętrznego. Komitet Organizacji Sponsorujących Komisję Treadway (COSO) z 2013 r. Ramy Kontroli Wewnętrznej – Zintegrowane Ramy mogą być również wykorzystane przez audytorów wewnętrznych do stworzenia bardziej kompleksowego programu audytu. Oprócz identyfikacji i testowania działań kontrolnych, audyt wewnętrzny powinien dążyć do identyfikacji i testowania innych elementów dobrze kontrolowanego procesu: środowiska kontroli, oceny ryzyka, informacji i komunikacji oraz monitorowania.

COSO ICIF koncentruje się na oszustwach, kontroli wewnętrznej i sprawozdawczości finansowej, obejmując jednocześnie tematy takie jak ogólne środowisko kontroli organizacji, informacje i komunikacja oraz zarządzanie ryzykiem. Ponieważ COSO ICIF został zaprojektowany w celu rozwiązania problemu SOX, który jest ustawą amerykańską, spółki notowane na giełdzie z siedzibą w USA mogą odnieść największe korzyści z zastosowania tych ram w ramach swojego programu audytu wewnętrznego.

4. Przygotowanie do Spotkania Planującego

Pozyskiwanie informacji i danych o procesie, który ma być audytowany, może odbywać się poprzez połączenie badań i wywiadów. Priorytetyzacja sposobu pozyskiwania danych należy do zespołu audytu wewnętrznego. Dobrzy audytorzy wewnętrzni wiedzą, że wykonanie większej ilości pracy przed spotkaniem z właścicielami procesów i kontroli pomoże zminimalizować zakłócenia dla klientów audytu i powinno nadać pozytywny ton audytowi.

Aby przygotować się do spotkania planującego, należy wykonać następujące kroki:

• Zacznij od zebrania i przejrzenia jak największej ilości informacji wewnętrznych (wyróżnionych powyżej).
• Spotkaj się z ekspertami merytorycznymi, aby potwierdzić największe ryzyka i najlepsze praktyki procesu.
• Mając te informacje i wstępnie zaplanowane pytania oparte na COSO, można stworzyć wstępny kwestionariusz, który ułatwi spotkanie planujące.

Przygotowanie kwestionariusza po przeprowadzeniu wstępnych badań nadaje pozytywny ton audytowi i dowodzi, że audyt wewnętrzny jest poinformowany i przygotowany. Zamiast pytać, jak działa proces, audytor wewnętrzny odpowiedzialny za audyt może potwierdzić swoje ogólne zrozumienie, dzieląc się swoimi wstępnymi badaniami i należytą starannością. Klientowi audytu łatwiej jest potwierdzić zrozumienie procesu przez audyt wewnętrzny i w razie potrzeby dodać szczegółów, zamiast powtarzać informacje, które były dostępne i już udokumentowane.

Celem spotkania planującego jest uzyskanie ogólnego zrozumienia celów i założeń procesu lub działu oraz kluczowych kroków procesu. Spotkanie planujące odbywa się zazwyczaj z kierownikiem wyższego szczebla procesu, audytorem odpowiedzialnym za projekt i co najmniej jednym dodatkowym audytorem, który sporządza szczegółowe notatki. Jeśli chcesz zrobić wrażenie, rozważ zaproszenie eksperta merytorycznego na spotkanie planujące. Obecność eksperta merytorycznego na spotkaniu może udowodnić, że projekt audytu ma być postrzegany i wykorzystywany jako bezpłatny benchmarking, a nie tylko jako ćwiczenie zgodności, w którym klient audytu jest zobowiązany uczestniczyć.

5. Przygotowanie Programu Audytu

Po potwierdzeniu przez audyt wewnętrzny zrozumienia procesu i ryzyk w nim występujących, audytorzy będą przygotowani do stworzenia programu audytu. Powinni oni dążyć do uchwycenia istotnych działań wszystkich osób (pracowników i stron trzecich) zaangażowanych w proces, przepływu aktywów (materialnych i niematerialnych) oraz wszelkich działań i kontroli, które zapobiegają lub wykrywają błędy i pomyłki.

Program audytu powinien szczegółowo określać następujące informacje:

• Podsumowanie i Cel Programu Audytu: Ponieważ raporty z audytu wewnętrznego są zazwyczaj przeznaczone dla kierownictwa i kadry zarządzającej, przedstawienie podsumowania programu audytu i wyników daje odbiorcom migawkę audytu i wyników.
• Cele Procesu i Właściciele: Udokumentowanie celów procesu i powiązanie każdego procesu z właścicielami podczas finalizowania programu audytu wyznacza odpowiedzialność.
• Ryzyka Procesu: Wraz z celami procesu i właścicielami należy również odnotować ryzyka związane z procesem.
• Kontrole Łagodzące Ryzyka Procesu: Po udokumentowaniu szczegółów dotyczących procesu, w tym ryzyk, zespół audytowy powinien zidentyfikować i przypisać kontrole łagodzące do ryzyk, które rozwiązują. Można tu również odnotować kontrole kompensacyjne.
• Atrybuty Kontroli: Atrybuty kontroli to elementy i cechy charakterystyczne działania kontrolnego, które są kluczowe dla skutecznego wykonania tej kontroli. Zadawanie następujących pytań i dokumentowanie wyników to dobry punkt wyjścia – chociaż niektóre kontrole mogą mieć również unikalne lub nietypowe atrybuty.
• Procedury Testowania, Metody i Najlepsze Praktyki: Istnieją cztery sposoby testowania kontroli w ramach audytu. Metody te często muszą być łączone, aby w pełni i kompletnie przetestować kontrolę. Te cztery metody to:
• Zapytanie, czyli pytanie, jak wykonywana jest kontrola
• Obserwacja, czyli oglądanie wykonywania kontroli, zazwyczaj w czasie rzeczywistym
• Inspekcja, czyli przegląd dokumentacji potwierdzającej wykonanie kontroli
• Ponowne wykonanie, czyli niezależne wykonanie kontroli w celu walidacji wyników

Kompleksowy program audytu może zawierać poufne informacje o działalności firmy. Dostęp do pełnych programów audytu powinien być ograniczony do odpowiedniego personelu i udostępniany tylko po zatwierdzeniu. Planując audyt od podstaw, pamiętaj o tych wiodących praktykach testowania:

• W przypadku audytów, które można replikować w różnych działach, regionach lub krajach, najpierw przeprowadź audyt pilotażowy. Wybierz lokalny sklep/proces i uruchom na nim program audytu, aby wyeliminować błędy i wyciągnąć wnioski, które można zastosować w pozostałej części organizacji.
• Wszystkie kontrole powinny być testowane poprzez zapytanie lub wywiad z właścicielem kontroli, jeśli to możliwe.
• Procedury testowania środowiska kontroli i działań związanych z oceną ryzyka można zrealizować poprzez obserwację.
• Działania kontrolne i monitorowanie najlepiej walidować poprzez inspekcję, a informacje i komunikację najlepiej testować poprzez ponowne wykonanie.
• Ustalaj terminy kontroli z ekspertami merytorycznymi, aby wypełnić wszelkie luki i odejść od mentalności „audytu opartego na liście kontrolnej”.
• Przyjmij zwinne podejście. Rzeczywistość jest taka, że ryzyko szybko rośnie, a biznes może zmienić się z dnia na dzień. Dlatego nie chcesz przegapić okazji, aby przedstawić kluczowe informacje kierownictwu w związku z nowym, pilnym ryzykiem. Bądź otwarty na cięcia i zmiany kierunku i zawsze staraj się zrozumieć szerszy obraz.

6. Przegląd Programu Audytu

Programy audytu, zwłaszcza te dotyczące procesów, które nigdy wcześniej nie były audytowane, powinny mieć wiele poziomów przeglądu i akceptacji przed ostatecznym sfinalizowaniem i dopuszczeniem do rozpoczęcia prac terenowych. Poniżej znajduje się kilka najlepszych praktyk dotyczących przeglądu audytu przed jego rozpoczęciem.

• Przegląd Dyrektora ds. Audytu (CAE): Dyrektor ds. audytu, niezależnie od wielkości działu audytu wewnętrznego, powinien przejrzeć przygotowane programy audytu przed rozpoczęciem prac terenowych. CAE może potwierdzić zrozumienie procesu przez zespół, wykorzystując informacje uzyskane od innych kierowników i interesariuszy, a co najważniejsze, sprawdzić, czy zakres i procedury projektu audytu w sposób konkretny odniosą się do tego, dlaczego audyt został zaplanowany i zlecony.
• Przegląd Eksperta Merytorycznego: Jeśli korzystałeś z usług eksperta merytorycznego, powinien on również przejrzeć projekt programu audytu. Typowe uwagi od ekspertów merytorycznych obejmują poprawianie lub dodawanie większej ilości szczegółów do procedur testowania oraz walidację, czy proces wydaje się być prawidłowo zaprojektowany.
• Przegląd Lidera Procesu: Projekt programu audytu powinien zostać udostępniony i przejrzany przez lidera procesu. Ten poziom przejrzystości powinien być pozytywnie odebrany przez lidera procesu, niezależnie od tego, czy chce on, aby prace były wykonywane, czy nie. Jego opinia potwierdzi zrozumienie procesu przez zespół, a czasami może nawet skrócić czas prac terenowych, ponieważ lider procesu zacznie wskazywać, które kontrole nie zostały wykonane lub nie działają zgodnie z przeznaczeniem.

Cel: Wprowadzenie Pozytywnych Zmian

Agregacja i analiza wewnętrznych danych organizacyjnych, zewnętrznej wiedzy eksperckiej i danych związanych z kontrolą wewnętrzną powinny zapewnić zespołowi audytu wewnętrznego solidne zrozumienie, jak działa proces, kluczowych ryzyk zarządzanych przez proces oraz tego, jak zespół audytu wewnętrznego powinien wykorzystać swój czas i zasoby na przeprowadzenie procesu. Audytorzy wewnętrzni, którzy potrafią tworzyć i dokumentować programy audytu od podstaw – i nie polegają wyłącznie na szablonowych programach audytu – będą bardziej kompetentni i wyposażeni do przeprowadzania audytów w obszarach, które nie są rutynowo audytowane.

Kiedy audyt wewnętrzny może poświęcić więcej swojego czasu i zasobów na realizację strategii i kluczowych celów swojej organizacji, satysfakcja z pracy audytora wewnętrznego wzrośnie, ponieważ będą podejmować się bardziej interesujących projektów. Komitet Audytu i kadra kierownicza wyższego szczebla mogą stać się bardziej zaangażowani w pracę audytu wewnętrznego w obszarach strategicznych. Być może najważniejsze jest to, że zalecenia audytu wewnętrznego będą miały bardziej dramatyczny wpływ na wprowadzenie pozytywnych zmian w ich organizacjach.

Jeśli chcesz poznać inne artykuły podobne do Planowanie Audytu Wewnętrznego od Podstaw, możesz odwiedzić kategorię Audyt.