Audyt zintegrowany: Połączenie dwóch kluczowych audytów

W dzisiejszym złożonym świecie biznesu, audyt odgrywa kluczową rolę w zapewnieniu przejrzystości, wiarygodności i zgodności operacji finansowych i operacyjnych przedsiębiorstw. Jednym z rodzajów audytu, który zyskuje na znaczeniu, jest audyt zintegrowany. Łączy on w sobie dwa tradycyjne podejścia audytowe, oferując kompleksową ocenę organizacji. Zrozumienie, jakie dwa audyty łączy audyt zintegrowany, jest kluczowe dla docenienia jego wartości i zakresu.

Czym jest audyt zintegrowany?

Audyt zintegrowany to podejście audytowe, które łączy w sobie dwa zasadnicze elementy: audyt sprawozdania finansowego i audyt kontroli wewnętrznej. W przeciwieństwie do tradycyjnego audytu, który skupia się głównie na sprawozdaniach finansowych, audyt zintegrowany rozszerza zakres badania, obejmując również ocenę efektywności kontroli wewnętrznych organizacji w zakresie sprawozdawczości finansowej.

Wprowadzenie Ustawy Sarbanes-Oxley (SOX) w Stanach Zjednoczonych miało znaczący wpływ na rozwój audytu zintegrowanego. Ustawa ta, uchwalona w odpowiedzi na skandale korporacyjne na początku XXI wieku, nałożyła na kierownictwo spółek publicznych odpowiedzialność za ustanowienie, utrzymywanie i raportowanie struktury kontroli wewnętrznej. Równocześnie, na audytorów nałożono obowiązek oceny tej struktury kontroli wewnętrznej.

Głównym celem audytu zintegrowanego jest wyrażenie przez audytora opinii na temat kontroli wewnętrznych przedsiębiorstwa w zakresie sprawozdawczości finansowej. Opinia ta jest niezależna od opinii na temat sprawozdania finansowego, choć oba audyty są przeprowadzane równocześnie i wzajemnie się uzupełniają.

Audyt zintegrowany a audyt niezintegrowany

Aby lepiej zrozumieć istotę audytu zintegrowanego, warto porównać go z audytem niezintegrowanym. Audyt niezintegrowany, często określany jako audyt tradycyjny, koncentruje się zazwyczaj na sprawozdaniach finansowych lub aspektach operacyjnych działalności przedsiębiorstwa. W przeciwieństwie do audytu zintegrowanego, audyt niezintegrowany nie obejmuje formalnej oceny kontroli wewnętrznych w zakresie sprawozdawczości finansowej.

Podsumowując, kluczowa różnica polega na zakresie audytu. Audyt zintegrowany jest szerszy, ponieważ obejmuje zarówno audyt sprawozdań finansowych, jak i audyt kontroli wewnętrznych. Audyt niezintegrowany jest węższy, skupiając się zazwyczaj tylko na sprawozdaniach finansowych.

Regulacje dotyczące audytu zintegrowanego

Kto i kiedy jest zobowiązany do przeprowadzenia audytu zintegrowanego?

Audyty spółek publicznych

Zgodnie z regulacjami, spółki publiczne podlegają obowiązkowemu audytowi zintegrowanemu. Audyty te mogą być przeprowadzane wyłącznie przez biegłych rewidentów (CPA - Certified Public Accountants w USA).

Wszystkie spółki publiczne, składając roczne sprawozdanie do Komisji Papierów Wartościowych i Giełd (SEC) w USA, są zobowiązane do dołączenia raportu o kontroli wewnętrznej. W przypadku spółek o kapitalizacji rynkowej przekraczającej 75 milionów dolarów, firma audytorska badająca sprawozdanie finansowe jest również zobowiązana do wyrażenia opinii na temat raportu kierownictwa o kontroli wewnętrznej. W ten sposób audyt sprawozdawczości finansowej jest integrowany z audytem kontroli wewnętrznych.

Podczas audytu zintegrowanego, audytorzy powinni stosować tę samą metodologię, co kierownictwo, aby ustalić, czy kontrole wewnętrzne są skuteczne.

Mniejsze spółki publiczne i audyty spółek prywatnych

Chociaż nie jest to wymagane, mniejsze spółki publiczne i niektóre spółki prywatne mogą zdecydować się na audyt zintegrowany. Podejście to może być korzystne w przypadku potencjalnego wzrostu lub przejęcia. Ponadto, audytorzy mogą preferować podejście zintegrowane, nawet jeśli nie jest to wymagane, ponieważ może to zmniejszyć zakres testów szczegółowych. Dzieje się tak, ponieważ w przypadku kontroli zautomatyzowanych opartych na konfiguracji systemu, do testowania kontroli można wykorzystać próbę obejmującą tylko jedną transakcję.

Wytyczne dotyczące audytu zintegrowanego

Rada Nadzoru Rachunkowości Spółek Publicznych (PCAOB) w USA wydała Standard Audytu AS 2201, który stanowi szczegółowe wytyczne dotyczące audytu zintegrowanego. Standard ten powinien być podstawowym źródłem wiedzy dla osób zainteresowanych szczegółami audytu zintegrowanego.

W ramach przygotowań do audytu zintegrowanego, kierownictwo jest odpowiedzialne za wdrożenie kontroli wewnętrznych w zakresie sprawozdawczości finansowej. Kierownictwo musi udokumentować i podpisać oświadczenie, w którym potwierdza tę odpowiedzialność i przedstawia ocenę efektywności ustanowionych kontroli wewnętrznych – jest to tzw. pismo kierownictwa (management representation letter).

Jak wspomniano wcześniej, spółki prywatne nie są prawnie zobowiązane do przeprowadzania audytów zintegrowanych. Jednak w przypadku, gdy inne okoliczności wymagają audytu zintegrowanego, podlegają one standardowi SAS 130 (w USA, standardy audytu wydawane przez Radę Standardów Audytu - Auditing Standards Board).

Najważniejsze aspekty AS 2201

Standard Audytu PCAOB AS 2201 szczegółowo omawia wytyczne dotyczące audytu zintegrowanego. Poniżej przedstawiono kilka istotnych elementów tych wytycznych.

Planowanie audytu

AS 2201.09 zawiera szczegółową listę kwestii, które należy wziąć pod uwagę przy opracowywaniu procedur audytu zintegrowanego. Oprócz tej listy, należy przeprowadzić ocenę ryzyka, koncentrując się na ryzyku wystąpienia istotnej słabości w kontroli wewnętrznej przedsiębiorstwa w zakresie sprawozdawczości finansowej. Wybór kontroli do testowania, rodzaj dowodów do uzyskania i metody testowania powinny być zaprojektowane w oparciu o poziom tego ryzyka.

Poniżej przedstawiono przykładowe elementy, które audytor powinien rozważyć podczas planowania audytu:

• Bieżące wydarzenia lub zmiany w przepisach, które mogą mieć wpływ na branżę.
• Wiedza, która może już istnieć z poprzednich audytów systemu kontroli wewnętrznych.
• Wydarzenia, które mogą mieć wpływ na przedsiębiorstwo i jego działalność.
• Stopień złożoności operacji organizacji.
• Niedociągnięcia, które zostały już zgłoszone przez inną firmę lub w poprzednich audytach.

Podejście z góry na dół (Top-Down Approach)

Podejście z góry na dół jest stosowane w celu określenia, które kontrole powinny być testowane. Podejście to rozpoczyna się od zrozumienia ogólnych ryzyk dla kontroli nad sprawozdawczością finansową, przechodzi do kontroli na poziomie jednostki, a następnie koncentruje się na istotnych kontach i ujawnieniach, które są bardziej prawdopodobne, że spowodują zniekształcenia sprawozdań finansowych. Jest to podejście z góry na dół, ponieważ patrzy na ogólny obraz wysokiego poziomu w celu określenia kontroli do testowania.

Kontrole na poziomie jednostki: Wsparcie kontroli wewnętrznych

Ocena kontroli na poziomie jednostki przez audytora może wpływać na zakres testowania innych kontroli. Jeśli kierownictwo wyższego szczebla wspiera silne, oparte na ryzyku środowisko kontroli, działania kontrolne są monitorowane, ryzyko jest stale oceniane, a kontrole są modyfikowane w oparciu o ocenę, a kierownictwo nie może unieważnić działań kontrolnych, silne kontrole na poziomie jednostki są na miejscu, a audytor może rozważyć zmniejszenie testowania innych kontroli. Z drugiej strony, jeśli audytor stwierdzi, że kontrole na poziomie jednostki są niewystarczające, a ryzyko obejścia kontroli przez kierownictwo jest wysokie, może rozważyć zwiększenie testowania kontroli niższego poziomu.

Testowanie kontroli: Projekt i efektywność operacyjna

Należy przetestować zarówno projekt, jak i efektywność operacyjną kontroli, a dowody powinny być uzyskane w celu potwierdzenia tego testowania. Po pierwsze, przeprowadza się test przejścia (walkthrough), który obejmuje zapytanie, obserwację i inspekcję procedur, aby ustalić, czy działania kontrolne są zaprojektowane w sposób umożliwiający osiągnięcie określonych celów kontroli.

Następnie przeprowadza się testowanie w celu potwierdzenia, że działania kontrolne są faktycznie wdrażane w sposób, w jaki zostały zaprojektowane. Testowanie efektywności operacyjnej jest zazwyczaj przeprowadzane poprzez zapytanie (które samo w sobie nie jest wystarczające), inspekcję dowodów, obserwację, ponowne obliczenie lub ponowne wykonanie. Testowanie kontroli jest obszarem, na którym zespół audytu zintegrowanego spędzi większość swojego czasu i wysiłków. Jest to szczególnie prawdziwe w przypadku kontroli, które są uznawane za wyższe ryzyko zniekształcenia. Zespół audytowy może zdecydować się na zwiększenie ilości dowodów wymaganych do uzyskania pewności, że kontrole działają efektywnie.

Jeśli podczas testowania zostanie stwierdzone odchylenie, to do audytora należy ocena, przy użyciu jego profesjonalnego osądu, czy kontrola nadal działała efektywnie. Jedno odchylenie niekoniecznie oznacza, że efektywność operacyjna kontroli zawiodła.

Raportowanie o audytach kontroli wewnętrznych

Na podstawie wszystkich dowodów uzyskanych z procedur audytu szczegółowego sprawozdań finansowych i testowania kontroli, lub z jakichkolwiek innych źródeł, audytor powinien wydać opinię na temat tego, czy kontrole wewnętrzne nad sprawozdawczością finansową były skuteczne. AS 2201.85 – .92 zawiera szczegółowe wytyczne dotyczące sformułowania raportu i pokazuje przykłady. Chociaż procedury wykonywane podczas audytów zintegrowanych mogą się znacznie różnić w zależności od przedsiębiorstwa i branży, opublikowany raport audytora jest bardzo jednolity.

Wykorzystanie raportu SOC w audycie zintegrowanym: Kontrole wykonywane przez organizację usługową

Nie wszystkie kontrole są wykonywane wewnętrznie, ponieważ coraz częściej korzysta się z organizacji usługowych do obsługi różnych aspektów działalności. Jeśli organizacja usługowa jest wykorzystywana do wykonywania procesu biznesowego związanego z istotnym kontem lub uzyskuje usługi od innej organizacji, które są częścią systemu informacyjnego przedsiębiorstwa, kontrole wykonywane przez tę organizację usługową muszą zostać ocenione.

Dwa przykłady takich przypadków mogą wystąpić, gdy cała funkcja płac jest zlecana na zewnątrz lub gdy serwery zawierające dane finansowe i/lub aplikacje przetwarzające transakcje finansowe znajdują się w centrum danych należącym do strony trzeciej i zarządzanym przez nią.

W takim przypadku konieczne będzie, aby audytor zrozumiał, w jaki sposób kontrole wykonywane przez organizację usługową są istotne dla przedsiębiorstwa poddawanego audytowi. Można to zrobić na dwa sposoby. Jednym z nich jest przegląd raportu System and Organization Controls (SOC), szczegółowo opisany poniżej, lub poprzez przeprowadzenie testów kontroli w organizacji usługowej. Wymaga to dodatkowych kroków audytowych.

Wykorzystanie raportu SOC

Kontrole wykonywane przez organizację usługową powinny zostać ocenione, ale zazwyczaj nie jest możliwe wysłanie audytora do organizacji usługowej w celu przeprowadzenia audytu kontroli. W tym przypadku można wykorzystać raporty SOC. Raport SOC jest publikowany przez firmę CPA i dokumentuje jej niezależną opinię na temat projektu i/lub efektywności operacyjnej kontroli wewnętrznych istotnych dla usług świadczonych klientom. Audytor może uzyskać raport SOC od organizacji usługowej i przejrzeć raport pod kątem kontroli istotnych dla wykorzystywanych usług.

Raport SOC może zapewnić pewien poziom komfortu, że organizacja usługowa ma wdrożone kontrole dotyczące istotnych usług zlecanych na zewnątrz. Chociaż raport SOC jest wykorzystywany przy formułowaniu opinii audytorskiej, audytor nie powinien wspominać ani odwoływać się do raportu SOC w paragrafie opinii Niezależnego Raportu Audytora.

Audyt zgodności (Compliance Audit)

Drugim rodzajem audytu, który jest istotny w kontekście audytu zintegrowanego i ogólnie w działalności przedsiębiorstw, jest audyt zgodności (compliance audit). W przeciwieństwie do audytu kontroli wewnętrznych, który koncentruje się na kontrolach wewnętrznych organizacji, audyt zgodności koncentruje się na zgodności z zewnętrznymi przepisami i regulacjami.

W przypadku jakiego rodzaju audytu audytor ustala, czy podmiot audytowany przestrzega określonych procedur i przepisów ustalonych przez wyższy organ? Odpowiedź brzmi: audyt zgodności.

Audyt zgodności to ocena, czy przedsiębiorstwo przestrzega ustalonych norm. Obejmuje on przegląd polityk, procedur, procesów, dokumentacji i akt przedsiębiorstwa w celu ustalenia, czy są one zgodne z obowiązującymi przepisami w danej branży.

Audyt zgodności a audyt wewnętrzny

Warto zaznaczyć, że audyt zgodności nie jest tym samym, co audyt wewnętrzny. Chociaż oba rodzaje audytu wykorzystują podobne zasady działania, służą różnym celom.

Audyt wewnętrzny ma na celu ustalenie, czy przedsiębiorstwo przestrzega własnych kodeksów postępowania, polityk i procedur. Natomiast audyt zgodności sprawdza, czy przedsiębiorstwo działa zgodnie z zewnętrznymi przepisami i regulacjami ustanowionymi przez organy rządowe lub regulacyjne.

Co więcej, w przeciwieństwie do audytu zgodności, audyt wewnętrzny niekoniecznie wymaga udziału niezależnych audytorów zewnętrznych w celu potwierdzenia zgodności. Proces audytu może być przeprowadzony przez audytora wewnętrznego lub nawet zwykłego pracownika z wystarczającą wiedzą na temat danej branży i przepisów nią rządzących.

Ponadto, w większości przypadków wyniki audytu wewnętrznego nie są publicznie ujawniane. Służą one jedynie do identyfikacji obszarów, w których organizacja nie przestrzega standardów wewnętrznych, i zalecają kroki naprawcze. Audyty wewnętrzne mogą być również przeprowadzane w celu zbadania zgodności z przepisami zewnętrznymi, ale zazwyczaj ma to miejsce w ramach przygotowań do nadchodzącego audytu zgodności. Poprzez wcześniejsze zidentyfikowanie niedociągnięć w zakresie zgodności regulacyjnej organizacji, organizacja może pracować nad ich naprawą i w ten sposób uniknąć kar wynikających z negatywnego wyniku zewnętrznego audytu zgodności.

Audyt operacyjny

Oprócz audytu wewnętrznego i audytu zgodności, istnieje trzeci rodzaj audytu, który czasami może być nie do odróżnienia od audytu wewnętrznego. Jest to audyt operacyjny. Często audyt zgodności HR jest wewnętrznym i operacyjnym przeglądem.

Audyt operacyjny to rodzaj audytu, który mierzy efektywność i wydajność różnych działów i działań organizacji oraz ustala, czy obszary te są zgodne z celami i wizją organizacji. Podobnie jak audyty wewnętrzne, audyty operacyjne nie wymagają certyfikowanych audytorów zgodności i zazwyczaj nie są ujawniane publicznie.

Dlaczego audyty zgodności są konieczne?

Audyty zgodności są konieczne, ponieważ zmuszają przedsiębiorstwa do myślenia szerzej niż tylko o marżach zysku. Smutna prawda jest taka, że gdyby pozostawić właścicieli przedsiębiorstw samym sobie, wielu z nich chętnie przeoczyłoby uczciwe i bezpieczne praktyki w swoich organizacjach, gdyby przynosiło to większy zysk.

Audyty zgodności nie mają na celu karania przedsiębiorstw, ale raczej zapewnienie, że ich usługi i produkty spełniają określony standard. Chodzi o ochronę interesów wszystkich osób związanych z przedsiębiorstwem, w tym pracodawców, pracowników i podmiotów, które pośrednio wchodzą w interakcje z przedsiębiorstwem.

Przykłady przepisów i organów regulacyjnych w USA

Poniżej przedstawiono niektóre przepisy dotyczące zgodności, które należy wziąć pod uwagę przy opracowywaniu procesów biznesowych, polityk i procedur.

• Ustawa Sarbanes-Oxley (SOX): Dotyczy wszystkich spółek publicznych i ma na celu ochronę inwestorów poprzez wymaganie uczciwości w ujawnieniach korporacyjnych.
• Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA): Ma na celu zapewnienie prywatności i bezpieczeństwa informacji medycznych klientów w organizacjach opieki zdrowotnej.
• Standard bezpieczeństwa danych branży kart płatniczych (PCI DSS): Określa kroki, które firmy z branży kart kredytowych muszą podjąć w celu zapewnienia bezpieczeństwa danych konsumentów.
• Sprawy personalne (HR): Audyty zgodności HR zapewniają bezpieczne i uczciwe środowisko pracy.
• Urząd Skarbowy (IRS): Audyt zgodności IRS sprawdza przestrzeganie federalnych przepisów podatkowych.
• Systemy i Kontrole Organizacyjne (SOC 2): Standard SOC 2 ma na celu zapewnienie bezpieczeństwa danych klientów, szczególnie w firmach technologicznych przechowujących dane w chmurze.
• Ogólne rozporządzenie o ochronie danych (GDPR): Ustanawia wytyczne dotyczące gromadzenia i przetwarzania danych osobowych osób z Unii Europejskiej.
• Agencja Ochrony Środowiska (EPA): Organ współpracujący z agencjami federalnymi i lokalnymi w celu zapewnienia zgodności z przepisami ochrony środowiska.

Oprócz przepisów obowiązujących w USA, istnieją również standardy globalne, takie jak Międzynarodowa Organizacja Normalizacyjna (ISO), które dostarczają wytycznych dotyczących zarządzania ryzykiem.

Procedura audytu zgodności

Audyt zgodności rozpoczyna się, gdy przedsiębiorstwo kontaktuje się z zewnętrznym audytorem zgodności w celu skorzystania z jego usług. Audyt może być również zlecony przez organy regulacyjne, gdy chcą zbadać, czy przedsiębiorstwo jest zgodne z przepisami. Kolejne kroki obejmują spotkanie wstępne, zbieranie dokumentacji, inspekcję, wywiady i sporządzenie raportu.

Wyzwania związane z audytem zgodności

Audyty zgodności mogą stwarzać wyzwania, takie jak ryzyko ujawnienia niezgodności, koszty wdrożenia środków naprawczych i konieczność ciągłego dostosowywania się do zmieniających się przepisów. Jednak unikanie audytów zgodności może prowadzić do poważniejszych konsekwencji, takich jak kary finansowe i zawieszenie działalności.

Wskazówki dotyczące zapewnienia zgodności

Aby zapewnić zgodność, przedsiębiorstwa powinny:

• Prowadzić jasną ewidencję polityk i procedur przedsiębiorstwa.
• Posiadać podręcznik przedsiębiorstwa dokumentujący kluczowe procesy i kontrole.
• Przeprowadzać samoocenę przed audytem zgodności.
• Być na bieżąco z nowymi przepisami.

Podsumowanie

Zarówno audyt zintegrowany, jak i audyt zgodności są niezbędne dla zapewnienia prawidłowego funkcjonowania przedsiębiorstw. Audyt zintegrowany łączy w sobie audyt sprawozdania finansowego i audyt kontroli wewnętrznej, oferując kompleksową ocenę wiarygodności sprawozdawczości finansowej i efektywności kontroli wewnętrznych. Audyt zgodności natomiast zapewnia, że przedsiębiorstwa działają zgodnie z obowiązującymi przepisami i regulacjami, chroniąc interesy wszystkich interesariuszy. Regularne przeprowadzanie obu rodzajów audytów przyczynia się do budowania zaufania, minimalizacji ryzyka i długoterminowego sukcesu przedsiębiorstwa.

Często zadawane pytania (FAQ)

1. Jakie dwa audyty łączy audyt zintegrowany?
   Audyt zintegrowany łączy audyt sprawozdania finansowego i audyt kontroli wewnętrznej.
2. Kto jest zobowiązany do przeprowadzania audytu zintegrowanego?
   Spółki publiczne o kapitalizacji rynkowej przekraczającej 75 milionów dolarów w USA są zobowiązane do przeprowadzania audytu zintegrowanego.
3. Czym różni się audyt zgodności od audytu wewnętrznego?
   Audyt zgodności sprawdza zgodność z zewnętrznymi przepisami, a audyt wewnętrzny sprawdza zgodność z wewnętrznymi politykami i procedurami przedsiębiorstwa.
4. Dlaczego audyty zgodności są ważne?
   Audyty zgodności są ważne, ponieważ zapewniają, że przedsiębiorstwa działają etycznie, bezpiecznie i zgodnie z prawem, chroniąc interesy różnych interesariuszy.
5. Jakie są przykłady przepisów dotyczących zgodności?
   Przykłady to Ustawa Sarbanes-Oxley (SOX), Ustawa HIPAA, Standard PCI DSS, GDPR i przepisy EPA.

Jeśli chcesz poznać inne artykuły podobne do Audyt zintegrowany: Połączenie dwóch kluczowych audytów, możesz odwiedzić kategorię Audyt.