Audyt Wewnętrzny: Klucz do Sprawnego Zarządzania

W dzisiejszym złożonym świecie biznesu, gdzie ryzyko i niepewność są na porządku dziennym, audyt wewnętrzny staje się nieocenionym narzędziem wspomagającym organizacje w osiąganiu ich celów. Ale czym dokładnie jest audyt wewnętrzny i dlaczego jest tak ważny?

Czym Jest Audyt Wewnętrzny? Definicja IIA

Instytut Audytorów Wewnętrznych (IIA) definiuje audyt wewnętrzny jako niezależną, obiektywną działalność doradczą i zapewniającą, której celem jest dodanie wartości i usprawnienie operacji organizacji. Pomaga on organizacji w osiągnięciu jej celów poprzez systematyczne i zdyscyplinowane podejście do oceny i doskonalenia skuteczności procesów zarządzania ryzykiem, kontroli i ładu korporacyjnego.

Audyt wewnętrzny jest przeprowadzany przez profesjonalistów posiadających dogłębną wiedzę na temat kultury biznesowej, systemów i procesów organizacji. Zapewnia on zarządowi i kierownictwu pewność, że procesy kontrolne organizacji są adekwatne do minimalizacji ryzyka, procesy zarządzania są skuteczne i efektywne, a cele i założenia organizacyjne są osiągane.

Audytorzy wewnętrzni odgrywają różnorodne role, od oceny nowych technologii i analizy pojawiających się możliwości, po badanie globalnych problemów i ocenę ryzyka, kontroli, etyki, jakości, ekonomii i efektywności. Ich zadaniem jest również zapewnienie, że istniejące kontrole są adekwatne do minimalizacji ryzyka oraz przekazywanie informacji i wniosków w sposób jasny i dokładny. Ta różnorodność odpowiedzialności daje audytorom wewnętrznym szeroką perspektywę na organizację i czyni funkcję audytu wewnętrznego cennym zasobem dla zarządów i wyższego kierownictwa.

Cel Audytu Wewnętrznego

Celem audytu wewnętrznego jest wzmocnienie zdolności organizacji do tworzenia, ochrony i utrzymania wartości. Realizuje się to poprzez dostarczanie zarządowi i kierownictwu niezależnego, opartego na ryzyku i obiektywnego zapewnienia, doradztwa, spostrzeżeń i prognoz.

Audyt wewnętrzny przyczynia się do usprawnienia:

• Skutecznego osiągania celów organizacji.
• Procesów ładu korporacyjnego, zarządzania ryzykiem i kontroli.
• Procesów podejmowania decyzji i nadzoru.
• Reputacji i wiarygodności organizacji wśród interesariuszy.
• Zdolności do służenia interesowi publicznemu.

Audyt wewnętrzny jest najbardziej efektywny, gdy:

• Jest przeprowadzany przez kompetentnych profesjonalistów, zgodnie z Globalnymi Standardami Audytu Wewnętrznego, które są ustanawiane w interesie publicznym.
• Funkcja audytu wewnętrznego jest niezależna i bezpośrednio odpowiedzialna przed zarządem.
• Audytorzy wewnętrzni są wolni od niepożądanych wpływów i zaangażowani w dokonywanie obiektywnych ocen.

Kontrola Wewnętrzna: Fundament Audytu

Często spotykamy się z terminem "kontrola wewnętrzna", ale czym ona dokładnie jest? Ocena kontroli wewnętrznej jest jednym z podstawowych zadań audytu wewnętrznego.

Instytut Audytorów Wewnętrznych (IIA) definiuje kontrolę, środowisko kontroli i procesy kontrolne w następujący sposób:

• Kontrola to każde działanie podjęte przez kierownictwo, zarząd i inne strony w celu zarządzania ryzykiem i zwiększenia prawdopodobieństwa osiągnięcia ustalonych celów i założeń. Kierownictwo planuje, organizuje i kieruje wykonywaniem wystarczających działań, aby zapewnić rozsądną pewność osiągnięcia celów i założeń.
• Środowisko kontroli to postawa i działania zarządu i kierownictwa dotyczące znaczenia kontroli w organizacji. Środowisko kontroli zapewnia dyscyplinę i strukturę dla osiągnięcia podstawowych celów systemu kontroli wewnętrznej. Środowisko kontroli obejmuje następujące elementy:
• Integralność i wartości etyczne
• Filozofia i styl działania kierownictwa
• Struktura organizacyjna
• Delegowanie uprawnień i odpowiedzialności
• Polityka i procedury personalne
• Kompetencje personelu
• Procesy kontrolne to polityki, procedury (zarówno manualne, jak i zautomatyzowane) oraz działania, które są częścią ram kontroli, zaprojektowane i działające w celu zapewnienia, że ryzyko jest utrzymywane na poziomie, który organizacja jest gotowa zaakceptować. Zarządzanie ryzykiem to proces identyfikacji, oceny, zarządzania i kontroli potencjalnych zdarzeń lub sytuacji w celu zapewnienia rozsądnej pewności osiągnięcia celów organizacji.

Szeroko akceptowana definicja kontroli wewnętrznej pochodzi z raportu Komitetu Organizacji Sponsorujących Komisję Treadwaya (COSO) z 1992 roku, zatytułowanego "Ramy Zintegrowanej Kontroli Wewnętrznej" (Raport COSO):

Kontrola wewnętrzna to proces, na który wpływa zarząd, kierownictwo i inny personel jednostki, zaprojektowany w celu zapewnienia rozsądnej pewności w zakresie osiągnięcia celów związanych z operacjami, raportowaniem i zgodnością.

Aby lepiej zrozumieć, czym jest kontrola wewnętrzna, możemy odnieść się do osobistych przykładów. Czy zamykasz drzwi swojego domu wychodząc do pracy? Czy przechowujesz numer PIN do karty bankomatowej w bezpiecznym miejscu? Czy regularnie sprawdzasz wyciągi bankowe? Te codzienne czynności to przykłady osobistego systemu kontroli wewnętrznej, mającego na celu ochronę Twoich aktywów, zapewnienie dokładności informacji i efektywności działania.

Kontrola wewnętrzna charakteryzuje się kilkoma kluczowymi cechami:

• Jest procesem.
• Jest realizowana przez ludzi.
• Może zapewnić jedynie rozsądną pewność.
• Jest ukierunkowana na osiągnięcie celów.
• Jest adaptowalna do struktury jednostki.

W środowisku uniwersyteckim, kontrola wewnętrzna służy następującym celom:

• Ochrona aktywów uczelni.
• Zapewnienie dokładności ewidencji.
• Promowanie efektywności i wydajności operacyjnej.
• Zachęcanie do przestrzegania zasad polityki.
• Zapewnienie zgodności z przepisami prawa, regulacjami i umowami.

Rodzaje Kontroli Wewnętrznej

Ogólnie rzecz biorąc, kontrole dzielimy na dwa typy:

• Kontrole prewencyjne: Zaprojektowane w celu zniechęcenia do popełniania błędów lub zapobiegania nieprawidłowościom. Są to kontrole proaktywne, które pomagają zapobiegać stratom. Przykłady: Rozdzielenie obowiązków, właściwa autoryzacja, adekwatna dokumentacja i fizyczna kontrola nad aktywami.
• Kontrole detektywne: Zaprojektowane w celu wykrywania błędów lub nieprawidłowości po ich wystąpieniu. Przykłady: Przeglądy, analizy, analizy odchyleń, uzgodnienia, inwentaryzacje fizyczne i audyty.

Komponenty Kontroli Wewnętrznej COSO

Raport COSO definiuje pięć wzajemnie powiązanych komponentów kontroli wewnętrznej, które muszą być obecne, funkcjonować i działać razem, aby można było stwierdzić, że kontrola wewnętrzna związana z celem operacyjnym jest skuteczna:

• Środowisko kontroli - Nadaje ton organizacji i jest podstawą do wdrażania kontroli wewnętrznej w całej organizacji.
• Ocena ryzyka - Kierownictwo ustala cele na poziomie działalności i mechanizmy identyfikacji i analizy ryzyka związanego z ich osiągnięciem.
• Działania kontrolne - Polityki i procedury, które pomagają zapewnić, że dyrektywy kierownictwa dotyczące minimalizacji ryzyka związanego z osiągnięciem celów są realizowane.
• Informacja i komunikacja - Informacje identyfikowane, gromadzone i przekazywane w formie i terminie umożliwiającym ludziom wykonywanie ich obowiązków.
• Monitoring - Ciągłe działania monitorujące, oddzielne oceny lub ich kombinacja, stosowane w celu ustalenia, czy każdy z pięciu komponentów kontroli wewnętrznej jest obecny i funkcjonuje.

Zaktualizowana wersja Ram Zintegrowanej Kontroli Wewnętrznej COSO z 2013 roku, wyraźnie artykułuje 17 zasad związanych z pięcioma komponentami kontroli wewnętrznej, umożliwiających skuteczne działanie pięciu komponentów i całego systemu kontroli wewnętrznej. Zasady te obejmują m.in.:

• Demonstrowanie zaangażowania w integralność i wartości etyczne
• Sprawowanie odpowiedzialności za nadzór
• Ustalanie struktury, uprawnień i odpowiedzialności
• Demonstrowanie zaangażowania w kompetencje
• Egzekwowanie odpowiedzialności
• Określanie odpowiednich celów
• Identyfikowanie i analizowanie ryzyka
• Ocena ryzyka oszustwa
• Identyfikowanie i analizowanie istotnych zmian
• Wybór i rozwój działań kontrolnych, które przyczyniają się do minimalizacji ryzyka
• Wybór i rozwój ogólnych kontroli nad technologią
• Wdrażanie działań kontrolnych poprzez polityki i procedury
• Wykorzystywanie istotnych, jakościowych informacji
• Komunikowanie się wewnętrznie
• Komunikowanie się zewnętrznie
• Przeprowadzanie ciągłych i/lub oddzielnych ocen
• Ocena i komunikowanie niedociągnięć

Poziomy Audytu

W kontekście audytu, możemy wyróżnić różne poziomy, w zależności od zakresu i perspektywy. Wyróżniamy audyt wewnętrzny i zewnętrzny. Audyt zewnętrzny jest zazwyczaj przeprowadzany przez niezależne podmioty zewnętrzne, natomiast audyt wewnętrzny jest integralną częścią organizacji.

W audycie wewnętrznym często stosuje się podział na trzy poziomy przeprowadzania audytu:

• Poziom I – Dyrekcja/Zarząd: Audyt na tym poziomie koncentruje się na strategicznych aspektach działalności, zgodności z celami organizacji i efektywności zarządzania na najwyższym szczeblu.
• Poziom II – Kierownictwo/Specjaliści: Na tym poziomie audyt bada procesy zarządzania operacyjnego, skuteczność kontroli w poszczególnych działach i obszarach funkcjonalnych.
• Poziom III – Operatorzy: Audyt na najniższym poziomie skupia się na szczegółowej analizie konkretnych operacji, zgodności z procedurami i efektywności działań wykonywanych przez pracowników operacyjnych.

Taki podział poziomów audytu pozwala na dostosowanie pytań i zakresu badania do kompetencji i odpowiedzialności audytowanych osób, co zwiększa efektywność procesu audytowego.

Przygotowanie do Audytu

Dobre przygotowanie jest kluczowe dla pomyślnego przebiegu audytu. Norma PN-EN ISO 19011:2018-08 "Wytyczne dotyczące audytowania systemów zarządzania" stanowi aktualne wytyczne w tym zakresie. Przygotowanie obejmuje kilka kluczowych kroków:

• Ustalenie celu i zakresu audytu: Określenie norm, dyrektyw lub aktów prawnych, na podstawie których będzie przeprowadzana kontrola.
• Ustalenie terminu audytu: Laboratorium lub jednostka audytowana ma prawo negocjować proponowany termin.
• Ustalenie składu zespołu audytowego: Wyznaczenie audytora wiodącego, audytora pomocniczego oraz pełnomocnika systemu zarządzania jakością ze strony laboratorium.
• Przedstawienie pytań ogólnych: Zespół kontrolny powinien przedstawić pytania ogólne minimum dwa tygodnie przed terminem audytu.

Ponadto, laboratorium powinno przygotować dokumenty, takie jak:

• Księgę jakości
• Listę narzędzi kontrolno-pomiarowych z wzorcowaniem
• Matryce kwalifikacji personelu wraz ze szkoleniami BHP i teczkami pracowniczymi
• Plan laboratorium lub wykaz stanowisk pracy
• Kopie pomiarów czynników szkodliwych i badań środowiskowych na stanowiskach pracy
• Instrukcje ppoż.
• Politykę jakości
• Rejestr certyfikatów związanych z systemem zarządzania jakością
• Instrukcje obsługi maszyn i urządzeń

Często Zadawane Pytania (FAQ)

Kto jest odpowiedzialny za kontrolę wewnętrzną w organizacji?

Ostatecznie, to kierownictwo organizacji jest odpowiedzialne za zapewnienie, że kontrole są na miejscu. Odpowiedzialność ta jest delegowana na każdy obszar działalności, który musi zapewnić, że kontrole wewnętrzne są ustanowione, właściwie udokumentowane i utrzymywane. Każdy pracownik ma pewną odpowiedzialność za funkcjonowanie systemu kontroli wewnętrznej.

Jaka jest różnica między audytorem wewnętrznym a zewnętrznym?

Audytorzy wewnętrzni są pracownikami organizacji i koncentrują się na doskonaleniu operacji i kontroli wewnętrznej. Audytorzy zewnętrzni są niezależnymi podmiotami zewnętrznymi, którzy badają sprawozdania finansowe w celu wyrażenia opinii o ich rzetelności.

Jakie korzyści przynosi audyt wewnętrzny?

Audyt wewnętrzny pomaga organizacjom w zarządzaniu ryzykiem, poprawie efektywności operacyjnej, zapewnieniu zgodności z przepisami, ochronie aktywów i wzmacnianiu ładu korporacyjnego.

Podsumowanie

Audyt wewnętrzny jest kluczowym elementem skutecznego zarządzania organizacją. Poprzez niezależną i obiektywną ocenę procesów kontrolnych, zarządzania ryzykiem i ładu korporacyjnego, audyt wewnętrzny dostarcza cennych informacji i rekomendacji, które pomagają organizacjom w osiąganiu ich celów, ochronie wartości i budowaniu trwałego sukcesu. Pamiętajmy, że kontrola wewnętrzna i audyt wewnętrzny to nie tylko zadanie audytorów, ale odpowiedzialność każdego pracownika organizacji.

Jeśli chcesz poznać inne artykuły podobne do Audyt Wewnętrzny: Klucz do Sprawnego Zarządzania, możesz odwiedzić kategorię Audyt.