Audyt wewnętrzny jako integralna część zarządzania firmą cz III

Funkcje audytu wewnętrznego są częścią procesu monitorowania systemu kontroli wewnętrznej oraz bankowych procedur oceny kapitałowej, ponieważ zapewniają niezależną ocenę adekwatności oraz zgodności z procedurami bankowymi i jego polityką.

Audyt wewnętrzny w bankach oraz relacje władz nadzorczych z audytorami wewnętrznymi i zewnętrznymi

Rekomendacje Komitetu Bazylejskiego cytują definicję audytu zaakceptowaną przez IIA w czerwcu 1999 r.

Znaczenie audytu wewnętrznego w systemie zarządzania bankiem (oraz dla władz nadzorczych) wynika stąd, że jest on wartościowym źródłem informacji nt. jakości systemu kontroli wewnętrznej. Wzmacnia też adekwatność kapitałową, a w szczególności filar, który traktuje o funkcji nadzoru. W tym znaczeniu skuteczna kontrola procesu oceny kapitału obejmuje niezależny przegląd dokonany przez audytorów wewnętrznych. Nowa definicja wychodzi poza funkcje oceniające i rozszerza zadania audytu o doradztwo.

Potrzeba obiektywizmu i bezstronności, tak ważna zwłaszcza w audycie funkcjonującym w bankowości, nie wyklucza zaangażowania w działalność o charakterze doradczym. Doradzanie na etapie projektowania systemu kontroli wewnętrznej jest często najekonomiczniejszym sposobem dostarczenia kierownictwu informacji do podjęcia racjonalnej decyzji nt. zaimplementowania systemu kontroli. Inne formy doradztwa powinny być podporządkowane podstawowej funkcji audytu realizowanej w ramach organizacyjnych instytucji, jaką jest niezależne badanie i ocena jej systemu kontroli, włączając w to kontrolę sprawozdań finansowych. Nie powinno się wykluczać audytorów z analizowania i krytykowania systemu kontroli, nawet wtedy gdy uczestniczyli w doradzaniu przy jego implementacji.

Cele i zadania audytu wewnętrznego

Zasada 1
Zarząd odpowiada za ustanowienie i realizację przez kierownictwo banku adekwatnego i skutecznego systemu kontroli wewnętrznej, systemu pomiaru różnorodnych ryzyk, systemu powiązania ryzyk z poziomem kapitału oraz odpowiednich metod monitorowania zgodności działalności bankowej z przepisami prawa, regulacjami a także zasadami nadzorczymi i wewnętrzną polityką.

W konsekwencji bank powinien posiadać procedury identyfikacji i adekwatnej kontroli ryzyk bankowych, testowania integralności, wiarygodności i terminowości informacji finansowej i zarządczej, monitorowania zgodności z prawem, regulacjami nadzorczymi, polityką i procedurami wewnętrznymi.

Zasada 2
Kierownictwo banku odpowiada za stworzenie procesów identyfikacji, pomiaru, monitorowania i kontroli ryzyk, które napotyka w swojej działalności.

Efektywna organizacja pracy wymaga jednoznacznego przydzielenia odpowiedzialności, uprawnień, podległości w strukturze, proces zarządzania powinien zapewnić identyfikację, pomiar, monitorowanie i kontrolę ryzyka. Sprowadza się to do ustanowienia odpowiedniego systemu kontroli wewnętrznej i procesu monitorowania adekwatności i skuteczności tego systemu.

Zasada 3
Funkcje audytu wewnętrznego są częścią procesu monitorowania systemu kontroli wewnętrznej oraz bankowych procedur oceny kapitałowej, ponieważ zapewniają niezależną ocenę adekwatności oraz zgodności z procedurami bankowymi i jego polityką. W ten sposób audyt wewnętrzny wspomaga pracowników w efektywnym wykonywaniu obowiązków opisanych wyżej.

W zakres prac audytu wewnętrznego wchodzi:
· badanie i ocena adekwatności i efektywności systemu kontroli wewnętrznej,
· przegląd zastosowania i efektywności procedur zarządzania ryzykiem oraz metodologia oceny ryzyka,
· przegląd systemów informacji finansowej i zarządczej, włącznie z elektronicznym systemem informacji oraz usługami bankowości elektronicznej
· przegląd prawidłowości i rzetelności zapisów księgowych oraz raportów finansowych,
· przegląd bankowego systemu oceny kapitału w relacji do szacowanego ryzyka,
· testowanie zarówno transakcji jak i funkcjonowania określonych procedur kontroli wewnętrznej,
· zgodność z wymaganiami prawnymi i nadzorczymi, kodeksem postępowania, polityką i procedurami,
· testowanie integralności, rzetelności i terminowości sporządzania sprawozdań,
· prowadzenie specjalnych dochodzeń.
· Zasady działania audytu wewnętrznego

Zasada 4
Audyt wewnętrzny w banku powinien być funkcją permanentną. Obowiązkiem kierownictwa jest podjęcie wszelkich środków, które zapewnią działanie audytu wewnętrznego w sposób ciągły i odpowiedni do wielkości banku oraz charakteru jego działalności. Te środki to zapewnienie odpowiednich zasobów i personelu, które umożliwią departamentowi audytu realizację jego celów.

RAPORT TURNBULLA

(wrzesień 1999)

Kontrola wewnętrzna: wytyczne dla dyrektorów dotyczące Wspólnego Kodeksu, opracowane przez Grupę Roboczą Kontroli Wewnętrznej Instytutu Biegłych Księgowych Anglii i Walii, zawierają wskazówki dla dyrektorów brytyjskich firm notowanych na giełdzie dot. interpretacji Zasady D.2. Wspólnego Kodeksu i powiązanych z nią punktów D.2.1 i D.2.2. Raport uzyskał status międzynarodowy i stał się wyznacznikiem standardów zarządzania firmą.
1. Zasada D.2. Kodeksu mówi, że „Zarząd powinien utrzymywać sprawny system kontroli wewnętrznej celem ochrony inwestycji udziałowców i majątku firmy”.
2. Punkt D.2.1 mówi, że „Dyrektorzy powinni, co najmniej raz w roku, dokonywać oceny efektywności systemu kontroli wewnętrznej grupy i powinni składać o tym sprawozdania udziałowcom. Ocena powinna obejmować wszystkie kontrole, w tym finansowe, operacyjne i prawne oraz zarządzania ryzykiem”.
3. Punkt D.2.2. mówi, że „firmy, które nie posiadają komórek odpowiedzialnych za audyt wewnętrzny powinny raz na jakiś czas rozważyć możliwość ich utworzenia”.

Znaczenie kontroli wewnętrznej i zarządzania ryzykiem

10. System kontroli wewnętrznej firmy pełni kluczową rolę w zarządzaniu ryzykiem, które ma istotny wpływ na realizację przez firmę wytyczonych celów. Sprawny system kontroli wewnętrznej przyczynia się do ochrony inwestycji udziałowców i majątku firmy.

11. Kontrola wewnętrzna (według punktu 20) wspomaga efektywność działania firmy, pozwala zapewnić wiarygodność raportowania wewnętrznego i zewnętrznego oraz pomaga pozostawać w zgodności z właściwymi przepisami i zarządzeniami.

12. Efektywna kontrola finansowa wraz z właściwym prowadzeniem zapisów księgowych stanowią ważny element kontroli wewnętrznej. Dają one zapewnienie, że firma nie jest niepotrzebnie wystawiona na ryzyko finansowe, które jest możliwe do uniknięcia i że finansowe informacje używane wewnątrz firmy i w publikacjach są wiarygodne. Pomagają one również w ochronie majątku firmy, m.in. poprzez zapobieganie i wykrywanie oszustw.

13. Cele firmy, jej struktura organizacyjna i otoczenie, w którym funkcjonuje ulegają ciągłym zmianom, a wraz z nimi zmienia się ryzyko, na które narażona jest firma. Dlatego sprawny system kontroli polega na gruntownej i regularnej ocenie charakteru i stopnia ryzyka zagrażającego firmie. Jeśli weźmie się pod uwagę fakt, że zyski po części są wynagrodzeniem udanego podejmowania ryzykownych decyzji, to celem kontroli wewnętrznej powinno być właściwe zarządzanie ryzykiem i jego kontrola, a nie eliminacja ryzyka.

Elementy sprawnego systemu kontroli wewnętrznej

20. System kontroli wewnętrznej obejmuje strategie, procesy, zadania, czynności oraz inne aspekty funkcjonowania firmy, które zgrupowane razem:

– usprawniają efektywność działania firmy poprzez umożliwienie właściwej reakcji na poważne ryzyka biznesowe, operacyjne, finansowe, prawne oraz inne, celem osiągnięcia przez firmę zamierzonych celów. W to wlicza się ochronę majątku przed niewłaściwym wykorzystaniem, stratą lub oszustwem oraz zapewnienie identyfikacji i obsługi zobowiązań.
– pomagają w zapewnieniu właściwej jakości raportowania wewnętrznego i zewnętrznego.
– pomagają w zapewnieniu zgodności z właściwymi przepisami i zarządzeniami, a także ze strategią działania firmy.

22. System kontroli wewnętrznej firmy powinien:
– być ściśle związany z funkcjonowaniem firmy i stanowić część jej kultury,
– być w stanie szybko reagować na zmieniające się ryzyka zagrażające firmie, powstałe w wyniku czynników wewnętrznych i uwzględniać zmiany w środowisku biznesowym,
– zawierać procedury pozwalające na natychmiastowe informowanie właściwych jednostek kierowniczych o wszystkich zidentyfikowanych poważnych błędach lub słabościach kontroli oraz podjętych działaniach zaradczych.

23. Sprawny system kontroli wewnętrznej redukuje lecz nie eliminuje konsekwencji nietrafnych decyzji, ludzkich błędów, umyślnego omijania przez pracowników i inne osoby procedur kontrolnych, nadrzędnych kontroli przeprowadzanych przez kierownictwo oraz zaistnienia nieprzewidzianych okoliczności.

24. Sprawny system kontroli wewnętrznej ma zatem dać rozsądną lecz nie absolutną gwarancję, że realizacja wyznaczonych przez firmę celów przy odpowiednim i zgodnym z prawem prowadzeniu działalności, nie będzie utrudniona przez okoliczności, które są możliwe do przewidzenia. System kontroli wewnętrznej nie może dać całkowitej gwarancji, że firma osiągnie swoje zamierzone cele i nie może w pełni uchronić jej przed błędami merytorycznymi, stratami, oszustwem i naruszeniem przepisów i zarządzeń.
· Ocena efektywności kontroli wewnętrznej

27. Efektywne bieżące monitorowanie jest istotnym elementem sprawnego systemu kontroli wewnętrznej. Jednakże, aby wypełniać swoje zadania zarząd nie może polegać wyłącznie na procesach monitorowania. Powinien on regularnie otrzymywać i oceniać raporty z kontroli wewnętrznej. Dodatkowo zarząd powinien dokonywać rocznej oceny wyników kontroli celem wydania publicznego oświadczenia oraz zapewnienia, że wzięto pod uwagę wszystkie znaczące aspekty kontroli wewnętrznej w firmie.

30. Raporty przekazywane przez kierownictwo zarządowi powinny, dostarczać zrównoważonej oceny znaczących ryzyk oraz efektywności systemu kontroli wewnętrznej w zarządzaniu tymi ryzykami łącznie z wynikłymi z nich konsekwencjami dla działalności firmy. Powinny one również wymieniać działania podjęte w celu korekty zaistniałych błędów. Istotne jest to, aby istniała otwarta komunikacja pomiędzy kierownictwem a zarządem w kwestiach odnoszących się do ryzyka i kontroli.

31. Przy ocenie raportów w ciągu roku zarząd powinien:
– wyodrębniać znaczące ryzyka i oceniać sposób ich identyfikacji, oceny i obsługi,
– oceniać efektywność powiązanego systemu kontroli wewnętrznej w obsłudze znaczących ryzyk, uwzględniając w szczególności znaczące błędy i niedociągnięcia kontroli wewnętrznej, które zgłoszono w raporcie,
– ocenić, czy niezbędne działania mające na celu naprawę błędów i niedociągnięć podejmowane są we właściwym tempie,
– ocenić, czy wyniki kontroli wskazują na potrzebę wzmożonego monitorowania systemu kontroli wewnętrznej.

·

Audyt wewnętrzny

42. Według postanowienia D.2.2 Kodeksu, firmy, które nie posiadają komórek odpowiedzialnych za audyt wewnętrzny powinny co jakiś czas rozważyć możliwość ich utworzenia.

43. Potrzeba tworzenia komórek odpowiedzialnych za audyt wewnętrzny zależy od czynników wewnątrz danej firmy, w tym zakresu, różnorodności i złożoności działań firmy, ilości pracowników oraz stosunku kosztów do możliwych korzyści. Wyższe kierownictwo i zarząd mogą wymagać obiektywnych ocen i rad w zakresie ryzyka i kontroli. Odpowiednio wyposażona jednostka audytu wewnętrznego (lub jej odpowiednik, np. firma, której zleca się przeprowadzenia całości lub części odpowiednich prac) może służyć takimi ocenami i radami.

44. W przypadku, gdy nie istnieje jednostka audytu wewnętrznego, zadaniem kierownictwa jest zastosowanie innych procedur monitorujących celem uzyskania pewności, że system kontroli wewnętrznej pracuje zgodnie z zamierzeniami. W takiej sytuacji zarząd będzie musiał ocenić, czy takie procedury dają wystarczające i obiektywne gwarancje.

45. Przy ocenie potrzeby wprowadzenia wewnętrznej jednostki audytu zarząd powinien także wziąć pod uwagę to, czy istnieją przesłanki lub czynniki odnoszące się do działań firmy, rynków lub innych aspektów jej otoczenia zewnętrznego, które spowodowały zwiększenie lub prawdopodobnie spowodują zwiększenie ryzyka zagrażającego firmie. Takie zwiększenie ryzyka może także wyniknąć z czynników wewnętrznych, np. ze zmian restrukturyzacyjnych albo ze zmian w procesach raportowania lub systemach informatycznych. Inne czynniki, które należy uwzględnić, to np. niekorzystne tendencje ujawnione podczas monitorowania systemów kontroli wewnętrznej lub zwiększona częstotliwość występowania nieprzewidzianych okoliczności.

47. Jeśli firma nie posiada jednostki audytu wewnętrznego, a zarząd nie zadecydował o tym, że konieczne jest jej utworzenie, według Zasady Notowania jest on zobowiązany wyjawić te fakty.

PODSUMOWANIE

Nowoczesna firma nie może funkcjonować bez sprawnie zarządzanej komórki audytu wewnętrznego, który koncentruje się na analizie ryzyk powstających w firmie. Zadaniem komórki audytu wewnętrznego w firmie jest identyfikacja, mierzenie i ograniczanie ryzyka do akceptowalnego poziomu.

Istnieją wypracowane standardy, które są jednocześnie wytycznymi wskazującymi jakie cele i zasady postępowania obowiązują komórkę audytu wewnętrznego. Ich źródłem jest Polski Instytut Audytorów Wewnętrznych, polski oddział IIA – Institute of Internal Auditors, a w wymiarze szkoleniowym Warszawski Instytut Bankowości

Ostatnie zapytania:

  • Ocena adekwatności polityki i procedur wielkości i stopnia złożoności Kasy -ryzyko operacyjne
Przeczytaj poprzedni wpis:
Badanie satysfakcji klienta

Pomiary satysfakcji klienta (CSM) nabierają nowego wymiaru. Wychodzą poza dziedzinę badań marketingowych przyjmując funkcję instrumentu zarządzania i kontroli procesów produkcyjnych. W tę nowa rolę wchodzą za sprawą zarządzania jakością. Już...

Zamknij