Audyt we współczesnej gospodarce rynkowej ebook

Agnieszka Skoczylas-Tworek

AUDYT

we współczesnej gospodarce rynkowej

Agnieszka Skoczylas-Tworek – Uniwersytet Łódzki Wydział Ekonomiczno-Socjologiczny, Katedra Finansów i Rachunkowości MSP 90-214 Łódź, ul. POW 3/5

RECENZENT

Beata Zofia Filipiak

REDAKTOR WYDAWNICTWA UŁ

Ewa Siwińska

SKŁAD I ŁAMANIE

Oficyna Wydawnicza Edytor.org

Lidia Ciecierska

PROJEKT OKŁADKI

czartart.com: Magdalena Muszyńska, Izabela Surdykowska-Jurek

Zdjęcie wykorzystane na okładce:

© Fotolia.com – madpixblue

© Copyright by Uniwersytet Łódzki, Łódź 2014

Wydane przez Wydawnictwo Uniwersytetu Łódzkiego

Wydanie I. W.06664.14.0.M

ISBN 978-83-7969-395-5 (wersja papierowa)

ISBN 978-83-7969-528-7 (wersja elektroniczna)

Wydawnictwo Uniwersytetu Łódzkiego

90-131 Łódź, ul. Lindleya 8

www.wydawnictwo.uni.lodz.pl

e-mail: [email protected]

tel. (42) 665 58 63, faks (42) 665 58 62

Druk

WSTĘP

Działalność współczesnych organizacji jest narażona na różnego rodzaju zagrożenia, które mogą zakłócić jej bieżące funkcjonowanie. Wpływ mogą mieć na nią zarówno czynniki zewnętrzne, jak i wewnętrzne. Z punktu widzenia środowiska zewnętrznego można mówić w szczególności o uwarunkowaniach ekonomicznych, prawnych, handlowych, środowiskowych, regionalnych czy też konkurencyjności. W grupie czynników wewnętrznych należy wskazać przede wszystkim słabości w funkcjonowaniu szeroko rozumianego systemu zarządzania jednostką. Stąd istotne jest zapewnienie skutecznie działającego systemu zarządzania w organizacji określanego mianem systemu kontroli wewnętrznej.

System kontroli wewnętrznej stanowi ogół reguł, struktur, zasobów, procedur, podejmowanych działań w ramach organizacji, właściwych dla realizacji postawionych przed nią celów i zadań. Elementy go tworzące powinny stanowić spójną, logiczną całość, uzupełniając się wzajemnie. Wytworzenie odpowiednich warunków do funkcjonowania systemu kontroli wewnętrznej przyczynia się do maksymalizacji i efektywności działania poszczególnych jego części składowych, a tym samym całej organizacji. O sprawności funkcjonowania systemu kontroli decyduje osiąganie celów przez jednostkę w sposób efektywny i skuteczny oraz szybkość reagowania na pojawiające się zagrożenia. Za działanie systemu kontroli wewnętrznej w instytucji odpowiedzialne są osoby zarządzające organizacją. Do ich kompetencji należy stworzenie takiego układu elementów w systemie, wewnętrznie skoordynowanego, który zapewni właściwe oraz wydajne działanie jednostki, a także wypracowanie mechanizmów kontrolnych ograniczających podatność systemu na pojawiające się zagrożenia. Ze względu jednak na dużą liczbę oraz złożoność procesów zachodzących w ramach jednostki nie jest możliwe objęcie nadzorem całej instytucji przez jedną osobę – właściciela ani nawet kilka osób – zarząd. Konieczne staje się zatem wykorzystywanie narzędzi wsparcia, a do takich można zaliczyć audyt.

Audyt jest działalnością wspierającą zarządzanie organizacją poprzez świadczenie niezależnych i obiektywnych usług związanych z oceną jej działalności oraz usprawnianiem procesów w niej zachodzących. Do jego zadań należy ocena i doskonalenie obszarów funkcjonujących w jednostce, w tym weryfikacja efektywności mechanizmów kontrolnych, a także monitorowanie systemu kontroli wewnętrznej oraz ocena zarządzania ryzykiem celem dostarczania zarządzającemu informacji na temat prawidłowości działania systemu kontroli wewnętrznej, które są konieczne w procesie podejmowania decyzji. Skupia się on przede wszystkim na identyfikacji ryzyka oraz na przekazywaniu najwyższemu kierownictwu wyników ocen formułowanych w ramach audytowanych obszarów wraz z analizą działalności jednostki pod kątem zgodności z jej celami. Zadaniem audytora jest również wychwycenie słabości systemu zarządzania, a także wskazanie drogi eliminowania konsekwencji tych zjawisk, jak i zabezpieczanie jednostki przed ich wystąpieniem.

Głównym celem monografii jest przedstawienie istoty, roli i znaczenia audytu, jako instrumentu wspierającego jakość procesów decyzyjnych, zarówno w instytucjach publicznych, jak i prywatnych na przykładzie polskiej gospodarki rynkowej. W ramach tak określonego celu zasadniczego sformułowano następujące cele szczegółowe:

określenie

roli

i znaczenia usług audytu,

charakterystyka

standardów i wytycznych wykorzystywanych w działalności audytowej,

przedstawienie

metodyki pracy oraz zakresu działania audytu,

zaprezentowanie

istoty i problematyki ryzyka w audycie,

opis

zastosowania usług audytu w sektorze publicznym i prywatnym na przykładzie polskiej gospodarki rynkowej.

W celu zachowania przejrzystości rozważań publikacja została podzielona na cztery rozdziały.

W pierwszym rozdziale opisano aspekty definicyjne pojęcia audytu oraz przedstawiono terminologię charakterystyczną dla jego funkcjonowania. Zaprezentowano również miejsce audytu w strukturze systemu kontroli wewnętrznej organizacji oraz opisano jego rolę i znaczenie. Dodatkowo weryfikacji poddano sylwetkę zawodową audytora poprzez odniesienie się do kwalifikacji, kompetencji i aspektów psychologicznych niezbędnych do wykonywania tego zawodu.

Drugi rozdział publikacji nawiązuje do normalizacji audytu, w ramach której omówiono standardy niezbędne do stosowania w procesie świadczenia usług audytowych, jak również inne modele i wytyczne, które mogą być wykorzystywane w realizacji czynności audytowych, w zależności od charakteru i rodzaju obszaru objętego badaniem.

Rozdział trzeci prezentuje przebieg procesu audytu poprzez opisanie poszczególnych jego etapów oraz elementów niezbędnych do ich wykonania. Celem zapewnienia wysokiej jakości świadczonych usług każdy audytor powinien analizować ryzyko, w odpowiedni sposób planować czynności audytowe, biorąc pod uwagę pojawiające się zagrożenia, dostosowywać dostępne metody oraz techniki badania do specyfiki audytowanego obszaru oraz posiadanych kwalifikacji, a także informować kadrę kierowniczą o rezultatach swoich prac. W tej części pracy przedstawiono przebieg procesu realizacji czynności audytowych, w zależności od rodzaju świadczonych usług, zapewniających bądź doradczych.

Czwarty rozdział publikacji koncentruje się na organizacji i funkcjonowaniu audytu na przykładzie polskiej gospodarki rynkowej. Z uwagi na różnorodność wykorzystania audytu w zależności od specyfiki jednostki, opisano działanie audytu, biorąc pod uwagę jego zastosowanie w sektorze publicznym i prywatnym. W tej części pracy zaprezentowano również problemy, z jakimi borykają się organizacje, oraz wskazano zadania, jakie powinien wykonywać audyt celem wspierania ich funkcjonowania. W konsekwencji przedstawiono proponowane kierunki zmian zarówno w spojrzeniu, jak i w zakresie działania oraz wykorzystania audytu w usprawnianiu działalności organizacji.

Na zakończenie przedstawiono wnioski wynikające z przeprowadzonej analizy teoretycznej, korzyści i ograniczenia związane z funkcjonowaniem audytu, a także wskazano kierunki jego intensyfikacji.

Przy weryfikacji głównego celu opracowania skorzystano z wyników badań teoretycznych i empirycznych prezentowanych w polskiej oraz zagranicznej literaturze poświęconej zagadnieniom audytu, jak i licznych opracowaniach na ten temat, a także własnego wieloletniego doświadczenia zawodowego autorki w zawodzie audytora wewnętrznego.

ROZDZIAŁ I ISTOTA I ZAKRES DZIAŁANIA AUDYTU

1.1. Definicyjne ujęcie audytu i terminy z nim związane

1.1.1. Pojęcie audytu

W większości pozycji literatury przedmiotu wskazuje się, iż audyt wywodzi się ze starożytności, jednakże należy zgodzić się z B.R. Kucem, iż próby udowodnienia tego zjawiska należą do pewnej kategorii opowieści historycznych. Stąd odnoszenie się do postrzegania i kształtowania pojęcia audytu w tamtych czasach powinno być traktowane w sposób rozsądny. Opierając się na istniejących faktach, z pewnością można odnieść się do słownika łacińskiego, angielskiego czy francuskiego, w których słowo „audire” oznacza ‘słyszeć’, ‘słuchać’, ‘przesłuchiwać’ czy ‘badać’1. Zatem pierwotnie audytor to słuchacz, jeśli można w ogóle założyć funkcjonowanie takiego zawodu w ówczesnej praktyce gospodarczej. Dopiero w latach 70., 80. XIX w. zaczęło kształtować się znaczenie pojęcia audytu, odnoszące się do funkcjonujących dziedzin nauki i działalności gospodarczej, koncentrujące się na badaniu oraz ocenie. Obecnie przyjęta forma i sposób jego działania określany jest jako nowoczesny audyt.

W poszukiwaniu definicji audytu należy odnieść się nie tylko do literatury przedmiotu, ale również wytycznych, standardów czy uregulowań prawnych, które posługują się zarówno pojęciem „audytu”, „audytu wewnętrznego” oraz „audytu zewnętrznego”, a także terminem „rewizja” czy „kontrola”. Wynika to z faktu, iż audyt w początkowej fazie swojego kształtowania stanowił swoistą formę rewizji i kontroli finansowej, jednakże w miarę upływu czasu zdecydowanie przyjął formę znacznie szerszą, choć do dziś również bywa w ten sposób określany. Celem ukazania ewolucji zagadnienia audytu odniesiono się zarówno do pojęcia rewizji, rewizji finansowej, jak i kontroli, kontroli finansowej czy kontroli wewnętrznej, z którymi ten termin bywa utożsamiany.

Rewizja oznacza ustanowione w ramach organizacji i przeprowadzone na jej potrzeby odpowiednie działania, polegające m.in. na sprawdzaniu i ocenie zgodności funkcjonowania jednostki oraz działań podejmowanych na jej rzecz2. Odnosi się ona w szczególności do „sprawdzania, oceny i nadzoru poprawności i skuteczności działania systemów księgowości i kontroli wewnętrznej”3.

Z kolei rewizja finansowa odnosi się do weryfikacji wybranego obszaru i wiąże ze sprawdzaniem lub badaniem, dokonanym przez niezależnych biegłych rewidentów (ekspertów w zakresie rachunkowości), całości sprawozdań finansowych, zapisów księgowych oraz innej, pomocniczej ewidencji wewnątrz i na zewnątrz jednostki4.

Zdaniem M. Gottlieba, rewizja finansowa oznacza „systemowy proces stosowania pewnych ustalonych procedur polegający na obiektywnym zbieraniu i ocenie materiału badawczego, którego przedmiotem są ekonomiczne transakcje, które nastąpiły w jednostce gospodarczej w danym okresie obrachunkowym”5.

W opinii J. Pfaffa, rewizja finansowa stanowi element rachunkowości i jest przeprowadzana w celu poświadczenia wiarygodności procedur sporządzania sprawozdań finansowych. Założeniami koncepcyjnymi w tym zakresie jest rzetelne oraz jasne przedstawienie w sprawozdaniu finansowym sytuacji finansowej i majątkowej jednostki6.

Dla przykładu warto w tym miejscu zaznaczyć, iż w ramach obowiązujących przepisów prawa polskiego pojęcie rewizji jest wciąż stosowane. Dotyczy to m.in. ustawy o Narodowym Banku Polskim (NBP), w świetle której działalność jednostek organizacyjnych NBP podlega rewizji wewnętrznej, którą wykonuje komórka centrali NBP podporządkowana prezesowi NBP7, czy w ramach ustawy o działach administracji rządowej, zgodnie z którą minister właściwy do spraw finansów publicznych odpowiada na zasadach, w trybie i granicach określonych odrębnymi przepisami, w szczególności za rachunkowość i rewizję finansową8. Istnieje jeszcze szereg innych przykładów prawnych, które wskazują na stosowanie tej formy weryfikacji.

Innym terminem utożsamianym z audytem jest „kontrola”. Z punktu widzenia literatury przedmiotu stanowi ona element systemu zarządzania, który jako całość obejmuje planowanie, organizowanie, motywowanie i kontrolowanie9. Pojęcie to wykształciło się wraz z koncepcją zarządzania jako niezbędny składnik tego procesu, zamykający cykl kompleksowego działania. Żaden system zarządzania nie może funkcjonować sprawnie i efektywnie bez odpowiednio zorganizowanego systemu nadzoru.

Sprawowanie kontroli w procesie zarządzania jednostką może przejawiać się dwutorowo10:

jako

funkcja – kontrola w tym zakresie polega na weryfikacji i ocenie zgodności oraz prawidłowości działania danej organizacji przez specjalnie do tego powołane komórki organizacyjne;

jako

forma sprawowania władzy – wówczas kontrola stanowi system zarządzania przyjęty w jednostce.

Na podstawie zaprezentowanego podejścia do postrzegania kontroli można mówić o węższym i szerszym spojrzeniu. Kontrola, w węższym ujęciu, oznacza badanie lub przegląd polegający na ustaleniu stanu faktycznego, porównaniu go ze stanem wymaganym (pożądanym) oraz dokonanie jego oceny. Z szerszego punktu widzenia to przyjęty system zarządzania (procedury, instrukcje, zasady, mechanizmy) służący do uzyskania racjonalnej pewności, że kluczowe cele organizacji zostaną osiągnięte11.

Oprócz pojęcia kontroli występują również inne terminy, które stanowią rodzaje kontroli, a wykształciły się ze względu na charakter jej wykonywania (kontrola instytucjonalna, funkcjonalna, kierownicza czy samokontrola), czas przeprowadzania (kontrola ex-ante, kontrolaex-post), obszar (kontrola finansowa) czy podmiot kontroli (kontrola wewnętrzna, kontrola zewnętrzna). Spośród wskazanych kryteriów, biorąc pod uwagę dylematy terminologiczne wokół pojęcia audytu, należy zwrócić szczególną uwagę przede wszystkim na podział ze względu na charakter wykonywania kontroli. Znaczenie poszczególnych rodzajów kontroli w tym zakresie zamieszczono w tabeli 1.1.

Z tabeli 1.1 wynika, że formy postrzegania kontroli są różne, w zależności od jej charakteru, a także osoby czy grupy osób wykonujących lub sprawujących kontrolę. Największe dylematy terminologiczne pojawiły się wokół pojęcia kontroli instytucjonalnej. Są one szczególnie widoczne w krajach, w których obok audytu funkcjonuje ten rodzaj kontroli, określanej również kontrolą wewnętrzną, która jest inaczej definiowana przez instytucje międzynarodowe.

Kontrola wewnętrzna stanowi skoordynowany system obejmujący funkcjonowanie całej organizacji. Jest ona przeprowadzana w sposób niezależny w każdej instytucji i ma na celu zagwarantowanie, że cele jednostki zostaną osiągnięte w sposób skuteczny i efektywny, jej aktywa są właściwie chronione, a operacje legalne, prawidłowe i zasadne12.

Tabela 1.1. Rodzaje kontroli ze względu na charakter jej sprawowania

Charakter kontroli

Kontrola zarządcza

Kontrola funkcjonalna

Kontrola instytucjonalna

Samokontrola

1

2

3

4

5

Opis kontroli

Oznacza przyjęty system zarządzania organizacją ustanowiony przez osoby nią zarządzające i dostosowany do organizacji, jej uwarunkowań zewnętrznych i wewnętrznych

Odnosi się do funkcji kierowniczej

i stanowi element pracy każdego menedżera.

Dotyczy sprawowania nadzoru, jaki został powierzony kierującemu danym obszarem działalności jednostki

Istota kontroli instytucjonalnej wynika z jej służebnej roli wobec kierownictwa danej jednostki. Kontrola ta odnosi się do jednostek, komórek bądź stanowisk organizacyjnych, powołanych w celu wykonywania czynności kontrolnych. Jest ona na trwale wbudowana w strukturę organizacyjną instytucji

Samokontrola to proces świadomie inicjowany przez organizację, którego celem jest ocena zgodności działania instytucji z odpowiednim wzorcem, standardem działania

Osoby zaangażowane

Zarządzający organizacją

Kadra kierownicza

Osoba bądź zespół osób z organizacji bądź spoza niej

Wybrana osoba bądź zespół osób z organizacji

Możliwe formy sprawowania

Samodzielnie poprzez kadrę kierowniczą, przy ewentualnym zaangażowaniu wyspecjalizowanych komórek organizacyjnych pomocnych w opracowaniu procedur zarządczych

Samodzielnie przez kadrę kierowniczą

Zaangażowanie specjalnie do tego wyodrębnionych komórek organizacyjnych, określanych również komórkami kontroli wewnętrznej

bądź z wykorzystaniem organizacji zewnętrznych

Samodzielnie przez kadrę kierowniczą bądź specjalnie powołaną grupę roboczą

Źródło: opracowanie własne.

Według wytycznych w sprawie standardów kontroli wydanych przez Komisję Standardów Kontroli INTOSAI (The Internaltional Organization of Supreme Audit Institutions), kontrola wewnętrzna to narzędzie wykorzystywane do uzyskania racjonalnej pewności, że cele instytucji zostały osiągnięte. Warto w tym miejscu zaznaczyć, że „należy ją wyraźnie odróżnić od tradycyjnego w polskiej administracji określenia kontroli wewnętrznej (resortowej) jako komórki organizacyjnej wykonującej czynności sprawdzające”13.

Kontrola wewnętrzna, według standardów kontroli przyjętych w ramach Komisji Europejskiej14 (KE), obejmuje całość ustalanych przez kierownictwo zasad i procedur w organizacji celem uzyskania zapewnienia, że jednostka:

osiąga

swoje

cele w sposób oszczędny, wydajny i efektywny;

działa

zgodnie

z przepisami prawa oraz aktami wewnętrznymi i wytycznymi kierownictwa;

jej

zasoby rzeczowe i informacyjne są chronione;

wykrywa

błędy i nieprawidłowości oraz zapobiega ich powstawaniu;

sporządza

informacje

finansowe w sposób rzetelny i terminowy.

Z pojęciem kontroli wewnętrznej nierozerwalnie wiąże się termin „system kontroli wewnętrznej”. Oznacza on „przyjęty w organizacji system zarządzania (procedury, instrukcje, zasady, mechanizmy) dający racjonalną pewność, że cele instytucji zostaną osiągnięte”15. Na system kontroli wewnętrznej, zdaniem organizacji COSO (The Committee of Sponsoring Organizations Treadway Commission), powinny składać się następujące elementy: środowisko kontroli, zarządzanie ryzykiem, mechanizmy kontrolne, informacja i komunikacja oraz ocena i monitoring16, które zostały opisane w rozdziale II publikacji.

System kontroli wewnętrznej stanowi proces opracowany przez menedżerów lub pracowników jednostki w celu realizacji zamierzeń strategicznych organizacji17. Obejmuje podstawowe informacje i procedury zarządcze używane, aby utrzymać instytucję na względnie stałym lub wyższym poziomie działania18. System ten bywa również określany kontrolą wewnętrzną, stąd kontrola wewnętrzna (COSO, INTOSAI, KE), atakże system kontroli wewnętrznej oznaczają to samo pojęcie, natomiast nie powinny być utożsamiane z kontrolą wewnętrzną w znaczeniu instytucjonalnym.

Z kolei termin „audyt” z punktu widzenia dostępnych źródeł literatury jest różnie definiowany, zarówno jako audyt, audyt wewnętrzny i zewnętrzny.

Według E.J. Saundersa, audyt to „profesjonalna działalność zapewniająca, stanowiąca skuteczny instrument władz organizacji, która w sposób proaktywny, niezależny, profesjonalny i obiektywny ocenia efektywność systemu kontroli wewnętrznej i procesów zarządzania ryzykiem, właściwe prowadzenie wszelkich operacji i czynności jednostki, ich poprawne jednolite przetwarzanie, księgowanie i raportowanie przynosząc wartość dodaną, poprzez ujawnianie braków i słabości oraz przez wskazanie sposobów podniesienia jakości i wydajności pracy. Oprócz dostarczania zapewnienia, audyt wewnętrzny również prowadzi dla organizacji funkcję doradczą”19.

L.B. Sawyer stwierdza natomiast, że współczesny audyt wewnętrzny wywodzi się z rachunkowości i związanego z tą dziedziną zawodu biegłego rewidenta. Początkowo koncentrował się on na poświadczaniu dokładności danych finansowych. Obecnie świadczy usługi, które obejmują badania i ocenę obszarów finansowych organizacji, jak i całej działalności. Odnosi się zarówno do jednostek publicznych, jak i prywatnych. Stanowi on rodzaj niezależnego narzędzia, oceniającego jednostkę oraz skuteczność i efektywność jej działań20.

Zdaniem W. Lücka, audyt wewnętrzny to „niezależna czynność sprawdzająca i oceniająca struktury i działania wewnątrz organizacji. Stanowi on jednocześnie niezależną instytucję przeprowadzającą kontrole wewnątrz organizacji i dostarczającą dokładnych analiz, ocen, zaleceń i informacji na temat sprawdzanych struktur i działań”21.

W opinii J. Jagielskiego, audyt wewnętrzny jest „komponentem systemu kontroli wewnętrznej w tym sensie, że rozszerza ten system o mechanizm kontrolny oraz monitorujący i doradczy, służący kierownikowi organizacji, pozwalający na ocenę i diagnozę całokształtu procesów i stanów zachodzących w tej jednostce, przede wszystkim w płaszczyźnie gospodarowania środkami finansowymi, a także w sferze organizacyjnej, kadrowej, czy też w odniesieniu do funkcjonowania kontroli wewnętrznej i procedur z nią związanych”22.

LeksykonHuman Resources Management (HRM) wskazuje, iż słowo „audyt” oznacza „głęboką i szczegółową analizę działalności danej organizacji, prowadzoną przez zewnętrznych, niezależnych specjalistów w celu ujawnienia ewentualnych problemów czy nieprawidłowości w jej funkcjonowaniu”23. Natomiast słowo „wewnętrzny” oznacza znajdujący się w środku lub wewnątrz czegoś24.

Pojęcie audytu wewnętrznego jest również definiowane w przepisach prawa. W zależności od praktyki danego kraju, termin ten został określony w ustawie budżetowej, ustawie o rachunkowości, ustawie o finansach publicznych czy też odrębnym akcie prawnym poświęconym audytowi. Dla przykładu, polska ustawa o finansach publicznych określa audyt wewnętrzny jako działalność niezależną i obiektywną, której celem jest wspieranie kierownika jednostki bądź właściwego ministra w realizacji celów i zadań poprzez systematyczną ocenę kontroli zarządczej oraz czynności doradcze25.

W czeskiej ustawie o kontroli finansowej audyt wewnętrzny jest definiowany jako narzędzie oceny procesów zarządzania, którego celem jest dostarczanie kierownictwu systematycznego podejścia do weryfikacji adekwatności i skuteczności systemów zarządzania i kontroli, procesu identyfikacji ryzyka oraz działania mechanizmów kontrolnych celem ograniczenia pojawiających się zagrożeń26.

W Hiszpanii audyt wewnętrzny jest określany jako systematyczne i etapowe badanie gospodarczej i finansowej działalności jednostek sektora finansów publicznych na podstawie procedur, wskazówek i wytycznych wydanych przez Generalne Biuro Kontroli i Audytu27.

Z kolei, w Wielkiej Brytanii audyt wewnętrzny został określony jako narzędzie dostarczenia obiektywnej oceny i opinii na temat adekwatności oraz skuteczności funkcjonowania przyjętego w organizacji systemu kontroli wewnętrznej28.

Definicje audytu wewnętrznego ujęte w regulacjach prawnych różnych krajów są zróżnicowane, co jest podyktowane specyfiką i potrzebami gospodarki danego państwa. Należy jednak wskazać, iż nie odbiegają one od siebie w znaczący sposób.

Definicję audytu wewnętrznego zaproponował również Instytut Audytorów Wewnętrznych – The Institute of Internal Auditors (Instytut IIA) w Stanach Zjednoczonych w ramach opracowanych Międzynarodowych Standardów Praktyki Zawodowej Audytu Wewnętrznego – The IIA Standards for the Professional Practice of Internal Auditing (Standardy IIA29). Pierwsze wyjaśnienie tego terminu zostało ogłoszone przez Instytut IIA w roku 1947. Określało ono audyt wewnętrzny jako niezależną działalność oceniającą w organizacji, sprawdzającą poprawność operacji finansowych, księgowych i innych, wspomagającą działania zarządzających. Był to rodzaj kontroli, który zajmował się pomiarem i oceną efektywności innych rodzajów kontroli, koncentrując się głównie na sprawach finansowych i związanych z rachunkowością, ale mógł również badać działania o charakterze operacyjnym30. W 1978 r. Instytut IIA dokonał zmiany definicji audytu wewnętrznego, co zostało również opublikowane w Standardach IIA31. Zgodnie z nimi oznaczał on „działalność niezależną, obiektywnie zapewniającą i doradczą, której celem jest przysporzenie wartości i usprawnienie działalności operacyjnej organizacji. Pomaga on organizacji w osiąganiu jej celów poprzez systematyczne i zdyscyplinowane podejście do oceny i doskonalenia skuteczności procesów zarządzania ryzykiem, kontroli i governance32. Ostatnia z definicji zaproponowanych przez Instytut IIA w roku 2013 nieznacznie różni się od poprzedniej i wskazuje, iż audyt wewnętrzny to działalność niezależna i obiektywna, której celem jest przysporzenie wartości i usprawnienie działalności operacyjnej organizacji. Wspiera jednostkę w osiągnięciu celów poprzez systematyczną i zdyscyplinowaną ocenę oraz doskonalenie efektywności procesów zarządzania ryzykiem, kontroli i ładu organizacyjnego33. Warto w tym miejscu zaznaczyć, że definicja audytu określona przez Instytut IIA należy do najczęściej przytaczanych i komentowanych terminów, co wynika z międzynarodowego charakteru standardów, w których została ujęta.

Pojęcie audytu zostało również zdefiniowane w normach dotyczących audytowania systemów zarządzania jakością i zarządzania środowiskowego, zgodnie z którymi stanowi on systematyczny, niezależny i udokumentowany proces uzyskiwania dowodów z audytu oraz jego obiektywnej oceny, w celu określenia stopnia spełnienia kryteriów audytu34.

Jak zostało wcześniej wspomniane, pojęcie audytu, szczególnie wewnętrznego, często bywa utożsamiane z kontrolą wewnętrzną. Celem dogłębnego porównania tych dwóch terminów należy spojrzeć na kontrolę dwutorowo, przez pryzmat systemu zarządzania oraz ujęcia kontroli w znaczeniu instytucjonalnym.

W odniesieniu do pierwszego, audyt wewnętrzny od kontroli wewnętrznej odróżnia przede wszystkim cel, charakter i rola, jaką odgrywają w ramach organizacji. Audyt wewnętrzny w szczególności monitoruje i ewaluuje system kontroli wewnętrznej oraz weryfikuje skuteczność mechanizmów kontrolnych. Kontrola wewnętrzna stanowi natomiast immanentną część procesu zarządzania. Sprowadza się do określania stanu i struktur działania organizacji, które w szczególności są kształtowane przez uregulowania prawne, wewnętrzne reguły, ogólnie przyjęte zasady oraz wytyczne instytucji międzynarodowych (INTOSAI, COSO), na podstawie których funkcjonuje dana jednostka. Jej celem jest zabezpieczenie instytucji przed ponoszeniem strat zarówno finansowych, jak i moralnych35. W kontroli wewnętrznej i audycie wewnętrznym występują podobne elementy, jak działania kontrolne czy identyfikacja ryzyka. Nieco inne są jednak kluczowe cele ich funkcjonowania. Kontrola wewnętrzna polega na nadzorowaniu działalności instytucji przez stworzenie systemu odpowiedzialności określonych osób i ustalaniu zadań oraz celów do realizacji. Audyt sprawdza funkcjonowanie systemu kontroli wewnętrznej, zaleca opracowanie procedur i doradza kierownictwu organizacji w sprawnym zarządzaniu.

W drugim przypadku odnoszącym się do utożsamienia audytu wewnętrznego z kontrolą wewnętrzną w znaczeniu instytucjonalnym należy wskazać, iż ten rodzaj kontroli stanowi najbardziej zbliżoną formę oceny do audytu, jest bowiem świadczony w postaci czynności weryfikacyjnych, przez specjalnie do tego wyznaczone osoby bądź zespół osób z jednostki lub spoza niej.

Różnice pomiędzy kontrolą zarówno w znaczeniu funkcji, jak i systemu zarządzania a audytem zamieszczono w tabeli 1.2.

Tabela 1.2. Różnice między kontrolą (wewnętrzną) i audytem (wewnętrznym)

Przedmiot

Kontrola / kontrola wewnętrzna

Audyt / audyt wewnętrzny

jako system zarządzania

w znaczeniu kontroli instytucjonalnej

1

2

3

4

Zadania

Wiąże się z ustaleniem struktury działania i podejmowaniem działań przez kierownictwo organizacji, celem zapewnienia prawidłowego funkcjonowania instytucji i realizowania postawionych przed nią celów

Świadczenie czynności oceniających w stosunku do komórek organizacyjnych jednostki, w tym pracowników organizacji celem weryfikacji pojawiających się błędów i nieprawidłowości

Działanie mające na celu przysporzenie wartości dodanej i usprawnienie działalności operacyjnej organizacji

Zakres

działalności

Skierowana na zarządzanie i kontrole w ramach bieżącej działalności organizacji

Weryfikacja funkcjonowania komórek organizacyjnych jednostki w celu stwierdzenia odchyleń pomiędzy stanem rzeczywistym a wymaganym, ustalonym w formie przepisów prawa bądź wewnętrznych regulacji i zasad przyjętych w organizacji

Ocena i doskonalenie jednostki poprzez skoncentrowanie na takich elementach jak zarządzanie procesami, governance czy zarządzanie ryzykiem.

Działania ex-ante, mające usprawnić funkcjonowanie organizacji w przyszłości, pomoc w nadzorowaniu instytucji, badanie całej działalności jednostki pod względem zgodności z przepisami, efektywności i skuteczności

Miejsce

w organizacji

System zarządzania organizacją oraz komórki na poziomie zarządzania i poziomie operacyjnym, których zadaniem jest bieżąca weryfikacja istniejącego systemu zarządzania

Wyznaczone komórki na poziomie operacyjnym, określane jak komórki kontroli wewnętrznej

Niezależne komórki zhierarchizowane na poziomie zarządzania

Komórki / osoby zaangażowane

Działania realizowane przez kierownictwo jednostki

Działania realizowane przez wyspecjalizowane komórki operacyjne

Działania prowadzane przez osoby posiadające odpowiednie kwalifikacji

Źródło: opracowanie własne.

Bez względu na zastosowane podejście, należy podkreślić, że kontrola i audyt nie są pojęciami tożsamymi, różnią się one zarówno pod względem celu, jak i zakresu działania. Z uwagi na występujące pomiędzy nimi rozbieżności nie powinny być one używane zamiennie.

Warto w tym miejscu zaznaczyć, iż na potrzeby niniejszej publikacji kontrola wewnętrzna będzie traktowana jako system kontroli wewnętrznej, czyli jako system zarządzania jednostką.

Reasumując, audyt jest formą usługi świadczonej przez niezależny zespół osób, osobę bądź instytucję, które poprzez systemową ocenę mają za zadanie dostarczyć kierownictwu informacji na temat sprawności działania wszystkich obszarów jednostki oraz wskazać możliwości ich lepszego, bardziej efektywnego funkcjonowania. Audyt może być świadczony w formie usług wykonywanych przez specjalnie do tego powołaną komórkę organizacyjną czy wyznaczony zespół osób36 wewnątrz jednostki bądź zewnętrzną instytucję, wówczas jest określany mianem odpowiednio audytu wewnętrznego i zewnętrznego. Z uwagi na fakt, iż terminy te są do siebie zbliżone, warto w tym miejscu wskazać na podobieństwa oraz różnice występujące pomiędzy nimi37, które prezentuje tabela 1.3.

Tabela 1.3. Audyt wewnętrzny i zewnętrzny – podobieństwa i różnice

Kryterium

Audyt wewnętrzny

Audyt zewnętrzny

1

2

3

Charakter działalności

Usługa świadczona przez wyznaczonych pracowników organizacji bądź osoby od niej niezależne (outsourcing)

Prowadzony wyłącznie przez niezależnego wykonawcę

Służebność

Służy potrzebom organizacji

Służy organizacji, ale przede wszystkim stronom trzecim, które potrzebują wiarygodnych informacji o jednostce, w szczególności rzetelnych danych finansowych

Zakres działania

Koncentruje się na zdarzeniach przyszłych poprzez ocenę mechanizmów kontrolnych w ramach dostarczenia zapewnienia, że cele jednostki są osiągane

Skupia się na dokładności i zrozumiałości zdarzeń historycznych zamieszczonych w sprawozdaniach finansowych bądź utrzymaniu jakości produktów i usług

Wykrywanie oszustw i nadużyć

Koncentruje się na zapobieganiu oszustwom i innym zdarzeniom wykrytym bądź stanowiącym potencjalne ryzyko, mającym wpływ na działalność jednostki

Dotyczy zapobiegania i wykrywania nadużyć, w szczególności gdy te są bezpośrednio związane ze sprawozdaniem finansowym i mają wpływ na pozycje w nim zamieszczane

Niezależność

Stanowi niezależne działanie, ale jest również gotowy działać w odpowiedzi na zapotrzebowanie na każdym poziomie zarządzania jednostką

Niezależny od zarządu

Ciągłość działalności

Działalność ciągła

Okresowy przegląd sprawozdań finansowych, zwykle raz w roku

Okresowe badanie jakości produktów i usług

Źródło: opracowanie własne na podstawie L.B. Sawyer, Sawyer’s Internal Auditing.The Practice of Modern Internal Auditing, 5th ed., The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, s. 7–8.

Na podstawie informacji przedstawionych w tabeli 1.3 należy wskazać, że cel działania obu wymienionych rodzajów audytów jest nieco odmienny, jak również przeznaczenie ich wyników. Zbliżona jest jednak metodyka realizacji działań oraz dążenie do doskonalenia funkcjonowania jednostki poprzez przysparzanie jej wartości dodanej38. Biorąc po uwagę wskazane różnice pomiędzy audytem wewnętrznym a zewnętrznym, w dalszej części publikacji pojęcia te będą określane w odniesieniu do świadczenia usług wspólnie jako audyt bądź usługa audytowa, natomiast w ramach miejsca w organizacji, zakresu działania, odbiorców informacji czy kwalifikacji audytora, różnicowane i określane mianem audytu bądź usługi audytowej wewnętrznej lub zewnętrznej.

1.1.2. Terminologia stosowana w audycie

Funkcjonowanie audytu wiąże się z przyjęciem pewnych specyficznych terminów, które odnoszą się do zawodu audytora, charakteru świadczonych przez niego usług, jak również sposobu wykonywania czynności audytowych. Ich istota ma bardzo ważne znaczenie dla właściwego zrozumienia zadań i roli działalności audytu.

Terminy te możemy podzielić na trzy grupy dotyczące pojęć stosowanych odpowiednio w odniesieniu do cech audytora, realizacji czynności audytowych oraz charakteru świadczonych prac, co zostało zaprezentowane w tabeli 1.4.

Tabela 1.4. Terminologia stosowana w audycie z podziałem na grupy tematyczne

Terminologia odnosząca się do:

cech audytora

realizacji czynności audytowych

charakteru prac audytu

Niezależność

Obiektywizm

Unikanie konfliktu interesów

Biegłość i należyta staranność zawodowa

Czynności zapewniające

Czynności doradcze

Racjonalna pewność

(Racjonalne zapewnienie)

Przysparzanie wartości dodanej

Kontrola

Środowisko kontroli

Mechanizmy kontrolne

Zarządzanie ryzykiem

Governance

Źródło: opracowanie własne na podstawie Definicja audytu wewnętrznego, Kodeks etyki oraz Międzynarodowe standardy praktyki zawodowej audytu wewnętrznego, oprac. przez The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA, December 2012, s. 13–49.

Pierwszymi zagadnieniami, istotnymi z punktu widzenia wykonywania zawodu audytora, są „niezależność” i „obiektywizm”. Znaczenie tych pojęć jest kwestią zasadniczą w audycie. Niezależność wiąże się z zapewnieniem audytorowi takiego miejsca w strukturze organizacji, które pozwoli mu w sposób prawidłowy i bezstronny wykonywać swoje obowiązki. Powinna się ona przejawiać39 w dwóch aspektach, tzw. niezależności organizacyjnej i funkcjonalnej. Pierwsza z nich wiąże się z podległością służbową audytora pod odpowiedni szczebel zarządzania w ramach organizacji, który umożliwi mu wykonywanie czynności audytowych40. Takie podporządkowanie ma na celu zapewnienie bezpośredniego przepływu informacji pomiędzy audytorem a kierownictwem instytucji oraz pozwolenie audytorowi w sposób nieograniczony wypełniać swoje obowiązki. Druga oznacza dostęp audytora do dokumentacji, osób i pomieszczeń, niezbędnych do oceny danego obszaru działalności organizacji. Jej znaczenie jest kluczowe do tego, aby audytor mógł odpowiednio zgłębić badane zagadnienie, a jednocześnie miał pełną swobodę w ustalaniu faktów, formułowaniu swoich myśli i poczynionych ustaleń.

Obiektywizm wiąże się z przyjęciem odpowiedniej postawy intelektualnej przez audytora, która wymaga od niego przeprowadzania czynności audytowych z pełną wiarą w efekty swojej pracy oraz nieuzależniania rozstrzygnięć w sprawach audytu od opinii innych osób. Audytor musi być bezstronny w wykonywaniu swoich czynności, a usługa audytu nie powinna i nie może być świadczona, jeśli nie jest obiektywna i niezależna41.

Z pojęciem obiektywizmu nierozerwalnie wiąże się termin konfliktu interesów, który odnosi się do zjawiska związanego z utrudnianiem audytorowi dokonania swobodnej oceny badanego obszaru. Może on również dotyczyć sytuacji, kiedy audytor we wcześniejszych okresach miał jakikolwiek związek z badanym obszarem bądź osobami za niego odpowiedzialnymi i nie jest w stanie zachować obiektywizmu oraz niezależności w ramach podejmowanych działań audytowych oraz formułowanych ustaleń42.

Innymi pojęciami charakterystycznymi dla działalności audytowej są terminy „biegłość” oraz „należyta staranność zawodowa”. Dotyczą one umiejętnego zastosowania posiadanej wiedzy i kompetencji, w tym ze szczególnym zwróceniem uwagi na niepodejmowanie działań, z zakresu których audytor nie dysponuje odpowiednimi kwalifikacjami43. Osoby świadczące usługi audytowe powinny brać pod uwagę specyfikę działania obszaru, który podlega ocenie, potencjalne ryzyko mogące wystąpić w odniesieniu do badanej przestrzeni, siłę i istotę podejmowanych działań ograniczających ryzyko, a także zasób posiadanej wiedzy w tym zakresie oraz możliwość jej ciągłego doskonalenia. Brak dostatecznej wiedzy ze strony audytora powinien skutkować odmową przeprowadzenia czynności audytowych bądź przesunięciem ich w czasie tak, aby możliwe było jej pozyskanie bądź skorzystanie z pomocy ekspertów z danej dziedziny.

Terminami odnoszącymi się do specyfiki świadczonych usług audytowych są działalność zapewniająca i doradcza. Warto zaznaczyć, iż podział ten został wprowadzony przez Instytut IIA.

W odniesieniu do usług zapewniających, zwanych poświadczającymi, działalność audytu obejmuje obiektywną ocenę dowodów, dokonywaną w ramach dostarczenia niezależnej opinii oraz wniosków w odniesieniu do procesu, systemu lub audytowanego obszaru. Charakter usług zapewniających oraz ich zakres są ustalane przez audytora44.

Usługi doradcze natomiast dokonywane są w odpowiedzi na konkretne zapotrzebowanie danej osoby (np. kierownika organizacji) bądź grupy osób (np. zarządu), a niekiedy samego audytora. Tym samym, ich charakter oraz zakres stanowią przedmiot porozumienia ze zleceniodawcą zawieranego w formie umowy45. Katalog dostępnych usług doradczych świadczonych w ramach audytu zamieszczono w tabeli 1.5.

Tabela 1.5. Rodzaje zadań doradczych świadczonych przez audytora

Forma zadania doradczego

Opis

Formalne zadania doradcze

Zadanie zaplanowane i przedstawione w formie pisemnej umowy

Nieformalne zadania doradcze

Rutynowe działania, takie jak uczestnictwo w stałych komitetach, projektach o ograniczonym czasie trwania, spotkaniach ad hoc oraz rutynowa wymiana informacji, szkolenia

Specjalne zadania doradcze

Uczestnictwo w zespole przeprowadzającym fuzję, przejęcie lub przekształcenie systemu

Zadania doradcze w sytuacjach wyjątkowych

Uczestnictwo w zespole ustanowionym dla celów wznowienia i kontynuowania działań operacyjnych po wystąpieniu katastrofy lub innego nadzwyczajnego wydarzenia gospodarczego bądź w zespole utworzonym do udzielania czasowej pomocy potrzebnej do wypełnienia specjalnego zadania powierzonego jednostce

Źródło: opracowanie na podstawie Practice Advisories. Strongly Recommended Guidance, The Instuitute of Internal Auditors, http://www.theiia.org/guidance/standards-guidance/Pages/Practice-Advisories.aspx, s. 5.

Poza wymienionymi rodzajami usług, audytorzy mogą również świadczyć porady bądź usługi konsultacyjne na rzecz kadry zarządzającej. Ich wykonywanie stanowi jeden z ważniejszych aspektów roli audytu w jednostce. Porady, konsultacje mogą odnosić się zarówno do codziennych sytuacji, problemów, jak i uczestnictwa w spotkaniach kadry zarządzającej celem wyrażania swoich obiektywnych poglądów na dany temat.

Innym istotnym terminem w działalności audytu jest „racjonalna pewność”, określana również racjonalnym zapewnieniem. Oznacza ona stopień pewności na temat prawidłowości działania danego obszaru czy procesu, jaki może dostarczyć audytor przy określonych kosztach, korzyściach i stopniu ryzyka46. Innymi słowy, badaniem audytowym powinny zostać objęte obszary istotne z punktu widzenia ryzyka, a wszelkie działania audytowe w tym zakresie powinny być racjonalne. Oznacza to, że nakład pracy powinien być adekwatny do korzyści, jakie ona przyniesie. Pojęcie racjonalnej pewności dotyczy nie tylko usług audytu, ale również funkcjonowania systemu kontroli wewnętrznej w organizacji, co zostanie wyjaśnione w ramach interpretacji tego zagadnienia w dalszej części publikacji.

Kolejnym ważnym pojęciem stosowanym w ramach audytu jest zagadnienie przysparzania wartości dodanej. Wartość ta tworzona jest poprzez polepszenie możliwości i stopnia realizacji celów organizacji, identyfikowanie usprawnień działań operacyjnych i/lub ograniczanie ekspozycji na ryzyko, w związku ze świadczeniem usług przez audytora47. Innymi słowy, jest to wartość, jaką uzyskuje się w wyniku poprawy działania danego obszaru, w ramach przeprowadzenia czynności audytowych. Przysparzanie wartości powinno być główną myślą przewodnią audytora, a jego działania nakierowane na usprawnianie organizacji oraz pomoc w osiąganiu postawionych przed nią celów.

Ostatnia grupa terminów odnoszących się do działalności audytu dotyczy charakteru jego prac, który koncentruje się na ocenie kontroli, środowiska kontroli, zarządzania ryzykiem i governance48.

Pojęcie kontroli, biorąc pod uwagę wcześniejsze rozważania w zakresie tego terminu, z punktu widzenia działalności audytu oznacza każde działanie podejmowane przez kierownictwo organizacji bądź inne jednostki w ramach uzyskania racjonalnego zapewnienia w zakresie zrealizowania ustalonych celów i zadań organizacji49. Kontrola obejmuje zatem pewne środowisko, określane środowiskiem kontroli, którego zasady funkcjonowania wyznacza kierownictwo organizacji, przyjmując reguły działania jednostki, tworząc jej wewnętrzną strukturę organizacyjną oraz wyposażając w mechanizmy kontrolne. Kontrola wiąże się ze sterowaniem organizacją, koncentrując się na bieżących i przyszłych jej działaniach, jest określana również systemem kontroli czy systemem kontroli wewnętrznej. O skuteczności jego działania decydują mechanizmy kontrolne, czyli wszelkie działania, procedury, zasady i narzędzia ustanowione przez zarządzających organizacją. Ich rola i znaczenie zostały szczegółowo opisane w dalszej części rozdziału.

Termin „zarządzanie ryzykiem” oznacza proces identyfikacji, weryfikacji i zarządzania potencjalnymi zdarzeniami lub sytuacjami w taki sposób, aby dostarczyć racjonalnego zapewnienia, że cele organizacji są osiągane50. Jest to proces inicjowany przez kadrę kierowniczą, a zadaniem audytora w tym zakresie jest dążenie do oceny tego procesu oraz jego usprawniania, poprzez podejmowanie czynności audytowych i wskazywanie jego ewentualnych słabości.

Governance z kolei stanowi taką kombinację procesów oraz struktur wprowadzonych przez kierownictwo organizacji, która zapewnia przepływ informacji, skuteczne zarządzanie, kierowanie i monitorowanie działań podejmowanych w instytucji oraz nakierowanie na realizację jej celów51. Pojęcie to odnosi się nie tylko do szeroko pojętego ładu organizacyjnego, ale również stanowienia działalności audytu, tzw. governance audytu.

Biorąc po uwagę znaczenie zagadnień, jakimi są kontrola, zarządzanie ryzykiem i ład organizacyjny, zostały one szerzej opisane w dalszej części publikacji. Przedstawiony katalog pojęć związanych z audytem nie został jeszcze wyczerpany, co wynika ze znacznej specyfiki i zakresu działania audytu. Będzie on jednak uzupełniany i uszczegóławiany w kolejnych częściach opracowania.

1.2. Otoczenie audytu i zakres jego działania

1.2.1. Pozycja i rola audytu w systemie kontroli wewnętrznej

Środowisko, w jakim działa audyt, to jednostka oraz jej otoczenie. Zatem określając jego charakterystykę, niezbędne jest przyjrzenie się organizacji, jak i czynnikom, które na nią, a przez to i na usługę audytu wpływają.

Instytucja stanowi pewien proces podejmowania określonej działalności właściwej do realizacji ustanowionych dla niej celów w ramach ustalonych warunków, wyposażenia, posiadanych zasobów finansowych, ludzkich, technicznych oraz ich odpowiedniej kombinacji adekwatnej, do wykonywanych zadań52. Do właściwego funkcjonowania jednostki niezbędne jest prawidłowe nią zarządzanie, zmierzające do realizacji celów i działań stanowiących istotę jej istnienia. Zarządzanie powinno opierać się na pewnych zasadach, wytycznych i regulacjach określających oczekiwania kierownictwa organizacji względem posiadanych zasobów i realizowanych celów, innymi słowy zarządzanie powinno mieć charakter sprawczy względem organizacji53. Przyjęty zbiór reguł, struktur w ramach jednostki, a także otoczenie warunkujące ich realizację, jak zostało wcześniej wspomniane oznacza przyjęty w instytucji system kontroli wewnętrznej.

System kontroli wewnętrznej powinien być zorganizowany w sposób dobrze przemyślany i uporządkowany tak, aby zapewniać prawidłowe i stabilne funkcjonowanie jednostki. Stworzony przez menedżerów oraz samych pracowników zawiera te informacje, a także procedury zarządcze, których założeniem jest utrzymywanie stałego lub osiągania wyższego stopnia dojrzałości organizacji54. System ten obejmuje cele działania jednostki, regulacje, na podstawie których prowadzi swoją działalność oraz ustanowione procesy i procedury działania, stanowiąc tym samym wewnętrzne otoczenie organizacji. Musi być dostosowany do potrzeb instytucji, jej oczekiwań i możliwości, a także zasobów, jakie są w jej posiadaniu. System kontroli wewnętrznej stanowi układ naczyń połączonych, w którym jeden element ma wpływ na pozostałe. Odpowiednio zarządzany i kontrolowany będzie funkcjonował w sposób prawidłowy. Należy jednak pamiętać, iż ustanowiony system działa wewnątrz organizacji, ale na sposób jego funkcjonowania ma również wpływ otoczenie zewnętrzne, charakteryzujące się różnym stopniem złożoności i zmienności, a tym samym odmienną podatnością na ryzyko55. W szczególności dotyczy to uwarunkowań ekonomicznych, prawnych, handlowych, środowiskowych, regionalnych czy też konkurencyjności. Są to czynniki, które mają znaczący wpływ na środowisko wewnętrzne organizacji, a tym samym na funkcjonujący system kontroli wewnętrznej56.

System kontroli wewnętrznej musi być dopasowany do instytucji. Jego specyficzną cechą jest jednak zależność od człowieka bądź grupy ludzi. Wyobraźmy sobie dwie sytuacje, pierwszą, w której powołujemy do życia nową organizację, na której czele stajemy my sami. W tym przypadku jako osoba kierująca określamy jej strukturę, zadania, dobieramy personel, organizujemy zasoby finansowe, techniczne i inne, tworzymy zasady, procedury, których będziemy przestrzegać i egzekwować od pracowników. Dostosowujemy te wszystkie elementy do potrzeb jednostki, posiadanych zasobów i możliwości. Druga sytuacja, w której zostajemy powołani na stanowisko osoby kierującej daną instytucją funkcjonującą na podstawie przyjętego już wcześniej systemu kontroli wewnętrznej, ustanowionego przez naszego poprzednika. W tym przypadku niezbędna będzie reorganizacja działającego systemu, stosownie do naszych możliwości organizacyjnych oraz zapotrzebowania na informacje. Część elementów i reguł może pozostać bez zmian lub w sytuacji niedostosowania systemu do naszych potrzeb informacyjnych cały system może ulec zmianie.

W jednym i drugim przypadku organizacja i funkcjonowanie systemu kontroli wewnętrznej w ramach instytucji uzależnione są od człowieka, jego umiejętności, kwalifikacji, podatności na ryzyko, skłonności i łatwości analizowania informacji, decyzyjności, zdolności komunikacyjnych oraz szeregu innych cech osobowościowych. Dlatego też nie ma jednego wzorca określającego działanie tego systemu, uniwersalnego do zastosowania w strukturze każdej instytucji. Zasada jeden rozmiar pasuje do wszystkich57 w tym przypadku nie może mieć zastosowania. System ten jest odmienny w każdej jednostce, ulega transformacjom, w zależności od potrzeb i oczekiwań kierujących, uwarunkowanych ich cechami osobistymi, sytuacją organizacji oraz kształtowaniem się czynników zewnętrznych.

O skuteczności działania systemu kontroli wewnętrznej decyduje wiele aspektów. Wśród nich należy wymienić w szczególności:

odpowiedni

podział zadań i obowiązków, adekwatnie do posiadanych kwalifikacji i odpowiedzialności;

dostosowanie

mechanizmów kontrolnych do zidentyfikowanego ryzyka;

właściwy

system

informacji i komunikacji;

efektywne

i ekonomiczne wykorzystanie zasobów;

bieżące

monitorowanie

i ocena systemu.

Odpowiedni podział ról i odpowiedzialności w ramach systemu kontroli wewnętrznej to kwestia niezwykle istotna. Kierownik każdej organizacji ponosi odpowiedzialność za prawidłowe i efektywne działanie instytucji. O ile w organizacjach mniejszych kontrola nad sposobem funkcjonowania jednostki nie stanowi większego problemu i może być skoncentrowana w rękach jednej osoby, o tyle w przypadku większych instytucji odpowiedzialność ta jest rozproszona. Dyspersja ta ma na celu podział odpowiedzialności za nadzór i kontrolę nad różnymi obszarami działalności jednostki. Ważnym aspektem jest powierzenie tych zadań osobom kompetentnym oraz wyznaczenie ich roli, ale nie można zapominać, że ostateczna decyzja zawsze należy do zarządzającego instytucją. Podział zadań pomiędzy poszczególne osoby powinien być adekwatny do posiadanych kwalifikacji i powierzonej odpowiedzialności.

Bardzo istotną rolę w systemie kontroli wewnętrznej odgrywają mechanizmy kontrolne, które oznaczają wszelkie działania podejmowane przez kierownictwo. Mogą one przyjąć postać czynności, regulacji, standardów czy procedur. Mechanizmy kontrole pełnią funkcję ograniczającą ryzyko, stąd ich działanie powinno być ukierunkowane na redukcję ryzyka bądź grupy ryzyka, należy jednak pamiętać, że ani nadmiar, ani niedobór mechanizmów kontrolnych nie jest wskazany. W tym przypadku liczy się ich waga, odpowiedniość, skuteczność i efektywność. Aby te cechy osiągnąć, mechanizmy kontrolne powinny58:

spełniać swój

wyznaczony

cel, zgodny z misją organizacji i przyjętymi zasadami etyki;

minimalizować

ryzyko, do

którego zostały przypisane;

dostarczać

rzetelnych

i wiarygodnych informacji;

być

zgodne

z obowiązującymi przepisami prawa oraz przyjętymi w jednostce zasadami;

zapewniać

gospodarne

i efektywne wykorzystanie szeroko rozumianych zasobów organizacji;

gwarantować

odpowiednie

zabezpieczenie majątku jednostki

przyjmować formę odpowiednią

dla

wagi, znaczenia, specyfiki i rodzaju ryzyka.

Stąd istotne jest zapewnienie skutecznej kontroli organizacji, umożliwiającej przeciwdziałanie pojawiającym się zagrożeniom, poprzez odpowiednie zorganizowanie systemu zarządzania w jednostce oraz zapewnienie skuteczności i efektywności przyjętych w ramach tego systemu mechanizmów kontrolnych.

Innym ważnym elementem, a zarazem potwierdzeniem działania systemu kontroli wewnętrznej jest skuteczny przepływ informacji i właściwa komunikacja59. Działalność każdej organizacji jest narażona na różnego rodzaju zagrożenia, które nie tylko mogą zakłócić jej bieżące funkcjonowanie, ale również w dłuższej perspektywie czasowej przyczynić się do pogorszenia jej pozycji na rynku. Zjawisko to potęguje złożoność gospodarcza, która powoduje, że kierownictwo w sytuacji decyzyjnej dysponuje szerokim wachlarzem informacji i danych60, tymczasem do podjęcia racjonalnej decyzji zarządczej niezbędne są tylko te odpowiednie i właściwe. Menedżerowie, którzy potrafią wykorzystać dostępne informacje, dokonać ich selekcji, a tym samym zidentyfikować najistotniejsze zagrożenia, są w stanie podjąć właściwą reakcję i uchronić organizację przed wpływem niekorzystnego ryzyka61. Niezbędne jest zatem wypracowanie odpowiednich kanałów i źródeł informacji tak, aby możliwe było sprawne podejmowanie decyzji w ramach pojawiających się zagrożeń62.

Efektywne i gospodarne wykorzystanie zasobów to kolejny aspekt mający wpływ na właściwe zastosowanie i funkcjonowanie mechanizmów kontrolnych w systemie kontroli wewnętrznej. Z punktu widzenia zasobów należy zwrócić uwagę zarówno na te o charakterze finansowym, rzeczowym, ludzkim, technicznym, informatycznym, jak i inne. Odpowiednia ich implementacja, adekwatna do realizowanych celów jednostki, ma znaczący wpływ na kształtowanie system kontroli wewnętrznej.

Działanie systemu kontroli wewnętrznej musi podlegać bieżącemu monitorowaniu i ocenie. Jest to niezbędne do weryfikacji zgodności jego funkcjonowania z przyjętą polityką organizacji, zachodzących zmian w otoczeniu jednostki oraz pojawiających się zagrożeń. W ich obliczu wszystkie organizacje powinny być poddawane ocenie z punktu widzenia efektywności oraz skuteczności funkcjonowania. W gospodarce rynkowej występuje wiele mechanizmów umożliwiających sprawowanie kontroli nad działalnością organizacji zarówno z zewnętrznego, jak i wewnętrznego punktu widzenia. Zewnętrzny nadzór nad działalnością instytucji sprawuje z reguły rynek kapitałowy, produktów i usług czy pracy, wewnętrzny natomiast pozostaje w kompetencji władz organizacji63. Zadaniem kadry zarządzającej jest odpowiednie kierowanie oraz nadzorowanie systemów i procesów, dotyczących różnych dziedzin oraz obszarów działalności jednostki. Jeśli działania te nie są podejmowane, oznacza to, że jednostka nie jest właściwie zarządzana, a tym samym pozostaje poza kontrolą64. W instytucji o nierozbudowanej strukturze organizacyjnej menedżer jest w stanie samodzielnie dokonywać przeglądu działań organizacji, w takim przypadku kontrola stanowi część podstawowej funkcji zarządczej. Natomiast w sytuacji prowadzenia działalności na szerszą skalę kontrola efektywności funkcjonowania jednostki nie zawsze jest możliwa w odniesieniu do wszystkich obszarów65. Stąd niejednokrotnie kierownictwo sięga po narzędzia wspomagające zarządzanie, takie jak audyt.

Pozycja audytu w systemie kontroli wewnętrznej jest dwoista. Dualizm