Działalność audytorów wewnętrznych polega na systematycznej i dokonywanej w uporządkowany sposób ocenie procesów: zarządzania ryzykiem, kontroli i szeroko rozumianego ładu organizacyjnego. Jej głównym celem jest przysporzenie wartości i usprawnienie działalności operacyjnej.
Realizacja wskazanych zadań oraz osiągnięcie tak sformułowanego celu nie są jednak możliwe bez zapewnienia audytorom odpowiednich warunków funkcjonowania w organizacji. Fundamentalną rolę odgrywa tutaj zagwarantowanie audytowi niezależności. Idea realizacji nałożonego na kierownictwo spółek obowiązku zapewnienia niezależnej pozycji audytu spotyka się jednak często z niezrozumieniem. Warto zatem przyjrzeć się podstawowym obowiązującym regulacjom, które odnoszą się do problemów związanych z usytuowaniem audytu w przedsiębiorstwie.
Obiektywizm audytora wewnętrznego
Opracowane i opublikowane przez powołany w 1941 r. Instytut Audytorów Wewnętrznych IIA Międzynarodowe standardy praktyki zawodowej audytu wewnętrznego stanowią dokument regulujący praktykę zawodową audytorów wewnętrznych na całym świecie. Zgodnie z przyjętą w dokumencie definicją audyt wewnętrzny jest działalnością niezależną i obiektywną1.
Realizując swoje zadania z zachowaniem obiektywizmu, audytorzy muszą dokonywać wyważonej oceny, tzn. uwzględniać wszystkie czynniki i okoliczności związane z badaną sprawą. Co jest szczególnie istotne, formułując osądy, audytorzy nie mogą kierować się własnym interesem, jak również nie mogą ulegać wpływom innych. Muszą być szczególnie wyczuleni na wszelkie sytuacje, które mogą prowadzić do zakwestionowania ich obiektywnej postawy. W przypadkach, gdy istnieje jakiekolwiek zagrożenie są zobowiązani do podejmowania właściwych kroków.
Przykład
Zarządzający audytem wewnętrznym został poproszony o udział w komisji dokonującej wstępnego przeglądu ofert audytorów zewnętrznych. Jeden z oferentów był jednocześnie właścicielem ośrodka wypoczynkowego. W trakcie przypadkowego spotkania zachęcał audytora do skorzystania z oferty „rodzinnych wyjazdów weekendowych” do wspomnianego ośrodka po promocyjnej cenie. Ze względu na sytuację noszącą potencjalnie znamiona konfliktu interesów audytor, postępując zgodnie ze standardami, nie skorzystał z tej propozycji.
Ograniczenie obiektywizmu ma miejsce m.in. wtedy, gdy audytor wewnętrzny świadczy usługi o charakterze zapewniającym, dotyczące działań, za które odpowiadał w ciągu roku poprzedzającego badanie.
Przykład
W wyniku wewnętrznego konkursu zorganizowanego w Spółce X na stanowisku starszego audytora wewnętrznego zatrudniono pracownika uprzednio odpowiedzialnego za obszar zarządzania ryzykiem. Miesiąc po tej nominacji komitet audytu zlecił audytowi wewnętrznemu realizację zadania zapewniającego, polegającego na zbadaniu skuteczności i poprawności zastosowania narzędzi wykorzystywanych w procesie zarządzania ryzykiem. Ze względu na niebezpieczeństwo braku obiektywizmu w dokonywanych ocenach zarządzający audytem (zgodnie ze standardem 1130.A1 i poradnikiem 1130.A1-1 „Ocenianie działalności operacyjnej, za którą audytorzy wewnętrzni byli uprzednio odpowiedzialni”), zadecydował o wyłączeniu nowego pracownika z badania.
Niezależność audytu wewnętrznego
Niezależność jest interpretowana jako wolność od warunków, które zagrażałyby obiektywizmowi lub domniemaniu obiektywizmu. Osiągnięcie niezależności audytu wewnętrznego wymaga przede wszystkim zapewnienia zarządzającemu audytem wewnętrznym bezpośredniego i jednocześnie nieograniczonego dostępu zarówno do kierownictwa wyższego szczebla, jak i do rady.
W obliczu działań utrudniających realizację audytu, wiążących się np. z ograniczeniem zakresu zadania oraz dostępu do dokumentów czy innych zasobów, zarządzający audytem powinien mieć możliwość wykorzystania skutecznych mechanizmów pozwalających na przeciwdziałanie niekorzystnym czy niedopuszczalnym praktykom.
Przykład
Rada nadzorcza spółki zleciła audytowi wewnętrznemu realizację zadania audytowego. Zarządzający audytem wewnętrznym został jednak poinformowany przez audytowanego, że ze względu na ograniczenie liczby pracowników będzie konieczne ograniczenie zakresu audytu. Ze względu na fakt, że ograniczenie to narusza niezależność i istotnie wpłynie na realizację celów audytu, zgodnie z obowiązującym regulaminem i standardami (poradnik 1130-1, pkt 3) zarządzający przekazał stosowną informację w formie pisemnej zarządowi oraz komitetowi audytu.
Przedstawiony wyżej przykład potwierdza, jak krytycznym warunkiem dla właściwej realizacji celów audytu jest odpowiednie podporządkowanie oraz usytuowanie komórki audytu w strukturze organizacyjnej. Przywołana regulacja (standard i poradnik) ma na celu zwrócenie uwagi kierownictwa na kwestię niezależności i podniesienie rangi prac audytowych. Zaprezentowane w przykładzie działania ograniczające mogą doprowadzić do daleko idącej nieskuteczności. W takich przypadkach funkcja audytu może mieć jedynie iluzoryczny charakter.
Ze względu na niską skuteczność, naruszenia obowiązujących przepisów czy inne działania niekorzystne z punktu widzenia interesu spółki mogą nie zostać wykryte. Audyt nie będzie wówczas stanowił elementu systemu minimalizacji ryzyka a jednocześnie ochrony kierownictwa przed ewentualnymi zarzutami i odpowiedzialnością za nieprawidłowości.
Zgodnie z interpretacją standardu 1110 audyt wewnętrzny jest niezależny organizacyjnie wtedy, gdy zarządzający audytem wewnętrznym funkcjonalnie podlega radzie, a zatem wtedy, gdy rada:
- zatwierdza kartę/regulamin audytu wewnętrznego,
- zatwierdza plan audytu wewnętrznego,
- zatwierdza budżet i plan zasobów audytu wewnętrznego,
- otrzymuje odpowiednie informacje na temat działalności audytu, m.in. w odniesieniu do realizacji przyjętego planu,
- zatwierdza wysokość wynagrodzenia zarządzającego audytem wewnętrznym,
- zatwierdza decyzję dotyczącą powoływania i odwoływania zarządzającego audytem wewnętrznym.
Mianem podległości administracyjnej określana jest podległość organizacyjna w ramach struktury zarządzania, m.in. w obszarze budżetowania, administrowania zasobami i procedurami audytu czy komunikacji i przepływu informacji.
Karta audytu wewnętrznego
Podstawowym dokumentem, w którym określa się cel, uprawnienia i odpowiedzialność audytu, jest tzw. karta działania audytu wewnętrznego. W dokumencie tym powinna być usankcjonowana niezależna pozycja audytu wewnętrznego w strukturze organizacyjnej. Przyjęte tu regulacje muszą wspierać obiektywizm audytora wewnętrznego.
Przykład
Zespół audytu wewnętrznego wykonał zadanie ujęte w planie na bieżący rok. Zgodnie ze standardami raport poaudytowy został przekazany zarządowi, a następnie komitetowi audytu. Na spotkaniu z kierownictwem zarządzający audytem wewnętrznym został poinformowany, że poprawność realizacji procedury przekazania raportu komitetowi audytu budzi poważne zastrzeżenia, a zdaniem zarządu ujęte w regulaminie audytu rozwiązania nie sankcjonują dwutorowego raportowania. Podano również w wątpliwość uprawnienia zarządzającego audytem do bezpośredniego kontaktowania się z komitetem audytu. W celu uniknięcia konfliktu wynikającego m.in. z braku jasnych regulacji dotyczących dwutorowości raportowania i podporządkowania audytu, zarządzający zwrócił się do rady o ustalenie i zatwierdzenie czytelnych zasad dotyczących tego procesu.
Zaprezentowane wyżej zasady, choć stanowią podstawowy warunek determinujący realizację celów i skuteczność audytu wewnętrznego, często spotykają się jednak z brakiem zrozumienia. Szczególne wątpliwości wiążą się z implementacją ujętej w standardach, podstawowej reguły bezpośredniego podporządkowania i komunikacji zarządzającego audytem z radą czy z komitetem audytu.
Warto w tym miejscu podkreślić, że we wskazanych ustawowo spółkach2 właśnie komitet audytu jest zobowiązany do przejęcia i odpowiedniej realizacji części obowiązków rady nadzorczej, obejmujących, m.in. monitorowanie skuteczności funkcji audytu wewnętrznego, a także wspieranie go w realizacji założonych celów.
Członkowie komitetu, powoływani przez radę nadzorczą spośród swoich członków, są zobowiązani m.in. do oceny:
- czy działalność audytu pozwala na wykrycie istotnych słabości systemu kontroli wewnętrznej,
- czy działalność audytu wpływa na zwiększenie wykrywalności potencjalnych nadużyć, między innymi finansowych,
- czy audyt wewnętrzny przez swoją działalność przyczynia się do minimalizacji ryzyka powstawania błędów, m.in. w sprawozdaniach finansowych.
Systemy i funkcje wewnętrzne – zasady szczegółowe |
|
III.Z.1. |
Odpowiedzialność za wdrożenie i utrzymanie Odpowiedzialność za wdrożenie i utrzymanie skutecznych systemów kontroli wewnętrznej, zarządzania ryzykiem, compliance oraz funkcji audytu wewnętrznego ponosi zarząd spółki. |
III.Z.2. |
Umiejscowienie w strukturze organizacyjnej Osoby odpowiedzialne za zarządzanie ryzykiem, audyt wewnętrzny i compliance podlegają bezpośrednio prezesowi lub innemu członkowi zarządu. Jednocześnie mają one zapewnioną możliwość raportowania bezpośrednio do rady nadzorczej lub komitetu audytu. |
III.Z.3. |
Niezależność audytu wewnętrznego W odróżnieniu od zarządzających i realizujących zadania związane z zarządzaniem ryzykiem i compliance, w odniesieniu do osoby kierującej funkcją audytu wewnętrznego i innych osób odpowiedzialnych za realizację jej zadań, zastosowanie mają zasady niezależności określone w powszechnie uznanych, Międzynarodowych standardach praktyki zawodowej audytu wewnętrznego |
III.Z.4. |
Obowiązek informowania rady nadzorczej Co najmniej raz w roku osoba odpowiedzialna za audyt wewnętrzny (w przypadku wyodrębnienia w spółce takiej funkcji) i zarząd przedstawiają radzie nadzorczej własną ocenę skuteczności funkcjonowania wymienionych wyżej systemów i funkcji, wraz z odpowiednim sprawozdaniem |
III.Z.5. |
Obowiązki nadzorcze komitetu audytu/rady nadzorczej Rada nadzorcza jest zobowiązana do monitorowania skuteczności systemów i funkcji, o których mowa w punkcie III.Z.1, między innymi na podstawie sprawozdań okresowo dostarczanych jej bezpośrednio przez osoby odpowiedzialne za te funkcje oraz przez zarząd spółki. Rada nadzorcza dokonuje również rocznej oceny skuteczności funkcjonowania tych systemów i funkcji. Wykorzystanie komitetu audytu do monitoringu nie zwalnia rady nadzorczej z dokonania rocznej oceny skuteczności funkcjonowania tych systemów i funkcji. |
III.Z.6. |
Obowiązek rady nadzorczej – brak organizacyjnego wyodrębnienia funkcji audytu wewnętrznego W przypadku gdy w spółce nie wyodrębniono organizacyjnie funkcji audytu wewnętrznego, rada nadzorcza/komitet audytu dokonuje corocznej oceny, w trakcie której weryfikowana jest potrzeba dokonania takiego wydzielenia. |
Niezależność audytu wewnętrznego a dobre praktyki spółek notowanych na GPW 2016
Kolejnym dokumentem, w którym ujęto rekomendacje i szczegółowe zasady regulujące kwestię niezależności audytu wewnętrznego są „Dobre praktyki spółek notowanych na GPW 2016”. Zasadom tym podlegają emitenci akcji dopuszczonych do obrotu na rynku regulowanym GPW.
W stosunku do szczegółowych zasad dobrych praktyk obowiązuje formuła: stosuj lub wyjaśnij (comply or explain). W przypadku trwałego niestosowania zasady lub incydentalnego jej niezastosowania spółka ma obowiązek niezwłocznego poinformowania o tym fakcie, w sposób określony w § 29 ust. 3 Regulaminu Giełdy.
Niestosowanie zasad szczegółowych dotyczących niezależności audytu wewnętrznego jest zatem równoznaczne z obowiązkiem przekazania odpowiedniej informacji w określonym wyżej trybie.
Złożone wyjaśnienia wskazujące przyczyny i okoliczności niestosowania zasady powinny być wyczerpujące. Muszą stanowić realne źródło informacji o powodach niestosowania określonej reguły.
Jak istotną rolę w omawianym dokumencie przypisuje się zapewnieniu warunków do niezależnego funkcjonowania audytu wewnętrznego, wskazują liczne odniesienia do organizacji i wykorzystania go w spółce. I tak, poza czynnościami wynikającymi z przepisów prawa, zgodnie z II.Z.10.1 rada nadzorcza ma obowiązek raz w roku sporządzić i przedstawić zwyczajnemu walnemu zgromadzeniu ocenę sytuacji spółki, uwzględniającą ocenę systemów kontroli wewnętrznej, zarządzania ryzykiem, compliance i właśnie funkcji audytu wewnętrznego. Zasadnicze znaczenie w takiej ocenie ma kryterium skuteczności wyżej wymienionych systemów i funkcji.
Kierownictwo jednostek musi zatem zdać sobie sprawę z tego, że samo stworzenie pewnych mechanizmów, bez zapewnienia realizacji imperatywu ich skuteczności, można uznać za równoznaczne z odstąpieniem od realizacji zasad i rekomendacji. Rozwiązania wprowadzone w dokumencie dobrych praktyk są spójne z Międzynarodowymi standardami praktyki zawodowej audytu wewnętrznego. Co więcej, w przypadku zasady szczegółowej dotyczącej niezależności audytu wewnętrznego dobre praktyki odnoszą się wprost do wymienionych standardów (patrz tabela).
Podsumowując, odpowiednie zastosowanie mechanizmów i rozwiązań określonych m.in. w międzynarodowych standardach czy w rekomendacjach i zasadach szczegółowych dobrych praktyk stanowi fundament pozwalający na zbudowanie niezależnego audytu wewnętrznego. Niezależność w tym przypadku stanowi jeden z podstawowych czynników determinujących skuteczność tej funkcji.
Przypisy / Źródła / Podstawa prawna
- Standard 1100 Niezależność i obiektywizm: Audyt wewnętrzny musi być niezależny, a audytorzy wewnętrzni obiektywni.
- Ustawa z dnia 7.05.2009 r. o biegłych rewidentach i ich samorządzie, podmiotach uprawnionych do badania sprawozdań finansowych oraz o nadzorze publicznym, t.j., Dz. U. z dnia 11.07.2016 r., poz. 1000.
Możesz zobaczyć ten artykuł, jak i wiele innych w naszym portalu Controlling 24. Wystarczy, że klikniesz tutaj.