Dział audytu wewnętrznego robi to poprzez systematyczną analizę procesów biznesowych i związanych z nimi mechanizmów kontrolnych, przeglądy sprawozdań spółki (zarządcze, finansowe, operacyjne) etc.

W tym kontekście, rozwój funkcji audytu wewnętrznego, jako kluczowego partnera dla organów korporacyjnych, wspierającego zarząd w organizacji i wdrażaniu zasad ładu korporacyjnego, leży w dobrze pojętym interesie kierownictwa firmy.

Zobacz również:

• GenAI jednym z priorytetów inwestycyjnych w firmach
• Szef Intela określa zagrożenie ze strony Arm jako "nieistotne"
• International Data Group powołuje Genevieve Juillard na stanowisko CEO

Zarządzanie ryzykiem korporacyjnym

Zarządzanie ryzykiem korporacyjnym jest realizowanym przez zarząd, kierownictwo lub inny personel przedsiębiorstwa, uwzględnionym w strategii i w całym przedsiębiorstwie procesem, którego celami są:

• identyfikacja zdarzeń, które mogą wywierać wpływ na przedsiębiorstwo,
• utrzymywanie ryzyka w określonych granicach,
• rozsądne zapewnienie realizacji celów przedsiębiorstwa⁵.

Warto podkreślić, że wybrane rezultaty realizacji procesu zarządzania ryzykiem są szczególnie przydatne dla właściwego funkcjonowania audytu wewnętrznego. Wynika to z faktu, że nowoczesna komórka audytu wewnętrznego, bazująca na analizie ryzyka, potrzebuje informacji w tym zakresie w celu określenia obszarów krytycznych dla funkcjonowania spółki. Na tej podstawie audytor weryfikuje zadeklarowany przez kadrę kierowniczą poziom ryzyka w firmie, a także dostarcza zarządowi informacji o skuteczności zarządzania istotnymi rodzajami ryzyka, w celu osiągania bieżących i długofalowych celów biznesowych danej organizacji.

Takie podejście wydaje się wyjątkowo efektywne, gdyż pozwala na skoncentrowanie się na krytycznych dla funkcjonowania spółki poszczególnych obszarach działalności, a nie na automatycznym testowaniu procesów, niezależnie od ich wpływu na organizację. Zasada Pareto (20/80) jest odpowiednim komentarzem odnośnie celowości stosowania podejścia audytowego opartego na analizie i priorytetyzacji ryzyka.

Audyt oparty na ocenie ryzyka jest dużo bardziej wydajny i skuteczny dla całej organizacji. Pozwala bowiem ograniczyć zaangażowanie środków, dostarczając dużo bardziej wartościowych i aktualnych informacji, wspomagających bieżące procesy zarządcze i decyzyjne.

Ograniczenia w wykorzystaniu audytu

Opisane procesy zaangażowania audytu wewnętrznego wskazują, w jak różne obszary wkracza audytor, realizując swoją funkcję wsparcia zarządu w bieżącym kierowaniu organizacją. Jednakże w tym nieustającym dążeniu do rozwoju kadra zarządzająca musi pamiętać o istniejących ograniczeniach w stosunku do audytu wewnętrznego. Ograniczenia te w większości przypadków wynikają z konieczności zapewnienia audytowi niezależności i obiektywizmu, a ich respektowanie leży w interesie samych zarządzających.

Doświadczenie pokazuje, że zarządy spółek często zakładają, iż skoro audyt wewnętrzny posiada pogłębioną wiedzę w zakresie funkcjonowania poszczególnych procesów biznesowych, to powinien również starać się ją wykorzystać w działalności operacyjnej.

Pokusa wykorzystania audytorów ze względów opisanych powyżej jest duża, ale należy pamiętać o tym, że nie zwolnią oni zarządu i kadry kierowniczej z odpowiedzialności za podległe obszary.

Zakres zaangażowania audytu wew-nętrznego w realizację działań operacyjnych, jak również ograniczenia z tym związane najlepiej pokazać na przykładzie roli, jaką powinien pełnić i jakiej powinien unikać audyt w procesie zarządzania ryzykiem. Zgodnie z "Position Statement: The Role of Internal Audit in the Enterprise-wide Risk Management" IIA (zob. diagram obok) audyt wewnętrzny nie może: ustalać poziomu apetytu na ryzyko, kształtować procesu zarządzania ryzykiem, dostarczać zapewnienia w zakresie rodzajów ryzyka dla kierownictwa, podejmować decyzji dotyczących wyboru środków ograniczania ryzyka, wdrażać w imieniu kadry zarządzającej odpowiedzi na ryzyko oraz nie powinien brać na siebie odpowiedzialności za proces zarządzania ryzykiem.

Kierownictwo organizacji powinno zdawać sobie sprawę z unikalnej roli i wiedzy audytu wewnętrznego w stosunku do ładu korporacyjnego, zarządzania ryzykiem korporacyjnym oraz procesu kontroli wewnętrznej. Powinno również mieć świadomość istniejących ograniczeń w tym zakresie.

Zarząd powinien zadbać, aby audytor wewnętrzny był partnerem dla rady nadzorczej i kadry kierowniczej, bo tylko z takiej pozycji będzie w stanie efektywnie wspierać procesy zarządzania organizacją.

Autorka jest menedżerem w Deloitte.

<hr>

¹ Audyt wewnętrzny (według definicji Międzynarodowego Stowarzyszenia Audytorów Wewnętrznych) - działalność niezależna, obiektywnie zapewniająca (z ang. assurance) i doradcza, której celem jest przysporzenie wartości i usprawnienie działalności operacyjnej przedsiębiorstwa. Działanie audytu wewnętrznego pomaga organizacji w osiąganiu jej celów poprzez systematyczne i konsekwentne podejście do oceny i doskonalenia skuteczności procesów zarządzania ryzykiem, kontroli wewnętrznej i ładu korporacyjnego.

² Źródło: R. Czerniawski, A. Rapacka, "Pomiędzy prawem a finansami", Wolters Kluwer Polska, 2007.

³ Ira M. Millstein, Weil, Gotshal & Manges, za: M. Masny.

⁴ Badania przeprowadzone przez McKinsey & Company w 2002 r., powtarzane również w następnych latach.

⁵ Definicja wg The Committee of Sponsoring Organizations of the Treadway Commission.