Zarządzanie ryzykiem w audycie wewnętrznym wybrane zagadnienia

Podobne dokumenty
METODYKA WDRAŻANIA AUDYTU WEWNĘTRZNEGO W PRZEDSIĘBIORSTWIE MIEJSCE W STRUKTURZE ORGANIZACYJNEJ

POLITYKA ZARZĄDZANIA RYZYKIEM

Zarządzanie ryzykiem w rozwiązaniach prawnych. by Antoni Jeżowski, 2014

Ryzyko jako przedmiot badania audytu wewnętrznego w sektorze finansów publicznych

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów

Audyt systemów informatycznych w świetle standardów ISACA

SYSTEM ZARZĄDZANIA RYZYKIEM W DZIAŁALNOŚCI POLITECHNIKI WARSZAWSKIEJ FILII w PŁOCKU

Karta audytu wewnętrznego

Regulamin zarządzania ryzykiem. Założenia ogólne

KARTA AUDYTU WEWNĘTRZNEGO

Zarządzenie Nr 18/2011 Rektora Państwowej Wyższej Szkoły Zawodowej w Koninie z dnia 29 marca 2011 r.

Przedszkole Nr 30 - Śródmieście

POLITYKA ZARZĄDZANIA RYZYKIEM ROZDZIAŁ I. Postanowienia ogólne

Procedura zarządzania ryzykiem w Urzędzie Gminy Damasławek

KSIĘGA PROCEDUR AUDYTU WEWNĘTRZNEGO

Warszawa, dnia 12 maja 2016 r. Poz. 20

ZASADY POLITYKI ZARZĄDZANIA RYZYKIEM W AKADEMII PEDAGOGIKI SPECJALNEJ IM. MARII GRZEGORZEWSKIEJ.

Zarządzanie ryzykiem jako kluczowy element kontroli zarządczej 2 marca 2013 r.

System kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku

Koncepcja oceny kontroli zarządczej w jednostce samorządu. ElŜbieta Paliga Kierownik Biura Audytu Wewnętrznego - Urząd Miejski w Dąbrowie Górniczej

Warszawa, dnia 6 maja 2015 r. Poz. 16 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 6 maja 2015 r.

REGULAMIN ZARZĄDZANIA RYZYKIEM. w Sądzie Okręgowym w Krakowie

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.

Zasady kontroli zarządczej w Zespole Szkolno - Przedszkolnym nr 8 w Warszawie

Procedura zarządzania ryzykiem w Urzędzie Miejskim w Radomiu

Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem

KARTA AUDYTU WEWNĘTRZNEGO

Kryteria oceny mechanizmów kontrolnych w obszarze działalności jednostki oraz identyfikacja i ocena ryzyka.

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Zarządzenie Nr 60/2011/2012 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 2 kwietnia 2012 r.

ZASADY ZARZĄDZANIA RYZYKIEM. Rozdział I Postanowienia ogólne

METODY I PROCEDURY AUDYTU WEWNĘTRZNEGO W JEDNOSTKACH SEKTORA FINANSÓW PUBLICZNYCH

System Kontroli Wewnętrznej w Banku BPH S.A.

Załącznik Nr 2 do Zarządzenia Burmistrza Miasta Jawora z dn r. AW CZĘŚĆ OGÓLNA

Opis systemu zarządzania, w tym systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w Banku Spółdzielczym w Ropczycach.

Opis systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w Poznańskim Banku Spółdzielczym

Wstęp 1. Misja i cele Zespołu Szkół Integracyjnych w Siemianowicach Śląskich 2

Polityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu. Definicje

Załącznik Nr 3 do Zarządzenia Nr 84 z dnia 15 listopada 2010 roku KWESTIONARIUSZ SAMOOCENY

K A R T A. Audytu Wewnętrznego w Uniwersytecie Śląskim w Katowicach. Rozdział I. Postanowienia ogólne

Procedura zarządzania ryzykiem w Państwowej WyŜszej Szkole Zawodowej w Elblągu

System kontroli wewnętrznej w Krakowskim Banku Spółdzielczym

dokonać ustalenia kategorii zdarzenia/ryzyka, wg. podziału określonego w kolumnie G arkusza.

INFORMACJA POLSKIEGO BANKU SPÓŁDZIELCZEGO W WYSZKOWIE

Rozdział 1 Postanowienia ogólne

Opis systemu kontroli wewnętrznej w Banku Spółdzielczym w Iłży

POLITYKA ZARZĄDZANIA RYZYKIEM

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 W KROŚNIE ODRZAŃSKIM

ZARZĄDZENIE NR 21/2015 BURMISTRZA MIASTA WĄGROWCA z dnia 02 lutego 2015 r. w sprawie wprowadzenia Księgi Procedur Audytu Wewnętrznego

KARTA AUDYTU WEWNĘTRZNEGO

INFORMACJA NADNOTECKIEGO BANKU SPÓŁDZIELCZEGO

Samoocena w systemie kontroli zarządczej z perspektywy audytora wewnętrznego

ZARZĄDZENIE NR WÓJTA GMINY DOBROMIERZ. z dnia 10 wrzesień 2014 r.

Procedura zarządzania ryzykiem w Urzędzie Miejskim w Radomiu

Audyt i kontrola wewnętrzna. Dr Łukasz Szydełko lukaszsz@prz.edu.pl

INFORMACJA POLSKIEGO BANKU SPÓŁDZIELCZEGO W WYSZKOWIE

Informacja Banku Spółdzielczego w Chojnowie

ZARZADZENIE NR 82/2010 Rektora Uniwersytetu Warmińsko-Mazurskiego w Olsztynie z dnia 15 listopada 2010 roku

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A.

OPIS SYSTENU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W USTRONIU. I. Cele systemu kontroli wewnętrznej

Zasady analizy ryzyka w Urzędzie Miasta Leszna

System kontroli wewnętrznej w Banku Millennium S.A.

S Y S T E M KO N T R O L I Z A R Z Ą D C Z E J PRZEDSZKOLA NR 8 W SKIERNIEWICACH

Opis systemu kontroli wewnętrznej w Braniewsko-Pasłęckim Banku Spółdzielczym z siedzibą w Pasłęku

System kontroli zarządczej obejmuje wszystkie jednostki sektora finansów publicznych.

Zarządzenie nr 116/2012 Burmistrza Karczewa z dnia 21 sierpnia 2012 roku

KWESTIONARIUSZ SAMOOCENY W ZAKRESIE STOSOWANIA STANDARDÓW KONTROLI ZARZĄDCZEJ

ZARZĄDZENIE NR 9 DYREKTORA GENERALNEGO MINISTERSTWA ŚRODOWISKA z dnia 12 maja 2009 r. w sprawie wprowadzenia Karty audytu wewnętrznego

Procedura zarządzania ryzykiem w Sądzie Okręgowym w Białymstoku

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W MIEDŹNEJ

Polityka zarządzania ryzykiem w Uniwersytecie Mikołaja Kopernika w Toruniu

INFORMACJA BANKU SPÓŁDZIELCZEGO KRASNOSIELCU Z SIEDZIBĄ W MAKOWIE MAZOWIECKIM

S Y S T E M K O N T R O L I Z A R Z Ą D C Z E J W U NI WE RSYTECIE JANA KO CHANOWS KIE GO W KIE LCACH

Opis systemu kontroli wewnętrznej w SGB-Banku S.A.

Akademia Audytora III AUDYTY SPECJALISTYCZNE agenda szkolenia

Rektora Państwowej Wyższej Szkoły Zawodowej w Tarnowie z dnia 30 grudnia 2013 roku

Karta audytu Uniwersytetu Śląskiego w Katowicach

Akademia Audytora III AUDYTY SPECJALISTYCZNE agenda szkolenia

INFORMACJA W GIŻYCKU

RAPORT Z AUDYTU WEWNĘTRZNEGO URZĘDU GMINY TRĄBKI WIELKIE

AUDYT WEWNĘTRZNY SZANSĄ NA SUKCES PRZEDSIĘBIORSTWA

Dyrektora Gminnego Zespołu Szkół w Ozimku

DZIENNIK URZĘDOWY MINISTRA KULTURY I DZIEDZICTWA NARODOWEGO. Warszawa, dnia 29 września 2014 r. Pozycja 38

POLITYKA ZARZĄDZANIA RYZYKIEM w Zespole Szkół w Otocznej

Załącznik nr 5 do zarządzenia Nr 163/2011 z dnia r. REGULAMIN ZARZĄDZANIA RYZYKIEM Urzędu Gminy i Miasta Nowe Skalmierzyce

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 IM. ŚW. WOJCIECHA W KRAKOWIE

1. Postanowienia ogólne

Z A R Z Ą D Z E N I E Nr 3/2011

INFORMACJA W GIŻYCKU

ZARZĄDZENIE NR 15/2017 BURMISTRZA KARCZEWA z dnia 25 stycznia 2017 r.

Zarządzenie Nr 17/2010 Burmistrza Krapkowic z dnia 22 kwietna 2010 roku

Akademia Młodego Ekonomisty. Zarządzanie ryzykiem

REGULAMIN AUDYTU WEWNĘTRZNEGO W NARODOWYM FUNDUSZU ZDROWIA. 1. Celem przeprowadzania audytu wewnętrznego jest usprawnianie funkcjonowania NFZ.

INFORMACJA POLSKIEGO BANKU SPÓŁDZIELCZEGO W WYSZKOWIE

INFORMACJA BANKU SPÓŁDZIELCZEGO W SZCZYTNIE

ZARZĄDZENIE NR 9 MINISTRA CYFRYZACJI 1) z dnia r. w sprawie Karty Audytu Wewnętrznego w Ministerstwie Cyfryzacji

REGULAMIN FUNKCJONOWANIA KONTROLI ZARZADCZEJ W POWIATOWYM URZĘDZIE PRACY W GIśYCKU. Postanowienia ogólne

Rozdział 1. Postanowienia ogólne

Transkrypt:

Tom 25/2017, ss. 401 412 ISSN 1644-888X e-issn 2449-7975 DOI: 10.19251/ne/2017.25(26) www.ne.pwszplock.pl Aleksandra Milewska-Zawada Szkoła Główna Handlowa w Warszawie Zarządzanie ryzykiem w audycie wewnętrznym wybrane zagadnienia RISK MANAGEMENT IN INTERNAL AUDIT SELECTED ISSUES Streszczenie Celem artykułu jest określenie roli audytu wewnętrznego w procesie zarządzania ryzykiem w przedsiębiorstwie oraz zapoznanie czytelnika z metodami oceny ryzyka. Opis istoty ryzyka zawarty w Międzynarodowych standardach praktyki zawodowej audytu wewnętrznego. Określenie w jaki sposób tworzony jest plan audytu wewnętrznego. Opisano sposób identyfikacji ryzyk w przedsiębiorstwie przez audytora wewnętrznego oraz metody analizy ryzyka. Słowa kluczowe: audyt wewnętrzny, ryzyko, zarządzanie ryzykiem, standardy. Summary The main intention of the article is to define the role of an internal audit in a company risk management process, as well as to familiarize the reader with the methods of risk assessment. The article describes the risk included in the International Standards of Internal Auditing Practices. The author s intention is also to determine the way an internal audit plan is being created. Furthermore, the article describes methods of the internal risk identification by the internal auditor and explains what the risk analysis methods are. Keywords: internal audit, risk, risk management, standards.

402 Aleksandra Milewska-Zawada Tom XXV Wprowadzenie Nie ulega wątpliwości, że wszystkie działania podejmowane przez przedsiębiorstwa narażone są na ryzyko. To element zarządzania o zróżnicowanym charakterze, który można rozpatrywać z punktu widzenia wielu aspektów: psychologiczno-socjologicznego, matematyczno-statystycznego oraz finansowego [Buła, 2015, s13]. Występuje w każdym procesie działalności przedsiębiorstwa. W związku z tym, że nie jest możliwa całkowita likwidacja ryzyka przez podmiot, którego ono dotyczy, bardzo ważnym stało się rozpoznawanie, ocenianie a następnie reagowanie na istniejące ryzyko, ale także to, które dopiero może się pojawić (przewidywanie). Ryzyko i zarządzanie nim stało się elementem strategii przedsiębiorstw. Zarządzanie ryzykiem w przedsiębiorstwie jest także jednym z elementów, na których opiera się funkcjonowanie audytu wewnętrznego. The Institute of Internal Auditors (IIA) definiuje audyt wewnętrzny jako działalność niezależną i obiektywną, która [ ] polega na [ ] ocenie procesów: zarządzania ryzykiem, kontroli i ładu organizacyjnego, i przyczynia się do poprawy ich działania 1 [Gleim, 2015, s.2], oraz zapewnia o skuteczności funkcjonowania wymienionych procesów. Celem opracowania jest określenie roli audytu wewnętrznego w procesie zarządzania ryzykiem w przedsiębiorstwie oraz zapoznanie czytelnika z metodami oceny ryzyka. 1. Istota ryzyka w standardach audytu wewnętrznego Należy pamiętać, że zarządzanie ryzykiem to proces, który nie jest realizowany jedynie przez radę nadzorczą, czy kadrę wyższego szczebla. To proces, w którym uczestniczą wszyscy pracownicy. Jest on obecny na wszystkich etapach funkcjonowania przedsiębiorstwa. Ważne jest zatem określenie akceptowalnego poziomu ryzyka w przedsiębiorstwie, a co za tym idzie utrzymanie ryzyka w ustalonych granicach oraz racjonalne zapewnienie realizacji celów przedsiębiorstwa [Gleim, 2015, s108]. Uporządkowane podejście do ryzyka, daje możliwość łatwiejszego 1 Definicja IIA jest najczęściej stosowaną definicją w środowisku audytorów wewnętrznych. Opisuje ona w sposób kompletny rolę współczesnego audytu wewnętrznego w organizacji.

Zarządzanie ryzykiem w audycie wewnętrznym wybrane zagadnienia 403 zarządzania skutecznym przedsiębiorstwem, ale jego forma jest zależna od kultury zarządzania daną organizacją. Z kolei zadaniem audytu wewnętrznego jest zwiększenie efektywności funkcjonowania organizacji poprzez usprawnienie procesu zarządzania ryzykiem oraz zapewnienie kadry zarządzającej, że ten proces w przedsiębiorstwie przebiega w sposób skuteczny [Zawada, 2016, s 254]. Audyt wewnętrzny musi oceniać, w jakim stopniu ład organizacyjny, działalność operacyjna i systemy informatyczne organizacji są narażone na ryzyko związane z: osiągnięciem celów strategicznych organizacji, wiarygodnością i rzetelnością informacji finansowych i operacyjnych, skutecznością i wydajnością działalności operacyjnej i programów, ochroną aktywów, zgodnością z prawem i przepisami, zasadami, procedurami i umowami. [www1] 2 W przedsiębiorstwie, gdzie system zarządzania ryzykiem funkcjonuje w sposób prawidłowy, tj. według ujednoliconych przez kadrę zarządzającą zasad, rola audytu wewnętrznego ogranicza się do oceny (przeglądu), dostarczania zapewnienia o poprawności funkcjonowania oraz monitorowania skuteczności systemu zarządzania ryzykiem. Jednak znacznie większą rolę odgrywa audyt wewnętrzny w sytuacji, gdy system zarządzania ryzykiem jest słabo rozwinięty lub nie funkcjonuje prawidłowo [Buła, 2015, s.149]. W takiej sytuacji audytor wewnętrzny wspiera kierownictwo w zakresie analizy ryzyka oraz opracowania i wprowadzenia merytorycznego systemu zarządzania ryzykiem pomoc przy identyfikacji i ocenie ryzyk [Glaim, 2015, s.18]. W sytuacji, gdy w danym przedsiębiorstwie system zarządzania ryzykiem nie działa w ogóle, audytor wewnętrzny ma obowiązek przedstawienia kierownictwu propozycji i promowania jego stworzenia. Jednak pomimo tego, że audytor wewnętrzny bierze aktywny udział w procesie zarządzania ryzykiem, jest kilka czynności, których audytor wewnętrzny powinien się wystrzegać. Należą do nich wszelkie działania, które zarezerwowane są dla kadry zarządzającej przedsiębiorstwem, m.in. określanie akceptowalnego poziomu ryzyka, 2 Standard 2120.A1 Międzynarodowe standardy praktyki zawodowej audytu wewnętrznego, IIA 2016

404 Aleksandra Milewska-Zawada Tom XXV określenie, w jaki sposób ma wyglądać proces zarządzania ryzykiem w przedsiębiorstwie, podejmowanie decyzji o działaniach w odpowiedzi na zaistniałe ryzyko, podejmowanie decyzji dotyczącej ryzyka w imieniu kierownictwa [Gleim, 2015, s.18]. Pomagając kierownictwu w tworzeniu lub usprawnianiu procesów zarządzania ryzykiem, audytorzy wewnętrzni muszą powstrzymać się od podejmowania jakichkolwiek obowiązków kierownictwa i faktycznego zarządzania ryzykami. [www1] 3 Audyt wewnętrzny nie ponosi odpowiedzialności za skutki jakie poniesie organizacja w ramach procesu zarządzania ryzykiem. Odpowiedzialność taka spoczywa na radzie nadzorczej (funkcja kontrolna) i kadrze zarządzającej. Audytor wewnętrzny może jedynie sprawdzać, analizować, oceniać, zgłaszać i dawać zalecenia do dalszego działania. W innym przypadku mogłaby być zagrożona niezależność audytora wewnętrznego.[www1] 4 Zgodnie z Międzynarodowymi standardami praktyki zawodowej audytu wewnętrznego audyt wewnętrzny musi oceniać skuteczność i przyczyniać się do usprawnienia procesów zarządzania ryzykiem. [www1] 5 Audytor wewnętrzny uważa procesy zarządzania ryzykiem za skuteczne, jeżeli: cele organizacji wspierają misję organizacji i są z nią zgodne, istotne ryzyka zostały zidentyfikowane i ocenione, wybrano odpowiedni sposób reakcji na ryzyko, zgodny z apetytem organizacji na ryzyko, istotne informacje o ryzyku są zbierane i na czas przekazywane wewnątrz organizacji, umożliwiając pracownikom, kierownictwu i radzie wykonywanie obowiązków. [www1] 6 W standardach zapisano także konieczność planowania audytu wewnętrznego na podstawie analizy ryzyka. Ocena ryzyka jest metodą 3 Standard 2120.C3 Międzynarodowe standardy praktyki zawodowej audytu wewnętrznego, IIA 2016 4 Interpretacja Standardy 110 niezależność to brak okoliczności, które zagrażają bezstronnemu wykonywaniu obowiązków przez audyt wewnętrzny. 5 Standard 2120, Międzynarodowe standardy praktyki zawodowej audytu wewnętrznego, IIA 2016 6 Interpretacja Standardu 2120, Międzynarodowe standardy praktyki zawodowej audytu wewnętrznego, IIA 2016

Zarządzanie ryzykiem w audycie wewnętrznym wybrane zagadnienia 405 stosowaną do określenia jakie obszary narażone są na największe ryzyko i ich hierarchizacji. Zatem plan audytu wewnętrznego oparty jest na analizie ryzyka i określa priorytety działań audytu wewnętrznego. 2. Plan audytu wewnętrznego Plan działania audytu wewnętrznego tworzony jest na podstawie trzech podstawowych części składowych: informacji od kadry zarządzającej lub rady nadzorczej (zainteresowanie konkretną tematyką), strategii przedsiębiorstwa (cele wyznaczone przez organizację), ale przede wszystkim na podstawie analizy ryzyka. Zgodnie z Międzynarodowymi standardami audytu wewnętrznego Zarządzający audytem wewnętrznym musi opracować plan oparty na analizie ryzyka, określający priorytety działań audytu wewnętrznego zgodnie z celami organizacji [Gleim, 2015, s.44]. 7 Oznacza to, że analiza ryzyka stała się obligatoryjnym elementem planowania całej działalności audytu wewnętrznego, jak i poszczególnych zadań audytowych [Buła, 2015, s.129]. Na podstawie analizy ryzyka wybierane są tematy zadań audytowych obarczone największym poziomem ryzyka, a następnie na podstawie dodatkowych szczegółów (wymienionych wyżej) wybierane są zadania, które należy przeprowadzić w pierwszej kolejności. Gdy ważność obszarów (tematów) zostanie już ustalona, zarządzający audytem wewnętrznym powinien wziąć pod uwagę także zasoby ludzkie i rzeczowe, a następnie w porozumieniu z kadrą zarządzającą oraz radą nadzorczą, określić obszary, które będą podlegać audytowi wewnętrznemu [Knedler, Stasiak, 2014, s.41]. Plan audytu jest podstawowym dokumentem na podstawie którego organizowane są prace wydziału audytu wewnętrznego w przedsiębiorstwie. Nie jest on jednak dokumentem obowiązkowym, który wymagany jest przepisami prawa, mimo to daje możliwość stworzenia pewnego rodzaju strategii działania przez jednostkę audytu wewnętrznego, a co za tym wykonania przeglądów procesów obarczonych najwyższym ryzykiem [Szymańska, Kiziukiewicz (red.), 2013, s. 138]. Plan audytu nie jest także dokumentem stałym, którego zapisy nie mogą ulec zmianie. W przypadku pojawienia się nieplanowanych wydarzeń wewnątrz przedsiębiorstwa, zdarzeń gospodarczych, nagle wykrytych 7 Standard 2010, Międzynarodowe standardy praktyki zawodowej audytu wewnętrznego, IIA, 2016

406 Aleksandra Milewska-Zawada Tom XXV nadużyć, czy zmian przepisów prawa, zarządzający audytem wewnętrznym ma możliwość zmiany zapisów planu. Na podstawie analizy ryzyka realizowane są także poszczególne zadania audytowe. W każdym zadaniu audytowym audytorzy wewnętrzni muszą przeprowadzić wstępną analizę ryzyk związanych z badaną działalnością. Wyniki tej oceny muszą być odzwierciedlone w celach zadania. 8 Oznacza to, że audytor wewnętrzny przygotowując się do przeprowadzenia zadania audytowego z danego obszaru, ma obowiązek zidentyfikować ryzyka istniejące w audytowanym obszarze, oraz określić jakie występują w nim mechanizmy kontrolne (szczególnie te o kluczowym znaczeniu dla obniżenia wartości ryzyka). Ocena ryzyk powinna być sporządzona tak, żeby określała ich wpływ (skutek) oraz prawdopodobieństwo. Planowanie zadania audytowego powinno zatem uwzględniać: cele badanej działalności oraz ich mechanizmy kontrolne, istotne ryzyka dla badanej działalności oraz środki wykorzystywane do utrzymania ich w założonych granicach apetytu na ryzyko, skuteczność procesu zarządzania ryzykiem w badanej działalności oraz możliwości jego usprawnienia w organizacji [Buła, 2015, s.130]. Kolejnymi etapami przeprowadzania zadania audytowego, po jego zaplanowaniu jest realizacja zadania audytowego, raportowanie i monitorowanie wprowadzonych zaleceń. Należy pamiętać, że bardzo przydatnym elementem w tworzeniu planu audytu wewnętrznego na podstawie analizy ryzyka są także rozmowy audytora z pracownikami przedsiębiorstwa (zarówno pracownikami wyższego szczebla, jak i pracownikami liniowymi) i uzyskane od nich informacje [Sorokin, Winiarska (red.), 2013, s.155]. 3. Identyfikacja ryzyka i metody analizy ryzyka Rolą audytu wewnętrznego jest zatem ocena ryzyka występującego w przedsiębiorstwie. Oceny ryzyka przeprowadza się w dwóch etapach: identyfikując obszary ryzyka, analizując ryzyka [Sorokin, Winiarska (red.), 2013, s.154]. 8 Standard 2210.A1, Międzynarodowe standardy praktyki zawodowej audytu wewnętrznego, IIA, 2016

Zarządzanie ryzykiem w audycie wewnętrznym wybrane zagadnienia 407 Obszary ryzyka to procesy i zjawiska, w których powinien zostać przeprowadzony audyt wewnętrzny. Natomiast identyfikacja obszarów ryzyka następuje na podstawie subiektywnego osądu audytora wewnętrznego. Wymaga to od audytora specjalistycznej i obszernej wiedzy na temat działalności organizacji i zgodne z celami organizacji. Dlatego żadna zmiana w przedsiębiorstwie nie powinna umknąć uwadze audytora. Identyfikacja obszarów ryzyka składa się z następujących kroków: określenie przyczyn wystąpienia danego ryzyka, określenie rodzaju tego ryzyka, charakterystyka zidentyfikowanych ryzyk, określenie efektów wystąpienia ryzyk, określenie podmiotów dotkniętych ryzykiem. [www2] Kolejnym krokiem po identyfikacji obszarów ryzyka jest analiza ryzyka. Do uszeregowania ważności obszarów ryzyka w przedsiębiorstwie niezbędne jest dostosowanie odpowiedniej metody analizy ryzyka. W literaturze przedmiotu wyróżnia się trzy metody: matematyczna - tworzona jest matryca ryzyka (arkusz kalkulacyjny). To narzędzie dość skomplikowane, opierające się na odpowiednich wzorach matematycznych. Jest to metoda pracochłonna, jednak dane w niej zawarte mogą być wykorzystywane kilka razy. Najczęściej raz wprowadzone dane dają długoterminowy obraz obserwacji, a co za tym idzie metoda ta stwarza możliwość porównania analizy ryzyka w kolejnych okresach czasu [Kufel, Kiziukiewicz (red.), 2013, s.120]; szacunkowa (delficka) jej podstawą jest profesjonalny, ale jednocześnie subiektywny osąd audytora wewnętrznego. Tworzone są listy rankingowe, w których określa się poziom ryzyka dla wybranych wcześniej zadań audytowych [www3]. Inaczej niż w metodzie matematycznej, metody szacunkowe są szybkie w realizacji i dość proste do przygotowania, jednak bez trudu można je podważyć ze względu na ich subiektywny charakter. W celu zachowania obiektywizmu najczęściej przeprowadzana jest przez grupę ekspertów. Dodatkowo metoda ta wymaga od audytora wewnętrznego znakomitej znajomości obszarów funkcjonowania organizacji trudno jest uwzględnić szybko zachodzące zmiany w jednostce i otoczeniu [Kufel, Kiziukiewicz (red.), 2013, s.120] Przykładem szacunkowej analizy ryzyka jest mapa ryzyka;

408 Aleksandra Milewska-Zawada Tom XXV mieszana połączenie metody matematycznej i szacunkowej. Oparte są na rankingowaniu ryzyka. Nie wymagają złożonych obliczeń i dają możliwość porównania rodzajów ryzyk wyrażonych za pomocą różnych miar statystycznych [www4]. Metoda analizy ryzyka musi być dostosowana do specyfiki funkcjonowania danego przedsiębiorstwa, aby dalsza część realizacji zadań audytowych była efektywna. Żadna z wyżej opisanych metod nie jest ani lepsza, ani gorsza od innej. Celem analizy ryzyka jest określenie, jakie ryzyka w przedsiębiorstwie oceniane są najwyżej i określić ich hierarchię. Jednocześnie próbuje znaleźć odpowiedź na pytanie, jak funkcjonują mechanizmy kontrolne i w jaki sposób organizacja postępuje z ryzykiem, aby minimalizować jego prawdopodobieństwo i skutki wystąpienia. W przypadku, gdy wybrana metoda analizy ryzyka zawiedzie (nie będzie na tyle skuteczna, jak oczekiwana) należy metodę zmienić lub przynajmniej poprawić [www3]. Analiza ryzyka jest użyteczna w zarządzaniu ryzykiem. Audytor wewnętrzny określa, czy działający w przedsiębiorstwie system zarządzania ryzykiem jest skuteczny, ustalając, czy: cele organizacji zostały dobrane prawidłowo, aby realizować jej misję, istotnie zagrażające ryzyka organizacji zostały zidentyfikowane w sposób prawidłowy, określono reakcję na ryzyko, apetyt na ryzyko, przekazywanie informacji na temat występujących ryzyk do kadry zarządzającej oraz pracowników odbywa się w odpowiednim czasie [www3]. 4. Mapa ryzyka Audytorzy wewnętrzni realizując zadanie audytowe powinni określić prawdopodobieństwo wystąpienia danego ryzyka oraz jego wpływ (skutki, konsekwencje) na działalność przedsiębiorstwa i realizację jego celów. [Zawada, 2016, s.255]. W ten sposób powstaje macierz ryzyka, inaczej zwana w literaturze przedmiotu mapą ryzyka. Jest to graficzny obraz ryzyk dla badanego obszaru. Rysunek 1 pokazuje przykładową mapę ryzyka.

Zarządzanie ryzykiem w audycie wewnętrznym wybrane zagadnienia 409 P R A W D O P O D O B I E Ń S T W O RYZYKO BARDZO PRAWDOPODOBNE (Ograniczanie, redukowanie) RYZYKO NIEISTOTNE (Akceptacje) RYZYKO KLUCZOWE (Unikanie) RYZYKO DUŻEJ WARTOŚCI (Dzielenie się ryzykiem, transfer) WPŁYW Rysunek 1. Macierz ryzyk Ryzyko jest tutaj iloczynem prawdopodobieństwa zajścia zdarzenia (oś Y) i wpływu, czyli skutków, jakie za sobą niesie (oś X). [www5] Bez względu na sposób interpretacji i wartości jakie przyjęte zostały przez przedsiębiorstwo do budowy wykresu, można stwierdzić, że bardziej prawdopodobne jest wystąpienie ryzyka, które znalazło się w na górze, natomiast prawdopodobieństwo ryzyka na dole jest mniejsze. Tak samo, ryzyka przydzielone do lewej części wykresu są mniej dotkliwe dla przedsiębiorstwa, natomiast te po prawej stronie bardziej. [www6] W zależności od przyjętego sposobu zarządzania ryzykiem w przedsiębiorstwie, możliwe są różne reakcje na zaistniałe ryzyko. Najczęściej przyjmowany jest model ryzyka, z reakcjami opisanymi na rysunku 1: Ryzyko kluczowe reakcja: unikanie ryzyka oznacza zakończenie wszelkich czynności, w przypadku których dane ryzyko może powstać, np. sprzedaż placówki fabryki, która znajduje się na terenach zalewowych i narażona jest na ciągłe ryzyko powodzi. Ryzyko bardzo prawdopodobne reakcja: ograniczenie, redukowanie ryzyka minimalizacja ryzyka związanego z konkretnymi czynnościami, np. zapewnienie subsydiarnych dostawców, kary umowne w umowach Ryzyko dużej wartości reakcja: dzielenie się ryzykiem, transfer przeniesienie ryzyka na stronę trzecią, np. ubezpieczenie, venture capital, itp.

410 Aleksandra Milewska-Zawada Tom XXV Ryzyko nieistotne reakcja: akceptacja całkowita zgoda na wystąpienie ryzyka danej działalności [Gleim, 2015, s.109]. Bez względu na to, czy mapa ryzyka tworzona jest dla pojedynczego zadania audytowego, czy dla całego portfela ryzyk, jest ona obrazem dynamicznym. Wpisane w nią ryzyka przemieszczają się, co stanowi istotę zarządzania ryzykiem, a to z kolei wymaga ponownej identyfikacji, oceny oraz określenia reakcji na dane ryzyko. [www7] Dlatego mapa ryzyk podlega okresowej weryfikacji i ulega ona ciągłym zmianom. Stworzenie mapy ryzyka i jej odpowiednia interpretacja (zgodna z profilem zarządzania ryzykiem w danym przedsiębiorstwie) ma istotne znaczenie dla działań audytu wewnętrznego i realizacji zadania pod kątem zidentyfikowanych i ich istotności dla przedsiębiorstwa. 5. Ryzyko audytu wewnętrznego Ryzyko jest obszarem badań audytorów wewnętrznych. Każde zadanie audytowe dostarcza kadrze zarządzającej informacji, czy poszczególne obszary przedsiębiorstwa działają efektywnie, czy zarządzanie ryzykiem przebiega w sposób skuteczny i czy jest efektywne. Badając ryzyka poszczególnych obszarów działalności przedsiębiorstwa, audyt wewnętrzny nie powinien zapominać o ryzyku, które ciąży także na jego sferze funkcjonowania. Jest to ryzyko audytu wewnętrznego, czyli ryzyko związane z badaniem i wydaniem błędnej opinii wskutek niewykrycia nieprawidłowości [Kufel, Kiziukiewicz (red.), 2013, s.104]. Oznacza to dostarczenie przez audytora błędnych lub niekompletnych informacji na temat ładu organizacyjnego, zarządzania ryzykiem i kontroli [Gleim, 2015, s.49]. Ryzyko audytu = ryzyko nieodłączne x ryzyko kontroli x ryzyko przeoczenia Ryzyko nieodłączne system kontroli wewnętrznej jest nieskuteczny, a co za tym idzie nie ma mechanizmu, który zapobiegałby występowaniu określonych nieprawidłowości [www3]. Ryzyko kontroli funkcjonujący system kontroli wewnętrznej nie zapobiegnie wykryciu i wystąpieniu określonych nieprawidłowości. Mechanizmy kontrolne nie są w stanie zapobiegać błędom w danym momencie [Kufel, Kiziukiewicz (red.), 2013, s.104]. Ryzyko przeoczenia (detekcji) ryzyko, że czynności wykonane przez audytora wewnętrznego nie wykryją nieprawidłowości, która istnieje

Zarządzanie ryzykiem w audycie wewnętrznym wybrane zagadnienia 411 i może być istotna dla funkcjonowania danego obszaru audytor nie ustali stanu faktycznego [Gleim, 2015, s.49]. Z powyższych ryzyk, jedynie ryzyko przeoczenia może być kontrolowane przez audytora wewnętrznego. Audyt wewnętrzny musi najpierw określić poziomy ryzyka nieodłącznego i kontroli dla badanej działalności. Ryzyko przeoczenia jest następnie ustalane na takim poziomie, by osiągnąć akceptowalne ryzyko audytu [Gleim, 2015, s.50]. Podsumowanie Audyt wewnętrzny to narzędzie, które wspomaga skuteczne zarządzanie przedsiębiorstwem poprzez ocenę procesów zarządzania ryzykiem, kontroli i ładu organizacyjnego. Zgodnie z tą definicją analiza ryzyka to jedno z podstawowych zadań komórki audytu wewnętrznego. Jest ona zatem kluczowym wsparciem w przeciwdziałaniu negatywnym zdarzeniom i jego skutkom dla organizacji. Audyt wewnętrzny ocenia także jakość systemu zarządzania ryzykiem, określając czy jest on skuteczny i efektywny. Literatura Buła Rafał. 2015. System zarządzania ryzykiem w przedsiębiorstwie jako element nadzoru korporacyjnego, Kraków: Wydawnictwo Uniwersytetu Jagiellońskiego. Gleim I.N. 2015. Podstawy audytu wewnętrznego, Warszawa: IIA Polska, EY Academy of Business. Knedler Konrad, Stasiak Mirosław. 2014. Audyt wewnętrzny w praktyce. Audyt operacyjny i finansowy, Warszawa: Akademia Kształcenia Kadr. Kufel Tomasz. 2013. Ryzyko i jego analiza na potrzeby audytu wewnętrznego i kontroli zarządczej, W Audyt wewnętrzny w strukturze kontroli zarządczej, red. Teresa Kiziukiewicz, 101-132, Warszawa: Difin. Krzemień Rafał, Winiarska Kazimiera. 2005. Audyt wewnętrzny - testy i zadania, Szczecin: Fundacja na rzecz Uniwersytetu Szczecińskiego. Sorokin Joanna. 2013. Analiza ryzyka elementem działalności audytu wewnętrznego w firmie produkcyjno-usługowej, W Kontrola zarządcza oraz audyt wewnętrzny w teorii i praktyce, red. Kazimiera Winiarska, 154-168, Szczecin: Wydawnictwo Naukowe Uniwersytetu Szczecińskiego. Zawada Aleksandra, 2016. Audyt wewnętrzny szansą na sukces przedsiębiorstwa, W Zeszyty Naukowe PWSZ w Płocku, Nauki Ekonomiczne tom XXIII: 247.

[www1] https://www.iia.org.pl/sites/default/files/definicja_kodeks_standardy_ pl_en_2017_final.pdf [www2] http://www.wneiz.pl/nauka_wneiz/frfu/74-2015/frfu-74-t1-533.pdf [www3] http://wneiz.pl/nauka_wneiz/sip/sip16-2009/sip-16-107.pdf [www4] http://www.woiz.polsl.pl/znwoiz/z96/po_rec_007_ziemski.pdf [www5] http://www.tiam.pl/archiwum/pdf/201201s41.pdf [www6] http://www.rudnicki.com.pl/pub/rm_05.pdf [www7] http://www.bankier.pl/wiadomosc/sporzadzanie-mapy-ryzyka-elementarz-risk-managera-1839217.html

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres