Microsoft Word - 00_Spis tresci.doc

Zesz. 33(89)

12/2006

271

ZESZYTY TEORETYCZNE RACHUNKOWOŚCI, tom 53 (109), Warszawa 2009

Ocena ryzyka na potrzeby audytu wewnętrznego

jednostek sektora polskich finansów publicznych

Marcin Tatoj

∗

1. Wprowadzenie

Audyt wewnętrzny w jednostkach sektora polskich finansów publicznych funk-

cjonuje dopiero niecałe osiem lat, od 1 stycznia 2002 roku

. Na świecie idea pro-

fesjonalnego, współczesnego audytu wewnętrznego zrodziła się w pierwszej poło-

wie XX wieku w Stanach Zjednoczonych

, natomiast w Europie znaczącą datą

dla audytu wewnętrznego był rok 1977

∗

Mgr Marcin Tatoj, Akademia Ekonomiczna im. Karola Adamieckiego w Katowi-

cach, Katedra Rachunkowości, asystent.

Audyt wewnętrzny został, obok wewnętrznej kontroli finansowej, z którą tworzy pu-

bliczną wewnętrzną kontrolę finansową, wprowadzony ustawą z dnia 27 lipca 2001 r.
o zmianie ustawy o finansach publicznych (...), (Dz.U. z 2001 r., nr 102, poz. 1116);
nowela ta dotyczyła nieobowiązującej już ustawy z dnia 26 listopada 1998 r. o finansach
publicznych (Dz.U. z 2003 r., Nr 15, poz. 148 z późn. zm.); Stworzenie krajowych norm
organizacyjno-prawnych, regulacji profesjonalnych i wielu procedur w zakresie praktyki
audytu wewnętrznego i wewnętrznej kontroli finansowej w jednostkach sektora finan-
sów publicznych (jsfp) w Polsce oraz powołanie w Ministerstwie Finansów Departa-
mentu Koordynacji Kontroli Finansowej i Audytu Wewnętrznego (DKKFiAW) było
następstwem negocjacji akcesyjnych Rzeczpospolitej Polskiej z Unią Europejską w ob-
szarze nr 28 „Kontrola finansowa”, a ich opracowanie było niezbędne dla zabezpiecze-
nia prawidłowej gospodarki środkami i mieniem publicznym w jednostkach.

W 1941 r. w USA powstało międzynarodowe stowarzyszenie – Instytut Audyto-

rów Wewnętrznych (The Institute of Internal Auditors), które zajęło się m. in. promo-
waniem i budową pozycji audytu i audytorów wewnętrznych oraz standaryzacją audytu
wewnętrznego; Początki audytu wewnętrznego to Mezopotamia, ok. 3600 r. p.n.e.; zna-
ny obecnie audyt wewnętrzny narodził się w Anglii w okresie rewolucji przemysłowej;
początki klasycznego audytu wewnętrznego to sektor prywatny, czas pokazał jednak, że
jest możliwe stosowanie go w sektorze publicznym.

Utworzenie Europejskiego Trybunału Audytorów (The European Court of Audi-

tors), który skoncentrował się przede wszystkim na kontrolowaniu realizacji budżetu
Unii Europejskiej; zob. również: Tatoj, 2007.

Zesz. 33(89)

12/2006

272

Współczesny audyt wewnętrzny to nowoczesne narzędzie zarządzania jednostką

organizacyjną, integrujące m.in. zadania wszystkich znanych elementów nadzoru,

dostarczając dokładnych informacji, analiz, ocen i zaleceń, zorientowane (bizne-

sowo-zarządczo) na cele jednostki, przynoszące wartość dodaną i usprawnienie

działalności, funkcjonując w trzech przestrzeniach czasowych – przeszłości, teraź-

niejszości i przyszłości. Jest również działalnością doradczą i instruktażową,

rodzajem proaktywnej, niezależnej, profesjonalnej, obiektywnej i neutralnej działal-

ności sprawdzającej, oceniającej zapewniającej zarówno o skuteczności kontroli

i zarządzania (efektywności całej struktury i działalności jednostki) – jak też, co

z punktu widzenia tematu opracowania jest kluczowe – sprawności i usprawnia-

nia procesów zarządzania ryzykiem

Współczesny audyt wewnętrzny koncentruje się na ocenie ryzyka (identyfikacja

obszarów i analiza ryzyka), a poziom ryzyka stanowi podstawę hierarchizacji ob-

szarów podlegających audytowi wewnętrznemu w danym okresie, czyli wskazania

najpilniejszych zadań audytowych, narażonych w jednostce na największe ryzyko.

Ryzyko powinno być oceniane na każdym etapie prac audytora wewnętrznego,

poprzedzającym opracowanie sprawozdania z przeprowadzenia audytu, a zwłaszcza

sporządzenie rocznego planu audytu wewnętrznego (Winiarska, 2007, s. 153).

Planowanie roczne audytu (ocena ryzyka w skali makro) jest mocno powiązane

z ryzykami zagrażającymi w osiąganiu celów strategicznych, natomiast planowanie

poszczególnych audytów (ocena ryzyka w skali mikro) – z ryzykami dla celów

operacyjnych (Knedler, Stasik, 2005, s. 16; zob. również: McNamee, 2004).

Ograniczenie ryzyka w działalności jednostki jest nadrzędnym celem audytu

wewnętrznego. Audyt stanowi w jednostce wsparcie kadry kierowniczej w reali-

zacji powierzonych im zadań m. in. poprzez ocenę efektywności zarządzania

ryzykiem, za które kierownictwo jest odpowiedzialne. Kadra kierownicza akcep-

tuje rekomendacje audytu co do ryzyka, bądź ją odrzuca, alternatywnie akceptu-

jąc dany poziom ryzyka.

Celem niniejszego opracowania jest zatem pokazanie istoty i rodzajów ryzy-

ka, pojęcia zarządzania ryzykiem. Ocena ryzyka zaś jest podstawą hierarchizacji

obszarów podlegających audytowi wewnętrznemu. Celem jest więc uporządko-

wanie problematyki, zdefiniowanie powyższych pojęć i syntetyczna prezentacja

metod analizy ryzyka na podstawie literatury przedmiotu oraz krajowych i między-

narodowych regulacji prawnych i profesjonalnych audytu wewnętrznego

i za-

rządzania ryzykiem.

Zarządzanie ryzykiem to logiczna i systematyczna metoda tworzenia kontekstu,

identyfikacji, analizy, oceny, działania, nadzoru oraz informowania o ryzyku w sposób,

który umożliwi organizacji minimalizację strat i maksymalizację możliwości. (AS/NZS

4360:1999 Risk Management opracowany przez Australian Standards/New Zealand

Standards); Światowe standardy zarządzania ryzykiem: Risk Management Standards

opracowane w Wielkiej Brytanii wspólnie przez The Institute of Risk Management

(IRM), The Association of Insurance and Risk Managers (AIRMIC) i The National

Forum for Risk Management in the Public Sector (ALARM), AS/NZS Risk Manage-

ment opracowany przez Australian Standards/New Zealand Standards.

W każdej krajowej i międzynarodowej regulacji prawnej i profesjonalnej audytu

wewnętrznego funkcjonują zapisy dotyczące ryzyka i zarządzania ryzykiem, co pokazu-

je istotność tych zagadnień w audycie wewnętrznym.

Zesz. 33(89)

12/2006

273

2. Charakterystyka ryzyka i identyfikacja jego czynników

Podejmowanie decyzji w jednostkach odbywa się w warunkach niepewności

i ryzyka, zawężających swobodę działania. Powyższe pojęcia nie są tożsame,

choć często bywają stosowane zamiennie i wówczas ryzyko jest określane po-

przez niepewność. W teorii zarządzania wyróżnia się, w zależności od zakresu

informacji posiadanych przez decydenta, sytuacje decyzyjne pewne, ryzykowne

i niepewne (Stoner, Wankel, 1992, s. 125). W sytuacji ryzykownej decydent nie zna

skutków decyzji, ale jest w stanie przewidzieć prawdopodobieństwo poszczegól-

nych wyników, natomiast w sytuacji niepewnej nie potrafi określić prawdopo-

dobieństwa rezultatów. Dlatego można przyjąć, że ryzyko jest w pewnym stop-

niu mierzalne, a niepewność cechuje niemierzalność.

Charakterystyki ryzyka w profesjonalnej literatury przedmiotu, mimo pewnych

różnic, mają bardzo wiele wspólnych elementów, i wzajemnie się uzupełniają.
Poniżej zaprezentowano kilka wybranych definicji pojęcia ryzyka (ang. risk).

Podręcznik wdrożenia systemu zarządzania ryzykiem w administracji publicznej

w Polsce definiuje ryzyko jako niepewność związaną ze zdarzeniem lub dzia-

łaniem, które wpłynie na zdolność organizacji do realizacji celów jej działal-

ności. Może mieć charakter negatywnego zagrożenia lub pozytywnej możli-

wości

Podobną charakterystykę ryzyka można znaleźć w wydanej przez Minister-

stwo Skarbu Jej Królewskiej Mości tzw. Pomarańczowej księdze, dotyczącej

zasad i koncepcji zarządzania ryzykiem. Ryzyko jest tu określane jako nie-

pewność rezultatu działań lub zdarzeń, wynikająca z pojawiających się szans

i zagrożeń. Ryzyko musi być oceniane w odniesieniu do kombinacji prawdo-

podobieństwa wystąpienia danego zdarzenia i jego oddziaływania wówczas,

gdy rzeczywiście będzie mieć miejsce. Ryzyka nie da się uniknąć i każda or-

ganizacja powinna podejmować działania w celu zarządzania ryzykiem w spo-

sób, jaki takie ryzyko uzasadnia, oraz prowadzący do takiego poziomu ryzy-

ka, który jest dopuszczalny

. Poziom ryzyka, który jest oceniany jako dopu-

szczalny i uzasadniony, nazywa się „apetytem na ryzyko” (Pomarańczowa księ-
ga, 2004, s. 9).

Glosariusz terminów dotyczących kontroli i audytu w administracji publicz-

nej prezentuje ryzyko jako prawdopodobieństwo, że określone zdarzenie wy-

stąpi i niekorzystnie wpłynie na osiągnięcie danego celu (Glosariusz, 2005).

Zarządzanie ryzykiem, 2004, s. 6. Podręcznik ten sporządzono w ramach środków

projektu UE Transition Facility 2004/016–829.01.08 „Zarządzanie ryzykiem i wzmocnienie
efektywności służb audytu wewnętrznego w jednostkach sektora finansów publicznych”.

Dopuszczalny poziom ryzyka to ryzyko rezydualne – poziom ryzyka pozostały po

przeprowadzeniu kontroli wewnętrznej; jest narażeniem (ang. exposure) w odniesieniu
do danego ryzyka i powinien to być poziom możliwy do zaakceptowania i uzasadniony;
powinien znajdować się w granicach apetytu na ryzyko. (Pomarańczowa księga, 2004, s. 9).

Zesz. 33(89)

12/2006

274

Według Podręcznika audytu wewnętrznego w administracji publicznej, ryzy-

ko jest prawdopodobieństwem wystąpienia dowolnego zdarzenia, działania

lub braku działania, których skutkiem może być szkoda w majątku lub wize-

runku danej jednostki lub które przeszkodzą w osiągnięciu wyznaczonych jej

celów i zadań (Podręcznik, 2003, s. 21).

Podobnie Słownik pojęć ekonomicznych określa, że gdzie ryzyko – to możli-

wość poniesienia szkody lub straty w obliczu niepewności wyniku działań, przy-

szłych zdarzeń lub okoliczności. Organizacje są narażone na różne typy ryzy-

ka, do których zalicza się szkody majątkowe, obrażenia personelu, straty pie-

niężne i odpowiedzialność prawną. Mogą one mieć wpływ na rentowność or-

ganizacji, utrudnić osiąganie celów lub doprowadzić do zastoju lub bankruc-

twa. Ryzyko można postrzegać jako wysokie lub niskie, w zależności od

prawdopodobieństwa niekorzystnego rezultatu (Słownik pojęć ekonomicz-
nych, 2007).

Powyższe charakterystyki prezentują dwa stanowiska postrzegania ryzyka – nie-

pewności, prawdopodobieństwa wystąpienia określonego zdarzenia:

1) mającego jedynie charakter negatywnego zagrożenia (niekorzystnego wpły-

wu na cel, możliwości poniesienia szkody lub straty),

2) mającego charakter negatywnego zagrożenia, ale opcjonalnie również pozy-

tywnej możliwości.

Jako podsumowanie może posłużyć definicja K. Czerwińskiego, skłaniające-

go się ku drugiemu z zaprezentowanych stanowisk, określającego ryzyko jako

możliwość wystąpienia zdarzenia, które będzie miało wpływ na organizację.

Według niego, istnieją dwa źródła ryzyka:

1) zagrożenia bezpośrednie (zdarzenia szkodliwe), które powodują, że cele nie

zostaną osiągnięte,

2) szanse (zdarzenia korzystne), które dają możliwość skuteczniejszego osiągnięcia

celów (Czerwiński, 2004, s. 60).

Nie ma możliwości ograniczenia ryzyka do zera, oznaczałoby to bowiem za-

niechanie działalności jednostki. Należy dołożyć wszelkich starań, aby utrzymać

akceptowalny poziom ryzyka.

Ryzyko podlega klasyfikacji ze względu na różne kryteria, każdy podział jest

umowny i uzależniony od punktu widzenia, z którego jest dokonywany. Jed-

nostka jest narażona na wiele rodzajów ryzyka, poznanie jego przyczyn

i powiązań między jego rodzajami jest podstawą do ograniczania ryzyka. Ryzy-

ka te są przedmiotem zainteresowania audytu wewnętrznego. Klasyfikację ryzy-

przedstawia tabela 1.

Zaproponowana klasyfikacja nie jest wyczerpującym, zamkniętym zbiorem, stano-

wi zestawienie najczęściej występujących rodzajów ryzyka.

Zesz. 33(89)

12/2006

275

Tabela 1. Klasyfikacja ryzyka

Lp.

Kryterium klasyfikacji

Rodzaj ryzyka

Zewnętrzne:
Polityczne
Ekonomiczne
Społeczne
Legislacyjne
Środowiskowe
Stopy procentowej
Walutowe
Umowne
Płynności

1. Miejsca

powstawania

Wewnętrzne:
Zarządzania
Finansowe
Prawne
Zasobów ludzkich
Zawodowe
Technologiczne
Fizyczne
Operacyjne

2. Horyzont

czasowy

Strategiczne
Systematyczne

3. Powtarzalność

Doraźne (Specyficzne)
Dynamiczne

4. Zmiany

otoczenia

Statyczne
Czyste

5. Skutek

Spekulacyjne
Finansowe

6. Mierzalność skutków

Niefinansowe

Źródło: opracowanie własne na podstawie: Kiziukiewicz T. (red.) (2007), s. 64–66;

J. Głuchowski (red.) (2001), s. 266–267; Zarządzanie ryzykiem, 2004, s. 23, 35–36.

Audytor wewnętrzny, obok wskazanych wyżej rodzajów ryzyka, powinien

w swoich działaniach uwzględnić również ryzyko audytu wewnętrznego, które

w znaczeniu ogólnym polega na prawdopodobieństwie wydania niewłaściwej opinii

przez audytora, tj. nie wyrazi on zastrzeżeń w stosunku do działalności, która

jest w sposób istotny nieprawidłowa (ryzyko błędnej akceptacji

) lub wyrazi

zastrzeżenia do działalności prowadzonej w sposób prawidłowy (ryzyko błędne-

go odrzucenia

). Ryzyko to jest koniunkcją ryzyka kontroli, ryzyka nieodłącz-

nego i ryzyka przeoczenia.

Ryzyko błędnej akceptacji – ryzyko (prawdopodobieństwo), że audytor wyda opi-

nię pozytywną w przedmiocie badania pomimo istotnych nieprawidłowości, przekracza-
jących przyjęty próg istotności. (Glosariusz, 2005).

Ryzyko błędnego odrzucenia – ryzyko (prawdopodobieństwo), że audytor wyda

negatywną opinię w przedmiocie badania w sytuacji, gdy nie występują istotne odstęp-
stwa od stanu pożądanego (odstępstwa nie przekraczające przyjętego progu istotności).
(Glosariusz, 2005).

Zesz. 33(89)

12/2006

276

1) Ryzyko kontroli (ryzyko zawodności systemów kontroli wewnętrznej) – ry-

zyko, że system kontroli wewnętrznej nie zapobiegnie lub nie wykryje i nie

skoryguje na czas istotnych błędów lub nieprawidłowości w zarządzaniu, któ-

re mogą wynikać z braku odpowiednich mechanizmów lub, że istniejące me-

chanizmy nie działają w sposób skuteczny, ciągły i spójny.

2) Ryzyko nieodłączne – ryzyko związane z charakterem działalności, operacji

i struktur zarządzania, które mogą być źródłem istotnych błędów lub niepra-

widłowości.

3) Ryzyko przeoczenia (niewykrycia, detekcji) – ryzyko, że badania audytowe nie

doprowadzą do wykrycia błędów lub nieprawidłowości, które mogą okazać się

istotne

. Można je ograniczyć przez odpowiednie planowanie, należyte przy-

dzielanie działań, zaangażowanie w pracę, profesjonalny sceptycyzm oraz od-

powiedni poziom jakości.

Działanie audytu wewnętrznego powinno wspierać organizację poprzez roz-

poznanie i ocenę znaczących zagrożeń ryzykiem oraz przyczyniać się do

usprawnienia systemów zarządzania ryzykiem

i kontroli, a w tym:

•

monitorować i oceniać skuteczność systemu zarządzania ryzykiem w danej

organizacji,

•

oceniać zagrożenie ryzykiem związane z governance

, działalnością opera-

cyjną oraz systemami informatycznymi w organizacji, biorąc pod uwagę:

─

wiarygodność i rzetelność informacji finansowych i operacyjnych,

─

skuteczność i efektywność działań operacyjnych,

─

ochronę aktywów,

─

zgodność z prawem, przepisami i umowami (Międzynarodowe Standardy
Profesjonalnej Praktyki, 2001, Standard 2110 Zarządzanie ryzykiem, w tym:

A1, A2; Komunikat Nr 11 Ministra Finansów, 2006; zob. również Wy-
tyczne do stosowania standardów.

Audyt wewnętrzny pełni kluczową rolę we wsparciu zarządzania ryzykiem.

Zadaniem audytu wewnętrznego jest przedstawienie kierownictwu niezależnej

opinii dotyczącej skuteczności wewnętrznych mechanizmów kontrolnych zwią-

zanych z zarządzaniem ryzykiem. Roczny plan audytu wewnętrznego powinien

opierać się na informacjach pochodzących z rejestru ryzyka i uwzględniać:

•

obszary wysokiego ryzyka oraz środki, za pomocą których potencjalny nega-

tywny wpływ ryzyka jest utrzymywany na poziomie możliwym do przyjęcia,

Charakteryzując ryzyko audytu wewnętrznego warto zwrócić również uwagę na

ryzyko doboru próby – prawdopodobieństwo, że wniosek audytora oparty na badaniu próby
będzie inny niż wniosek, do którego doszedłby, gdyby cała populacja została poddana
takiej samej technice przeprowadzania zadania audytowego. (Glosariusz, 2005).

Zarządzanie ryzykiem nie sprowadza się wyłącznie do wdrożenia funkcji audytu

wewnętrznego, jest zadaniem każdego pracownika, nie tylko nielicznych specjalistów.
Proces ten należy postrzegać jako podstawowy obowiązek zarządzających, którzy po-
winni zachęcać pracowników świadczących usługi do stosowania podejścia opartego na
świadomości występowania ryzyka. (Zarządzanie ryzykiem, 2004, s. 11).

Ład organizacyjny, szeroko pojęte zarządzanie.

Zesz. 33(89)

12/2006

277

•

prawidłowość i skuteczność systemów zarządzania ryzykiem i kontroli danej

działalności,

•

możliwość istotnych udoskonaleń systemu zarządzania ryzykiem i kontroli

danej działalności.

Kierownicy wyższego szczebla muszą mieć pewność, że system zarządzania

ryzykiem funkcjonuje właściwie. Audyt wewnętrzny musi dysponować narzę-

dziami umożliwiającymi uzyskanie obiektywnej opinii niezależnej od kierownic-

twa (Zarządzanie ryzykiem, 2004, s. 19).

Podczas zadań doradczych audytorzy wewnętrzni powinni podejść do ryzyka

zgodnie z celami zadań i zwracać uwagę na możliwość istnienia innych znaczą-

cych ryzyk. Powinni też wykorzystać wiedzę o ryzykach, uzyskaną podczas wy-

konywania zadań doradczych, do rozpoznania i oceny znaczących zagrożeń da-

nej organizacji ryzykiem (Międzynarodowe Standardy, 2001, Zarządzanie ryzy-
kiem, 2004, w tym C1, C2). Kwalifikacje i doświadczenie audytora wewnętrzne-

go powinny pozwolić mu na trafną ocenę ryzyka.

Planując zadania audytorzy wewnętrzni powinni uwzględnić:

−

cele działalności, która będzie podlegać przeglądowi, oraz środki, za pomocą,

których dokonuje się kontroli ich wykonania,

−

istotne ryzyka zagrażające danej działalności, jej celom, zasobom oraz opera-

cjom, jak również środki, za pomocą których potencjalny negatywny wpływ

ryzyka jest utrzymywany na poziomie możliwym do przyjęcia,

−

prawidłowość i skuteczność systemów zarządzania ryzykiem i kontroli danej

działalności w porównaniu z właściwymi systemami i modelami kontroli,

−

możliwości istotnych udoskonaleń systemu zarządzania ryzykiem i kontroli

danej działalności (Międzynarodowe Standardy, 2001).

Jeżeli w danej jednostce nie funkcjonuje jasno określona strategia zarządzania

ryzykiem, rolą audytu wewnętrznego może być wspomaganie idei utworzenia

takiej strategii lub uświadomienie kierownictwu wyższego szczebla konieczno-

ści jej wdrożenia (Wolska-Hertman, 2005).

Istotnym zagadnieniem dla oceny ryzyka, a dokładniej – wykonywanej w jej

ramach identyfikacji obszarów ryzyka, są jego czynniki, grupowane w kategorie

oparte na podobnych cechach, którym przyporządkowuje się określone wagi
w celu przeprowadzenia oceny ryzyka. Czynniki ryzyka, definiowane przez Glo-
sariusz to cechy charakterystyczne dla danego procesu, które wskazują na moż-

liwość wystąpienia zdarzenia, mogącego niekorzystnie wpłynąć na osiągnięcie

określonego celu (Glosariusz, 2005). Według K. Czerwińskiego – czynniki ry-

zyka to działania, zaniechania działań i wydarzenia zewnętrzne oraz wewnętrzne

sprzyjające wystąpieniu ryzyka (Czerwiński, 2004, s. 60). Liczba wskazanych

czynników powinna być optymalna – z jednej strony, powinna kompleksowo

obejmować najważniejsze czynności i zdarzenia, z drugiej zaś nie zaciemniać

czytelności ustaleń.

Klasyfikację czynników ryzyka w podziale na kategorie

przedstawia tabela 2.

Zaproponowana klasyfikacja nie jest wyczerpującym, zamkniętym zbiorem, sta-

nowi zestawienie najczęściej występujących czynników ryzyka.

Zesz. 33(89)

12/2006

278

Tabela 2 Kategorie i klasyfikacja czynników ryzyka

Kategoria: Czynniki zewnętrzne

Klienci Atrakcyjność rynku

Popyt na wyroby (produkty, usługi)
Poziom satysfakcji klientów
Skorumpowanie głównych klientów

Dostawcy Stabilność lub niepewność zaopatrzenia

Stosunki z partnerami biznesowymi
Praktyki monopolistyczne dostawców

Konkurencja Konkurencyjność wyrobów

Pojawienie się nowych technologii
Pojawienie się nowych konkurentów

Infrastruktura Dojazdy pracowników

Dostawy energii
Uzależnienie od Internetu i poczty elektronicznej

Środowisko naturalne

Zatrucie środowiska
Wydatki związane z ochroną środowiska
Działalność „zielonych” – blokowanie inwestycji

Czynniki ekonomiczne zewnętrzne Stopy procentowe

Kursy wymiany walut
Inflacja

Siła wyższa Pożar, powódź, trzęsienie ziemi
Prawne

Poziom skomplikowania przepisów
Częste zmiany przepisów

Polityczne Presja

polityczna

Kategoria: Czynniki finansowe

Budżetowe Kapitał własny i całkowity

Przychody z działalności podstawowej
Dochód brutto i netto
Wydatki w skali rocznej

Inwestycje

Źródło finansowania
Koszty inwestycji
Działalność organizacji „zielonych” (wymuszanie łapówek)

Rzetelność sprawozdań

Niedawne zmiany w systemie księgowania
Częste zmiany pracowników odpowiedzialnych za sprawozdania
Moduł księgowy nie ma ścieżki audytu i odpowiednich kontroli

Płynność Pogarszające się warunki ekonomiczne

Problemy ze sprzedażą zapasów
Cykl obrotu produktów i surowców
Zatory płatnicze
Bankructwo klienta

Kategoria: Czynniki operacyjne (związane z prowadzoną działalnością)

Działalność podstawowa

Presja wywierana na kierownictwo
Niedawne zmiany kluczowych pracowników
Skomplikowanie operacji
Doświadczenie zawodowe pracowników
Personel (morale, niezadowolenie, stres)

Informacja Integralność baz danych

Bezpieczeństwo IT
Poufność danych

Stabilność Stabilność poziomu produkcji

Gwałtowny wzrost

Technologiczne Poziom uzależnienia od IT

Pojawienie się nowych technologii

Zesz. 33(89)

12/2006

279

cd. tabeli 2.

Projekty Niepowodzenie

projektu

Nadmierne koszty

Opóźnienia

Innowacyjność Koszty

badań naukowych (R&D)

Opór pracowników

Skłonność do zmian

Kategoria: Jakość zarządzania

Zespół zarządzający

Polityki, plany strategiczne, prognozy

Kwalifikacje pracowników i kierownictwa

Zarządzanie zasobami ludzkimi (płace, pakiety socjalne, szko-

lenia, ścieżki awansu)

Organizacja Struktura

organizacyjna, zakresy obowiązków

System przepływu informacji

System wynagradzania, ścieżki awansu

Kategoria: Funkcjonowanie kontroli wewnętrznej

Dokumentacja

Braki w dokumentacji

Dokumenty sporządzane po terminie

Rejestrowanie operacji finansowych Brak ścieżki audytu

Brak logów rejestrujących transakcje

Częstotliwość i forma kontroli logów

Autoryzacja

Brak kontroli automatycznych w systemach informatycznych

Podział obowiązków Brak

podziału obowiązków

Brak wymogu autoryzacji

Przełożony może zmieniać decyzje pracownika

Nadzór

Brak kryteriów oceny i wyznaczników błędów

Brak pisemnych procedur

Delegowanie funkcji

Jakość usług świadczonych przez firmę zewnętrzną

Przepływ informacji

Źle zawarte umowy

Kategoria: Czynniki wewnętrzne (ryzyka wrodzonego)

Wielkość organizacji

Skala produkcji

Obroty

Majątek trwały

Liczba pracowników

Ryzyko branży Sezonowość

Niska rentowność

Duża konkurencja

Monopolizacja branży

Kompleksowość Liczba

transakcji

Skomplikowanie systemu

Rozległa sieć WAN z wieloma użytkownikami

Źródło: Czerwiński, (2004, s. 68–70).

Warto również wspomnieć o głównych metodach identyfikacji czynników ryzy-

ka, do których należą:

1) analiza zagrożenia – identyfikacja ryzyka, które może oddziaływać na aktywa,

2) analiza środowiskowa – identyfikacja ryzyka, które może wpływać na działa-

nia operacyjne,

3) metoda scenariuszy zagrożenia – identyfikacja ryzyka wystąpienia zagrożenia

i/lub oszustwa, katastrofy (McNamee, 2004, s. 53).

Identyfikacja czynników ryzyka stanowi dobrą bazę do ustalania hierarchii ob-

szarów ryzyka według jego poziomu.

Zesz. 33(89)

12/2006

280

3. Identyfikacja obszarów i analiza ryzyka

W procesie oceny ryzyka można wyróżnić dwa etapy:

1) identyfikacja obszarów ryzyka,

2) analiza ryzyka, w wyniku której zostają uszeregowane obszary ryzyka pod

względem ich ważności dla działania jednostki, a w konsekwencji kolejność

przeprowadzania zadań audytowych (Podręcznik audytu, 2003, s. 22).

W przypadku funkcjonowania w jednostce Komórki Audytu Wewnętrznego

(KAW), kierownik KAW powinien opracować ujednolicone wytyczne dla ocen

ryzyka i nadawania znaczenia poszczególnym obszarom ryzyka (Podręcznik
audytu, 2003, s. 24).

Proces oceny ryzyka powinno się rozpocząć od zidentyfikowania i skatalogowa-

nia działalności, mogącej być przedmiotem oceny. Ocenie mogą być poddane za-

gadnienia (tematy), a także komórki organizacyjne lub systemy, które można wyod-

rębnić (Kuc, 2007, s. 271).

Proces oceny ryzyka ma stworzyć sprawny system audytu oraz doprowadze-

nie do wyznaczenia priorytetów na potrzeby przygotowania harmonogramu prac

audytorskich, które będą prowadzone w danym roku i w następnych latach. Usta-

lenia powinny być okresowo weryfikowane z uwzględnieniem zmian zachodzących

w podmiocie. Podczas oceny ryzyka należy wziąć pod uwagę także czynniki

organizacyjne, jak: czas potrzebny do przeprowadzenia czynności audytowych,

szkolenia, dostępne zasoby ludzkie i czasowe, koszty przeprowadzenia audytu

oraz rezerwę czasową na nieprzewidziane działania (Wolska-Hertman, 2005).

Obecnie odchodzi się od praktyki polegającej na mniej formalnej ocenie ryzyka,

uwzględniającej upływ czasu od poprzedniego audytu, na rzecz wyznaczania har-

monogramu audytów według ich priorytetów – jest to nowy model ryzyka. Ce-

lem stosowania tego modelu jest optymalizacja przydziału środków audytu po-

przez kompleksową analizę środowiska audytu i czynników ryzyka związanych

z jego elementami (ustalenie poprzednich audytów, ocena wrażliwości, środowi-

sko kontrolne, zaufanie do kierownictwa operacyjnego, zmiany w ludziach lub

systemach, złożoność) (Podręcznik audytu, 2003, s. 22).

Audyt wewnętrzny stosuje ocenę ryzyka do badania potencjalnych zadań au-

dytorskich i do wyboru tych zadań, które są narażone na największe ryzyko.

W ocenie ryzyka istotne znaczenie ma wyznaczenie:

−

obszarów audytu,

−

obszarów ryzyka,

−

miary ryzyka.

Obszar audytu to każdy obszar działania jednostki, w obrębie którego wyod-

rębniono obszary ryzyka. Miary ryzyka to skala ocen wysokości ryzyka (ryzyko

bardzo wysokie, wysokie, poważne, umiarkowane, niskie, minimalne) (Winiar-
ska, 2007, s. 153 i 158). Obszary ryzyka to według Podręcznika audytu (2003,

s. 21) – procesy, zjawiska lub problemy wymagające przeprowadzenia audytu.
Glosariusz definiuje obszary/operacje wysokiego ryzyka jako dziedziny lub ope-

racje objęte audytem, charakteryzujące się wysokim ryzykiem nieodłącznym lub

Zesz. 33(89)

12/2006

281

wysokim ryzykiem zawodności systemów kontroli wewnętrznej (Glosariusz termi-
nów, 2005).

Audytor wewnętrzny identyfikuje obszary ryzyka według własnej zawodowej

oceny (ang. professional judgement). Nie istnieje uniwersalny zbiór obszarów ryzy-

ka. Ich rozpoznanie zawsze będzie zależeć od wiedzy audytora – znajomości celów,

działań, struktury danej jednostki, zakresów odpowiedzialności pracowników itp.,

oraz od jego intuicji. Zbierając informacje niezbędne przy identyfikacji obszarów

ryzyka audytor powinien brać pod uwagę (zob. również: § 9, ust. 1 Rozporządzenia
Ministra Finansów z dnia 24 czerwca 2006 r.) sposoby i tryb przeprowadzania

audytu wewnętrznego:

−

cele i zadania jednostki,

−

przepisy prawne dotyczące działania jednostki (ewentualne zmiany w tych prze-

pisach),

−

wyniki wcześniej przeprowadzonego audytu lub kontroli,

−

wyniki wcześniej dokonywanych innych ocen adekwatności, efektywności

i skuteczności procedur i mechanizmów w jednostce (systemów kontroli we-

wnętrznej),

−

sprawozdania finansowe oraz sprawozdania z wykonania budżetu,

−

wyniki rozmów, jakie przeprowadził z kierownictwem, kierownikami komó-

rek i innymi pracownikami jednostki,

−

pytania i wnioski, jakie kierują do niego pracownicy jednostki,

−

ankiety i kwestionariusze badające opinię pracowników jednostki,

−

informacje dotyczące jednostki opublikowane w prasie, radiu, telewizji, na

stronach internetowych czy listach dyskusyjnych itp.

Wydaje się ważne, żeby audytor zapewnił sobie dostęp do istotnych źródeł in-

formacji o wszystkim, co dotyczy jednostki. Konieczna jest obserwacja wszelkich

zmian w organizacji jednostki – powoływanie nowych komórek, czy grup zada-

niowych i jest wskazane aby audytor zapoznawał się z harmonogramami prac po-

szczególnych komórek organizacyjnych, zbierał i czytał dokumenty wykorzysty-

wane przez te komórki – do monitorowania postępu swoich prac i osiągania ce-

lów. Audytor powinien zadbać o to, aby przy zbieraniu informacji, odnoszących się

do obszaru ryzyka, mieć możliwość odbywania rozmów z kluczowymi osobami

zajmującymi się danym problemem, przeglądania korespondencji, oraz protokołów

spotkań i narad. Jeżeli jest to możliwe, audytor powinien uczestniczyć w spotka-

niach kierownictwa. Pomocne dla audytora przy badaniu obszarów ryzyka, mogą

być także sprawozdania i inna dokumentacja kontroli dokonywanych przez ko-

mórkę kontroli wewnętrznej (inspekcyjnej) danej jednostki, jak również dodat-

kowe ustne informacje uzyskane od kontrolerów. Najważniejszym źródłem in-

formacji mogą okazać się rozmowy z pracownikami jednostki. Audytor musi

dokonać krytycznego badania swoich źródeł (Podręcznik audytu, 2003, s. 21–23).

Kluczowe znaczenie dla właściwego wykorzystania zasobów KAW ma ustale-

nie priorytetów obszarów ryzyka, a więc także kolejności, w jakiej zostaną pod-

dane audytowi (Podręcznik audytu, 2003, s. 13). Audytor wewnętrzny, przygo-

towując plan swojej pracy, ustala kolejność badania obszarów, biorąc pod uwagę

stopień ich ważności oraz czynniki organizacyjne, w tym w szczególności:

Zesz. 33(89)

12/2006

282

czas niezbędny dla przeprowadzenia:

zadań audytowych,

czynności organizacyjnych,

czas przeznaczony na szkolenie osób zatrudnionych na stanowiskach związa-

nych z przeprowadzaniem audytu wewnętrznego,

dostępne zasoby ludzkie i rzeczowe,

rezerwę czasową na nieprzewidziane działania,

szacunkowe koszty przeprowadzenia audytu wewnętrznego

Audytor wewnętrzny przygotowuje plan roczny (uszeregowuje obszary ryzy-

ka pod względem ich ważności i ustala kolejność przeprowadzania zadań audy-

towych) oraz plan zadania audytowego, określające zgodne z celami organizacji

priorytety dla działań audytu wewnętrznego, stosując analizę ryzyka (zob. art. 53,

ust. 4, pkt 1 Ustawy z dnia 30 czerwca 2005 r. § 14, ust. 1 i 2 Rozporządzenia
Ministra Finansów z dnia 24 czerwca 2006 r.; MSPPAW, 2010 – Planowanie).

Analiza ta stanowi również podstawę do opracowania planu długoterminowego

(strategicznego). Dokonując analizy napływających informacji audytor zwraca

uwagę na newralgiczne, wrażliwe punkty związane z działalnością jednostki,

którymi mogą być np. (i najczęściej):

−

działania jednostki, mogące wpływać na opinię publiczną,

−

cele i zadania jednostki,

−

przepisy prawne dotyczące działania jednostki,

−

liczba, rodzaj i wielkość dokonywanych operacji finansowych,

−

wielkość majątku, którym dysponuje jednostka,

−

sytuacja finansowa jednostki,

−

możliwość dysponowania przez jednostkę środkami pochodzącymi ze źródeł

zagranicznych, niepodlegających zwrotowi, przy uwzględnieniu wymogów

dawcy,

−

liczba i kwalifikacje pracowników jednostki,

−

uwagi pracowników jednostki,

−

warunki pracy w jednostce,

−

postawy etyczne pracowników, ich nastawienie i motywacja do realizacji zadań

jednostki,

−

przewidywane zmiany przepisów prawnych,

−

zmiana zakresu rzeczowego lub terytorialnego działania jednostki,

−

zmiany sposobu działalności, zmiany personelu, struktury organizacyjnej

systemu informatycznego,

−

specyficzne ryzyka związane ze sprawami, którymi zajmuje się wybrany depar-

tament, wydział itp.,

−

jakość i bezpieczeństwo używanych systemów informatycznych,

§ 10, ust. 1 Rozporządzenia Ministra Finansów z dnia 24 czerwca 2006 r. Audytor

wewnętrzny prowadzi stałe akta audytu wewnętrznego, w celu gromadzenia informacji
dotyczących obszarów ryzyka, które mogą być przedmiotem audytu wewnętrznego
(§ 6, ust. 2 ww. Rozporządzenia).

Zesz. 33(89)

12/2006

283

−

jakość kierowania daną komórką – doświadczenie, kwalifikacje ich kierow-

ników, delegowanie kompetencji,

−

wyniki wcześniej przeprowadzonego audytu lub kontroli,

−

upływ czasu od poprzedniego audytu lub kontroli,

−

akceptacja ustaleń poprzedniego audytu lub kontroli w danej komórce czy

jednostce, podjęte działania naprawcze,

−

sprawozdania finansowe oraz sprawozdania z wykonania budżetu (Podręcz-
nik audytu, 2003, s. 23–24).

Do najczęściej stosowanych metod analizy ryzyka należą:

1) metoda matematyczna,

2) metoda szacunkowa, zwłaszcza metoda delficka (grupy eksperckiej),

3) metoda mieszana,

4) mapa (macierz) ryzyka,

5) kwestionariusz oceny (samooceny) ryzyka.

Metoda matematyczna, wykorzystująca reguły matematyczne do przeprowa-

dzania analizy ryzyka, wymaga obliczeń zgodnie z przyjętym algorytmem (naj-

częściej z wykorzystaniem arkusza kalkulacyjnego). Przy jej stosowaniu istnieje

prawdopodobieństwo wystąpienia błędów mogących rzutować na merytoryczną

treść planu audytu, w związku z czym zaleca się, aby obliczenia zostały zweryfi-

kowane przez innego audytora. Etapy metody to: identyfikacja wszystkich możli-

wych zadań audytowych, przypisanie wag kryteriom oceny ryzyka, określenie prio-

rytetu kierownictwa, uwzględnienie daty ostatniego audytu, przyznanie punktów

poszczególnym kryteriom, ocena ryzyka po uwzględnieniu daty ostatniego audy-

tu, ocena ryzyka po uwzględnieniu priorytetów kierownictwa, ocena końcowa.

Zaletą tej metody jest profesjonalne dokumentowanie analizy ryzyka, możliwość

pomiaru trendów i porównywalność wyników analizy przeprowadzonej w róż-

nych okresach. Wadą jest czaso- i kosztochłonność, subiektywny dobór zmien-

nych i konieczność stałej aktualizacji.

Metoda szacunkowa, w której poziom ryzyka przypisanego poszczególnym

obszarom i zadaniom, ma charakter subiektywny (osąd audytora) i jest metodą

prostszą od metody matematycznej, natomiast wymaga od audytorów dużego

doświadczenia zawodowego. Zaletą tej metody jest łatwość jej stosowania, niska

czaso- i kosztochłonność, możliwość obrazowej prezentacji danych. Wadą jest

subiektywizm, trudność precyzyjnej oceny ryzyka, możliwość pominięcia zmian

zachodzących w jednostce, łatwość podważenia wyników i możliwość posądzenia

audytorów o brak profesjonalizmu. W metodzie delfickiej (grupy eksperckiej),

jednej z metod szacunkowych, wymagana jest dla zwiększenia wiarygodności,

budowa kilkuosobowego zespołu ekspertów, w skład którego mogą wejść, obok

audytorów, osoby z kierownictwa jednostki. Eksperci tworzą własne listy ran-

kingowe, przypisując poziom ryzyka dla każdego, wcześniej wybranego zadania

audytowego, co prowadzi do korekty liczby zadań (niskie ryzyko), uwzględniając

posiadane zasoby. Etapy metody to: utworzenie grupy ekspertów, przypisanie

punktów zadaniom przez każdego eksperta, sumowanie punktów dla poszcze-

gólnych zadań, hierarchizacja zadań, ustalenie wyniku w procentach, wytypo-

wanie zadań do audytu.

Zesz. 33(89)

12/2006

284

Metoda mieszana, opracowana przez Departament Audytu Sektora Finansów

Publicznych Ministerstwa Finansów, polega na ustaleniu przez audytora we-

wnętrznego hierarchii obszarów i procesów audytu na podstawie wartości ryzyk

ważonych, wyliczonych dla poszczególnych obszarów i procesów. Etapy metody

to: identyfikacja czynników ryzyka, przypisanie wag czynnikom ryzyka, ocena

ryzyka przez określenie wartości natężenia czynnika w procesie, obliczenie ryzyka

ważonego, obliczenie średniego poziomu ryzyka ważonego dla każdego procesu

w danym obszarze, wykonanie wymienionych czynności w odniesieniu do wszyst-

kich zidentyfikowanych obszarów, obliczenie ryzyka ważonego dla całego ob-

szaru, uporządkowanie obszarów malejąco według wartości ryzyka ważonego.

Mapa (macierz) ryzyka klasyfikuje (w formie matrycy) obszary ryzyka według

ich znaczenia (niskie, wysokie – oś X na wykresie) i prawdopodobieństwa wy-

stąpienia (niskie, wysokie – oś Y na wykresie) w każdym obszarze niepożąda-

nych zdarzeń. Dla każdego obiektu audytu określa się obszary ryzyka i wyznacza

dla nich wagi ryzyka. Po dokonaniu obliczeń (w arkuszu kalkulacyjnym) ocenia się

wpływ obszarów ryzyka na jednostkę, uwzględniając dodatkowo datę ostatniego

badania lub priorytety kierownictwa. Szczególnym zainteresowaniem audytora

powinna być obdarzona ta część matrycy, w której są ujęte procesy o dużym

znaczeniu dla jednostki i gdzie zarazem występuje wysokie prawdopodobień-

stwo wystąpienia błędów i nieprawidłowości. Macierz ryzyka może być podzie-

lona na cztery (najczęściej) lub większą liczbę części-kwadratów (nawet dzie-

więć) – dla większej szczegółowości. W każdym kwadracie wpisuje się obszary

ryzyka. W przypadku czterech kwadratów, oznaczają one niżej podane czynności.

Zapobiegaj u źródła. Rodzaje ryzyka w tym kwadracie zaliczają się do pod-

stawowych i najważniejszych – zagrażają osiągnięciu celów organizacji, są

znaczące, jeśli chodzi o konsekwencje, a prawdopodobieństwo ich wystą-

pienia jest znaczne, powinny być zredukowane lub wyeliminowane.

II.

Wykryj i monitoruj. Rodzaje ryzyka w tym kwadracie są znaczące, ale praw-

dopodobieństwo ich wystąpienia jest mniejsze – powinny być cyklicznie

monitorowane, by upewnić się, że są właściwie zarządzane przez organiza-

cję i prawdopodobieństwo ich wystąpienia pozostanie niskie, powinno się

zastosować kontrole wykrywające, by zapewnić, że rodzaje ryzyka o dużym

znaczeniu będą wykryte, zanim pojawią się ich konsekwencje.

III.

Monitoruj. Rodzaje ryzyka w tym kwadracie mają mniejsze znaczenie, ale

prawdopodobieństwo ich wystąpienia jest duże – powinny być monitorowa-

ne, by zapewnić, że są właściwie zarządzane oraz że ich znaczenie nie

wzrośnie przy zmieniających się warunkach działania.

IV.

Minimalna kontrola. Rodzaje ryzyka w tym kwadracie nie są znaczące

i prawdopodobieństwo ich wystąpienia jest niskie – wymagają minimalnego

monitoringu i kontroli, chyba że następna ocena ryzyka wykaże, że przeszły

do innej kategorii.

Kwestionariusz oceny (samooceny) ryzyka jest przygotowywany i rozsyłany

przez audytora wewnętrznego do wypełnienia, pracownikom jednostki (w tym jej

kierownictwu). Uznaniowo, decyzją audytora, kwestionariusz może być anonimo-

wy. Może on służyć zdobyciu informacji o opinii pracowników, np. na temat:

Zesz. 33(89)

12/2006

285

kultury organizacyjnej jednostki, przestrzegania (wykonywania) obowiązujących

w niej procedur, komunikacji wewnętrznej między pracownikami a kierownic-

twem, czy między poszczególnymi komórkami organizacyjnymi. W metodzie tej

przyjmuje się założenie, że kierownictwo i pozostali pracownicy jednostki potrafią

najlepiej ocenić ryzyko. Audytor wewnętrzny analizuje wypełnione kwestiona-

riusze i prezentuje wnioski. Metoda ta daje ogląd co do rodzajów ryzyka w jed-

nostce i powinna być stosowana w początkowej fazie audytu, ponieważ wymaga

weryfikacji.

4. Podsumowanie

Ryzyko to niepewność, prawdopodobieństwo wystąpienia określonego zda-

rzenia, według części autorów (teoretyków i praktyków) – zdarzenia mającego

jedynie charakter negatywnego zagrożenia, natomiast według pozostałych – tylko

zdarzenia mającego charakter negatywnego zagrożenia, powodującego, że cele

jednostki nie zostaną osiągnięte, ale również pozytywnej szansy, która pozwoli na

skuteczniejsze osiągnięcie celów. W aktywnej jednostce nie ma możliwości ograni-

czenia ryzyka do zera, należy jednak dołożyć wszelkich starań, aby utrzymać

jego akceptowalny poziom.

Ocena ryzyka (identyfikacja obszarów ryzyka i ich analiza) w jednostce sek-

tora finansów publicznych, dokonywana przez audytora wewnętrznego, nie jest

zadaniem łatwym. Wymaga dobrego przygotowania merytorycznego (kwalifika-

cji) z zakresu teorii audytu wewnętrznego, ale także, a może przede wszystkim,

dużego doświadczenia zawodowego, odpowiednich cech osobowości, znajomo-

ści jednostki oraz opanowania metod identyfikacji czynników i obszarów ryzy-

ka, jak również jego analizy.

Ocena (identyfikacja i analiza) ryzyka jest procesem ciągłym. Ujawnione ry-

zyka wymagają stałego monitorowania, aby pojawiające się nowe ryzyka zostały

w porę dostrzeżone, monitorowane i zaplanowane do audytowania. Ocena ryzyka

jest podstawą hierarchizacji obszarów ryzyka pod względem ich ważności dla

działania jednostki, a w konsekwencji podstawą do tworzenia planu rocznego

audytu, planów długoterminowych (strategicznych) oraz planów zadań audyto-

wych.

Zaprezentowane metody analizy, jako elementu oceny ryzyka, nie prowadzą

do uzyskania konkretnej wartości ryzyka. Ryzyko, w odróżnieniu od niepewno-

ści, jest w pewnym stopniu mierzalne na skali porządkowej, jego wartość można

określić jako np. bardzo wysokie, wysokie, poważne, umiarkowane, niskie, mi-

nimalne.

Metody analizy ryzyka w audycie wewnętrznym mogą być wykorzystane

przez audytorów zewnętrznych do oceny trafności podjętych działań przez audy-

tora wewnętrznego. Jednocześnie wskażą kolejność wykonywania zadań audy-

towych w perspektywie kilkuletniej, co może mieć wpływ na plan badania opra-

Zesz. 33(89)

12/2006

286

cowany przez audytora zewnętrznego (Winiarska, 2007, s. 163). Ponadto należy

pamiętać, że najważniejszym wyznacznikiem przydatności danej metody jest jej

użyteczność.

W opracowaniu uporządkowano problematykę ryzyka w jednostce, w kontek-

ście funkcjonowania w niej audytu wewnętrznego, dokonując przeglądu literatury

przedmiotu oraz krajowych i międzynarodowych regulacji prawnych i profesjo-

nalnych audytu wewnętrznego i zarządzania ryzykiem. Ponadto w opracowaniu

pokazano, m.in. poprzez charakterystykę ryzyka, ogromne znaczenie oceny ryzyka

oraz efektywności zarządzania ryzykiem dla działalności bieżącej i przyszłej jed-

nostki organizacyjnej, jak również rolę, jaką w niej odgrywa współczesny audyt

wewnętrzny, wspierający kadrę kierowniczą w realizacji powierzonych im zadań.

Literatura

Czerwiński K. (2004), Audyt wewnętrzny, InfoAudit Sp. z o. o., Warszawa.
Glosariusz terminów dotyczących kontroli i audytu w administracji publicznej (2005),

opracowany przez międzyresortowy zespół ds. ujednolicania terminologii dotyczą-
cych audytu i kontroli, wydany przez Najwyższą Izbę Kontroli, Warszawa.

Głuchowski J. (red.) (2001), Leksykon finansów, PWE, Warszawa.
Kiziukiewicz T. (red.) (2007), Audyt wewnętrzny w jednostkach sektora finansów pu-

blicznych, Difin, Warszawa.

Knedler K., Stasik M. (2005), Audyt wewnętrzny w praktyce. Audyt operacyjny i finan-

sowy, Polska Akademia Rachunkowości, Warszawa.

Komunikat Nr 11 Ministra Finansów z dnia 26 czerwca 2006 r. w sprawie „Standardów

audytu wewnętrznego w jednostkach sektora finansów publicznych” (Dz.Urz. MF nr 7,
poz. 56).

Kuc B.R. (2007), Kontrola i audyt w sektorze publicznym, Wydawnictwo Menedżerskie

PTM, Warszawa.

McNamee D. (2004), Oszacowanie ryzyka w audycie wewnętrznym i zarządzaniu, Fun-

dacja Rozwoju Rachunkowości w Polsce, Warszawa.

Międzynarodowe Standardy Profesjonalnej Praktyki Audytu Wewnętrznego (MSPPAW)

(2001), www.iia.org.pl/pdfs/StandardsIIAApproved-update_4.pdf (Standards of the Pro-
fessional Practice of Internal Auditing, IIA, Altamonte Springs 2001 – tłum. IIA Pol-
ska).

Podręcznik audytu wewnętrznego w administracji publicznej (2003), opracowany przez

DKKFiAW, wydany przez Ministerstwo Finansów, Warszawa.

Pomarańczowa księga. Zarządzanie ryzykiem – zasady i koncepcje (2004), Ministerstwo

Skarbu JKM, Londyn.

Rozporządzenie Ministra Finansów z dnia 24 czerwca 2006 r. w sprawie szczegółowego

sposobu i trybu przeprowadzania audytu wewnętrznego (Dz.U. z 2006 r., Nr 112,

poz. 765).

Słownik pojęć ekonomicznych, Biznes, tom 10 (2007), PWN, Warszawa.

Zesz. 33(89)

12/2006

287

Stoner J.A.F., Wankel C. (1992), Kierowanie, PWE, Warszawa.
Tatoj M. (2007), Audyt wewnętrzny w teorii i praktyce jednostek sektora polskich finansów

publicznych, [w:] Rachunkowość w teorii i praktyce, t. III Sprawozdawczość i anali-
za finansowa, red. W. Gabrusewicz, Wydawnictwo AE Poznań.

Ustawa z dnia 30 czerwca 2005 r. o finansach publicznych (Dz.U. z 2005 r., Nr 249,

poz. 2104 z późn. zm.).

Winiarska K. (2007), Audyt wewnętrzny w 2007 roku Standardy międzynarodowe – Regula-

cje krajowe, Difin, Warszawa.

Wolska-Hertman M. (2005), Rola audytora w zarządzaniu ryzykiem, „Gazeta Prawna” nr 6.
Wytyczne do stosowania standardów audytu wewnętrznego w jednostkach sektora finan-

sów publicznych, www.mf.gov.pl

Zarządzanie ryzykiem w sektorze publicznym. Podręcznik wdrożenia systemu zarządzania

ryzykiem w administracji publicznej w Polsce (2004), Ministerstwo Finansów, War-
szawa.

Streszczenie

Audyt wewnętrzny w jednostkach sektora polskich finansów publicznych funkcjonuje

dopiero od 1 stycznia 2002 r. Na świecie idea profesjonalnego, współczesnego audytu we-
wnętrznego zrodziła się w pierwszej połowie XX wieku w Stanach Zjednoczonych – utwo-
rzenie w 1941 r. Instytutu Audytorów Wewnętrznych (The Institute of Internal Auditors),
natomiast w Europie znaczącą datą dla audytu wewnętrznego był rok 1977 – utworzenie
Europejskiego Trybunału Audytorów (The European Court of Auditors) w Luksemburgu.

Na podstawie krajowych i zagranicznych regulacji profesjonalnych i prawnych, a także

literatury przedmiotu, zaprezentowano w opracowaniu ocenę ryzyka we współczesnym
audycie wewnętrznym. Przedstawiono istotę i rodzaje ryzyka oraz pojęcie zarządzania
ryzykiem, uporządkowano problematykę, zdefiniowano pojęcia i syntetycznie zaprezen-
towano metody analizy ryzyka. W opracowaniu pokazano ogromne znaczenie oceny
ryzyka dla bieżącej i przyszłej działalności jednostki organizacyjnej oraz rolę, jaką od-
grywa w niej współczesny audyt wewnętrzny.

Współczesny audyt wewnętrzny jest nowoczesnym narzędziem zarządzania jednost-

ką organizacyjną, integrującym m.in. zadania wszystkich znanych elementów nadzoru,
dostarczającym dokładnych informacji, analiz, ocen i zaleceń, zorientowanym (bizne-
sowo-zarządczo) na cele jednostki, przynoszącym wartość dodaną i usprawnienie dzia-
łalności, funkcjonującym w trzech przestrzeniach czasowych – przeszłości, teraźniejszo-
ści i przyszłości. Jest również działalnością doradczą i instruktażową.

Nadrzędnym celem audytu wewnętrznego jest ograniczenie ryzyka w działalności jed-

nostki. Audyt stanowi w jednostce wsparcie kadry kierowniczej w realizacji powierzonych
im zadań, m.in. poprzez ocenę efektywności zarządzania ryzykiem, za które kierownictwo
jest odpowiedzialne. Audyt koncentruje się na ocenie ryzyka (identyfikacji obszarów i ana-
lizie ryzyka), a poziom ryzyka stanowi podstawę hierarchizacji obszarów podlegających
audytowi wewnętrznemu w danym okresie, czyli wskazania najpilniejszych zadań audy-
towych, narażonych w jednostce na największe ryzyko. Ocena ryzyka jest procesem
ciągłym. Ujawnione ryzyka wymagają stałego monitorowania, aby pojawiające się no-
we ryzyka zostały w porę dostrzeżone, monitorowane i zaplanowane do audytowania.

Zesz. 33(89)

12/2006

288

Summary

Risk assessment in the context of internal audit

in Polish public finance sector entities

Internal audit was introduced in Polish public finance entities only in the 21st century

(on January 1, 2002), while in many other countries it has been applied for a longer time
– its beginning dates from mid-20th century.

Basing on professional and legal regulations in the field and international and domes-

tic literature, the paper presents the issue of risk assessment in internal audit in Polish
public finance sector entities.

Risk, in contrast to uncertainty, is measurable to a certain degree. Estimation (identi-

fication and analysis) of risk is a continuous process. Identified risks require constant
monitoring, so that new risks can been noticed in time, monitored and designated for
auditing.

The paper also demonstrates that risk assessment provides a basis for creation of an

annual audit plan, long-term (strategic) plans and audit programs.

Document Outline