Ekonomiści zwracają uwagę na to, że zdarzenia katastroficzne przysłaniają widok na kosztowne acz nie tak dramatyczne zdarzenia, które stają się plagą większości firm i są sygnałem niedostatków techniki i praktyki zarządzania ryzykiem.
Doświadczenia ostatnich lat wskazują, że ryzyko operacyjne w kategoriach kapitału kosztuje więcej niż sądzono - ostatnie szacunki mówią o co najmniej 25%. Wartość ta rośnie w związku z pojawieniem się modelu biznesowego zwanego Nową Ekonomią - bankowości internetowej, handlu elektronicznego oraz przekazywania obsługi funkcji bankowych na zewnątrz (outsourcing).
Stąd zacieśnianie wymagań stawianych przez nadzór bankowy, co znalazło swój wyraz w określeniu nowych wymagań kapitałowych, powiązanych ściśle z zarządzaniem ryzykiem kredytowym, rynkowym i operacyjnym. Żeby było trudniej, system ten dotyczy nie tylko sektora finansowego. Poprzez stawianie wymagań bankom stawiać się będzie również wymagania firmom, które z usług tego sektora korzystają. Służyć temu ma system skoringowy do oceny firm, prowadzony przez wyspecjalizowane instytucje. Premiowani będą ci, którzy wprowadzą i udowodnią skuteczność systemów zarządzania ryzykami i będą posiadać niezależną komórkę audytu wewnętrznego.
W działaniu komórek audytu wewnętrznego są elementy specyficzne ze względu na sektor, w którym działa dana firma. Oczywiście przed sektorem finansowym stawiane są najwyższe wymagania. Niemniej podstawowe zasady działania audytu wewnętrznego są wspólne i ściśle określone. Bazę informacji o tym czym jest audyt wewnętrzny, jakie są jego cele, kompetencje i obowiązki stanowią "Standardy Profesjonalnej Praktyki Audytu Wewnętrznego", Instytutu Audytorów Wewnętrznych oraz "Raport Turnbulla". Dla sektora bankowego źródłem informacji są również rekomendacje Komitetu Bazylejskiego.
Ryzyko operacyjne to ryzyko bezpośrednich i pośrednich strat wynikających z nieadekwatności lub błędów procesów, ludzi i systemów lub przyczyn zewnętrznych.
Ryzyko operacyjne dotyczy całej firmy, tkwi w każdym procesie. Zarządzanie ryzykiem operacyjnym chroni i zwiększa wartość firmy dla jej udziałowców, co dla instytucji finansowych jest już sprawą oczywistą.
Ryzyko operacyjne nie jest nowym ryzykiem. Dla banku jest to pierwsze ryzyko, którym musi zarządzać zanim udzieli pierwszego kredytu lub wykona pierwszą transakcję. Ale pomysł, że zarządzanie ryzykiem operacyjnym jest nową dyscypliną, z własną strukturą zarządzania, narzędziami i procesami, jest nowy i głośno o nim od ok. 4 lat.
Właśnie w zarządzaniu ryzykiem operacyjnym audyt wewnętrzny znalazł swoje szczególne miejsce. Jest bowiem źródłem obiektywnych informacji, bez których bardzo trudno jest kierownictwu firmy spełniać właściwie funkcje menadżerskie, mieć pełne rozeznanie co do skali ryzyka wystąpienia oszustw, ocenić sprawność i adekwatność systemu kontroli wewnętrznej - podstawowego mechanizmu zarządzania ryzykiem operacyjnym i biznesowym.
Schemat zarządzania ryzykiem operacyjnym w firmie
Źródło: Operational Risk Management--The New Frontier. Oprac. PricewaterhouseCoopers
Główne czynniki, które decydują o kulturze korporacyjnej, włączając w nią sposób podejmowania decyzji, organizację procesów i cechy prowadzonej działalności to:
· System kontroli - definicja systemu kontroli wewnętrznej oraz wybór alternatywnych sposobów zmniejszania ryzyka, np. ubezpieczenie określonych ryzyk.
· Ocena - program zapewniający skuteczność systemu kontroli oraz określenie poziomu akceptowalnego ryzyka. Na tę ocenę składa się przepływ informacji, program samooceny oraz program audytu.
· Pomiar - zestaw miar finansowych i niefinansowych, czynników ryzyka, wielkości kapitału ekonomicznego do określenia aktualnego poziomu ryzyka i postępowania zapewniającego realizację celów.
· Raportowanie - informacja dla kadry zarządzającej niezbędna dla zapewnienia zasobów i ustalenia priorytetów.
Dodatkowo w modelu zarządzania firmą opartym o ryzyko należy uwzględnić integrację z ryzykiem kredytowym i rynkowym jak również współdziałanie z głównymi uczestnikami prowadzonej działalności takimi jak klienci firmy, pracownicy, dostawcy, instytucje nadzoru i twórcy prawa oraz akcjonariusze.
Model audytu wewnętrznego wg "Standardów profesjonalnej praktyki audytu wewnętrznego" obrazuje schemat:
· Ramy audytu wyznacza definicja
· Jądro stanowią obowiązkowe standardy : Atrybutów, Realizacji, Wdrożenia
· Zasady postępowania wyznacza Kodeks Etyki.
· Interpretacją norm na język praktyki zajmuje się Poradnik Praktyka
· Wsparciem dla audytora ze strony Instytutu Audytorów Wewnętrznych (IIA) są pomoce w formie szkoleń, studiów badawczych, seminariów, konferencji, publikacji.
Definicja:
Audyt wewnętrzny jest niezależną, obiektywną działalnością oceniającą i doradczą, prowadzoną w celu wniesienia do firmy wartości dodanej i doskonalenia jego działalności operacyjnej. Wspiera firmę w osiągnięciu wytyczonych celów poprzez systematyczne i zdyscyplinowane podejście, którego celem jest ocena i poprawa efektywności zarządzania ryzykiem, systemów kontroli oraz zarządzania (kierowania).
Ocena - to opinia przedstawiona przez audytora wewnętrznego na temat konkretnego lub ogólnego elementu działalności stwierdzająca, jak kierownictwo firmy rozumie ryzyko, tzn. jak:
· wdraża odpowiednie zarządzanie ryzykiem,
· waży odpowiednio ryzyko i kontrolę - czy strategia kontroli jest adekwatna do strategii zarządzania ryzykiem,
· skutecznie wprowadza zmiany.
Doradztwo - Audyt wewnętrzny jest doradcą w sprawach dot. identyfikacji ryzyka i zarządzania zagrożeniami towarzyszącymi ryzyku.
Wartość dodana. - Firma istnieje by kreować wartość lub zysk dla swoich właścicieli, klientów i pracowników. Wartość jest dostarczana poprzez rozwój produktów i usług oraz użycie zasobów do promocji tych produktów i usług. Audytorzy wewnętrzni mają znaczący wgląd w operacje, uczestniczą w ich projektowaniu, oceniają ryzyko i zgłaszają możliwości ulepszeń i to jest ich znaczącym wkładem do organizacji.
Procesy zarządzania ryzykiem są implementowane by identyfikować, oceniać i odnosić się do potencjalnego ryzyka, które może mieć wpływ na osiąganie celów organizacji.
Procesy kontroli to zadania, procedury i działania, które są częścią systemu kontroli, zaprojektowane w celu zagwarantowania, że ryzyko mieści się w granicach akceptowanych przez proces zarządzania ryzykiem.
Procesy kierowania dotyczą procedur wykorzystywanych przez właścicieli do oglądu procesów zarządzania ryzykiem, administrowanych przez kierownictwo.
W ten sposób został zdefiniowany cel, kompetencje oraz obowiązki audytu.
Warunkiem wykonywania zadań przez audyt jest wg Standardów:
Niezależność i obiektywizm
Audyt wewnętrzny powinien być niezależny, a audytorzy powinni zachować obiektywizm w czasie wykonywania swoich obowiązków.
Audytorzy wewnętrzni są niezależni, jeśli mogą wykonywać swoją pracę w sposób nieskrępowany i obiektywny. Niezależność pozwala audytorom wewnętrznym na formułowanie osądów w sposób bezstronny i bez uprzedzeń. Niezależność uzyskuje się poprzez status organizacyjny i obiektywizm.
Niezależność organizacyjna
Dyrektor ds. audytu wewnętrznego powinien raportować do takiego szczebla zarządzania w strukturze organizacyjnej firmy, który umożliwi audytowi wewnętrznemu wypełnianie obowiązków.
Wymaganie wyjaśnień nt. żądanych informacji
Audytorzy wewnętrzni nie powinni być narażeni na jakiekolwiek próby ingerowania w zakres audytu, sposób wykonywania pracy i przekazywania wyników.
Indywidualny obiektywizm
Audytorzy wewnętrzni powinni formułować swoje osądy w sposób bezstronny i wolny od uprzedzeń oraz unikać konfliktu interesów.
1. Obiektywizm to niezależna postawa intelektualna, jaką audytorzy wewnętrzni powinni zachować w trakcie wykonywania audytów. Nie mogą podporządkowywać swoich sądów opiniom innych osób.
2. Obiektywizm wymaga prowadzenia audytów w sposób, który zapewnia zaufanie do wyników a jakość nie ucierpi z powodu kompromisów. Audytor nie może znaleźć się w sytuacji, która uniemożliwi mu wydanie obiektywnej i profesjonalnej opinii.
3. Praca powinna być tak rozdzielona, by pracownicy nie popadali w konflikt interesów.
4. Wyniki audytu przed przekazaniem ich zainteresowanym powinny być przeanalizowane w celu zapewnienia obiektywności.
5. Za nieetyczne uważa się przyjmowanie prezentów i napiwków od pracowników, klientów, dostawców i osób zależnych służbowo. Stwarza to sytuację zagrożenia dla obiektywizmu zarówno w sytuacji bieżącej jak i dla przyszłych działań. Otrzymanie materiałów promocyjnych (długopisów, kalendarzy, próbek), które są ogólnie dostępne i posiadają niską wartość nie jest traktowane jako zagrożenie dla profesjonalizmu badania.
Biegłość oraz odpowiednia staranność zawodowa
Prace audytorskie powinny być prowadzone z biegłością i odpowiednią starannością zawodową.
1. Zespół audytorski kolektywnie posiada wiedzę, umiejętności i reprezentuje dziedziny niezbędne do prawidłowego wykonania audytu.
2. Audytorzy wewnętrzni powinni przestrzegać profesjonalnych zasad postępowania. Kodeks Etyki rozszerza definicję audytu wewnętrznego o dwa istotne składniki:
· zasady (principles), które odnoszą się do profesji i praktyki audytu wewnętrznego - uczciwość, obiektywizm, zaufanie i kompetencje oraz
· Zbiór Zasad Postępowania (Rules of Conduct), który opisuje normy zachowań oczekiwanych od audytorów. Zbiór ten ma przekładać zasady na język praktyki i wskazywać na etyczne postępowanie.
Biegłość to umiejętności, wiedza i znajomość dyscyplin wymaganych od audytora.
W razie braku odpowiednich kompetencji, należy:
A1 zapewnić odpowiednią usługę z zewnątrz do wsparcia lub uzupełnienia działań audytu wewnętrznego
Wymaga się od audytora umiejętności
A2-1 Identyfikacji oszustw
Posiadania wystarczającej wiedzy pozwalającej mu określić znamiona popełnienia oszustwa. Wymaga to znajomości cech oszustwa, technik używanych przy jego popełnianiu oraz typów oszustwa. Nie oczekuje się jednak od audytora wiedzy, jaką posiada osoba odpowiedzialna za wykrywanie i prowadzenie dochodzenia w sprawie oszustwa.
A2-2 Odpowiedzialność za wykrywanie oszustw
Audytor powinien być wyczulony na sytuacje, które mogą prowadzić do oszustwa, zarządzić dodatkowe śledztwo i zawiadomić odpowiednie władze. Dobrze zaprojektowany system kontroli wewnętrznej nie powinien dopuścić do popełnienia oszustwa. Testy prowadzone przez audytorów oraz właściwy system kontroli zwiększają prawdopodobieństwo wykrycia każdego przejawu oszustwa.
Staranność zawodowa to umiejętności i staranność, jakiej oczekuje się od ostrożnego i wykwalifikowanego audytora. Nie oznacza to jednak bycia nieomylnym.
Dodatkowe zasady, która przyjęły postać norm wdrożenia:
A1 Audytor wewnętrzny powinien badać z odpowiednią starannością zawodową biorąc pod uwagę:
· Zakres prac wymagany do zrealizowania założonego celu.
· Relatywną złożoność, znaczenie (materialne) i ważność sprawy.
· Adekwatność i efektywność zarządzania ryzykiem, systemu kontroli i procesu zarządzania.
· Prawdopodobieństwo wystąpienia znaczącego błędu, nieprawidłowości i niezgodności.
· Kosztów oceniania w relacji do osiągniętych korzyści.
A2 Audytor wewnętrzny powinien być wyczulony na istotne, znaczące ryzyka, które mogą mieć wpływ na osiągnięcie celu, realizację operacji i na zasoby. Jednakże same procedury badawcze, nawet wykonane zgodnie z zasadą staranności zawodowej, nie gwarantują jeszcze identyfikacji wszystkich istotnych ryzyk. Wymaga to ciągłego podnoszenia kwalifikacji i doskonalenia umiejętności przez zdobywanie i utrzymanie certyfikatu.
Zapewnienie jakości oraz zgodności
Dyrektor ds. audytu wewnętrznego powinien opracować oraz realizować program zapewnienia jakości celem osiągnięcia zgodności ze Standardami i Kodeksem Etyki. Program powinien zapewniać, że audyt przyczynia się do zwiększenia wartości firmy oraz poprawy jej działania.
Zakres prac
Audyt wewnętrzny dokonuje ocen i ma udział w usprawnianiu zarządzania ryzykiem, systemu kontroli i procesów kierowania instytucją.
Audyt wewnętrzny wypowiada się na temat całego procesu zarządzania. Wszystkie odnoszące się do prowadzonego biznesu systemy, procesy, operacje, funkcje i sposób prowadzenia działalności są przedmiotem jego oceny.
Podstawowym celem całego procesu zarządzania jest zapewnienie:
· wiarygodności i rzetelności danych finansowych i operacyjnych,
· oszczędnego i efektywnego wykorzystania wszelkich zasobów,
· zabezpieczenia majątku,
· zgodności z przepisami prawa, regulacjami, normami etycznymi i biznesowymi oraz umowami,
· identyfikacji poziomu ryzyka i zastosowanie skutecznych metod jego kontroli,
· realizacji celów i zadań ustalonych dla operacji i programów.
Rola audytu wewnętrznego sprowadza się do identyfikacji i oceny istotnych zagrożeń i ryzyk oraz udziału w usprawnianiu procesów zarządzania ryzykiem i systemu kontroli wewnętrznej.
A1 Audyt wewnętrzny powinien monitorować i oceniać efektywność systemu zarządzania ryzykiem. oraz
A2 oceniać ekspozycję na ryzyko
Kontrola
Audyt wewnętrzny powinien wspierać instytucję w zakresie utrzymania skutecznego systemu kontroli, głównego czynnika zmniejszającego ryzyko.
Zarządzanie instytucją
Jeśli chodzi o rolę audytu w odniesieniu do sposobu kierowania instytucją powinien on mieć wpływ na poprawę procesu, w trakcie którego (1) są ustalane i przekazywane cele i wartości, (2) monitorowane jest osiąganie celów, (3) przypisana jest odpowiedzialność oraz (4) zachowane są wartości.
Rekomendacje Komitetu Bazylejskiego cytują definicję audytu zaakceptowaną przez IIA w czerwcu 1999 r.
Znaczenie audytu wewnętrznego w systemie zarządzania bankiem (oraz dla władz nadzorczych) wynika stąd, że jest on wartościowym źródłem informacji nt. jakości systemu kontroli wewnętrznej. Wzmacnia też adekwatność kapitałową, a w szczególności filar, który traktuje o funkcji nadzoru. W tym znaczeniu skuteczna kontrola procesu oceny kapitału obejmuje niezależny przegląd dokonany przez audytorów wewnętrznych. Nowa definicja wychodzi poza funkcje oceniające i rozszerza zadania audytu o doradztwo.
Potrzeba obiektywizmu i bezstronności, tak ważna zwłaszcza w audycie funkcjonującym w bankowości, nie wyklucza zaangażowania w działalność o charakterze doradczym. Doradzanie na etapie projektowania systemu kontroli wewnętrznej jest często najekonomiczniejszym sposobem dostarczenia kierownictwu informacji do podjęcia racjonalnej decyzji nt. zaimplementowania systemu kontroli. Inne formy doradztwa powinny być podporządkowane podstawowej funkcji audytu realizowanej w ramach organizacyjnych instytucji, jaką jest niezależne badanie i ocena jej systemu kontroli, włączając w to kontrolę sprawozdań finansowych. Nie powinno się wykluczać audytorów z analizowania i krytykowania systemu kontroli, nawet wtedy gdy uczestniczyli w doradzaniu przy jego implementacji.
Zasada 1
Zarząd odpowiada za ustanowienie i realizację przez kierownictwo banku adekwatnego i skutecznego systemu kontroli wewnętrznej, systemu pomiaru różnorodnych ryzyk, systemu powiązania ryzyk z poziomem kapitału oraz odpowiednich metod monitorowania zgodności działalności bankowej z przepisami prawa, regulacjami a także zasadami nadzorczymi i wewnętrzną polityką.
W konsekwencji bank powinien posiadać procedury identyfikacji i adekwatnej kontroli ryzyk bankowych, testowania integralności, wiarygodności i terminowości informacji finansowej i zarządczej, monitorowania zgodności z prawem, regulacjami nadzorczymi, polityką i procedurami wewnętrznymi.
Zasada 2
Kierownictwo banku odpowiada za stworzenie procesów identyfikacji, pomiaru, monitorowania i kontroli ryzyk, które napotyka w swojej działalności.
Efektywna organizacja pracy wymaga jednoznacznego przydzielenia odpowiedzialności, uprawnień, podległości w strukturze, proces zarządzania powinien zapewnić identyfikację, pomiar, monitorowanie i kontrolę ryzyka. Sprowadza się to do ustanowienia odpowiedniego systemu kontroli wewnętrznej i procesu monitorowania adekwatności i skuteczności tego systemu.
Zasada 3
Funkcje audytu wewnętrznego są częścią procesu monitorowania systemu kontroli wewnętrznej oraz bankowych procedur oceny kapitałowej, ponieważ zapewniają niezależną ocenę adekwatności oraz zgodności z procedurami bankowymi i jego polityką. W ten sposób audyt wewnętrzny wspomaga pracowników w efektywnym wykonywaniu obowiązków opisanych wyżej.
W zakres prac audytu wewnętrznego wchodzi:
· badanie i ocena adekwatności i efektywności systemu kontroli wewnętrznej,
· przegląd zastosowania i efektywności procedur zarządzania ryzykiem oraz metodologia oceny ryzyka,
· przegląd systemów informacji finansowej i zarządczej, włącznie z elektronicznym systemem informacji oraz usługami bankowości elektronicznej
· przegląd prawidłowości i rzetelności zapisów księgowych oraz raportów finansowych,
· przegląd bankowego systemu oceny kapitału w relacji do szacowanego ryzyka,
· testowanie zarówno transakcji jak i funkcjonowania określonych procedur kontroli wewnętrznej,
· zgodność z wymaganiami prawnymi i nadzorczymi, kodeksem postępowania, polityką i procedurami,
· testowanie integralności, rzetelności i terminowości sporządzania sprawozdań,
· prowadzenie specjalnych dochodzeń.
· Zasady działania audytu wewnętrznego
Zasada 4
Audyt wewnętrzny w banku powinien być funkcją permanentną. Obowiązkiem kierownictwa jest podjęcie wszelkich środków, które zapewnią działanie audytu wewnętrznego w sposób ciągły i odpowiedni do wielkości banku oraz charakteru jego działalności. Te środki to zapewnienie odpowiednich zasobów i personelu, które umożliwią departamentowi audytu realizację jego celów.
Kontrola wewnętrzna: wytyczne dla dyrektorów dotyczące Wspólnego Kodeksu, opracowane przez Grupę Roboczą Kontroli Wewnętrznej Instytutu Biegłych Księgowych Anglii i Walii, zawierają wskazówki dla dyrektorów brytyjskich firm notowanych na giełdzie dot. interpretacji Zasady D.2. Wspólnego Kodeksu i powiązanych z nią punktów D.2.1 i D.2.2. Raport uzyskał status międzynarodowy i stał się wyznacznikiem standardów zarządzania firmą.
1. Zasada D.2. Kodeksu mówi, że "Zarząd powinien utrzymywać sprawny system kontroli wewnętrznej celem ochrony inwestycji udziałowców i majątku firmy".
2. Punkt D.2.1 mówi, że "Dyrektorzy powinni, co najmniej raz w roku, dokonywać oceny efektywności systemu kontroli wewnętrznej grupy i powinni składać o tym sprawozdania udziałowcom. Ocena powinna obejmować wszystkie kontrole, w tym finansowe, operacyjne i prawne oraz zarządzania ryzykiem".
3. Punkt D.2.2. mówi, że "firmy, które nie posiadają komórek odpowiedzialnych za audyt wewnętrzny powinny raz na jakiś czas rozważyć możliwość ich utworzenia".
10. System kontroli wewnętrznej firmy pełni kluczową rolę w zarządzaniu ryzykiem, które ma istotny wpływ na realizację przez firmę wytyczonych celów. Sprawny system kontroli wewnętrznej przyczynia się do ochrony inwestycji udziałowców i majątku firmy.
...
Jagusia_17