Raport Kinga-audyt wewnętrzny, Książki, Popularnonaukowe
[ Pobierz całość w formacie PDF ]
AUDYT WEWNĘTRZNY
King Report – król dobrych praktyk audytu wewnętrznego
Piotr Hans
Kiedy w ubiegłym roku pojawiła się trzecia edycja raportu Kinga rynek oczekiwał nowej
jakości – stało się juŜ bowiem pewną tradycją, Ŝe kolejne wersje
południowoafrykańskiego dokumentu dobrych praktyk przynoszą świeŜe spojrzenie na
corporate governance. Spojrzenie, które inspiruje środowiska corporate governance takŜe
w innych krajach i wpływa na kształt opracowywanych tam dokumentów dobrych
praktyk. Z punktu widzenia audytora wewnętrznego, najbardziej interesujące są
oczywiście fragmenty dokumentu odnoszące się do tego właśnie obszaru. Warto teŜ
prześledzić ewolucję zaleceń odnoszących się do audytu wewnętrznego w kolejnych
wersjach raportu Kinga i zweryfikować dość rozpowszechnioną tezę, Ŝe na tle innych
rozwiązań stosowanych na świecie, rozwiązania zawarte w raporcie są wręcz rewolucyjne.
King I Report (1994):
ocena systemów, nadzór nad etyką
JuŜ w pierwszej edycji raportu Kinga, opublikowanej w 1994 r., audyt wewnętrzny zajmował
istotną rolę w wizji ładu korporacyjnego stworzonej przez Komitet Kinga. The Code of
Corporate Practices & Conduct w punkcie 10 stanowił, Ŝe
organizacje POWINNY
[wyróŜnienie –
PH]
posiadać efektywną funkcję audytu wewnętrznego, uznawaną przez radę dyrektorów i najwyŜsze
kierownictwo, a takŜe z nimi współpracującą
. W raporcie wskazano równieŜ na waŜną rolę audytorów
wewnętrznych nie tylko w ocenie systemów kontroli wewnętrznej, ale takŜe w nadzorze nad etyką
prowadzonego biznesu i działań podejmowanych przez najwyŜsze kierownictwo.
Dobitnym przykładem na to, Ŝe bezpośrednie przywołanie audytu wewnętrznego jest
tym, co odróŜniało raport Kinga od innych dokumentów dobrych praktyk z tamtego okresu, jest
kanadyjski dokument Guidelines for improved corporate governance, obowiązujący od 1995 r. O
audycie wewnętrznym wspomniano tam jedynie przy okazji omawiania zadań i odpowiedzialności
komitetu audytu. Stwierdzono tylko, Ŝe zarówno audyt wewnętrzny, jak i zewnętrzny, powinien
mieć zapewniony bezpośredni dostęp do komitetu audytu. Przy czym audyt wewnętrzny
postrzegany był jedynie jako fakultatywne narzędzie wspierające komitet audytu, a nie odrębny i
istotny element ładu korporacyjnego, zasługujący na odrębny rozdział w dokumencie.
Takie podejście pokutowało przez wiele lat i obowiązuje zresztą do dziś w wielu
dokumentach dobrych praktyk (powrócę do tej kwestii m.in. w punkcie „King a sprawa polska”).
W brytyjskim raporcie Cadbury’ego z 1992 r. audyt wewnętrzny został co prawda
wskazany jako odrębny element corporate governance, ale jedynie jako nieco odmienna forma
audytu zewnętrznego, której zadaniem powinien być
regularny monitoring kluczowych mechanizmów
kontrolnych i procedur
oraz
prowadzenie dochodzeń dla komitetu audytu i wyjaśnianie wszelkich podejrzeń o
wystąpienie naduŜyć
.
Wspomniany kanadyjski dokument podobnie określał (nie wprost) zadania audytu
wewnętrznego jako
wsparcie komitetu audytu w uzyskaniu zapewnienia, Ŝe najwyŜsze kierownictwo
zaprojektowało i wdroŜyło efektywny system kontroli wewnętrznej.
Na tym tle zadania postawione przed audytem wewnętrznym w pierwszej wersji raportu
Kinga – nadzoru nad etyką i ogółem działań podejmowanych przez zarządzających – wyróŜniają
się szerokim i nowoczesnym postrzeganiem roli audytu wewnętrznego w strukturze ładu
korporacyjnego.
King II Report (2002):
zarządzanie ryzykiem,
ład organizacyjny
Aktualizacja raportu Kinga z 2002 roku stanowiła prawdziwą rewolucję w postrzeganiu funkcji
audytu wewnętrznego jako elementu corporate governance.
Tym razem audytowi wewnętrznemu poświęcono nie tylko odrębny, ale i obszerny
rozdział, który otwierała definicja opracowana przez Instytut Audytorów Wewnętrznych (
Institute
of Internal Auditors
, IIA) – najstarszą i powszechnie uznawaną na świecie organizację zrzeszającą
audytorów wewnętrznych. UŜyta
definicja wskazywała na szerszą rolę audytu – nie tylko
poprzez unaocznienie „działalności doradczej” (wyjście poza aspekt nadzorczo
zapewniający), ale takŜe wskazanie obszarów zainteresowania audytu wykraczających
poza system kontroli – tzn. zarządzania ryzykiem i ładu organizacyjnego.
Zgodnie z intencją autorów raportu, Międzynarodowe Standardy Profesjonalnej Praktyki
Audytu Wewnętrznego ustanowione przez IIA, miały stwarzać nie tylko ramy działania audytu
wewnętrznego, ale takŜe stawiać mu konkretne wymagania. Raport wskazywał takŜe (równieŜ
zgodnie ze Standardami IIA) na potrzebę opracowania karty audytu wewnętrznego, jako
podstawowej regulacji określającej zadania, uprawnienia i odpowiedzialność audytu
wewnętrznego.
Co prawda brytyjski raport Smitha z 2003 r., podobnie jak raport Kinga, przywoływał
jako wytyczne dla działalności audytu wewnętrznego Międzynarodowe Standardy Profesjonalnej
Praktyki Audytu Wewnętrznego oraz Kodeks Etyczny – ustanowione przez IIA, to jednak opis
zadań audytu wewnętrznego sformułowany był juŜ standardowo – z punktu widzenia zadań
komitetu audytu. To on bowiem, zdaniem autorów raportu, jest odpowiedzialny za zapewnienie
niezaleŜności i obiektywizmu audytu wewnętrznego, m.in. poprzez przyjmowanie i zwalnianie
osób z funkcji zarządzającego audytem wewnętrznym.
Wśród pozostałych zadań komitetu audytu, wg raportu Smitha, w zakresie nadzoru nad
działalnością audytu wewnętrznego wskazano: zapewnienie bezpośredniego dostępu do
przewodniczącego komitetu, przegląd planu rocznego, zaleceń audytu wewnętrznego oraz
odpowiedzi na nie najwyŜszego kierownictwa, przynajmniej coroczne spotkanie z zarządzającym
audytem wewnętrznym (bez udziału najwyŜszego kierownictwa) oraz wymieniony na końcu, ale
chyba najwaŜniejszy obowiązek w zakresie oceny efektywności działania audytu wewnętrznego –
jako elementu systemu zarządzania ryzykiem.
W drugiej wersji raportu Komitet Kinga podtrzymał swoje stanowcze zdanie na temat
potrzeby wdroŜenia audytu wewnętrznego. Znaną z pierwszej wersji „powinność” zastąpiono
bardziej namacalnym wymogiem, by w przypadku braku powołania audytu wewnętrznego,
ujawnić nie tylko przyczyny podjęcia takiej decyzji, ale takŜe
wyjaśnić, w jaki inny sposób
firma zapewnia efektywność mechanizmów, procesów, systemów kontrolnych
.
Raporty Smitha z 2003 r., czy Turnbulla z 1999 r. – zawierające rozwinięcie zasad The
Combined Code w zakresie odpowiednio: działalności komitetu audytu oraz funkcjonowania
systemu kontroli wewnętrznej – wymagały aby komitety audytu w firmach, które nie posiadają
audytu wewnętrznego, od czasu do czasu (konkretnie – corocznie) rozwaŜały potrzebę jego
wdroŜenia i składały radzie odpowiednią rekomendację w tym zakresie. Zalecano takŜe, by
w
przypadku braku jego powołania, ujawnić w raporcie rocznym przyczyny podjęcia takiej decyzji
.
Obydwa raporty nie wymagały juŜ jednak podawania jakiejkolwiek informacji na temat
ewentualnych innych mechanizmów zapewniających skuteczność i efektywność systemu kontroli.
Takie podejście, zdecydowanie łatwiejsze do realizacji przez komitet audytu i radę, stosowane jest
w wielu dokumentach dobrych praktyk takŜe obecnie.
Raport Kinga nałoŜył ponadto na radę dodatkowy obowiązek: zapewnienia, aby
funkcja
audytu wewnętrznego była uznawana w firmie i aby audyt wewnętrzny mógł działać na takim poziomie
(zarządzania), aby umoŜliwić mu realizację jego zadań
. Wskazano wyraźnie, aby zarządzający audytem
wewnętrznym podlegał formalnie dyrektorowi zarządzającemu (prezesowi zarządu) i miał
nieograniczony dostęp do przewodniczącego rady (dyrektorów) i komitetu audytu.
Oprócz tych „organizacyjnych” gwarancji niezaleŜności audytorów, raport wskazywał
ponadto bezpośrednio konieczność zachowania przez audytorów obiektywizmu, takŜe w
przypadku realizowania tej funkcji przez firmę zewnętrzną. Autorzy raportu dostrzegali równieŜ
potrzebę koordynowania zadań przez audyt wewnętrzny i zewnętrzny, by zapewnić właściwe
pokrycie obszarów ryzyka, a z drugiej strony uniknąć dublowania prac.
Najbardziej fundamentalną zmianą było jednak określenie, Ŝe
celem działania audytu
wewnętrznego jest wsparcie dla członków najwyŜszego kierownictwa w wywiązywaniu się z nałoŜonych na nich
zadań i odpowiedzialności
. Jako moŜliwe formy wsparcia raport wskazywał: analizy, oszacowania,
rekomendacje, konsultacje oraz przekazywanie wniosków z realizowanych przeglądów
aktywności firmy. Dosłownie i w przenośni, na drugie miejsce wśród zadań audytu wewnętrznego
spadło potwierdzenie efektywności ustanowionych mechanizmów kontrolnych, zastąpione na
miejscu lidera zapewnieniem, Ŝe proces zarządzania ryzykiem jest odpowiedni, by zidentyfikować
i monitorować znaczące ryzyka – zarówno strategiczne, jak i operacyjne.
O tym, Ŝe zgodnie z intencją autorów raportu, audyt wewnętrzny miał być swoistym
wewnętrznym doradcą osób zarządzających świadczy teŜ fakt, Ŝe
w procesie planowania
działań audyt powinien bazować nie tylko na własnej ocenie ryzyka, ale takŜe na
wskazówkach i oczekiwaniach wyraŜanych przez komitet audytu i najwyŜsze
kierownictwo –
co jest zgodne z najlepszymi praktykami audytu wewnętrznego.
Jak widać, aktualizacja raportu Kinga opublikowana w 2002 r. przyniosła nowe,
zdecydowanie szersze spojrzenie na audyt wewnętrzny. Podobnej wizji audytu wewnętrznego nie
znajdziemy w zasadzie w Ŝadnym innym dokumencie dobrych praktyk z tamtego okresu.
Dla przykładu: australijskie Principles of Good Corporate Governance and Best Practice
Recommendations z 2003 r. zaliczyły do zadań audytu wewnętrznego przede wszystkim ocenę
efektywności procesów zarządzania ryzykiem, compliance i systemu kontroli wewnętrznej.
Równocześnie wskazano, Ŝe zadania w tym obszarze mogą realizować inne komórki czy osoby –
w zaleŜności od rozmiarów firmy, uwzględniając kompleksowość zagadnień i ryzyk.
Podobnie jak raport Smitha, powołanie funkcji audytu wewnętrznego było zalecane
(szczególnie dla duŜych podmiotów), ale nie wymagane. W określeniu wytycznych dla audytu
wewnętrznego raport wskazywał na australijski oddział Stowarzyszenia Audytorów
Wewnętrznych IIA (podobnie jak raporty Kinga i Smitha). Raport podkreślał znaczenie
niezaleŜności audytu wewnętrznego, zachowywanej w szczególności poprzez zatwierdzanie i
zwalnianie przez komitet audytu osoby zarządzającej audytem wewnętrznym, a takŜe bezpośredni
dostęp członków komitetu do audytorów wewnętrznych. Z drugiej zaś strony zapewniał
audytorom niezbędny dostęp do najwyŜszego kierownictwa i prawo do pozyskiwania informacji i
wyjaśnień od pracowników.
Wszystkie te elementy tworzą obraz audytora wewnętrznego –
nadzorcy i weryfikatora, pracującego na rzecz rady nadzorczej i/lub komitetu audytu, a
nie nakreślonego w raporcie Kinga – doradcy najwyŜszego kierownictwa.
Z kolei
zasady nadzoru korporacyjnego OECD z 2004 r., wskazują jedynie na rolę audytu
wewnętrznego (a właściwie „wewnętrznego systemu audytowego”) jako
jednego ze sposobów, by
zagwarantować rzetelność systemów rachunkowości i sprawozdawczości finansowej spółki oraz zagwarantowanie
istnienia odpowiednich systemów kontroli w spółce, a w szczególności systemów monitorowania ryzyka, kontroli
finansowej i operacyjnej oraz przestrzegania obowiązujących przepisów i norm
.
O tym, Ŝe tworząc wizję ładu korporacyjnego moŜna całkowicie pominąć kwestię audytu
wewnętrznego świadczy pochodzący z 2001 r. German Corporate Governance Code (Cromme
report). Nie wspomina on w ogóle o funkcji audytu wewnętrznego, nakłada natomiast na komitet
audytu zadania z zakresu nadzoru nad rachunkowością i zarządzaniem ryzykiem – skupiając się
szczególnie na tym pierwszym obszarze i kwestiach związanych z prowadzeniem audytu
sprawozdań finansowych przez audytora zewnętrznego. Podobne przeoczenie audytu
wewnętrznego miało miejsce w przypadku zasad opisanych w dokumencie Euroshareholders
Corporate Governance Guidelines 2000.
Zaktualizowany raport Turnbulla z 2005 r. nie przynosi Ŝadnego postępu w stosunku do
zasad odnoszących się do audytu wewnętrznego zawartych w raporcie z 1999 r. MoŜna raczej
mówić o większej ogólnikowości postanowień w tej sprawie i o regresie. O ile bowiem zadania
rady w zakresie nadzoru nad systemem kontroli wewnętrznej i zarządzania ryzykiem pozostały
niezmienione, to o audycie wewnętrznym wspomina się jedynie mimochodem, przy okazji
zalecenia dotyczącego dokonania przez radę corocznej oceny systemu kontroli wewnętrznej oraz
opisu moŜliwych wariantów stosowanych przez najwyŜsze kierownictwo do oceny skuteczności
procedur, procesów i mechanizmów kontroli wewnętrznej i zarządzania ryzykiem.
W raporcie zaznaczono wyraźnie, Ŝe wytyczne odnośnie audytu wewnętrznego mają
zastosowanie jedynie w sytuacji, kiedy audyt faktycznie został wdroŜony. Reguły zalecające
ustanowienie audytu wewnętrznego i wskazujące rozwiązania alternatywne w przypadku jego
braku, zastąpiono katalogiem róŜnych narzędzi monitorowania efektywności systemu kontroli
wewnętrznej i zarządzania ryzykiem, wymieniając wśród nich audyt wewnętrzny.
Bardziej zbliŜone do zasad ustanowionych w raporcie Kinga są reguły ustalone w
dokumencie Final NYSE Corporate Governance Rules z 2003 r. Znajdziemy tam przede
wszystkim jednoznaczny wymóg, aby wszystkie notowane spółki posiadały funkcję audytu
wewnętrznego – w celu zapewnienia najwyŜszemu kierownictwu i komitetowi audytu bieŜącej
oceny funkcjonującego systemu kontroli wewnętrznej i zarządzania ryzykiem w firmie. Do zadań
audytu wewnętrznego, odmiennie niŜ w innych raportach, zaliczono tu takŜe moŜliwość
doradztwa przy wyborze audytora zewnętrznego. Mamy więc co prawda do czynienia z
nałoŜonym na spółki obowiązkiem oraz z moŜliwymi czynnościami doradczymi, ale w bardzo
ograniczonym zakresie.
Dokument Guidance on good practices in corporate governance disclosure z 2006 r.,
opracowany przez UNCTAD, zalecał z kolei, aby firmy ujawniały informacje na temat szczebla
zarządzania, któremu audyt podlega, oraz zakresu działań i odpowiedzialności audytu
wewnętrznego – określanego przez oczekiwania rady (w szczególności komitetu audytu) i
zaleŜnego od struktury, rozmiarów, złoŜoności organizacji. Zachęcał takŜe do ujawniania
szczegółowych informacji na temat jego działania, a firmom które nie powołały audytu
wewnętrznego, nakazywał opublikować informacje o przyczynie takiego podejścia. Raport, co
szczególne i wyjątkowe, podkreślał teŜ, Ŝe
efektywny audyt wewnętrzny odgrywa znaczącą
rolę w ładzie korporacyjnym
.
King III Report (2009):
zrównowaŜony rozwój,
komplementarny
model zapewniający
Raport Kinga w wersji z 2009 r. wprowadził kolejną istotną zmianę w podejściu do zakresu i
sposobu realizacji zadań audytu wewnętrznego. Jednym z zadań rady stało się bowiem
zapewnienie, aby w firmie funkcjonował
efektywny, oparty na zarządzaniu ryzykiem
istotnym dla spółki, audyt wewnętrzny.
Dodatkowo wśród zadań komitetu audytu
wymieniono potrzebę wdroŜenia
komplementarnego modelu zapewniającego
(
combined
assurance model
), aby zapewnić skoordynowane działanie róŜnych dostawców zapewnień (
assurance
providers
– np. kierownictwo, audyt wewnętrzny i zewnętrzny) i objęcie nadzorem wszystkich
istotnych dla organizacji ryzyk. Stanowi to rozwinięcie idei koordynacji, która pojawiła się juŜ w
drugiej wersji raportu.
Wśród zadań komitetu audytu dotyczących audytu wewnętrznego wymieniono w
raporcie: zatwierdzanie i zwalnianie zarządzającego audytem wewnętrznym, a takŜe ocenę
wyników jego działań, zatwierdzanie rocznego planu audytu i zapewnienie odpowiedniego i
niezaleŜnego nadzoru nad jakością jego działania.
Uszczegóławiając wymogi odnośnie samego audytu wewnętrznego wskazano, iŜ do jego
głównych zadań naleŜy:
·
ocena ładu organizacyjnego,
niezaleŜna ocena procesu zarządzania ryzykiem i systemu kontroli wewnętrznej,
·
systematyczna ocena procesów wewnętrznych i ustanowionych mechanizmów
kontrolnych,
·
udzielanie informacji na temat kwestii naduŜyć, korupcji, nieetycznych zachowań i
innych nieprawidłowości.
·
W dokumencie wskazano takŜe, Ŝe rada powinna definiować i zatwierdzać kartę audytu
wewnętrznego, a z kolei audyt wewnętrzny działać zgodnie ze Standardami i kodeksem etyki IIA.
(…)
Pełny tekst artykułu w nr 2(22)2010 „Przeglądu Corporate Governance”
[ Pobierz całość w formacie PDF ]