Analiza ryzyka audytu wewnętrznego





Audytorzy wewnętrzni właściwie od momentu ustanowienia zarządzania ryzykiem w administracji publicznej bardzo mocno wspierali, bądź czasem wręcz wdrażali ten obszar. Sytuacja taka doprowadziła do bardzo mocnego powiązania obu funkcji, które z zasady powinny być rozłączne – w końcu to audyt ocenia efektywność systemu zarządzania ryzykiem jako jednego z kluczowych obszarów Kontroli Zarządczej.


Silne powiązanie audytu wewnętrznego z zarządzaniem ryzykiem prowadzi do bliskiej współpracy komórek audytu z osobami analizującymi czy też opisującymi ryzyko. Rozwiązanie takie ma szereg zalet – audytorzy poszerzają swoją wiedze na temat tego, co może być problemem poszczególnych komórek organizacyjnych, a także wesprzeć swoją wiedzą proces analizy ryzyka. Audytorzy traktują często proces zarządzania ryzykiem jako quasi „swój”. Sytuacja taka nie jest jednak oznaką dojrzałości systemu Kontroli Zarządczej.

Przyglądając się sposobowi analizy i zarządzania ryzykiem w wielu jednostkach nietrudno zauważyć, iż kierownicy komórek organizacyjnych traktują identyfikację i opis ryzyka jako pretekst do zwiększania budżetów oraz / lub etatów swoich komórek. Podejście takie, choć wciąż niedoskonałe jest i tak lepsze od lekceważenia ryzyka i braku zaangażowania w proces. Mając to na uwadze należy stwierdzić, iż komórka audytu wewnętrznego (bez znaczenia czy jest to jedna osoba czy zespół) jest elementem struktury organizacyjnej jednostki na takiej samej zasadzie jak komórka finansowa, kadrowa czy jakakolwiek inna realizująca zadania w obszarze działalności podstawowej. Funkcja audytu ma także swoje cele, a co za tym idzie ryzyka!

Niestety wciąż bardzo mało komórek audytu dokonuje analizy ryzyka swojej działalności. Można zidentyfikować wiele przypadków analiz ryzyka (wkładów w system zarządzania ryzykiem jednostki) gdzie audyt identyfikuje ryzyka w pozostałych procesach i komórkach dzieląc się niejako swoimi spostrzeżeniami czy priorytetami wypracowanymi na potrzeby planu rocznego. Powinno być jednak zupełnie inaczej – audyt powinien korzystać z systemowego zarządzania ryzykiem, które jako angażujące wszystkie komórki organizacyjne oraz wiele osób posiadających szeroką wiedzę na temat problemów jednostki stanowi znakomitą podstawę do planowania zadań na kolejne lata.

 Czy sama funkcja audytu jest obarczona ryzykiem? Moim zdaniem zdecydowanie tak. Rozpoczęcie analizy czy nawet identyfikacji ryzyka audytu jest jednakże możliwa dopiero po określeniu celów tej funkcji. Cele, na poziomie ogólnym określone są w przepisach (Ustawa, Rozporządzenie), a uszczegółowione w Karcie Audytu oraz strategii audytu w danej jednostce. Audytorzy często narzekają na niewystarczające obsady kadrowe, brak szkoleń czy nawet „zacofanie techniczne”. Proces zarządzania ryzykiem służy właśnie temu aby te słabości wskazać i opisać. Wymienione problemy (kadry, szkolenia) nie są jednakże ryzykami, a co najwyżej czynnikami (przyczynami) ryzyka. Zarządzający funkcją audytu powinien wskazać jak te luki wpływają czy też mogą wpłynąć na realizację celów do których audyt został powołany. Warto wskazywać kierownikowi jednostki, iż dzięki wyeliminowaniu tych powszechnym problemów, z którymi boryka się audyt wzrośnie (lub dopiero pojawi) się możliwość udzielania realnego wsparcia.

Komentarze

Prześlij komentarz

Popularne posty z tego bloga

Kontrola wewnętrzna a audyt wewnętrzny

Obraz
Ustawa o kontroli w administracji rządowej, która weszła w życie 1 stycznia 2012 ( Dz. U. z 2011 r. Nr 185, poz. 1092.) tylko połowicznie reguluje kształt kontroli instytucjonalnej w administracji rządowej. Chociaż obszar kontroli jednostek podległych i nadzorowanych został ukształtowany w sposób precyzyjny oraz, jak się można spodziewać, efektywny to relacje pomiędzy funkcjami audytu wewnętrznego a komórkami kontroli oceniającymi obszary wewnątrz jednostki zostały pozostawione rozstrzygnięciom indywidualnym, czyli na poziomie jednostek. Kontrola instytucjonalna, upodabniając się coraz bardziej do audytu wewnętrznego wymuszą podjęcie w najbliższym czasie decyzji systemowych co do kształtu funkcji kontrolnej oraz oceniającej na poziomie całej administracji. Celem artykułu jest analiza tych zagadnień oraz próba wypracowania możliwych rozwiązań.
Czytaj więcej

Komentarz do projektu ustawy o ochronie osób zgłaszających naruszenia prawa

Obraz
    Wreszcie nadszedł ten dzień – 19 października 2021 roku, nieco mniej niż dwa miesiące przed terminem na wdrożenie przepisu implementującego Dyrektywę Parlamentu Europejskiego i Rady (UE) 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa Unii. Wydaje się, że pozostały czas jest wystarczający do zakończenia procesu legislacyjnego, jednakże można oczekiwać, że organizacje i instytucje zaproszone do zgłaszania uwag wniosą ich sporo i to nie tylko o charakterze technicznym czy redakcyjnym.
Czytaj więcej