Analiza ryzyka audytu wewnętrznego
Audytorzy wewnętrzni właściwie od
momentu ustanowienia zarządzania ryzykiem w
administracji publicznej bardzo mocno wspierali, bądź czasem wręcz wdrażali ten
obszar. Sytuacja taka doprowadziła do bardzo mocnego powiązania obu funkcji,
które z zasady powinny być rozłączne – w końcu to audyt ocenia efektywność
systemu zarządzania ryzykiem jako jednego z kluczowych obszarów Kontroli
Zarządczej.
Silne powiązanie audytu
wewnętrznego z zarządzaniem ryzykiem prowadzi do bliskiej współpracy komórek
audytu z osobami analizującymi czy też opisującymi ryzyko. Rozwiązanie takie ma
szereg zalet – audytorzy poszerzają swoją wiedze na temat tego, co może być
problemem poszczególnych komórek organizacyjnych, a także wesprzeć swoją wiedzą
proces analizy ryzyka. Audytorzy traktują często proces zarządzania ryzykiem
jako quasi „swój”. Sytuacja taka nie jest jednak oznaką dojrzałości systemu
Kontroli Zarządczej.
Przyglądając się sposobowi
analizy i zarządzania ryzykiem w wielu jednostkach nietrudno zauważyć, iż
kierownicy komórek organizacyjnych traktują identyfikację i opis ryzyka jako
pretekst do zwiększania budżetów oraz / lub etatów swoich komórek. Podejście
takie, choć wciąż niedoskonałe jest i tak lepsze od lekceważenia ryzyka i braku
zaangażowania w proces. Mając to na uwadze należy stwierdzić, iż komórka audytu
wewnętrznego (bez znaczenia czy jest to jedna osoba czy zespół) jest elementem
struktury organizacyjnej jednostki na takiej samej zasadzie jak komórka
finansowa, kadrowa czy jakakolwiek inna realizująca zadania w obszarze działalności
podstawowej. Funkcja audytu ma także swoje cele, a co za tym idzie ryzyka!
Niestety wciąż bardzo mało
komórek audytu dokonuje analizy ryzyka swojej działalności. Można
zidentyfikować wiele przypadków analiz ryzyka (wkładów w system zarządzania
ryzykiem jednostki) gdzie audyt identyfikuje ryzyka w pozostałych procesach i
komórkach dzieląc się niejako swoimi spostrzeżeniami czy priorytetami
wypracowanymi na potrzeby planu rocznego. Powinno być jednak zupełnie inaczej –
audyt powinien korzystać z systemowego zarządzania ryzykiem, które jako
angażujące wszystkie komórki organizacyjne oraz wiele osób posiadających
szeroką wiedzę na temat problemów jednostki stanowi znakomitą podstawę do
planowania zadań na kolejne lata.
Czy sama funkcja audytu jest obarczona
ryzykiem? Moim zdaniem zdecydowanie tak. Rozpoczęcie analizy czy nawet identyfikacji
ryzyka audytu jest jednakże możliwa dopiero po określeniu celów tej funkcji.
Cele, na poziomie ogólnym określone są w przepisach (Ustawa, Rozporządzenie), a
uszczegółowione w Karcie Audytu oraz strategii audytu w danej jednostce. Audytorzy
często narzekają na niewystarczające obsady kadrowe, brak szkoleń czy nawet
„zacofanie techniczne”. Proces zarządzania ryzykiem służy właśnie temu aby te
słabości wskazać i opisać. Wymienione problemy (kadry, szkolenia) nie są
jednakże ryzykami, a co najwyżej czynnikami (przyczynami) ryzyka. Zarządzający
funkcją audytu powinien wskazać jak te luki wpływają czy też mogą wpłynąć na
realizację celów do których audyt został powołany. Warto wskazywać kierownikowi
jednostki, iż dzięki wyeliminowaniu tych powszechnym problemów, z którymi
boryka się audyt wzrośnie (lub dopiero pojawi) się możliwość udzielania
realnego wsparcia.
Komentarze
Prześlij komentarz