Redakcja Asseco News
e-mail: [email protected]
Prowadzenie profesjonalnego audytu wewnętrznego bez wsparcia dedykowanego systemu informatycznego jest niezwykle trudnym, żmudnym i czasochłonnym wyzwaniem.
Zgodnie z międzynarodowymi standardami praktyki zawodowej audytu wewnętrznego audyt wymaga systematycznego i uporządkowanego podejścia, w tym:
• oparcia planu audytu na udokumentowanej ocenie ryzyka organizacji, przeprowadzonej co najmniej raz na rok,
• udokumentowania i zatwierdzenia celu, zakresu i programu każdego zadania,
• starannego udokumentowania wszystkich informacji zebranych w trakcie audytu w sposób pozwalający innej osobie na dojście na jej przykładzie do tych samych wniosków,
• kontrolowania dostępu do dokumentacji
• stworzenia działającego systemu monitorowania wyników audytu i skutecznego wdrożenia decyzji kierownictwa.
Te same wymagania stawiane audytowi wewnętrznemu znajdujemy w Rekomendacji H Komisji Nadzoru Finansowego oraz Ustawie o finansach publicznych, co sprawia, że przestrzeganie ich staje się obowiązkowe dla komórek audytu wewnętrznego działających w bankach oraz w podmiotach podlegających audytowi w sektorze publicznym (Art. 274 Ustawy o finansach publicznych).
Obowiązek prowadzenia systematycznej i uporządkowanej dokumentacji nie może przesłonić nadrzędnego celu audytu wewnętrznego, jakim jest pomoc organizacji w osiąganiu jej celów, przyczynianie się do usprawniania procesów i działalności operacyjnej. Dlatego dobrze jest maksymalnie usprawnić dokumentowanie i archiwizowanie, żeby czynności te nie pochłaniały czasu i energii audytora.
Ogromnym ułatwieniem jest automatyzacja monitorowania postępu wdrożenia zaleceń czy uzgodnionych działań poaudytowych. Jeśli terminy wdrożenia działań i osoby odpowiedzialne zostaną wprowadzone do aplikacji, która umożliwia automatyczne monitorowanie i np. sama generuje i rozsyła maile do tych osób, oszczędza audytorowi comiesięcznego sporządzania zestawień i żmudnego wysyłania maili czy telefonowania do licznych pracowników. Jest to duża oszczędność czasu.
Również dużo łatwiej jest utrzymać porządek w dokumentacji, kiedy wszystkie zadania audytowe znajdują się w narzędziu informatycznym, które zapewnia łatwy dostęp do celu, zakresu, programu, wyników testów z całą dokumentacją roboczą. System może też usprawnić pisanie raportu zgodnie z przyjętym wzorcem, wykonanie testów kompletności dokumentacji przed rozesłaniem raportu do kierownictwa, a także prowadzenie harmonogram pracy audytorów.
Ma to niezaprzeczalne zalety. Dużo łatwiej jest panować nad:
a) kompletnością i jakością – kierujący audytem może sprawnie nadzorować, na jakim etapie jest zadanie i czy jest prawidłowo dokumentowane, nawet jeśli audytorzy znajdują się „w terenie”, w innych lokalizacjach; można też poprzez podział ról zagwarantować systemową akceptację pewnych dokumentów czy etapów procesu przez kierującego audytem lub inną upoważnioną osobę, a nawet zautomatyzować kontrolę kompletności dokumentacji;
b) dostępem – jeśli dokumentacja jest rozproszona i znajduje się na stacjach roboczych poszczególnych audytorów, w licznych teczkach, segregatorach, szufladach, łatwiej o zgubienie lub przypadkowe udostępnienie wrażliwych informacji osobom niepowołanym; dane archiwizowane w jednym systemie można stosunkowo prosto zabezpieczyć przed ujawnieniem lub utratą;
c) czasem – zgromadzenie dokumentacji celem zaprezentowania regulatorowi lub audytorom zewnętrznym działalności audytu wewnętrznego jest żmudne i czasochłonne; jeśli cała dokumentacja znajduje się w systemie, w którym jest w przejrzysty sposób poukładana, można po prostu pójść na spotkanie z laptopem;
d) zużyciem papieru – można całkiem wyeliminować generowanie dokumentów papierowych lub ograniczyć je do nielicznych wymaganych metodologią organizacji.
Niewątpliwym ułatwieniem jest systemowe wsparcie dokumentowania oceny ryzyka, która musi być przeprowadzana co najmniej raz na rok. Jeśli z braku systemu zarządzania ryzykiem w organizacji audytorzy muszą zbierać i rozważać informacje otrzymane od kierownictwa, dokumentować zmiany zachodzące w organizacji, bardzo trudno jest zachować systematyczność tego procesu i utrzymać porządek, jeśli nie ma się dostosowanego narzędzia informatycznego. System taki może wyliczać i proponować kolejność planowanych audytów w oparciu o wyniki oceny ryzyka.
Magdalena Jędrzejewska
Dyrektor Departamentu Audytu Wewnętrznego w Asseco Poland