Pojęcie i zakres audytu wewnętrznego w systemie informatycznym rachunkowości

Pełen tekst

(1)Zeszyty Naukowe nr 796. Uniwersytetu Ekonomicznego w Krakowie. 2009. Katarzyna Szymczyk-Madej Katedra Rachunkowości. Pojęcie i zakres audytu wewnętrznego w systemie informatycznym rachunkowości 1. Wprowadzenie Technologia informatyczna (IT) jest obecnie powszechnie stosowana w jednostkach gospodarczych. System rachunkowości również coraz częściej opiera się na tej technologii. Jest to spowodowane nie tylko chęcią skorzystania z jej zalet, ale także w wyniku presji otoczenia. Oczekiwania klientów, dostawców czy obowiązujące rozwiązania prawne (np. obowiązek przekazywania dokumentów do ZUS drogą elektroniczną) jednoznacznie wymuszają posługiwanie się IT. Nie oznacza to jednak, że wykorzystywana technologia ogranicza się tylko do zwykłej automatyzacji prac księgowych, które wykonywane były wcześniej ręcznie. W rzeczywistości wprowadziła ona nową jakość w rachunkowości, dzięki czemu powstały i rozpowszechniły się systemy informatyczne rachunkowości (SIR). Rozwój technologii informatycznej doprowadził także do pojawienia się nowych, nieznanych wcześniej zagrożeń. W jednostkach gospodarczych, które zaprojektowały i wdrożyły własne systemy informatyczne, pojawiła się konieczność zapewnienia odpowiedniej ochrony. W podobnej sytuacji znalazły się systemy informatyczne rachunkowości. Rachunkowość od wieków pełni rolę „stróża” majątku. Technologia informatyczna, która w tej dziedzinie jest coraz powszechniej wykorzystywana, oferuje bogactwo możliwości w zakresie zabezpieczania tego majątku, ale może być także doskonałym narzędziem w rękach oszustów. Zagrożenia związane ze stosowaniem technologii informatycznej, zwiększone ryzyko, coraz silniejsza konkurencja w zakresie prowadzenia działalności gospodar-.

(2) Katarzyna Szymczyk-Madej. 64. czej oraz skandale finansowe ostatnich lat1 spowodowały wzrost zainteresowania wewnętrznymi czynnikami kontrolnymi w systemie informatycznym rachunkowości. Niezwykle istotną rolę zaczął odgrywać w ostatnich latach audyt wewnętrzny, dlatego temu problemowi właśnie poświęcony został niniejszy artykuł. 2. Definicja audytu wewnętrznego Na przestrzeni lat znaczenie słowa audyt było różnie rozumiane. Samo słowo wywodzi się od łacińskiego audire, które oznacza słyszeć, słuchać, przesłuchiwać. Taka etymologia jest bardzo znamienna, ponieważ podkreśla neutralny charakter audytu względem badanego obszaru, a więc pozwala na zachowanie pełnego obiektywizmu. Jednak wyrażenie „przysłuchiwanie się” sugeruje pewną bierność wobec tego, co się dzieje w organizacji, co z kolei – w miarę rozwoju i zmian roli audytu – przestało oddawać jego istotę [Piaszczyk 2004], dlatego też przez wiele lat trwały próby znalezienia odpowiedniejszego terminu, który wyrażałby całokształt zagadnień audytu. Stosowano określenia: audyt zarządczy (management auditing), audyt operacyjny2 (operational auditing), audyt wyników (results auditing), ocena działań (operations appraisals) [Sawyer 1981]. Ostatecznie po założeniu w 1941 r. w USA Instytutu Audytorów Wewnętrznych (IIA – The Institute of Internal Auditors)3 przyjął się i rozpowszechnił termin audyt wewnętrzny (internal audit), pomimo że stosowanie określenia „audyt” było początkowo traktowane wyłącznie jako „ukłon w stronę historii”4. Przymiotnik „wewnętrzny” został wybrany celowo, gdyż był na tyle „pojemny”, że obejmował wszystkie jego ówczesne i przyszłe funkcje [Dooley 1965]. Ogólnie przyjęta obecnie i zaakceptowana zarówno w praktyce, jak i w literaturze przedmiotu definicja audytu wewnętrznego zaproponowana została przez Instytut Audytorów Wewnętrznych. Zgodnie z nią audyt wewnętrzny stanowi 1 Szczególny niepokój społeczny wywołały bankructwa wielkich spółek giełdowych w USA. Zapoczątkował je upadek giganta energetycznego Enron Corp. spowodowany zarówno błędnymi decyzjami menedżerów, jak i stosowaniem „kreatywnej rachunkowości” oraz oszustwami księgowymi, o czym nie informowała akcjonariuszy renomowana firma audytorska Andersen. Potem podobne zdarzenia ujawniono w innych dużych firmach, jak WorldCom, Xerox, Medco itp. W Polsce upadłość Stoczni Szczecińskiej SA nazywana jest niekiedy „małym Enronem” [Podstawy rachunkowości..., 2002]. 2 Termin „audyt operacyjny” był szczególnie rozpowszechniony w Stanach Zjednoczonych Ameryki na początku XX w. Jak podaje jeden z głównych teoretyków audytu, B. Cadmus [1964], termin „audyt operacyjny wyróżniają nie metody pracy, ale dążenia i pozycja audytora”. 3 IIA jest organizacją o zasięgu światowym zrzeszającą audytorów wewnętrznych (IIA www; IIA PL www). 4. Audyt – w dosłownym znaczeniu – jest jedynie jedną z funkcji audytu wewnętrznego..

(3) Pojęcie i zakres audytu wewnętrznego.... 65. niezależne, obiektywne działania o charakterze zapewniającym5 i doradczym, prowadzone w celu wniesienia do organizacji wartości dodanej i usprawnienia jej funkcjonowania [Standards for the Professional..., 2001]. Ponadto podaje ona, że audyt wewnętrzny wspiera organizację w osiąganiu wytyczonych celów poprzez systematyczne i zdyscyplinowane działanie, którego celem jest ocena i poprawa efektywności systemu kontroli wewnętrznej, zarządzania ryzykiem oraz procesów zarządzania organizacją6. W polskiej gospodarce pojawienie się audytu wewnętrznego w przedsiębiorstwach było wynikiem poszukiwań sposobu na wzmocnienie, często nieefektywnej, kontroli wewnętrznej oraz usprawnienie procesów zarządzania. Istotne znaczenie miały także naciski wywierane przez instytucje Unii Europejskiej, dążące do zdyscyplinowanego gospodarowania przez Polskę powierzonymi środkami finansowymi, zwłaszcza środkami pomocowymi [Kuc 2002]. W języku polskim termin audyt wewnętrzny po raz pierwszy oficjalnie pojawił się w 2001 r. po wprowadzeniu zmian do ustawy o finansach publicznych7 (ustawa o finansach 1998 r.). Zgodnie z nią audyt wewnętrzny to „ogół działań, przez które kierownik jednostki uzyskuje obiektywną i niezależną ocenę funkcjonowania jednostki w zakresie gospodarki finansowej pod względem legalności, gospodarności, celowości, rzetelności, a także przejrzystości i jawności” (art. 35c ust. 1 ustawy). Definicja ta, chociaż z pewnymi modyfikacjami, jest pochodną definicji podanej przez IIA, czego potwierdzeniem jest – umieszczone w podręczniku audytu wewnętrznego wydanym przez Ministerstwo Finansów [Podręcznik audytu..., 2003] – zalecenie, aby rozumieć ją w ten właśnie sposób. Nieco inny wydźwięk ma definicja audytu wewnętrznego przyjęta przez polskie banki. Audyt wewnętrzny jest postrzegany, jako wyspecjalizowana jednostka organizacyjna, stanowiąca element systemu kontroli wewnętrznej, której działania Działanie o charakterze zapewniającym (assurance activity) oznacza „racjonalne” lub „rozsądne” zapewnienie (tzn. nie jest to zapewnienie absolutne). Przykładowo, audyt nie może w pełni zagwarantować, że dany proces funkcjonuje prawidłowo, ale może dać racjonalną (opartą na posiadanej wiedzy i zdrowym rozsądku) dozę pewności, że jest on prawidłowy. 5. Procesy zarządzania organizacją rozumiane są jako governance, co odnosi się do szerokiej sfery zarządzania organizacją i nadzoru nad jej działalnością. Pojęcie to obejmuje liczne relacje wewnętrzne i zewnętrzne, tzn. zarówno klasyczny układ relacji właściciel – zarządzający, jak również udział znacznie szerszych grup interesów, jak np.: pracownicy, klienci, wierzyciele, dostawcy, czy też lokalne społeczności [Standards for the Professional..., 2001]. 6. Ustawa z 27 lipca 2001 r., zmieniająca ustawę o finansach publicznych [ustawa o zmianie FP 2001]. Nowelizacja ustawy o finansach publicznych, którą wprowadzono w związku z dostosowywaniem polskiego prawa do wymogów Unii Europejskiej, upowszechniła i sprecyzowała terminy oscylujące wokół tej problematyki, takie jak: kontrola wewnętrzna, kontrola finansowa, audyt zewnętrzny, audyt wewnętrzny. Obecnie termin „audyt wewnętrzny” wyparł z języka polskich ekonomistów powszechnie używane uprzednio określenia rewizja wewnętrzna lub rewizja zakładowa. 7.

(4) 66. Katarzyna Szymczyk-Madej. są częścią procesu monitorowania efektywności mechanizmów kontroli wewnętrznej8. W rekomendacji Narodowego Banku Polskiego z 2002 r. dotyczącej kontroli wewnętrznej w bankach stwierdza się, że audyt wewnętrzny wykonywany jest przez jednostkę kontroli wewnętrznej, a jej celem jest badanie, ocena i doskonalenie istniejących w ramach banku procedur i mechanizmów kontroli wewnętrznej oraz ich praktycznego przestrzegania [Rekomendacja H..., 2002]. Ponadto w ramach kontroli instytucjonalnej, jednostka kontroli wewnętrznej sprawdza działalność banku jako całości, reagując na potrzeby zgłaszane przez zarząd i radę nadzorczą banku zgodnie z regulaminem kontroli i z częstotliwością zależną od zidentyfikowanych obszarów ryzyka, poziomu istotności ryzyka, a także od roli kontroli w jego redukowaniu. W rzeczywistości tak postrzegany audyt wewnętrzny dotyczy oceny systemu kontroli wewnętrznej, tylko bez oceny i poprawy efektywności zarządzania ryzykiem oraz procesów zarządzania organizacją. Należy jednak pamiętać, że pomimo przyjętych rozwiązań, w polskiej rzeczywistości gospodarczej audyt wewnętrzny stanowi często jeszcze nowość nie tylko z punktu widzenia definicji i celu jego funkcjonowania, ale również z powodu praktycznych aspektów związanych z jego prowadzeniem. W dalszym ciągu jest on bardzo często utożsamiany wyłącznie z systemem kontroli wewnętrznej [Grocholski 2004]. Należy jednak pamiętać o istotnych różnicach między audytem wewnętrznym a kontrolą wewnętrzną, wśród których trzeba zwrócić uwagę przede wszystkim na: – aspekt czasu – kontrole wewnętrzne są realizowane w sposób ciągły i równoległy do zdarzeń, natomiast audyt wewnętrzny ma postać okresowych ocen, a zdarzenia i procesy zachodzące w przedsiębiorstwie są oceniane post factum; – planowość przeprowadzanych kontroli – audyt jest najczęściej zaplanowany, a o jego przeprowadzeniu są uprzedzane komórki przedsiębiorstwa, które będą podlegały badaniu, natomiast kontrole wewnętrzne przeprowadza się automatycznie, gdyż są wkomponowane w proces pracy danej jednostki organizacyjnej; – kwestie osobowe – audytorzy stanowią grupę niezależną w stosunku do badanego obszaru, kontrola przeprowadzana przez nich ma charakter instytucjonalny, a powołane do niej osoby zajmują się kontrolą zawodowo i mają do tego odpowiednie kwalifikacje. Kontrole wewnętrzne zaś są wykonywane przez osoby bezpośrednio lub pośrednio związane z badanym obszarem i głównie mają postać nadzoru kierowniczego oraz samokontroli; 8 Definicja ta nawiązuje do pojęcia audytu wewnętrznego zaproponowanego przez IIA jeszcze przed 2001 r., kiedy audyt wewnętrzny definiowany był jako niezależna jednostka organizacyjna stworzona w ramach struktury danego przedsiębiorstwa w celu badania i oceny jego działalności. Miała ona pełnić rolę usługową dla przedsiębiorstwa. Naczelnym celem tak pojmowanego audytu wewnętrznego miało być świadczenie pomocy pracownikom w zakresie efektywnego wykonywania swoich obowiązków. Aby osiągnąć ten cel, audyt wewnętrzny dostarczał im analiz, ocen, zaleceń, rad oraz informacji dotyczących działalności będącej przedmiotem kontroli..

(5) Pojęcie i zakres audytu wewnętrznego.... 67. – możliwość podejmowania decyzji co do zmian w badanym obszarze – audytor nie ma uprawnień do wprowadzania zmian, może tylko doradzać i rekomendować konkretne rozwiązania. Kierownik wykonujący swoje obowiązki kontrolne w formie nadzoru może, na podstawie obserwacji, podejmować decyzje i modyfikować podległy mu obszar; – udostępnianie wyników kontroli – adytorzy swoje sprawozdania przedstawiają bezpośrednio lub pośrednio najwyższemu kierownictwu. Wyniki kontroli wewnętrznych są prezentowane zazwyczaj tylko kierownikom odpowiedzialnym za funkcjonowanie danego obszaru lub pozostają znane tylko osobie, która kontrolę przeprowadza, przykładowo w procesie samokontroli pracownik sam po stwierdzeniu swojego błędu koryguje go. Należy jednak podkreślić, że pomimo tych różnic audyt wewnętrzny i kontrola wewnętrzna mają zasadniczą cechę wspólną, którą jest wspieranie prawidłowości działań realizowanych w ramach organizacji, a także podniesienie efektywności jej funkcjonowania. 3. Cele i funkcje audytu wewnętrznego Według definicji, celem audytu wewnętrznego jest „wniesienie do organizacji wartości dodanej i usprawnienie jej funkcjonowania”, a szczególnym przedmiotem jego działania jest zarządzanie ryzykiem, system kontroli wewnętrznej i procesy zarządzania organizacją. W literaturze przedmiotu bardzo często podkreśla się jednak i eksponuje przede wszystkim kontrolną funkcję audytu, ukierunkowaną na nadzór i ocenę systemu kontroli wewnętrznej. Oznacza to, że audyt traktuje się jako swoistą „kontrolę kontroli” [Piaszczyk 2003], [Pogodzińska-Mizdrak 2003], [Dzierżanowski 2002]. W przeszłości w związku z takim eksponowaniem funkcji kontrolnej oczekiwano, że audyt wewnętrzny będzie spełniał przede wszystkim następujące zadania [Blohm 1970], [Maguire 1978], [Horvath 1992], [Korndörfer, Peez 1993]: ulepszanie metod produkcji, ochrona majątku, zapobieganie stratom, usuwanie błędów w pracy, podnoszenie jakości pracy. Chociaż są to bardzo wymierne i konkretne oczekiwania, to jednak nie jest wykorzystywany pełny zakres możliwości audytu wewnętrznego, dlatego w ostatnich kilkunastu latach jego postrzeganie uległo zmianie. Obecnie jest on odbierany jako służba, której zadaniem jest dostarczenie kierownictwu obiektywnej informacji dotyczącej działania organizacji (w tym także istniejącego systemu kontroli)9, postrzeganego ryzyka, możliwości jego zminimalizowania oraz wprowadzenia Można powiedzieć, że audyt wewnętrzny jest „strażnikiem” spójności elementów systemu kontroli wewnętrznej. 9.

(6) 68. Katarzyna Szymczyk-Madej. usprawnień w celu zwiększenia jej efektywności i wydajności. Zadaniem audytu jest stwierdzanie faktów przeszłych, towarzyszenie bieżącym zmianom oraz przewidywanie przyszłego ryzyka [Praktyczne aspekty..., 2004]. Coraz większą wagę przywiązuje się do informacyjnej roli audytu wewnętrznego, co sprawia, że możliwe jest udoskonalanie funkcjonowania danej jednostki gospodarczej poprzez pomoc w podejmowaniu decyzji osobom wykonującym określone zadania w jednostce. Audyt wewnętrzny wspomaga zatem kierownictwo poprzez dostarczanie profesjonalnej informacji (opinii i wniosków) oraz formułowanie ewentualnych zaleceń co do sposobu osiągnięcia wyznaczonych celów. Według różnych publikacji [Podręcznik audytu..., 2003], [Standardy audytu..., 2003], [Kuc 2002], [Rola 2003], [Wade 2002], [Wynne 2000] audytem wewnętrznym obejmuje się: – identyfikację zagrożeń i analiza ryzyka, na które narażona jest organizacja, – ocenianie adekwatności, efektywności i skuteczności elementów systemu kontroli, – badanie, testowanie i ocenianie stopnia zgodności systemów i procesów z ustanowionymi mechanizmami systemu kontroli, – przedstawianie opinii z poczynionych ustaleń (np. na temat skuteczności systemu kontroli wewnętrznej), – wspomaganie kierownictwa w opracowywaniu i wdrażaniu mechanizmów kontroli, – uświadamianie pracowników w zakresie odpowiedzialności za mechanizmy kontroli i ich rozwój, – ocenianie i monitorowanie prawidłowości, adekwatności i efektywności funkcjonowania systemów i procesów zachodzących w organizacji, – ocenianie terminowości i kompletności informacji uzyskiwanych z systemów organizacji, – ocenianie zgodności uzyskiwanych informacji z potrzebami kierownictwa, – ocenianie sprawności przepływu informacji pomiędzy jednostkami organizacyjnymi, – ocenianie planowania, organizowania i zarządzania procesami, – ocenianie realizacji założonych celów organizacji, – przedstawianie wniosków i zaleceń dotyczących poprawy sytuacji w organizacji, – dostarczenie racjonalnego zapewnienia, że organizacja funkcjonuje prawidłowo. Analiza celów audytu wewnętrznego pozwala na wyróżnienie następujących funkcji audytu wewnętrznego: kontrolnej, poznawczej, decyzyjnej, doradczej, oceniającej, prewencyjnej. Realizacja przez audyt wewnętrzny tak wielu funkcji możliwa jest dzięki temu, że podczas audytu zachodzi proces informacyjno-.

(7) Pojęcie i zakres audytu wewnętrznego.... 69. -decyzyjny. Opierając się na uzyskanych podczas badania informacjach, audytor ocenia bieżącą sytuację, wyciąga wnioski i formułuje zalecenia dla kierownictwa. Zebrane informacje, oceny, wnioski i zalecenia audytora przekazywane są kierownictwu, które na ich podstawie podejmuje decyzje. Oznacza to, że wymienione funkcje audytu wewnętrznego są ze sobą ściśle powiązane. Zależności pomiędzy poszczególnymi funkcjami, przedstawione zostały na rys. 1.. Funkcja prewencyjna. Funkcja kontrolna. Funkcja oceniająca. Funkcja doradcza. Funkcja poznawcza. Funkcja decyzyjna. Rys. 1. Funkcje audytu wewnętrznego Źródło: opracowanie własne.. Zgodnie z ustaleniami: 1) z funkcji kontrolnej wynika: – funkcja prewencyjna (np. świadomość przeprowadzanych w przedsiębiorstwie kontroli ogranicza popełnianie nadużyć przez pracowników), – funkcja oceniająca (na podstawie przeprowadzonych kontroli audytor ocenia stan rzeczywisty), – funkcja poznawcza (kontrole pozwalają poznać funkcjonowanie organizacji); 2) z funkcji oceniającej wynika: – funkcja prewencyjna (świadomość podlegania ocenie ogranicza popełnianie nadużyć przez pracowników), – funkcja doradcza (na podstawie wystawionych ocen audytor doradza kierownictwu podjęcie określonych działań), – funkcja poznawcza (dzięki przedstawionym przez audytora ocenom, kierownictwo poznaje sytuację w organizacji);.

(8) Katarzyna Szymczyk-Madej. 70. 3) z funkcji doradczej wynika: – funkcja prewencyjna (świadomość, że audytor może doradzić kierownictwu podjęcie określonych działań sankcyjnych ogranicza popełnianie nadużyć przez pracowników), – funkcja poznawcza (dzięki radom audytora kierownictwo poznaje nowe aspekty, możliwości i rozwiązania określonych problemów); 4) z funkcji poznawczej wynika: – funkcja decyzyjna (poznanie przez kierownictwo opinii, wniosków i zaleceń audytora przyczynia się do podjęcia decyzji); 5) z funkcji decyzyjnej wynika: – funkcja kontrolna (podjęte przez kierownictwo decyzje mogą wiązać się z koniecznością przeprowadzenia nowej kontroli). Dopiero scharakteryzowanie wszystkich funkcji audytu wewnętrznego pozwala dostrzec ich zakres oraz uzasadnia w pełni stwierdzenie, że audyt wewnętrzny wnosi „wartość dodaną” do organizacji. Należy jednak pamiętać, że prawidłowa realizacja tak wielu funkcji wymaga, aby audytorzy posiadali odpowiednio wysokie kwalifikacje i kompetencje. Z rozległymi funkcjami i szerokimi kompetencjami wiąże się odpowiedzialność. W wypadku audytora wewnętrznego odpowiedzialność jest bardzo duża, gdyż jego działania i wysuwane przez niego wnioski przyczyniają się pośrednio do podejmowania decyzji przez kierownictwo firmy. 4. Rodzaje audytu wewnętrznego Realizacja tak rozległych celów wymaga bardzo szerokiego zakresu działania audytu wewnętrznego, dlatego w literaturze przedmiotu można spotkać różne jego podziały10 [Sawyer 1981], [Wynne 2000], [Krzemień, Winiarska 2004], [Saunders 2002], [Piaszczyk 2004], [Kuc 2002], [Standardy audytu 2003], [ustawa o finansach publicznych..., 1998], [Podręcznik audytu 2003]. Zazwyczaj jednak wyróżnia się: – audyt finansowy ( financial audit), czyli analiza i ocena dowodów księgowych, zapisów w księgach rachunkowych oraz sprawozdań księgowych i finansowych pod kątem dokładności i wiarygodności zawartych w nich informacji, – audyt działalności (performance audit), czyli ocena efektywności i skuteczności zarządzania finansami i majątkiem jednostki oraz przestrzegania terminów realizacji zadań i zaciągniętych zobowiązań, Studiując literaturę przedmiotu, można zetknąć się z takimi rodzajami audytu, jak: audyt finansowy, audyt działalności, audyt systemu, audyt informatyczny (który dzieli się na audyt legalności, audyt oprogramowania, audyt sprzętu, audyt zabezpieczeń), audyt operacyjny, audyt zgodności, audyt wynagrodzeń, audyt personalny, audyt menedżerski, audyt komunikacyjny, audyt logistyczny, audyt marketingowy. Nie istnieje jednak jedna, uznana i obowiązująca klasyfikacja audytu wewnętrznego, łącząca wszystkie wymienione ich rodzaje. 10.

(9) Pojęcie i zakres audytu wewnętrznego.... 71. – audyt systemu (system audit), czyli kompleksowa analiza i ocena adekwatności, efektywności i skuteczności systemów występujących w jednostce; do audytu systemu zalicza się także audyt informatyczny (audyt systemu informatycznego) (IT audit). Podczas przeprowadzania audytu w systemie informatycznym rachunkowości należy brać pod uwagę zarówno audyt systemu informatycznego, jak i audyt finansowy. Relację pomiędzy nimi przedstawiono na rys. 2.. Audyt wewnętrzny. Audyt finansowy. Audyt systemów Audyt informatyczny. Audyt wewnętrzny w systemie informatycznym rachunkowości. Rys. 2. Audyt wewnętrzny w SIR a audyt finansowy i audyt informatyczny Źródło: opracowanie własne.. W tym miejscu należy tylko zaznaczyć, że wbrew spotykanym niekiedy opiniom, audytu wewnętrznego w systemie informatycznym rachunkowości nie można sprowadzać jedynie do audytu finansowego, gdyż nie obejmuje on różnorodności zagadnień, na które należy zwrócić uwagę, badając system informatyczny rachunkowości. Audyt finansowy skupia się na badaniu tego systemu jedynie w takim stopniu, w jakim jest to konieczne, aby audytor mógł wydać opinię o tym, czy sprawozdanie finansowe daje prawdziwy i rzetelny obraz sytuacji finansowej jednostki. Celem audytu wewnętrznego w SIR jest usprawnienie funkcjonowania jednostki, co oznacza, że nie jest wystarczające zbadanie systemu informatycznego, systemu kontroli wewnętrznej i systemu rachunkowości w stopniu, w jakim jest to wystarczające do uzyskania odpowiedzi na pytanie o prawdziwość i rzetelność sprawozdania finansowego. W wypadku audytu wewnętrznego w SIR badania te muszą być pogłębione i ukierunkowane również na efektywność tych systemów. Oznacza to, że audyt wewnętrzny w SIR jest pochodną audytu finansowego i audytu informatycznego..

(10) 72. Katarzyna Szymczyk-Madej. Audyt finansowy ma na celu ocenę zastosowanych zasad rachunkowości oraz rzetelności sprawozdań finansowych i budżetowych sporządzanych na podstawie ksiąg rachunkowych. Analogiczne oczekiwania związane są z rewizją sprawozdań finansowych przeprowadzaną przez biegłych rewidentów. Potwierdza to sytuacja w sektorze finansów publicznych, w którym jednostki ustawowo zobowiązane do corocznego badania sprawozdań finansowych są zwolnione z przeprowadzania audytu finansowego [Winiarska 2005]. Biorąc pod uwagę zbieżność oczekiwań wobec audytu finansowego i rewizji finansowej, można stwierdzić, że cele ich przeprowadzania są jednakowe. Oznacza to, że identyfikując cele audytu finansowego, można skorzystać z ogólnie obowiązujących norm i standardów opracowanych dla rewizji finansowej. W literaturze z zakresu rachunkowości i rewizji finansowej cel ten, przez różnych autorów określany jest podobnie, co wynika z uregulowań ustawowych. W ustawie o rachunkowości [1994] cel badania sprawozdania finansowego określono jako wyrażenie „pisemnej opinii wraz z raportem o tym, czy sprawozdanie finansowe jest prawidłowe oraz rzetelnie i jasno przedstawia sytuację majątkową i finansową, jak też wynik finansowy badanej jednostki” (art. 65, ust. 1 ustawy). Podobnie cel ten został określony w Międzynarodowych standardach rewizji finansowej [MSRF 2001] jako „umożliwienie wyrażenia opinii o tym, czy sprawozdanie finansowe zostało, we wszystkich istotnych aspektach, sporządzone zgodnie z określonymi założeniami koncepcyjnymi sprawozdawczości finansowej”. Celem audytu finansowego zatem jest [Fedak 1996, 1998], [Krzywda 2003], [Marzec 2002], [Winiarska 2005], [Gottlieb 1992], [Howard 1988]: 1) obiektywne ustalenie rzeczywistego wyniku działalności gospodarczej oraz stanu finansowego i majątkowego jednostki, co jest możliwe dzięki badaniu: – zgodności sprawozdań (np. sprawozdania finansowego, sprawozdania z wykonania budżetu) z zapisami w księgach rachunkowych, – zgodności zapisów w księgach rachunkowych z dowodami księgowymi, – przestrzegania zasad rachunkowości w jednostce; – zakomunikowanie wyników badań w postaci opinii i uzupełniającego ją raportu. W celu realizacji tego zadania audytor przeprowadza stosowne, uznane przez siebie za nieodzowne badania, zwracając w razie konieczności uwagę na potrzebne zmiany w księgach rachunkowych i rocznym sprawozdaniu finansowym. Podsumowując, należy stwierdzić, że audyt finansowy i rewizja finansowa mają te same cele i zadania, natomiast podstawowa różnica między nimi polega na tym, że rewizja finansowa ma charakter audytu zewnętrznego a audyt finansowy, w rozumieniu niniejszego opracowania, jest jedną z odmian audytu wewnętrznego. Szczegółowe omówienie problematyki audytu finansowego i badania sprawozdań finansowych można znaleźć w pracach: [Święcicki 2000], [Marzec 2002],.

(11) Pojęcie i zakres audytu wewnętrznego.... 73. [Krzywda 2003], [Rewizja sprawozdań..., 2005], [Sprawozdawczość..., 2003], [Hołda, Pociecha 2004], [Dunn 1996], [Knedler, Stasik 2005], [Winiarska 2005], [Arens, Loebbecke 2000], [Cosserat 2000]. Audyt informatyczny pojawił się po raz pierwszy w USA pod koniec lat 60. XX w. Wtedy to miały miejsce pierwsze regularne i udokumentowane badania wykorzystania komputerów w przedsiębiorstwach, które obecnie można określić mianem audytu informatycznego. Początkowo audyt ten dotyczył niemal wyłącznie zakresu przetwarzania danych finansowo-księgowych przy użyciu komputera i przeprowadzany był przez audytorów finansowych lub biegłych rewidentów. Dopiero w latach 80. wraz z rozwojem systemów informatycznych i nabieraniem przez nie coraz większego znaczenia w funkcjonowaniu przedsiębiorstwa, rozpowszechniła się oddzielna funkcja – audytor systemu informatycznego11 (IT auditor). Duży wpływ na kształcenie, promowanie i rozwój zawodu audytora systemu informatycznego miało Stowarzyszenie do spraw Audytu i Kontroli Systemów Informatycznych (ISACA – The Information Systems Audit and Control Association) – (ISACA www; ISACA PL www). W Polsce audyt systemów informatycznych został w praktyce wprowadzony do życia gospodarczego w latach 90. XX w. wraz z rozpoczęciem działalności przez firmy konsultingowo-audytorskie tzw. wielkiej piątki12. Od tego czasu w polskiej gospodarce audyt systemu informatycznego funkcjonuje dość powszechnie, ale często utożsamiany jest wyłącznie z audytowaniem legalności oprogramowania lub audytowaniem bezpieczeństwa systemu informatycznego. Tymczasem według ISACA [Standardy, wytyczne..., 2002] audyt systemów informatycznych to „proces zbierania i oceniania dowodów w celu określenia, czy systemy informatyczne i związane z nimi zasoby właściwie chronią majątek, utrzymują integralność danych i systemu, dostarczają odpowiednich i rzetelnych informacji, osiągają efektywnie cele organizacji, oszczędnie wykorzystują zasoby i stosują mechanizmy kontroli wewnętrznej tak, aby dostarczyć rozsądnego zapewnienia, że są osiągane cele operacyjne i kontrolne oraz że system informatyczny jest chroniony przed niepożądanymi zdarzeniami” [Standardy, wytyczne..., 2002]. Audytowanie systemów informatycznych polega zatem na zbieraniu dowodów potwierdzających lub zaprzeczających, że badany system informatyczny (jego część) spełnia założone 11 Wraz ze wzrostem złożoności systemów informatycznych oraz towarzyszących im struktur organizacyjnych zaczęto obserwować problemy związane z przekłamywaniem informacji oraz niejednolitym podejściem do podobnych zagadnień związanych z zarządzaniem technologią informatyczną. Dlatego, podobnie jak to miało miejsce wcześniej w wypadku audytu finansowego, zaczęły powstawać komórki zajmujące się audytem informatycznym. Powstanie audytu informatycznego miało naturalny charakter ewolucyjny, wynikający z rosnących potrzeb informacyjnych kierownictwa przedsiębiorstwa [Forystek 2005].. Były to firmy: PricewaterhouseCoopers, Ernst&Young, Deloitte&Touche, KPMG i Arthur Andersen. 12.

(12) Katarzyna Szymczyk-Madej. 74. kryteria, realizuje założone cele oraz że w jego obszarze właściwie zarządza się ryzykiem, a środki wykorzystywane są efektywnie. System informatyczny jest dla audytora zarówno obiektem audytu, jak i narzędziem pracy. Z punktu widzenia badanych elementów, w ramach audytu systemu informatycznego wyróżnia się audyt: technologii (urządzeń), aplikacji (oprogramowania), danych, infrastruktury, użytkowników, dokumentacji. Z uwagi na cele audytu systemu informatycznego wyróżnia się: – audyt efektywności, badający efektywność procesów i struktur w systemie informatycznym, – audyt bezpieczeństwa, badający w jaki sposób system i jego zasoby są chronione przed zagrożeniami, – audyt zgodności (legalności), badający zgodność systemu informatycznego z wymogami przepisów prawa, przyjętej polityki, zasad i regulaminów. Należy zaznaczyć, że w zakresie audytu systemu informatycznego istnieje wiele wytycznych, wynikających ze standardów zawodowych (np. standardy ISACA) lub dobrych praktyk (np. standard COBIT) dotyczących kwestii organizacji audytu wewnętrznego systemu informatycznego. Niemniej jednak nie ma obowiązujących wymogów formalnoprawnych w tym zakresie13. Zagadnieniom związanym z audytem informatycznym poświęcono liczne publikacje, przy czym problematyka ta jest jeszcze w niewielkim stopniu omawiana w literaturze polskiej [Standardy, wytyczne..., 2002], [Słownik terminologii..., 2005], [Hickman 1996], [Sawyer 2001], [Warren 2003], [Forystek 2005]. 5. Audyt wewnętrzny a audyt zewnętrzny Podczas studiowania problematyki audytu wewnętrznego pojawia się naturalna potrzeba porównania go z audytem zewnętrznym. Z oczywistego powodu najczęściej audytowi wewnętrznemu przeciwstawiany jest zewnętrzny audyt finansowy, czyli rewizja finansowa. Już B. Cadmus [1964], porównując zadania audytora wewnętrznego i zewnętrznego, stwierdził, że nie zachodzi między nimi żaden konflikt interesów, ani dublowania pracy, co wynika z faktu, że obydwaj działają, najogólniej mówiąc, w interesie przedsiębiorstwa. Podstawowa różnica polega na tym, że audytor zewnętrzny działa z reguły bezpośrednio na rzecz akcjonariuszy, choć wynajmuje go zarząd, natomiast audytor wewnętrzny działa bezpośrednio na rzecz zarządu firmy. Wyjątkiem jest sektor bankowości, w którym obowiązuje Rekomendacja H [2002] dotycząca kontroli wewnętrznej w banku. Zobowiązuje ona banki do badania systemu informatycznego w celu sprawdzenia, czy kierownictwo zapewniło przygotowanie systemów wewnętrznych banku w zakresie zarządzania różnymi rodzajami ryzyka towarzyszącymi systemom informatycznym oraz czy zostały opracowane odpowiednie procedury zabezpieczające i kontrolne. 13.

(13) Pojęcie i zakres audytu wewnętrznego.... 75. L.B. Sawyer [1981], który szerzej porównywał omawiane zagadnienie, podstawową różnicę pomiędzy audytem wewnętrznym i zewnętrznym dostrzegał w przedmiocie i celu ich działalności. Stwierdził on, że chociaż obydwa rodzaje audytu badają system rachunkowości i sprawozdania finansowe, to w wypadku audytu wewnętrznego nie jest to jedyne i najważniejsze zadanie, ponieważ straty, wynikające np. ze złego zarządzania lub nieprawidłowego procesu produkcyjnego, są zazwyczaj zdecydowanie większe niż malwersacje finansowe. Według tego autora „defraudacje mogą zranić przedsiębiorstwo, złe zarządzanie jego zasobami może doprowadzić do bankructwa”. Z kolei audytor zewnętrzny podczas przeprowadzania rewizji finansowej jedynie okazjonalnie bada operacje niefinansowe, a nawet wówczas nie robi tego w takim stopniu, w jakim czyni to audytor wewnętrzny, który zna pracowników, systemy i wzajemne powiązania poszczególnych jednostek organizacyjnych. Oznacza to, że audyt wewnętrzny i zewnętrzny różni przede wszystkim przedmiot badań, ponieważ audytor zewnętrzny (biegły rewident) bada głównie sprawozdania finansowe (z punktu widzenia legalności i rzetelności), a audytor wewnętrzny bada wszystkie przejawy aktywności przedsiębiorstwa (głównie pod kątem celowości i gospodarności). Nie oznacza to jednak, że ich metody i techniki pracy nie są podobne. Są to dwie odrębne profesje. Audytorzy ci powinni korzystać ze swoich doświadczeń oraz nawiązywać i rozwijać współpracę14. Należy ponadto podkreślić, że podział audytu na wewnętrzny i zewnętrzny jest merytorycznie uzasadniony, gdyż wywodzi się z głębszego podziału rachunkowości na finansową i zarządczą, który to podział z kolei był wynikiem rozdzielenia własności kapitału od bieżącego zarządzania tym kapitałem [Piaszczyk 2004]. Uogólniając rozpatrywany problem, można stwierdzić, że audyt zewnętrzny jest badaniem specjalistycznym, ukierunkowanym na określony, na ogół wąski, obszar działalności przedsiębiorstwa (np. audyt finansowy – na badanie sprawozdań finansowych, audyt bezpieczeństwa SI – na zagadnienia związane z bezpieczeństwem systemu informatycznego), a audyt wewnętrzny obejmuje wszystkie przejawy działalności przedsiębiorstwa. 6. Podsumowanie Obecnie systematycznie wzrasta znaczenie audytu wewnętrznego. Przepisy prawa polskiego nakładają na niektóre polskie podmioty gospodarcze obowiązek W standardzie 610 Międzynarodowych standardów rewizji finansowej [2001] zaleca się współpracę pomiędzy audytorem wewnętrznym a zewnętrznym, która powinna polegać przede wszystkim na wzajemnym korzystaniu z efektów swojej pracy. Podobnie kwestię tę regulują standardy związane z zawodem audytora wewnętrznego [Standardy, wytyczne..., 2002], [Standards for the Professional..., 2001], [Standardy audytu..., 2003]. 14.

(14) 76. Katarzyna Szymczyk-Madej. jego organizacji. Do podmiotów tych należą jednostki sektora finansów publicznych oraz banki. Pozostałe podmioty mają, w tym zakresie swobodę w podejmowaniu decyzji. Coraz więcej z nich, mimo braku takiego obowiązku, zaczyna jednak wykorzystywać audyt wewnętrzny, dostrzegając jego potencjał. Należy bowiem pamiętać, że audyt wewnętrzny dzięki swojemu wysokiemu umocowaniu w strukturze organizacyjnej jednostki oraz praktycznie nieograniczonemu dostępowi do wszystkich źródeł danych ma wiele do zaoferowania i może dostarczać cennych informacji o jednostce gospodarczej i zachodzących w niej procesach. Należy jednak zauważyć, że w sytuacji kiedy system rachunkowości i system kontroli wewnętrznej wykorzystują technologię informatyczną, przed audytorami wewnętrznymi pojawiają się nowe wyzwania – poza znajomością zasad rachunkowości, prawa, organizacji i zarządzania muszą oni posiadać wiedzę z zakresu technologii informatycznej, której znajomość jest niezbędna w wykonywanej przez nich pracy. Audytor musi mieć pełną świadomość zalet i wad oraz możliwości i ograniczeń technologii informatycznej. Konieczne jest aby wiedział, jaki wpływ na przebieg kontrolowanych przez niego procesów mają ludzie, organizacja, zarządzanie, a jaki technologia informatyczna. Ponadto od audytora oczekuje się zaleceń pokontrolnych, które powinny także zawierać opinie i wskazówki dotyczące sposobu wykorzystania IT. Tak więc ewolucja technologiczna w dziedzinie informatyki zmusza obecnie audytora do przystosowania swojego postępowania do nowych warunków, do kontynuowania wysiłku metodologicznego w celu poszukiwania nowych narzędzi lub nowych metod, aby móc lepiej realizować swoją misję w przedsiębiorstwie. Literatura Arens A.A., Loebbecke J.K. [2000], Auditing. An Integrated Approach, 8th ed., Prentice Hall International, New Jersey. Banaszkiewicz J. i in. [2003], Audyt wewnętrzny. Spojrzenie praktyczne, SKwP, Warszawa. Blohm H. [1970], Systemrevision – Herausforderung und Verpflichtung für die Interne Revision, Berlin. Cadmus B. [1964], Operational Auditing, a Tool for Modern Internal Auditors, Orlando, Florida. Cosserat G.W. [2000], Modern Auditing, John Wiley & Sons Ltd. Dooley D.E. [1965], Nothing New Under the Sun?, The Internal Auditor, Summer. Drumlak U. [2003], Ewolucyjne zmiany metod audytu i ich adaptacja przez podmioty uprawnione do badania sprawozdań finansowych w Polsce, Zeszyty Naukowe Uniwersytetu Szczecińskiego, nr 358, Szczecin. Dunn J. [1996], Auditing Theory & Practice, Prentice Hall Europe, Harlow. Dzierżanowski M. [2002], Kształtowanie wewnętrznych mechanizmów kontrolnych – Kodeks Nadzoru Korporacyjnego PFCG, materiały z konferencji „Kontrola i audyt wewnętrzny u progu XXI wieku”, Kraków..

(15) Pojęcie i zakres audytu wewnętrznego.... 77. Fedak Z. [1996], Rewizja rocznych sprawozdań finansowych, cz. 1, SKwP, Centralny Ośrodek Szkolenia Zawodowego, Warszawa. Fedak Z. [1998], Metody i technika rewizji sprawozdań finansowych, SKwP, Warszawa. Forystek M. [2002], System kontroli w środowisku informatycznym – wyzwanie dla menedżerów i audytorów, materiały z konferencji Kontrola i audyt wewnętrzny u progu XXI wieku, Kraków. Forystek M. [2005], Audyt informatyczny, Wydawnictwo InfoAudit Sp. z o.o., Warszawa. Gottlieb M. [1992], Rola i obowiązki amerykańskiego biegłego rewidenta, „Rachunkowość”, nr 4. Hickman J.R. [1996], Practical IT Auditing, Warren, Gorham & Lamont. Hołda A., Pociecha J. [2004], Rewizja finansowa, Wydawnictwo AE w Krakowie, Kraków. Horvath P. [1992], Controlling, wyd. 4, Verlag Vahlen, München. Howard L.R. [1988], Auditing, M&E Handbooks: Accounting & Finance, Longman Group, UK. INTOSAI Auditing Standards [1992], The International Organization of Supreme Audit Institutions. Knedler K., Stasik M. [2005], Audyt wewnętrzny w praktyce. Audyt operacyjny i finansowy, Wydawnictwo Polska Akademia Rachunkowości, Warszawa 2005. Korndörfer W., Peez L. [1993], Einführung in daas Prüfungs und Revisionswesen,Gabler Verlag, Wiesbaden 1993. Krzemień R., Winiarska K. [2004], Audyt wewnętrzny w pytaniach i odpowiedziach, InfoAudit Sp. z o.o., Warszawa. Krzywda D. [2003], Istota i znaczenie współczesnej rewizji finansowej, Wydawnictwo AE w Krakowie, Kraków. Kuc B.R. [2002], Audyt wewnętrzny, teoria i praktyka, Wydawnictwo Menedżerskie PTM, Warszawa. Maguire L.K. [1978], What Promise Does Industrial Engineering Hold for Internal Auditing?, The Internal Auditor, February. Marzec J. [2002], Badanie sprawozdań finansowych, PTE, Warszawa. Międzynarodowe standardy rewizji finansowej 1996 [2001], SKwP, Centralny Ośrodek Szkolenia Zawodowego, Warszawa. Piaszczyk A. [2004], Audyt wewnętrzny, SKwP, Warszawa. Podręcznik audytu wewnętrznego w administracji publicznej [2003], Ministerstwo Finansów, MF www, dostęp: 20.06.2005. Podstawy rachunkowości [2002], red. K. Sawicki, PWE, Warszawa. Pogodzińska-Mizdrak E. [2003], Aspekty badania systemu kontroli wewnętrznej przez biegłych rewidentów, Wydawnictwo AE w Krakowie, Kraków. Praktyczne aspekty audytu wewnętrznego [2004], red. H. Grocholski, Omikron sp. z o.o., Warszawa. Rekomendacja H – dotycząca kontroli wewnętrznej w banku [2002], Generalny Inspektorat Nadzoru Bankowego NBP, Warszawa. Rewizja sprawozdań finansowych [2005], red. D. Krzywda, SKwP, Warszawa. Rola Z. [2003], Kontrola wewnętrzna, kontrola finansowa i audyt w jednostkach sektora finansów publicznych, Wydawnictwo ALPHA pro sp. z o.o., Ostrołęka. Saunders E. [2002], Audyt i kontrola wewnętrzna w przedsiębiorstwach, Wydawnictwo Educator, Częstochowa..

(16) 78. Katarzyna Szymczyk-Madej. Sawyer L.B. [1981], The Practice of Modern Internal Auditing, The Institute of Internal Auditors, Altamonte Springs, Florida. Sawyer L.B., Dittenhofer M.A. [2001], Sawyer's Internal Auditing, The Institute of Internal Auditors, Altamonte Springs, Florida. Sprawozdawczość i rewizja finansowa w procesie podnoszenia kwalifikacji kadry menedżerskiej [2003], red. B. Micherda, Wydawnictwo AE w Krakowie, Kraków. Standards for the Professional Practice of Internal Auditing [2001], The Institute of Internal Auditors, Florida. Standardy, wytyczne i procedury audytowania i kontrolowania systemów informatycznych [2002], The Information Systems Audit and Control Association 2002, ISACA www, dostęp: 10.03.2005. Słownik terminologii związanej z kontrolą i audytem systemów informatycznych [2005], The Information Systems Audit and Control Association, ISACA www, dostęp: 23.06.2005. Standardy audytu wewnętrznego w jednostkach sektora finansów publicznych [2003], Komunikat Nr 1 i 2 Ministra Finansów z 30 stycznia 2003 r., Dz.Urz. Ministra Finansów z 2003 r., nr 3, poz. 14. Święcicki J. [2000], Ocena wyników badań audytorskich na podstawie metody punktowej, Zeszyty Naukowe Politechniki Łódzkiej, nr 875, Łódź. Ustawa z 26 listopada 1998 r. o finansach publicznych [1998], Dz.U. nr 155, poz. 1014 z późn. zm. Ustawa z 29 września 1994 r. o rachunkowości [1994], Dz.U. nr 121, poz. 591, z późn. zm. Ustawa z 27 lipca 2001 r. o zmianie ustawy o finansach publicznych, ustawy o organizacji i trybie pracy Rady Ministrów oraz o zakresie działania ministrów, ustawy o działach administracji rządowej oraz ustawy o służbie cywilnej [2001], Dz.U. nr 102, poz. 1116. Wade K. [2002], Założenia profesjonalnej praktyki według IIA, materiały z konferencji nt. „Kontrola i audyt wewnętrzny u progu XXI wieku”, Kraków. Warren J.D. [2003], Handbook of IT Auditing, Warren Gorham & Lamont, Boston. Winiarska K. [2005], Audyt finansowy, Wydawnictwo InfoAudit Sp. z o.o., Warszawa. Wynne A. [2000], System Approach to Internal Audit, ACCA Student Accountant. Zasady wdrażania systemu kontroli finansowej i audytu wewnętrznego w polskiej administracji publicznej [2003], Ministerstwo Finansów, MF www, dostęp: 20.06.2005. The Notion and Scope of the Internal Audit within a Software Accounting System In this article, the author looks at issues connected with internal audits within a software accounting system. She divides this subject matter into two areas: software audits and internal audits within the accounting system. Until recently, these areas were closely interlinked. However, from the moment accounting began to be conducted using information technology, internal audits within the accounting system became tantamount to internal audits within the software information system. The author presents the notion and scope of such audits by comparison with the concepts of financial audit and software audit. She also characterises the goals and functions of internal audits, and the relationships between internal and external audits..

(17)