RODZAJE AUDYTU, Barbara Dmowska – Stefanowska

Transkrypt

Międzynarodowe Centrum
Szkolenia i Doradztwa
w Warszawie
Instytut Organizacji
i Zarządzania w Przemyśle
„Orgmasz”
Studium „Audyt wewnętrzny i kontrola finansowa”
RODZAJE AUDYTU
Barbara Dmowska - Stefanowska
praca dyplomowa napisana pod
kierunkiem dr Piotra Ostaszewicza
Warszawa, kwiecień 2005
SPIS TREŚCI
WSTĘP …………………………………………………….
1. PODSTAWOWE POJĘCIA Z ZAKRESU AUDYTU…
1.1. DEFINICJA AUDYTU ………………………………..
1.2. ZADANIA AUDYTU …………………………………..
1.3. METODY PRZEPROWADZANIA AUDYTU ……….
1.4. RAPORT Z PRZEPROWADZONEGO AUDYTU …
2. CHARAKTERYSTYKA WYBRANYCH RODZAJÓW
AUDYTU …………………………………………………
2.1. AUDYT INFORMATYCZNY …………………………
2.1.1. AUDYT LEGALNOŚCI ……………………………..
2.1.2. AUDYT OPROGRAMOWANIA …………………...
2.1.3. AUDYT SPRZĘTU ………………………………….
2.1.4. AUDYT ZABEZPIECZEŃ ………………………….
2.2. AUDYT FINANSOWY ………………………………..
2.3. AUDYT OPERACYJNY ………………………………
2.4. AUDYT WYNAGRODZEŃ …………………………..
2.5. AUDYT PERSONALNY ……………………………...
2.6. AUDYT MENEDŻERSKI ……………………………..
2.7. AUDYT KOMUNIKACYJNY …………………………
2.8. AUDYT MARKETINGOWY ………………………….
2.9. AUDYT LOGISTYCZNY ……………………………..
PODSUMOWANIE ………………………………………...
BIBLIOGRAFIA …………………………………………….
ZAŁĄCZNIKI ………………………………………………..
2
1. PODSTAWOWE POJĘCIA Z ZAKRESU AUDYTU
1.1.
DEFINICJA AUDYTU
Słowo audyt pochodzi od łacińskiego „auditor”, czyli słuchacz, słuchający. Jak
można przeczytać w Wielkiej Encyklopedii PWN, audyt (z ang. auditing) to system
rewizji
gospodarczej
i
doradztwa
ekonomicznego,
realizowany
przez
wyspecjalizowanych ekspertów. Jest on realizowany według określonych wzorców,
zaleceń i standardów, polega na rewizji ksiąg rachunkowych i innych dokumentów.
Jego celem jest stwierdzenie, czy dokumenty dają prawdziwy i jasny obraz sytuacji
finansowej
danego
podmiotu
gospodarczego
oraz
wykazanie
ewentualnych
niedociągnięć.
Na rynku możemy spotkać wiele różnych definicji audytu. Najbardziej
znaną jest definicja zaproponowana przez Instytut Audytorów Wewnętrznych (skrót
IIA od angielskiej nazwy Institute of Internal Auditors). Zgodnie z tą definicją „audyt
wewnętrzny jest niezależną, obiektywną działalnością o charakterze zapewniającym
i doradczym, prowadzoną w celu wniesienia do organizacji wartości dodanej
i
usprawnienia
jej
funkcjonowania.
Audyt
wewnętrzny
wspiera
organizację
w osiąganiu wytyczonych celów poprzez systematyczne i konsekwentne działanie
służące ocenie i poprawie efektywności zarządzania ryzykiem, systemu kontroli oraz
procesów zarządzania organizacją.”1
Przy
realizacji
zadań
audytorzy
powinni
kierować
się
Standardami
Profesjonalnej Praktyki Audytu Wewnętrznego, w skrócie SPPAW. Standardy te
dzielą się na:2
-
standardy atrybutów – ich zadaniem jest zdefiniowanie wymagań wobec audytu
jako jednostki organizacyjnej oraz audytora jako reprezentanta grupy zawodowej;
-
standardy działania – ich zadaniem jest zdefiniowanie wymagań dotyczących
sposobu realizacji zadań audytu oraz zakresu zadań;
-
standardy wdrożenia – przypisują one Standardy Atrybutów oraz Standardy
Realizacji określonym typom działań (np. audytowi zgodności, operacyjnemu,
finansowemu).
1
2
K. Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 r.
jw.
3
Oprócz wyżej wymienionych standardów audytorzy mogą kierować się także
innymi standardami, wśród których najpopularniejszymi są:
-
standardy INTOSAI,
-
standardy ISACA,
-
standard COBiT,
-
standard COSO,
-
standard COCO.
Jak wiadomo, zadanie audytora polega na zapewnieniu, iż świadczona
usługa zostanie przeprowadzona profesjonalnie i zgodnie ze standardami. Realizacja
tego celu wymaga spełnienia następujących zasad:3
-
wiarygodność,
-
zapewnienie wysokiej jakości świadczonych usług,
-
obiektywizm,
-
unikanie konfliktu interesów,
-
zachowanie bezstronności,
-
przestrzeganie tajemnicy zawodowej,
-
zachowanie należytej staranności zawodowej,
-
umiejętność rozwiązywania konfliktów natury etycznej,
-
profesjonalizm.
Według innych opinii pod pojęciem audyt należy rozumieć kontrolę. Istnieją
dwa rodzaje kontroli: wewnętrzna (dana firma kontrolowana jest przez własnych
pracowników) oraz zewnętrzna (polega na badaniu przez osoby spoza kontrolowanej
firmy). Kluczowym elementem struktury kontroli wewnętrznej jest audyt wewnętrzny.
Odpowiedzialność za dostarczenie odpowiedniej i skutecznej struktury kontroli
wewnętrznej spoczywa na kierownictwie jednostki. Szef każdej instytucji rządowej
musi zapewnić, aby struktura kontroli wewnętrznej powstała, była poddawana
przeglądowi i uaktualniana, żeby utrzymać jej skuteczność. Niezwykle ważnym
elementem jest pozytywne i wspierające nastawienie ze strony menadżerów.
Kierownictwo ustanawia też niezależną funkcję audytu jako kluczowy element
struktury kontroli wewnętrznej. Ponadto kierownictwo powinno także ustalić cele dla
funkcji audytu i nie nakładać żadnych ograniczeń na audytorów mających je osiągać.
W celu zapewnienia niezależności, kierujący jednostką audytu powinien być podległy
3
www.nik.gov.pl Europejskie wytyczne dla stosowania standardów kontroli INTOSAI
4
bezpośrednio szefowi instytucji. Rolą audytorów jest z kolei audyt strategii, sposobów
postępowania i procedur kontroli wewnętrznej instytucji w celu zapewnienia, by
kontrola ta była odpowiednia dla zrealizowania misji instytucji. Celami audytu
wewnętrznego są:4
-
identyfikacja i analiza ryzyk związanych z działalnością jednostki, a w
szczególności ocena efektywności zarządzania ryzykiem oraz ocena systemu
kontroli wewnętrznej;
-
wyrażanie opinii na temat skuteczności mechanizmów kontrolnych w badanym
systemie;
-
dostarczanie kierownikowi jednostki, w oparciu o ocenę systemu kontroli
wewnętrznej, racjonalnego zapewnienia, że jednostka działa prawidłowo;
-
składanie sprawozdań z poczynionych ustaleń, oraz tam gdzie jest to właściwe,
przedstawianie uwag i wniosków dotyczących poprawy skuteczności działania
jednostki w danym obszarze.
Pojęcie audytu zdefiniował także polski ustawodawca. Zgodnie z artykułem
35c ustawy o finansach publicznych audytem jest ogół działań, przez które kierownik
jednostki uzyskuje obiektywną i niezależną ocenę funkcjonowania jednostki
w zakresie gospodarki finansowej pod względem legalności, gospodarności,
celowości, rzetelności, a także przejrzystości I jawności. Audyt ten realizowany jest
na podstawie i zgodnie z zasadami określonymi w art. 35a – 35t ustawy o finansach
publicznych oraz innymi przepisami dotyczącymi sposobu i trybu przeprowadzania
audytu wewnętrznego. W zamyśle Ministra Finansów standardy mają być podstawą
do tworzenia lub opisywania bardziej szczegółowych i precyzyjnych procedur czy
zasad dobrej praktyki, które jednostki sektora finansów publicznych będą tworzyć
adekwatnie do swoich potrzeb. Ponadto wprost z przepisów ustawy oraz
z rozporządzenia Ministra Finansów z dnia 20 grudnia 2002 r. wynika zakres
podmiotów, które mają obowiązek prowadzenia audytu wewnętrznego - są to
jednostki, w których kwota przychodów środków publicznych uzyskiwanych w ciągu
roku kalendarzowego oraz kwota wydatków środków publicznych dokonywanych
w ciągu roku kalendarzowego przekracza 35 000 tys. zł.5
4
www.mof.gov.pl
Rozporządzenie Ministra Finansów z 20 grudnia 2002 r. w sprawie określenia kwot przychodów oraz
wydatków środków publicznych dokonywanych w ciągu roku kalendarzowego, których przekroczenie
powoduje obowiązek prowadzenia audytu wewnętrznego w jednostkach sektora finansów publicznych
Dz.U. nr 234 poz. 1970
5
5
Według
polskiego
ustawodawstwa
audyt
wewnętrzny
obejmuje
w szczególności:6
-
badanie dowodów księgowych oraz zapisów w księgach rachunkowych;
-
ocenę systemu gromadzenia środków publicznych i dysponowania nimi oraz
gospodarowania mieniem;
-
ocenę efektywności I gospodarności zarządzania finansowego.
Audyt
wewnętrzny,
jako
stosunkowo
młoda
koncepcja
wspierania
zarządzania, ciągle jeszcze nie jest w pełni rozumiany. Bardzo często przyjmuje się,
że jest to unowocześnienie kontroli wewnętrznej lub kontrola zewnętrzna od
wewnątrz. M. Sekuła, Prezes Najwyższej Izby Kontroli, twierdzi, że „audyt oznacza
nic innego jak kontrolę”7. Wynika z tego, iż zainteresowania audytora wewnętrznego
ukierunkowuje się albo w stronę kontroli wewnętrznej, co byłoby powielaniem zadań
dwóch różnych form organizacyjnych albo w stronę certyfikowania sprawozdań
finansowych, co z kolei jest zastępowaniem działań biegłych rewidentów. Jak łatwo
wywnioskować z powyższej opinii, minie jeszcze trochę czasu zanim audyt
wewnętrzny zostanie właściwie zrozumiały i znajdzie ostatecznie swoje miejsce.
1.2.
ZADANIA AUDYTU
W celu określenia zakresu prac audytu wewnętrznego wykorzystuje się
Standardy Profesjonalnej Praktyki Audytu Wewnętrznego IIA:8
SPPAW
ZARZĄDZANIE ORGANIZACJĄ
Audyt wewnętrzny powinien wnieść swój wkład do procesu zarządzania
poprzez ocenę oraz usprawnienia systemu za pomocą którego:
-
są ustalane i komunikowane cele I wartości,
-
monitorowane jest osiąganie celów,
-
zapewnia się przypisanie odpowiedzialności,
-
zachowywane są wartości.
Audytorzy powinni dokonywać przeglądu działań operacyjnych oraz
6
Ustawa o finansach publicznych z dnia 26 listopada 1998 r. Dz.U. z 2003 r. nr 15 poz 148 + późn.
zmiany
7
M. Sekuła „Jaka jest różnica między audytem a kontrolą” Gazeta Prawna z 23 czerwca 2004 r.
8
6
programów
w celu zapewniania spójności z systemem wartości
organizacji
SPPAW
CHARAKTER PRACY
Audytor powinien oceniać ekspozycję na ryzyko związane z zarządzaniem
organizacją, działalnością operacyjną oraz systemami IT biorąc pod
uwagę:
-
wiarygodność I integralność informacji,
-
skuteczność i wydajność operacji,
-
zabezpieczenie aktywów,
-
zgodność z prawem, przepisami i umowami.
Ponadto zakres prac audytu wewnętrznego w jednostkach sektora finansów
publicznych został zdefiniowany w Rozporządzeniu Ministra Finansów z dnia 5 lipca
2002 roku w sprawie szczegółowego sposobu i trybu przeprowadzania audytu
wewnętrznego. W paragrafie 2 można przeczytać, iż „audytor wewnętrzny,
przeprowadzając audyt wewnętrzny:
1. Bada wiarygodność sprawozdania finansowego oraz sprawozdania z wykonania
budżetu przez następcze sprawdzenia:
1.1.
Przestrzegania zasad rachunkowości,
1.2.
Zgodności zapisów w księgach rachunkowych z dowodami księgowymi,
1.3.
Zgodności sprawozdania finansowego oraz sprawozdania z wykonania
budżetu z zapisami w księgach rachunkowych;
2. Dokonuje oceny adekwatności, efektywności i skuteczności systemów kontroli,
w tym przestrzegania procedur, zarządzania ryzykiem i kierowania organizacją;
3. Dokonuje oceny przestrzegania zasady celowości i oszczędności w dokonywaniu
wydatków, uzyskiwania możliwie najlepszych efektów w ramach posiadanych
środków oraz przestrzegania terminów realizacji zadań i zaciągniętych
zobowiązań.”9
Zakres prac audytu wewnętrznego obejmuje badanie i ocenę jakości, skuteczności
i
adekwatności
systemu
kontroli
wewnętrznej
oraz
jakości
wykonywania
powierzonych zadań przez poszczególne jednostki organizacyjne. Do zadań
podstawowych oraz szczegółowych audytu wewnętrznego należą:10
1. przeprowadzanie analizy i oceny systemu kontroli wewnętrznej:
9
K. Czerwiński, H. Grochowski „Podstawy Audytu Wewnętrznego” Link Szczecin 2003 r.
10
7
-
identyfikacja i ocena poszczególnych kontroli istniejących w systemie. Zadaniem
tych kontroli jest realizacja celów biznesowych organizacji w sposób najbardziej
efektywny i ekonomiczny.
-
przedstawianie opinii o wiarygodności badanych systemów kontroli wewnętrznej,
-
doradzanie kierownictwu w projektowaniu systemu kontroli wewnętrznej;
2. Przedstawianie opinii o wiarygodności sprawozdań finansowych organizacji
w oparciu o ocenę wiarygodności całego systemu kontroli wewnętrznej;
3. Przedstawianie opinii dotyczących efektywności zarządzania ryzykiem;
4. Przedstawianie opinii dotyczących efektywności i racjonalności zarządzania
(audyt operacyjny). Doradztwo w tym zakresie;
5. Wykonanie identyfikacji i analizy ryzyka w zakresie niezbędnym w planowaniu
długoterminowym i planowaniu zadania audytowego;
6. Przeprowadzenie oceny efektywności zarządzania ryzykiem;
7. Badanie i ocena adekwatności i efektywności systemu kontroli wewnętrznej.
Ocena jakości pracy kontroli wewnętrznej;
8. Doradzanie przy projektowaniu systemów kontroli;
9. Przeprowadzanie audytów finansowych, obejmujących badanie wiarygodności
i kompletności informacji służących sporządzaniu raportów na temat sprawozdań
finansowych oraz badanie i sporządzanie raportów na temat systemów
księgowych i płatniczych organizacji. Ocena systemów księgowo-finansowych
pod
względem
dokładności,
kompletności,
terminowości
i
realności
dokonywanych transakcji oraz zgodności z zasadami rachunkowości (audyt
finansowy);
10. Ochrona majątku poprzez kontrolę systemów zabezpieczających aktywa oraz
w razie potrzeby weryfikację istnienia tegoż majątku;
11. Ocena efektywności i wydajności wykorzystania zasobów. Dokonywanie oceny
działań jednostek organizacyjnych oraz podmiotów zależnych pod względem
efektywności i wydajności (audyt operacyjny);
12. Przeprowadzanie audytów systemów informatycznych;
13. Kontrola przestrzegania przez pracowników procedur bezpieczeństwa systemów
informatycznych;
14. Ocena procedur tworzonych w organizacji. Ustalenie, czy obowiązujące
procedury zapewniają osiąganie zamierzonych celów i czy zapewniają zgodność
z przepisami (audyt zgodności). Pisemne procedury są niezbędnym elementem
systemu zarządzania. Audytor nie może sam napisać procedur dla całej
instytucji, ale może i powinien opiniować wszystkie procedury. Opinia powinna
uwzględniać wszelkie stwierdzone braki w zakresie kontroli wewnętrznej. Audytor
8
nie może napisać procedur, gdyż jego pierwszym obowiązkiem jest wydanie
opinii;
15. Dokonywanie
oceny
funkcjonujących
systemów
zapobiegania
nieprawidłowościom i podejmowania działań korygujących;
16. Ocena systemu przepływu informacji pod kątem jego dokładności, rzetelności,
terminowości, użyteczności i spójności;
17. Audyt zarządzania projektami, w tym informatycznymi;
18. Przeprowadzanie ewidencji audytów oraz nadzór nad dokumentami roboczymi
i ich archiwizacją;
19. Współdziałanie z podmiotami upoważnionymi do przeprowadzania kontroli
w jednostce;
20. Wykonanie i stała aktualizacja Oceny Potrzeb Audytu;
21. Opracowanie rocznego i wieloletniego planu audytu;
22. Opracowanie raportu rocznego.
Ocena systemów kontroli wewnętrznej w zakresie ich efektywności
i niezawodności powinna być oparta na wynikach działań audytu wewnętrznego oraz
wynikach
pracy
zespołu
kontroli
wewnętrznej
pod
względem
wykrywania
nieprawidłowości i oszustw. Analiza źródeł powstawania nieprawidłowości i efektów
działań wyjaśniających powinna zostać uwzględniona w analizie ryzyka. Ponadto
zakres działań audytu wewnętrznego obejmuje wszystkie jednostki organizacyjne,
oddziały terenowe i podmioty zależne.
Dokumenty, które powstają w jednostce dzieli się na 3 poziomy:11
-
dokumenty ogólne definiujące cele – np. statut Zespołu Audytu Wewnętrznego,
-
procedury – umożliwiają realizację polityki,
-
instrukcje i inne tego typu szczegółowe dokumenty uzupełniające w stosunku do
procedur.
Zadania audytowe realizowane są na podstawie upoważnienia Kierownika
organizacji, z tego względu bardzo istotną rzeczą jest taka organizacja Zespołu
Audytu Wewnętrznego, która będzie dostosowana do wyznaczonych zadań.
W zależności od wielkości i potrzeb organizacji oraz wielkości zespołu możliwe jest
wiele rozwiązań:
-
audytorzy nie specjalizują się w poszczególnych typach audytu – taka struktura
ma tę zaletę, iż umożliwia wykonywanie różnorodnych zadań co wpływa na
11
9
uzyskanie wszechstronnych kwalifikacji. Niestety w rozwiązaniu tym są dwie
istotne wady: audytorzy muszą przeznaczyć stosunkowo dużo czasu na
zapoznanie się z jednostkami audytowanymi oraz trudne jest uzyskanie
specjalizacji w takich dziedzinach jak audyt finansowy czy informatyczny;
-
utworzenie wyspecjalizowanych zespołów – cała trudność polega na ustaleniu ilu
audytorów powinna zatrudniać jednostka organizacyjna. Decyzja o wielkości
Zespołu
Audytu
Wewnętrznego
powinna
być
uzasadniona
ilością
i skomplikowaniem zadań, które mają być realizowane przez zespół audytu.
Rys nr 1
STANOWISKO PRACY DS. KANCELARYJNO-BIUROWYCH
DYREKTOR ZESPOLU AUDYTORÓW WEWNETRZNYCH
Z-CA DYREKTORA
KIEROWNIK SEKCJI
KIEROWNIK SEKCJI
AUDYTORZY
AUDYTORZY
Przykładowy schemat organizacyjny Zespołu Audytu Wewnętrznego – Krzysztof
Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 r.
10
1.3. FAZY PRZEPROWADZANEGO AUDYTU
W realizacji zadania, które stanowi podstawę przeprowadzenia audytu,
wyróżnić można kilka faz, które mogą się na siebie nakładać. Są one podzielone
w sposób następujący:12
-
faza wstępna;
-
planowanie;
-
wstępne zapoznanie z jednostką audytowaną;
-
realizacja czynności audytowych;
-
raport z audytu;
-
monitorowanie wykonania rekomendacji.
W fazie wstępnej audytor powinien przeprowadzić następujące czynności:13
-
określić okres, jaki ma objąć audyt oraz przewidywaną datę jego zakończenia;
-
założyć akta stałe i bieżące;
-
zebrać informacje dotyczące jednostki audytowanej – m.in. liczba pracowników,
zakresy obowiązków, opisy stanowisk, informacje o finansach jednostki, itp.;
-
wstępnie ocenić system kontroli wewnętrznej;
-
przeanalizować ryzyko;
-
wstępnie określić obiekt audytu;
-
wstępnie określić cel audytu;
-
ocenić potrzeby kadrowe i budżet audytu;
-
przygotować harmonogram audytu.
W fazie wstępnej audytor powinien skoncentrować się na zebraniu jak największej
ilości informacji wykorzystywanych następnie do planowania zadania audytowego.
Zebranie i dokonanie wstępnej oceny informacji, które są dostępne bez formalnego
powiadomienia
w
kierownika
przeprowadzeniu
analizy
jednostki
o
ryzyka
oraz
rozpoczęciu
w
audytu,
przygotowaniu
ma
pomóc
planu
audytu.
Przeprowadzając wstępną analizę ryzyka audytor powinien wziąć pod uwagę
czynniki ryzyka wewnętrznego oraz takie czynniki, jak: funkcjonowanie kontroli
i pisemne procedury, częste zmiany kadrowe, zakres delegowania funkcji, skłonność
do zmian, kwalifikacje pracowników i osób zarządzających, rezultaty poprzednich
audytów. Przegląd taki może wiązać się z następującymi sposobami zbierania
12
K. Czerwiński “Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 r.
13
jw
11
informacji:14
-
analiza sprawozdań i studiów dokonanych przez kierownictwo i pracowników
jednostki oraz innych jednostek organizacyjnych;
-
diagramy’
-
testy przeglądowe;
-
obserwacja środowiska i metod pracy;
-
rozmowy z pracownikami;
-
wykorzystanie kwestionariuszy samooceny.
Nie wolno zapominać o fakcie, iż wszystkie czynności należy zapisać
w dokumentacji audytu. Ponadto koniecznie należy rozważyć doświadczenie
audytorów i ocenić charakter i stopień trudności zadania, które audytor ma
przeprowadzić, ograniczenia czasowe i finansowe.
Na etapie planowania wyróżnić możemy 3 główne etapy zadania:
przygotowanie planu audytu, zatwierdzenia planu przez kierującego jednostką oraz
zawiadowmienie kierownika jednostki audytowanej o dacie rozpoczęcia audytu. Faza
ta polega na zrozumieniu przez audytora zasad funkcjonowania jednostki, gdyż to
pozwoli mu na określenie poziomu istotności.
Pierwszym krokiem jest tu opracowanie planu audytu. Jest to dokument
przygotowywany przed rozpoczęciem audytu, który powinien zawierać przynajmniej
takie czynności, jak:15
-
wyliczenie obiektów audytu;
-
cele i zakres audytu;
-
przewidywana metodyka;
-
skład zespołu prowadzącego audyt;
-
budżet czasowy i zasoby potrzebne do przeprowadzenia audytu.
Podczas planowania audytor powinien zapoznać się z zasadami funkcjonowania
jednostki oraz z jej głównymi procesy biznesowe. Ułatwi to mu określenie poziomu
istotności.
W tej fazie zadania audytowego bardzo istotną czynnością jest przygotowanie
planu audytu , który jest ogólnym dokumentem przygotowywanym przed
14
15
jw.
12
rozpoczęciem audytu. Plan ten powinien zawierać następujące informacje:16
-
wyliczenie obiektów audytu,
-
cele i zakres audytu,
-
przewidywaną metodykę,
-
skład zespołu prowadzącego audyt,
-
budżet czasowy i zasoby potrzebne do przeprowadzenia audytu.
Przygotowany plan powinien zostać zatwierdzony przez Dyrektora Zespołu Audytu
Wewnętrznego. Ponadto na spotkaniu całego zespołu powinien on zostać
przedyskutowany oraz powinno się ustalić, na których etapach audytor będzie
kontrolował stan zaawansowania, kompletność dokumentacji oraz istotność ustaleń.
Proces planowania powinien być w pełni udokumentowany. Następnie powinno
zostać ustalone, w jaki sposób, kiedy i komu zostanie przekazany raport z audytu.
Kolejnym
krokiem
jest
powiadomienie
jednostki
o
rozpoczęciu
audytu.
Powiadomienie takie powinno mieć formę pisemną z podpisem Dyrektora Zespołu
Audytu Wewnętrznego.
Kolejnym etapem, który przeprowadza się w ramach zadania audytowego jest
wstępne zapoznanie się z jednostką audytowaną. W trakcie narady wstępnej
z kierownictwem jednostki audytowanej audytor powinien osiągnąć następujące
cele:17
-
możliwość wzajemnego poznania się audytorów i audytowanych;
-
zapoznanie audytowanych z obiektami I celami audytu;
-
uzgodnienie kryteriów oceny;
-
uzgodnienie harmonogramu I rozwiązań organizacyjnych;
-
uzyskanie informacji od kierownictwa jednostki na temat ryzyk związanych
z
działalnością
jednostki
oraz
realizacji
rekomendacji
z
poprzednio
przeprowadzanych audytów.
Tematy omawiane na naradzie mogą obejmować następujące zakresy:
planowane nadrzędne cele audytu, harmonogram, przydzielenie audytorów do
konkretnych zadań, sposób oraz metody wymiany informacji, osoby odpowiedzialne
za informacje, warunki funkcjonowania jednostki, opis procedury wykonania raportu,
przebieg działań monitorujących, terminy i czas trwania poszczególnych prac
audytowych.
16
17
jw.
13
Następnym etapem zadania audytowego są czynności u klienta. Po przybyciu
do audytowanej jednostki audytor powinien skontaktować się z kierownictwem.
Audytor powinien omówić sprawy, które nie zostały poruszone na naradzie wstępnej
oraz ustalić terminy spotkań z pracownikami jednostki. Następną czynnością, którą
audytor musi przeprowadzić jest badanie dokumentów takich, jak: przepisy prawne,
schematy organizacyjne, księgi procedur i instrukcje biurowe. Informacje o tym, jak
system funkcjonuje w praktyce dostarczają wywiady z kierownictwem i personelem
oraz obserwacja środowiska i metod pracy.. W celu opisania systemu środków
kontroli audytor sporządza następujące dokumenty:18
-
kwestionariusze samooceny;
-
notatki ze spotkań, wywiadów i dyskusji;
-
ogólny opis systemu;
-
opisowy lub sporządzony w formie diagramu szczegółowy opis systemu, który
określa sieć współzależności i najważniejsze obiekty kontroli.
Kolejnym krokiem w trakcie przeprowadzania zadania audytowego jest
przygotowanie programu audytu. Program ten powinien określać procedury
wymagane przy identyfikacji, analizie, ocenie oraz sporządzaniu dokumentacji
podczas realizacji prac przez audytora. Powinien on zostać opracowany na
podstawie przeprowadzonej przez audytora oceny słabych i mocnych stron systemu
i jego kontroli wewnętrznej, jak również oceny ryzyka. Program audytu jest
przygotowywany przez koordynatora audytu i ma postać procedury typu „krok po
kroku”. Ponadto do programu musi zostać załączony wykaz oraz szczegółowy opis
planowanych testów, których szczegółowość zależy od przeprowadzającego zadania
audytowe. Program ten spełnia następujące funkcje:19
1. zestawienie informacji typu kto, co, kiedy i z czyjego upoważnienia;
2. kontrola wykonanych prac – program zawiera listę kontrolną czynności, które
musi wykonać audytor w czasie zadania;
3. analiza ryzyka – pozwala na określenie szczegółowego zakresu audytu;
4. opis zaplanowanych testów i wyjaśnienie, jak będziemy realizować cele
audytu.
Następnym etapem jest realizacja czynności audytowych, którego celem jest
zebranie, analiza, interpretacja i utrwalenie informacji uzasadniających wyniki
18
19
K. Czerwiński, H. Grocholski „Podstawy Audytu Wewnętrznego” Link Szczecin 2003 r.
14
przeprowadzonego
audytu.
Przed
zakończeniem
tej
fazy
audytu
należy
poinformować kierownictwo jednostki o terminie wydania raportu wstępnego.
W celu przedstawienia wyników pracy stosuje się w audycie pisemny raport,
która to forma jest wymagana przez międzynarodowe standardy. Raport powinien
być przedstawiony po zakończeniu każdego zadania audytowego i powinien
zawierać ustalenia, wnioski audytorów oraz rekomendacje: Za sporządzenie raportu
odpowiedzialny jest koordynator audytu, ale udział we wszystkich pracach jest
obowiązkiem wszystkich audytorów.
Cele sporządzenia tego rodzaju raportu są
następujące:20
-
raport dostarcza zapewnienia o adekwatności, efektywności i poziomie zaufania,
jakim można obdarzyć system kontroli wewnętrznej;
-
ocenia efektywność, oszczędność i wydajność operacji realizowanych przez
jednostkę poprzez analizę i ocenę;
-
wskazuje możliwość lub też wymusza usprawnienia systemu;
-
zwraca uwagę na ryzyka wynikające z różnic pomiędzy kryteriami a ustaleniami
poczynionymi w trakcie audytu;
-
umożliwia kontrolę wykonania rekomendacji dzięki zapisaniu ich w raporcie wraz
z
uzgodnieniami
dotyczącymi
sposobu
i
terminu
ich
wdrażania
przez
kierownictwo jednostki.
Wyróżnić można różne rodzaje raportów, m.in.:
1. raport końcowy – zawiera ocenę audytowanego systemu kontroli i realizacji
celów biznesowych. Powinny być w nim przedstawione wszystkie fakty
świadczące
o słabościach systemu wraz z powiązanymi ryzykami. Raport ten powinien być
krótki a rekomendacje jasne i jednoznaczne;
2. raport przejściowy – stosowany jest przy następujących sytuacjach: w trakcie
prac audytowych zostały poczynione ustalenia wymagające pilnej reakcji oraz
czas realizacji audytu jest długi, zaś ustalenia powinny być przedstawione przed
upływem planowanego terminu zakończenia audytu.
3. raport ustny – zwraca uwagę na zagrożenia wymagające natychmiastowej
reakcji;
4. raport fragmentaryczny – jego celem jest skoncentrowanie się na wybranych
zagadnieniach;
20
K.Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 r.
15
5. raport wstępny – ten typ raportu jest opracowywany po zakończeniu testów.
W skład tego rodzaju raportu wchodzą: część ogólna (opis obiektów, cele
i zakres audytu), ogólny opis jednostki lub badanego systemu, ustalenia
potwierdzone takimi dowodami na podstawie, których osoba trzecia nie będzie
miała wątpliwości, co do istnienia opisanych faktów, sformułowanie wniosków,
które stanowią ocenę audytora dotyczącą wpływu ustaleń na działalność,
rekomendacje – wskazują sposoby naprawy
lub usprawnienia działalności,
słownik użytych zwrotów i skrótów oraz załączniki – standardy IIA opisują
wymagania dotyczące raportu, za sporządzenie raportu odpowiedzialny jest
koordynator audytu, udział w pracach jest obowiązkiem wszystkich audytorów,
raport powinien być zrozumiały, przejrzysty, bezstronny i obiektywny, przed
napisaniem raportu należy spotkać się z kierownictwem jednostki w celu
omówienia ustaleń I rekomendacji, itp;
6. raport końcowy – jednostka audytowana jest zobowiązana do przedstawienia
swoich komentarzy w formie pisemnej w określonym terminie. W celu uniknięcia
komplikacji
w liście przewodnim dołączonym do raportu wstępnego należy zaznaczyć, że
brak odpowiedzi w podanym terminie oznacza zgodę kierownictwa jednostki ze
wszystkimi ustaleniami raportu i spowoduje jego zatwierdzenie.
O tym, kto jest adresatem raportów decyduje Dyrektor Zespołu Audytu
Wewnętrznego, jeżeli raport opisuje działania kilku komórek organizacyjnych
możliwe jest podzielenie go na kilka fragmentów. Adresatem raportu jest zwykle
przełożony jednostki, w której przeprowadza się audyt.
Po analizie odpowiedzi i uwag jednostki, audytor powinien upewnić się, że
istnieją odpowiednie mechanizmy zapewniające, że przyjęte rekomendacje zostaną
wdrożone we właściwym czasie. Najważniejsze jest bowiem wskazanie w raporcie
terminu wykonania rekomendacji. Kontrola wykonania rekomendacji powinna zostać
skoncentrowana na ustaleniu, czy podjęto odpowiednie działania, eliminujące
uprzednio zidentyfikowane nieprawidłowości. Prace audytowe i wynikające z nich
wnioski
powinny zostać w pełni udokumentowane i zweryfikowane przez
koordynatora zadania audytowego.
16
2. CHARAKTERYSTYKA WYBRANYCH RODZAJÓW AUDYTU
2.1. AUDYT INFORMATYCZNY
W każdej firmie wykorzystującej komputery do codziennej pracy, mogą
pojawić się problemy z ich funkcjonowaniem. Przyczyny powstania takich sytuacji
mogą być różne, np. niewłaściwa obsługa, źle dobrany sprzęt, oprogramowanie lub
wiek urządzeń. Sytuacje takie przynoszą negatywne skutki dla firmy, bowiem zwykle
zdarzają się w nieodpowiednim momencie lub dotyczą krytycznego punktu
infrastruktury informatycznej. Wiele z tych sytuacji można jednak przewidzieć i im
zapobiec, przeprowadzając audyt informatyczny. Audyt ten obejmuje następujące
zagadnienia:21
-
identyfikacja najczęstszych problemów – dzięki audytowi można zidentyfikować
najczęściej
pojawiające
się
problemu
na
poszczególnych
stanowiskach
komputerowych i w sieci lokalnej, dzięki czemu w przyszłości można zapobiegać
wielu krytycznym sytuacjom lub unikać powtarzających się błędów. Na tej
podstawie
można
także
określić
zapotrzebowanie
firmy
na
obsługę
posiadanych
zasobów
informatyczną.
-
zebranie
i
uporządkowanie
informacji
na
temat
sprzętowych – opracowanie dokumentacji i raportu z dokładnego przeglądu
wszystkich stanowisk i punktów sieci, pozwoli na dokładną inwentaryzację
posiadanych zasobów, a co za tym idzie będzie można zoptymalizować ich
wykorzystanie oraz zarządzać nimi. Działanie to umożliwi zaplanowanie
harmonogramu inwestycji lub modernizacji i konserwacji bazy sprzętowej.
-
przegląd oprogramowania – weryfikacja poprawności instalacji oprogramowania
oraz jego legalności, zmniejszy awaryjność i usprawni pracę stanowisk, pozwoli
ustrzec się przed łamaniem prawa, a co za tym idzie przykrymi konsekwencjami
karnymi. Dzięki temu działaniu będzie można określić jedne spójne rozwiązanie
w zakresie wykorzystania oprogramowania.
-
określenie rodzaju/modernizacji infrastruktury – przeprowadzony audyt pozwoli
oszacować potrzeby organizacji w zakresie informatyki. Wnioski po wykonanych
analizach
dostarczą
informacji
na
temat
konieczności
konserwacji
poszczególnych elementów infrastruktury, ich modernizacji czy wprowadzenia
21
www.infovide.pl
17
nowych rozwiązań. Raporty z audytu ułatwią opracowanie szczegółowych
procedur oraz polityki informatycznej firmy.
-
zwiększenie efektywności pracy – po wnikliwej analizie, opracowywane są
odpowiednie rozwiązania. Wskazuje się na obszary, gdzie jest możliwe ich
zastosowanie
lub
gdzie
dostępne
zasoby
mogą
być
wykorzystane
w efektywniejszy sposób.
W audycie informatycznym występują cztery zasadnicze fazy: planowanie,
ocena mechanizmów kontrolnych, testowanie i raportowanie. Według Jerzego
Korytowskiego, Przewodniczącego Zarządu Stowarzyszenia ds. Audytu i Kontroli
Systemów Informatycznych, proces audytowy powinien przebiegać w sposób
następujący:22
-
szacowanie ryzyka i wstępne planowanie audytu,
-
zapoznanie się z audytowanym obszarem (zrozumienie natury procesów i ryzyk
poprzez wywiady i pozyskanie odpowiednich dokumentów),
-
szczegółowe planowanie audytu,
-
przeprowadzenie szczegółowych prac audytowych w tym: zapoznanie się
z procesem (poznanie jakie mechanizmy kontrolne zaplanowano), wywiady
i pozyskiwanie dokumentów),
-
ocena zaplanowanych, przewidzianych mechanizmów kontrolnych pod kątem ich
adekwatności (wystarczalności i siły) w stosunku do potrzeb,
-
ocena
zgodności
zastanej
praktyki
z
planami
i
przewidywaniami
(czy
mechanizmy są stosowane i jak działają),
-
testowanie dowodowe,
-
przygotowanie i zakomunikowanie raportu.
W ramach audytu informatycznego wyróżnić można następujące części:
-
audyt legalności oprogramowania,
-
audyt sprzętu,
-
audyt zabezpieczeń.
22
www.frso.pl
18
2.1.1. AUDYT LEGALNOŚCI OPROGRAMOWANIA
Konieczność optymalizowania kosztów w firmach i wzrost liczby przestępstw
komputerowych sprawiają, że jednym z istotnych działań w zarządzaniu staje się
sprawne zarządzanie jej zasobami informatycznymi i sposobem ich wykorzystania
przez pracowników. Audyt oprogramowania obejmuje całość oprogramowania
używanego w firmie. W wyniku audytu powstaje raport przedstawiający stan
oprogramowania I jego licencjonowania. Audyt oprogramowania realizowany jest
zazwyczaj w kilku fazach, a uzyskane w ich trakcie informacje są podstawą
sporządzania raportu audytowego. Fazy te są następujące:23
-
faza I – zebranie podstawowych informacji o zasobach informatycznych w firmie,
a w szczególności: ilość, rodzaj i rozmieszczenie serwerów i stacji roboczych,
oprogramowanie sieciowe i systemy operacyjne, istnienie procedur dotyczących
zarządzania oprogramowaniem (organizacja zakupu oprogramowania, reguły
dotyczące instalacji, użytkowania i deinstalacji oprogramowania), polityka
zarządzania licencjami w firmie;
-
faza II a – fizyczne skanowanie serwerów i stacji roboczych (skanowanie jest
przeprowadzane przy pomocy specjalistycznego oprogramowania i umożliwia
zinwentaryzowanie oprogramowania);
-
faza II b – weryfikacja licencji na oprogramowanie;
-
faza III – analiza danych i sporządzenie raportu audytowego – następuje
porównanie liczby posiadanych licencji z liczbą instalacji poszczególnych
rodzajów oprogramowania. Poza tym porównaniem raport audytowy zawiera
informacje odnośnie miejsca instalacji poszczególnych programów.
W
ciągu
ostatnich
miesięcy
zauważyć
można
istotny
wzrost
zainteresowania sprawą legalności oprogramowania komputerowego, o czym może
świadczyć duża liczba publikacji prasowych, relacje radiowe i telewizyjne oraz
ogromna liczba pytań adresowanych do producentów oprogramowania. Największa
liczba pytań dotyczy weryfikacji legalności oprogramowania. O ile w przypadku firm
posiadających niewielkie ilości komputerów takie zadanie nie jest skomplikowane,
o tyle firmy używające sieci komputerowe i kilkadziesiąt lub więcej komputerów,
często w różnych miejscach I budynkach, stają przed problemem, któremu trudno
sprostać. W celu usprawnienia przeprowadzanego audytu, można przeprowadzić
23
www.ckzeto.com.pl
19
proces
inwentaryzacji
komputerów.
Inwentaryzacja
taka
powinna
być
jak
najdokładniejsza i odpowiadać na pytania dotyczące sprzętowej konfiguracji PC.
Kolejnymi celami audytu, bezpośrednio wiążącymi się z inwentaryzacją sprzętu,
może
być
oznaczenie
wszystkich
komputerów
unikalnymi
numerami
identyfikacyjnymi, a także oczyszczenie listy środków trwałych komputerów, które nie
są już w rzeczywistości wykorzystywane.
Z audytem wiążą się także inne cele, np. wprowadzenie nowych procedur
dotyczących nazewnictwa i przechowywania poufnych dokumentów w formie
elektronicznej, wprowadzenie nowych przepisów w umowach o pracę, które
sprecyzują zasady wykorzystania komunikatorów i oprogramowania, czy też
opracowanie
i
wdrożenie
procedur
regulujących
zasady
zakupu
nowego
oprogramowania w firmie. Prawidłowo przeprowadzony audyt gwarantuje:24
-
pełne, odpowiednio uporządkowanie i zarchiwizowane informacje o posiadanych
zasobach sprzętowych i oprogramowania,
-
przeniesienie odpowiedzialności karnej na osoby bezpośrednio odpowiedzialne
za określone stanowiska komputerowe,
-
monitoring czynności wykonywanych przez pracowników na poszczególnych
stacjach komputerowych,
-
wytyczenie procedur zakupu i archiwizowania oprogramowania mających wpływ
na porządek i efektywność pracy,
-
poczucie bezpieczeństwa związanego z kontrolą uprawnionych organów
dotyczących legalności oprogramowania i konsekwencjami w postaci konfiskaty
sprzętu i wysokich kar w przypadku wykrycia nieprawidłowości,
-
poczucie bezpieczeństwa związanego z ochroną komputerów przed potencjalnie
niebezpiecznymi aplikacjami powodującymi niekontrolowany wypływ poufnych
informacji
lub
będących
źródłem
w
nieoczekiwanym
momencie
awarii
wpływających na przerwy w pracy,
-
poczucie porządku wpływającego pozytywnie na efektywność pracy oraz
stwarzającego dobre podstawy pod procedury wdrożenia certyfikatu jakości.
Istotą audytu legalności oprogramowania
jest skonfrontowanie liczby
i typu licencji z informacjami zebranymi w trakcie audytu. W rezultacie otrzymuje się
odpowiedź na pytania: na które aplikacje firma posiada zbyt mała liczbę licencji, na
które w ogóle ich nie posiada i w ilu przypadkach posada więcej licencji niż
zainstalowanych w sieci aplikacji. Z tych powodów istotnymi elementami są:
24
www.promedia.iap.pl
20
-
kontrola sieci – zarząd oraz dział informatyki powinny sprawować pełną kontrolę
nad danymi w firmowej sieci komputerowej,
-
inwentaryzacja
oprogramowania
oprogramowania
jest
tym
–
ryzyko
większe,
im
używania
mniejsza
wiedza
nielegalnego
o
zasobach
zgromadzonych w komputerach,
-
weryfikacja legalności oprogramowania,
-
porozumienie z pracownikami – warto zapoznać pracowników z zasadami
użytkowania
oprogramowania
oraz
podpisać
porozumienie
określające
odpowiedzialność osób zatrudnionych w zakresie przestrzegania autorytetu,
-
odpowiedzialność za oprogramowanie.
Bogactwo i duża dostępność nielegalnego oprogramowania powoduje, iż
nawet w firmach, które szczególnie dbają o prowadzenie działalności w zgodzie
z obowiązującym prawem, zjawisko instalowania pirackich kopii programów przez
pracowników jest powszechne. Aby zautomatyzować proces zarządzania zasobami
programowymi
w
firmie,
w
tym
sprawdzania
zgodności
oprogramowania
z posiadanymi przez firmę licencjami, powstały programy audytujące. Pozwalają one
również optymalizować wykorzystywanie poszczególnych aplikacji i eliminować
aplikacje niepożądane w firmie. Do najczęściej stosowanych programów należą:
-
uplook – daje on możliwość audytu oprogramowania, sprawdzania zgodności
programów z licencjami, zarządzania oprogramowaniem w firmie. Dzięki temu
programowi proces audytu oprogramowania na poszczególnych firmowych
komputerach przestaje być czasochłonny i nie powoduje przestoju w pracy na
poszczególnych stanowiskach.25 Program ten posiada także dwa dodatkowe
moduły:
a) Statlook – moduł ten służy do monitorowania pracy na komputerach przez
pracowników firmy;
b) Weblook – moduł ten służy do monitorowania odwiedzanych stron
internetowych.
-
program „Legalna Firma” – dzięki temu programowi możliwe jest wdrożenie
procedur
zarządzania
licencjami
i
oprogramowaniem,
ograniczenie
odpowiedzialności kierownictwa w sytuacji wykrycia nieprawidłowości, tworzenie
aktualnych raportów w przypadku planów migracyjnych, wyszukiwanie kopii
poufnych dokumentów, śledzenie zmian w konfiguracji sprzętowej komputerów
firmowych,
25
stała
kontrola
nad
oprogramowaniem
zainstalowanym
na
www.cezar.waw.pl
21
komputerach firmowych, weryfikacja i możliwość stałej aktualizacji bazy środków
trwałych sprzętu komputerowego.26
-
GASP
–
oprogramowanie
przeznaczone
do
przeprowadzania
audytu
oprogramowania i sprzętu w instalacjach obejmujących od kilkunastu do kilkuset
tysięcy komputerów. Program ten występuje w trzech wersjach:27
a) GASP Suite – oprogramowanie przeznaczone do przeprowadzania audytu
oprogramowania i sprzętu w firmach, w których sieć informatyczną tworzy do
kilkuset komputerów. Umożliwia ono wykonanie audytu manualne lub za
pośrednictwem skryptów podczas logowania użytkownika do sieci.
b) GASP Plus Suite – oprogramowanie przeznaczone do przeprowadzania
audytu oprogramowania i sprzętu w firmach, w których sieć informatyczną
tworzy do 1000 komputerów. Umożliwia ono centralne zarządzanie
skanowaniem komputerów i okresowe uruchamianie procedury audytowej za
pośrednictwem określonego oprogramowania.
c) GASP
Enterprise
Suite
–
oprogramowanie
przeznaczone
do
przeprowadzania audytu oprogramowania i sprzętu w firmach, w których sieć
informatyczną tworzy nawet 100 tysięcy komputerów. Dzięki gromadzeniu
informacji w bazie SQL umożliwia równoczesną analizę danych przez wielu
operatorów.
W obliczu prawa polskiego audyt legalności oprogramowania jest jedynie
narzędziem weryfikującym zgodność posiadanego oprogramowania z zakupionymi
licencjami. W Polsce nie ma obowiązku przeprowadzenia audytu legalności
oprogramowania, zależy to wyłącznie od potrzeby i dobrej woli właściciela lub
dyrektora firmy. Nie wolno jednak zapominać o tym, iż konsekwencje wynikające
z posiadania nielegalnych programów są bardzo poważne, m.in. są to kwestie
finansowe, odpowiedzialność cywilna i karna za naruszenie praw autorskich, utrata
wiarygodności firmy i jej zarządu, zagrożenie utraty informacji i danych, zwiększenie
ryzyka nieautoryzowanego dostępu do zasobów firmy, brak dostępu do pomocy
technicznej i aktualizowanych wersji programów itp.
26
27
www.dcs.pl
www.audytoprogramowania.pl
22
2.1.2. AUDYT SPRZĘTU
Każda firma okresowo przeprowadza inwentaryzację posiadanych zasobów.
Inwentaryzacja ma na celu dostarczenie informacji nie tylko o tym, że w firmie
występują komputery, ale także powinna odpowiedzieć na następujące pytania:28
-
jaka jest przeciętna konfiguracja komputerów w całej firmie lub w poszczególnych
jego komórkach organizacyjnych?
-
które z komputerów w znacznym stopniu odbiegają od tych przeciętnych?
-
czy konfiguracja komputerów pokrywa się s ich konfiguracją w chwili zakupu lub
ostatnimi odnotowanymi modyfikacjami?
-
jaka jest konfiguracja poszczególnych stacji roboczych i serwerów?
Na podstawie tych informacji można stwierdzić, czy posiadane komputery
mają parametry odpowiednie do zmiany na nową platformę systemową lub
wdrożenia nowych aplikacji, czy na stacjach roboczych pozostają w niezmienionym
stanie takie komponenty jak: dyski twarde, procesory, karty rozszerzeń czy też inne
części składowe.
Audyt sprzętu komputerowego polega na uruchomieniu na każdym
komputerze znajdującym się w firmie odpowiedniej aplikacji inwentaryzacyjnej, która
dokładnie identyfikuje konfigurację komputera. Wyniki audyt są umieszczane w
centralnej bazie danych, która służy do opracowywania wszelkich wymaganych
raportów. W przypadku starszych komputerów w wielu przypadkach system może
stwierdzić, że przesyłane do centrali informacje mogą być obarczone pewnym
stopniem niepewności – w takiej sytuacji należy fizycznie sprawdzić zasoby
sprzętowe.
Wyniki audytu mogą być wykorzystane przez:29
-
działy finansowe i administracyjne – do weryfikacji informacji inwentaryzacyjnych,
-
kadrę menedżerską – dzięki elektronicznej formie umożliwia szybkie i łatwe
generowanie dowolnych zestawień i raportów,
-
administratorów systemów – do śledzenia zmian w konfiguracji sprzętowej
komputerów, co ułatwi wystawienie diagnozy w przypadku ewentualnych
problemów i przywrócenie stanowiska do normalnej pracy.
28
www.edusoft.pl
23
2.1.3. AUDYT ZABEZPIECZEŃ
Audyt bezpieczeństwa jest podstawą Polityki Bezpieczeństwa Informacji.
Pozwala on kontrolować, wzbogacać i doskonalić zasady ochrony informacji. Nie
wolno zapominać, iż bezpieczeństwo nie jest czymś stałym, ciągle pojawiają się
nowe
zagrożenia,
zwłaszcza
dla
informacji
przetwarzanych
w
systemach
informatycznych. Z tego powodu konieczna jest stała lub okresowa weryfikacja
założeń przyjętej w firmie Polityki Bezpieczeństwa Informacji.
Istotnym elementem jest ponadto identyfikacja zagrożeń i analiza ryzyka
przetwarzanych informacji, jest ona bowiem wymogiem prawnym, gdyż obowiązek jej
przeprowadzenia nakładają zarówno Ustawa o ochronie danych osobowych oraz
Ustawa
o ochronie informacji niejawnych. Rozporządzenie Ministra Spraw
Wewnętrznych i Administracji z dnia 3 czerwca 1998 roku w sprawie określenia
podstawowych
warunków
technicznych
i
organizacyjnych,
jakim
powinny
odpowiadać urządzenia i systemy informatyczne nakłada na Administratora danych
osobowych następujące wymogi, które są elementami audytu bezpieczeństwa
systemu informatycznego:30
-
zidentyfikowanie i przeanalizowanie zagrożeń i ryzyka, na które może być
narażone przetwarzanie danych osobowych,
-
określenie potrzeb w zakresie zabezpieczenia zbiorów danych osobowych
i systemów informatycznych, z uwzględnieniem potrzeby kryptograficznej
ochrony danych osobowych, w szczególności podczas ich przesyłania za
pomocą urządzeń teletransmisji danych,
-
określenie zabezpieczeń adekwatnych do zagrożeń i ryzyka,
-
monitorowanie działania zabezpieczeń wdrożonych w celu ochrony danych
osobowych i ich przetwarzania.
Z wyżej wymienionych przepisów wynika wniosek, iż audyt bezpieczeństwa systemu
informatycznego
i
doskonaleniu
jest
obowiązkiem
szczególnych
przy
wymagań
formułowaniu,
modyfikowaniu
bezpieczeństwa
dla
systemu
informatycznego przetwarzającego informacje niejawne. Identyfikacja zagrożeń
i ryzyka składa się zwykle z kilku etapów:31
-
rozpoznanie
problemu
przetwarzania
danych
osobowych
lub
informacji
niejawnych w firmie,
29
www.edusoft.pl
www.ensi.net.pl
31
jw.
30
24
-
rozpoznanie zbiorów danych osobowych lub grup informacji niejawnych
przetwarzanych w firmie,
-
rozpoznanie systemów przetwarzających dane osobowe
lub informacje
niejawne,
-
ocenę zastosowanych systemów zabezpieczeń,
-
testy penetracyjne systemów przetwarzających dane osobowe lub informacje
niejawne,
-
identyfikację zagrożeń i oszacowanie ryzyka przetwarzania zbiorów danych
osobowych lub informacji niejawnych.
Testy penetracyjne systemów informatycznych polegają na przeprowadzaniu
symulacji ataków na systemy informatyczne przy użyciu znanych i powszechnie
stosowanych
metod
włamań.
Celem
jest
sprawdzenie
możliwości
nieautoryzowanego dostępu do danych w systemie, destabilizacji systemu oraz
przejęcia nad nim kontroli. Tego rodzaju testy są koniecznością jeżeli firma chce
mieć rzetelną analizę zagrożeń, a jej system jest podłączony do Internetu. Już sam
fakt
podłączenia
do
Internetu
powinien
zwrócić
uwagę
na
potencjalne
niebezpieczeństwo penetracji systemów firmy, m.in. zbiorów danych osobowych,
informacji niejawnych przez nieznane osoby z zewnątrz. Większość firm stara się
zabezpieczyć przed atakami z zewnątrz stosując systemy kontroli dostępu firewall.
Jednak niebezpieczeństwo tkwi także wewnątrz firmy – według statystyk ok. 75 %
incydentów związanych z bezpieczeństwem ma miejsce wewnątrz firmy. Niestety
wiele firm zabezpiecza jedynie dostęp z zewnątrz i zapomina o bezpieczeństwie
wewnętrznym. Z problemem tym wiąże się drugi element testu penetracyjnego,
którym jest sprawdzenie możliwości dostępu do informacji z wnętrza sieci, ze
stanowiska użytkownika (możliwość zwiększania uprawnień, podszywanie się pod
innych użytkowników, podsłuchiwanie informacji przesyłanych przez sieć, możliwości
sabotażu itp.). W załączniku nr 1 zaprezentowany został przykładowy program
przeprowadzania testów penetracyjnych opracowany przez firmę EXE Group.
Podstawowym
zidentyfikowanie
i
zadaniem
wewnętrznego
zinwentaryzowanie
audytu
„najsłabszych”
informatycznego
jest
elementów
sieci
komputerowych w firmie. Audytowi poddawane są urządzenia i zasoby sieciowe całej
firmy
pod
kątem
określenia
ich
aktualnego
poziomu
zabezpieczeń
oraz
zidentyfikowania obszarów sieci komputerowych dla właściwego i bezpiecznego
funkcjonowania sieci komputerowej, które jako najsłabsze ogniwa mogą stać się
przyczyną nieautoryzowanego pozyskiwania informacji. W wyniku audytu zostanie
dostarczone kierownictwu firmy szczegółowe opracowanie, ukazujące wykryte
25
nieprawidłowości w funkcjonowaniu całego systemu informatycznego oraz poziom
wykrytych zagrożeń w świetle aspektów bezpieczeństwa firmy. Ponadto zostaną
zaproponowane działania, które należy podjąć w celu dobezpieczenia infrastruktury
sieciowej i sprzętowej. Zakres audytu obejmuje następujące elementy:32
-
analiza architektury sieci i możliwych dróg do systemów;
-
testy istniejących zabezpieczeń sprzętowych;
-
sprawdzenie bezpieczeństwa systemów backup’u;
-
ochrona współdzielonych zasobów systemowych;
-
sprawdzenie skuteczności działania systemów antywirusowych;
-
uwierzytelnianie i autoryzacja haseł użytkowników;
-
kontrola dostępu przed dostępem użytkowników nieuprawnionych;
-
analiza zabezpieczeń programowych;
-
skanowanie systemu w celu oceny jego szczelności;
-
testy bezpieczeństwa serwera WWW;
-
testy systemu obsługi poczty;
-
testy pozostałych dostępnych usług;
-
identyfikacja i analiza zagrożeń.
Reasumując praca osób odpowiedzialnych za bezpieczeństwo systemu
informatycznego sprowadza w praktyce do takich czynności, jak:
-
zabezpieczenie – oprócz specjalistycznej wiedzy na temat bezpieczeństwa,
wymaga doskonałej znajomości systemu operacyjnego i pracujących na nim
aplikacji oraz infrastruktury systemu informatycznego. Polega głównie na
odpowiedniej zgodnej z polityką bezpieczeństwa i standardami, konfiguracji
urządzeń sieciowych, systemów operacyjnych i aplikacji. Istnieją programy
umożliwiające
automatyczną
lub
prawie
automatyczną
konfigurację
i zabezpieczenie serwerów i stacji roboczych, np. Security Configuration
Manager;
-
monitorowanie – w małej sieci przeważnie ogranicza się to zadanie do
regularnego czytania logów systemowych, aplikacji, routerów I firewall’i. Większe
sieci najczęściej zabezpieczone są firewall’em na styku LAN z Internetem, zwykle
posiadają dobre programy antywirusowe;
-
sprawdzenie
(testowanie)
przeprowadzana
w
–
odniesieniu
weryfikacja
do
zasad
poprawności
zdefiniowanych
zabezpieczeń,
w
polityce
bezpieczeństwa i do obowiązujących standardów. Dostępnych jest wiele
32
www.safecomp.com
26
programów, zarówno darmowych jak i komercyjnych, do sprawdzania stanu
zabezpieczeń, począwszy od poleceń systemowych uruchamianych z linii
komend, poprzez proste programy lub skrypty, aż do skomplikowanych,
wielofunkcyjnych programów sprawdzających system operacyjny i aplikacje;
-
poprawienie zabezpieczeń – polega na dokonaniu zmian w konfiguracji lub
zainstalowaniu odpowiednich poprawek dostarczonych przez producenta.
Niezwykle istotnym warunkiem jest dokumentowanie wszelkich zmian w systemie
i przechowywanie listy kontrolnej wypełnionej podczas konfigurowania systemu.
Zabezpieczanie
Zarządzanie
Polityka
Bezpieczeństwa
Zarządzanie
Monitorowanie
Rys. 2
Cykl utrzymania bezpieczeństwa
Źródło: www.it-scs.com.pl
Po zakończeniu audytu przestawiany jest szczegółowy raport końcowy, który
zawiera następujące punkty:33
-
opis, zakres i cel przeprowadzonych analiz,
-
listę zaobserwowanych nieprawidłowości w budowie sieci komputerowej,
-
listę
zaobserwowanych
nieprawidłowości
w
funkcjonowaniu
sieci
komputerowych,
33
www.safecomp.com
27
-
wykaz wykrytych nieprawidłowości.
-
opis zagrożeń i ich konsekwencje dla bezpieczeństwa sieci,
-
propozycje zaleceń pozwalających na usunięcie wykrytych nieprawidłowości,
-
zalecenia dotyczące procedur Bezpieczeństwa Informatycznego w firmie.
2.2. AUDYT FINANSOWY
Głównym celem audytu finansowego jest zyskanie pewności, iż sprawozdania
finansowe są poprawne i kompletne. Zakres audytu finansowego jest określony
w ustawie.
Audytor wewnętrzny powinien znać zasady sporządzania sprawozdań
finansowych oraz obowiązujące w tym zakresie przepisy. Ponadto powinien on
dysponować wiedzą z dziedziny księgowości, a zwłaszcza znać standardy, które
określają jak należy zarejestrować w sprawozdaniach finansowych skutki transakcji
i wydarzeń. Zadaniem audytora jest ustalenie, czy stosowane przez organizację
zasady księgowe stanowią część spójnego, uznanego zestawu standardów,
przystosowanego do działalności danej instytucji. Ponadto, musi stwierdzić, czy
obejmują one wszystkie ważne aspekty działalności oraz czy są stosowane zasady
polityki księgowej takie, jak: ciągłość, niezmienność, ostrożność, przewaga treści nad
formą, istotność.
Głównym celem sprawozdań finansowych każdej firmy jest dostarczenie
odbiorcom informacji na temat sytuacji finansowej oraz wykonania zadać. Do innych
celów, które realizują sprawozdania finansowe można zaliczyć:34
-
dostarczenie odbiorcom potrzebnych informacji, gdyż zdefiniowanie potrzeb
odbiorców stanowi punkt wyjścia do opracowania sprawozdań finansowych;
-
poinformowanie odbiorców, czy budżet i operacje przeprowadzone w trakcie roku
obrotowego
były
realizowane
zgodnie
z
wymaganiami
prawa.
Same
sprawozdania finansowe nie udzielają takiej informacji – powinna ona być
zawarta w raporcie sporządzanym przez audyt wewnętrzny;
-
pomoc odbiorcom w zrozumieniu charakteru, wielkości i zakresu działań firmy
oraz jej sytuacji finansowej;
-
pomoc odbiorcom w lepszym zrozumieniu i prognozowaniu, w jaki sposób firma
finansuje swoją działalność;
34
K. Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005
28
-
pomoc odbiorcom w zrozumieniu i prognozowaniu wyników działalności
organizacji;
-
pomoc odbiorcom sprawozdań w ustaleniu, czy organizacja osiąga swe cele
i określeniu kosztów działalności, informowanie o ilościowych aspektach realizacji
budżetu.
Sprawozdania
finansowe
powinny
posiadać
cechy,
które
czynią
przedstawione przez nie informacje przydatnymi dla odbiorców. Cechy te są
następujące:
-
zrozumiałe,
-
istotne,
-
wiarygodne,
-
ważne,
-
terminowe,
-
konsekwentne,
-
porównywalne.
Celem audytu sprawozdań finansowych jest sformułowanie opinii, audytor
powinien ocenić dokładność i zgodność wszystkich informacji, które są w nich
zawarte. Błąd lub niezgodność jest istotne w sytuacji, kiedy istnieje duże
prawdopodobieństwo, że będą miały wpływ na osoby, które są użytkownikami
sprawozdań finansowych. Audytor ponadto powinien zwracać szczególną uwagę na
sytuacje, w których błędy lub niezgodności zostały spowodowane w sposób celowy
przez kierownictwo jednostki. Kolejną rzeczą, która należy do zadań audytora jest
podjęcie decyzji, jaki jest maksymalny poziom tolerancji w sytuacji, w której
występują błędy w sprawozdaniach, lecz są one akceptowalne. Taka liczba błędów
nazywana jest progiem istotności. Im wyższy jest próg istotności, tym mniejszą liczbę
testów rzeczywistych należy przeprowadzić. Próg istotności określa się w dwojaki
sposób:35
-
bezpośrednio przez ustalenie maksymalnej kwoty;
-
pośrednio – czyli procentowo, np. % wydatków brutto.
Próg istotności pełni istotną rolę w ocenie wagi wpływu, jaki mają odkryte
w czasie audytu błędy, przez szacowanie prawdopodobnego ogólnego błędu
występującego w sprawozdaniach finansowych i porównywanie go z progiem
35
29
istotności. Opinie te powinny być oparte na dokumentach roboczych. Proces audytu
finansowego przebiega w następujący sposób:36
1. identyfikacja oraz ocena istotnych elementów systemu kontroli wewnętrznej oraz
oszacowanie zakresu w jakim audytor może na nich polegać, pod warunkiem, że
zostanie ustalona ich skuteczność (testy przeglądowe);
2. sprawdzenie działania tych elementów systemu kontroli wewnętrznej w celu
ustalenia, czy przez cały badany okres działały one skutecznie (testy zgodności);
3. ocena wyników badań funkcjonowania systemu kontroli wewnętrznej w celu
ustalenia, czy można przyjąć zakładany stopień wiarygodności na podstawie
przebadania tego systemu;
4. przeprowadzenie testów rzeczywistych. Jeśli audytor może ograniczyć się do
oceny systemów kontroli wewnętrznej, wówczas można zredukować liczbę
testów rzeczywistych.
Obiektami audytu finansowego są:37
-
kontrola środków pieniężnych,
-
kontrola rozrachunków i roszczeń,
-
windykacja należności,
-
kontrola zapasów,
-
aktywa trwałe,
-
kontrola zatrudnienia i wynagrodzeń,
-
kontrola kosztów,
-
kontrola przychodów,
-
kontrola inwestycji,
-
kontrola funduszy specjalnych i kapitałów zasadniczych,
-
inwentaryzacja,
-
finansowe systemy informatyczne.
Badanie sprawozdania finansowego zazwyczaj składa się z dwóch etapów,
które nie muszą być wyraźnie rozdzielone:38
I etap – prace wstępne – ich celem jest: zbadanie systemu ewidencji badanej
jednostki, sposobu rejestracji operacji gospodarczych, systemu kontroli wewnętrznej
i
rzetelności
ksiąg
rachunkowych
oraz
analizę
planu
kont,
sprawdzenie
36
. K. Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 r.
jw.
38
jw.
37
30
prawidłowości stosow anych procedur dotyczących sposobu ustalania i ewidencji
podatku od towarów i usług, kontrolę prawnych podstaw działalności;
II etap – prace zasadnicze – składają się na nie następujące czynności:
sprawdzenie prawidłowości wyceny aktywów i pasywów na dzień bilansowy oraz
ustalenia wyniku finansowego za rok obrotowy, badanie sprawozdań finansowych
z uwzględnieniem kryterium realności i kompletności zawartych w nich informacji,
badanie prawidłowości i sporządzenia informacji dodatkowej, badanie sprawozdania
z działalności jednostki za dany okres obrachunkowy, sporządzonego przez Zarząd
badanego poziomu pod kątem zgodności ze sprawozdaniem finansowym oraz
wymogami prawa (dotyczy organizacji prowadzących działalność gospodarczą).
Rezultatami przeprowadzenia badania są;
-
opinia o prawidłowości i rzetelności sprawozdania finansowego;
-
raport z badania sporządzony w formie określonej normą nr 2 krajowej Rady
Biegłych Rewidentów.
Zgodnie z nowelizacją ustawy o rachunkowości w opinii powinna być
Zawarta ocena prawidłowości i rzetelności sprawozdania finansowego, jasności
przedstawienia sytuacji finansowej i majątkowej jednostki oraz osiągniętego wyniku
finansowego. Ponadto wg art. 65 ust. 2 ustawy w opinii powinny być zawarte także
informacje o tym, czy badane sprawozdanie zostało sporządzone na podstawie
prawidłowo
prowadzonych
ksiąg
rachunkowych,
przygotowano
je
zgodnie
z określonymi w ustawie zasadami rachunkowości, jest zgodne co do formy i treści
z obowiązującymi przepisami prawa, statutem lub umową, jak również zawiera
rzetelnie przygotowane wszystkie informacje istotne dla oceny jednostki.
Istnieje kilka rodzajów opinii, np.:
-
opinia bez zastrzeżeń;
-
opinia bez zastrzeżeń z dodatkowymi objaśnieniami;
-
opinia z zastrzeżeniami;
-
opinia negatywna.
W załączniku nr 2 przedstawiono przykłady różnych opinii wystawionych przez
audytora.
Raport, zgodnie z ustaleniami art. 65 ust. 4 ustawy o rachunkowości,
powinien zawierać zwięzłe informacje o badanej jednostce oraz przedstawiać istotne
wyniki
szczegółowego
badania,
stanowiące
uzasadnienie
wyrażonej
opinii,
31
względnie odmowy wyrażenia opinii. Raport może zostać podzielony na następujące
działy:39
-
część ogólna – obejmuje ona m.in.:
•
tytuł (raport z badania sprawozdania finansowego);
•
dane identyfikujące badaną jednostkę;
•
dane identyfikujące zbadane sprawozdanie finansowe;
•
powołanie się na umowę zawartą z jednostką przez podmiot uprawniony do
badania;
•
stwierdzenie, że badana jednostka udostępniła żądane dane i informacje;
•
informacje o zatwierdzeniu bilansu zamknięcia za rok poprzedzający rok
badany i wprowadzeniu go do ksiąg jako bilansu otwarcia;
•
informacje o sposobie podziału zysku (pokrycia straty), a także złożeniu
sprawozdania finansowego we właściwym sądzie lub innym organie
prowadzącym
rejestr
lub
ewidencję
działalności
gospodarczej
oraz
ogłoszeniu go w sposób przewidziany przepisami;
-
analiza sytuacji jednostki – w jej skład wchodzi:
•
informacje o kształtowaniu się najważniejszych wskaźników (takich jak wynik,
wskaźniki rentowności, finansowania działalności, płynności, sprawności) oraz o
sytuacji majątkowej i finansowej, w tym o wypłacalności w badanym roku (w
porównaniu do dwóch lub więcej lat poprzedzających);
•
wskazanie ewentualnych zagrożeń dla możliwości kontynuowania przez
jednostkę działalności w roku następnym;
-
część szczegółowa raportu – w tej część nacisk położony jest na prawidłowość
ksiąg rachunkowych, a zwłaszcza na:
•
posiadanie przez jednostkę dokumentacji opisującej przyjęte zasady
rachunkowości;
•
kompletność i przejrzystość dokumentowania operacji gospodarczych oraz
ich poprawne zakwalifikowanie do ujęcia w księgach rachunkowych;
•
prawidłowość otwarcia ksiąg rachunkowych oraz kompletność i poprawność
dokonanych zapisów i ich powiązanie z dokumentami oraz sprawozdaniem
finansowym;
•
spełnienie warunków, jakim powinny odpowiadać księgi rachunkowe (w tym
także całkowicie lub częściowo prowadzone przy pomocy komputera);
39
www.audyt.ngo.pl
32
•
właściwe przechowywanie ksiąg rachunkowych, działanie systemu kontroli
wewnętrznej w powiązaniu z systemem księgowości, zwłaszcza na procedury
kontroli wewnętrznej i sposób ich stosowania.
2.3. AUDYT OPERACYJNY
Audyt operacyjny obejmuje badanie wydajności i skuteczności systemów
i jednostek organizacyjnych, ocenę efektywności zarządzania, czyli ocenę sposobu,
w jaki kierownictwo jednostki planuje swoje działania, a następnie kontroluje
realizację planów. Celem audytu jest ocenienie oszczędności i wydajności. Pojęcie
wydajności odnosi się do osiągania przez jednostkę założonych wyników w relacji do
kosztów. Analiza wydajności to badanie relacji między kosztem projektu a wynikami.
Wydajność może obejmować także porównanie rzeczywistego czasu realizacji
zadania z jego harmonogramem. Z kolei ocena skuteczności obejmuje natomiast
ustalenie, czy osiągnięto planowane cele, oraz relacji pomiędzy zamierzonym
a faktycznym rezultatem. Oszczędność natomiast może odznaczać maksymalizację
czy optymalizację przychodów z badanej działalności. Celem analizy wydajności jest
ustalenie, czy korzyści odnoszone przez jednostkę, program lub przedsięwzięcie
przekraczają jego koszty. Analizę wydajności audytor przeprowadza porównując
koszty I rezultaty, gdy można je wyliczyć lub oszacować. Powinien on uwzględniać
nie tylko dane finansowe, ale także niematerialne koszty i korzyści, np. koszty
społeczne, koszty związane ze środowiskiem mailowym.
Koncepcja wydajności ma zastosowanie we wszystkich procesach, nawet
takich, których rezultaty są niejednolite i przez to trudne do oceny. Planując audyt
wydajności należy wziąć pod uwagę wszystkie czynniki wpływające na relację
pomiędzy uzyskanymi rezultatami a nakładami poniesionymi na ich uzyskanie. Nie
zapominajmy, że wydajność jest pojęciem względnym. Mierzona jest ona przez
porównywanie osiągniętej produktywności z wyznaczoną normą. Ilość produkcji
i osiągnięta jakość jest porównana do przyjętych norm, aby określić do jakiego
stopnia można poprawić wydajność. Wydajność powiększa się w następujących
przypadkach:40
-
jest większa produkcja przy danym zużyciu zasobów,
-
przy takiej samej produkcji nastąpiło ograniczenie zużycia zasobów,
-
przy nie zmienionej wielkości produkcji i zużyciu zasobów poprawiła się jakość.
40
K. Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005
33
Ponadto zwiększeniu wydajności służą następujące czynności:41
-
przeprowadzanie okresowych przeglądów w celu wyeliminowania pośrednich
i zbytecznych operacji, które nie przyczyniają się do uzyskiwania końcowych
produktów i usług;
-
wykorzystanie analizy porównawczej do oceny wydajności;
-
stosowanie zasad zarządzania projektami;
-
ograniczanie kosztów kontroli, przyspieszanie lub usprawnianie procesu
podejmowania decyzji;
-
modernizacja produktów i usług tak, aby lepiej zaspokajały potrzeby wewnętrzne
i zewnętrzne;
-
zaprzestanie produkcji I usług, na które nie ma zapotrzebowania;
-
ograniczanie kosztów przez zlecanie prac firmom zewnętrznym wtedy, kiedy jest
to uzasadnione;
-
poprawa jakości produktów i usług bez powiększania kosztów;
-
stosowanie nowoczesnych rozwiązań w zarządzaniu operacyjnym , np. TQM;
-
zastosowanie nowych technologii;
-
wykorzystywanie szkoleń w celu zwiększania wydajności, poprawa warunków
pracy, motywowanie pracowników.
Celem audytu wydajności są:42
-
sformułowanie rekomendacji umożliwiających dokonanie niezbędnych zmian
i poprawę wydajności;
-
bezpośrednia lub pośrednia pomoc w zidentyfikowaniu możliwości dostarczania
więcej albo lepszych produktów i usług po takim samym koszcie lub taniej;
-
wsparcie kierownictwa operacyjnego w wysiłkach zmierzających do poprawy
wydajności;
-
podkreślenie znaczenia pomiaru wydajności i używanie uzyskanych informacji
dla lepszego zarządzania operacyjnego, w tym do przypisania odpowiedzialności
za wydajność;
-
identyfikacja metod poprawy wydajności, nawet w operacjach, gdzie wydajność
jest trudna do zmierzenia;
-
zademonstrowanie możliwości obniżania kosztów produkcji i usług bez
zmniejszana ilości i jakości produkcji albo poziomu usług;
41
42
jw.
34
-
wzrost lub poprawa jakości produkcji oraz usług bez powiększania wydatków;
-
identyfikacja słabości w istniejących kontrolach i procesach w celu lepszego
użycia zasobów.
2.4. AUDYT WYNAGRODZEŃ
W
obecnych
czasach
obszar
wynagrodzeń
jest
jednym
z najpoważniejszych elementów kosztów operacyjnych firmy, z tego też względu
dogłębna analiza tych kosztów oraz umiejętność wykorzystania przepisów prawa
pracy i ubezpieczeń społecznych staje się niezbędną wiedzą do prawidłowego
funkcjonowania w przedsiębiorstwie. Ponadto system wynagrodzeń stosowany
w firmie jest jednym z elementów budowania trwałych i dobrych relacji między
pracodawcą a pracownikiem.
Audyt wynagrodzeń polega na precyzyjnym i wnikliwym odniesieniu
poziomów i zakresów wynagrodzeń do oferty uposażeń sektorów, które stanowią
bezpośrednią konkurencję na rynku pracy. Audyt wynagrodzeń pozwala na: 43
-
racjonalizację budżetu wynagrodzeń;
-
ocenę konkurencyjności oferty wynagrodzeń całej organizacji, poszczególnych
działów oraz pojedynczych stanowisk;
-
weryfikację skuteczności wykorzystywanych elementów motywacyjnych z punktu
widzenia celów organizacji i potrzeb jej pracowników;
-
ocenę efektywności budżetu wynagrodzeń firmy na tle rynkowych stawek płac.
Kierownictwo firmy, które chce przewartościować swoją politykę płacową lub
zweryfikować poprawność funkcjonującego systemu motywującego, może zwrócić
się do audytorów z prośbą o przeprowadzenie audytu wynagrodzeń. Audytorzy mogą
zasugerować następujące rodzaje programów:44
1. Program
pierwszy
(model
istniejący)
–
analiza
istniejącego
systemu
wynagrodzeń, której wynikiem jest raport diagnostyczny ze szczególnym
uwzględnieniem układu oraz wysokości kosztów wynagrodzeń wraz z propozycją
kierunku zmian;
2. Program drugi (model docelowy) – zaprojektowanie systemów wynagrodzeń,
zintegrowanych
43
44
z
pozostałymi
elementami
systemu
motywacyjnego
http://hrk.pl
jw.
35
a jednocześnie uwzględniającymi możliwości finansowe firmy oraz oczekiwania
kierownictwa odnośnie konkurencyjności ich wynagrodzeń w porównaniu
z liderami w branży. Wynikiem prac jest przedstawienie kilku wariantowych
propozycji proponowanego systemu płacowego na bazie dotychczasowych
rozwiązań w zakresie wynagrodzeń;
3. Program trzeci – pomoc w tworzeniu wewnętrznych aktów normatywnych
regulujących problematykę kadrowo-płacową firmy z uwzględnieniem zmian
w prawie pracy. Na podstawie
Regulaminu
Pracy ,
Zakładowego
Układowego Zbiorowego Pracy lub Regulaminu Wynagradzania audytor stara
się wygenerować takie podstawy prawne, które nie pozostawią luk i nieścisłości
w systemie oraz zapewnią wszystkim zainteresowanym stronom (pracownikom
i pracodawcom) sprawiedliwe i satysfakcjonujące warunki pracy;
4. Program czwarty – istotną rolę w procesie zmian pełni odpowiednio
przygotowana kampania informacyjna. Wdrażanie nowych rozwiązań bez
pełnego wsparcia zmian ze strony zainteresowanych nie ma racji bytu w dłuższej
perspektywie czasowej. Z tego też względu może zostać zaproponowane
przeprowadzenie szkolenia przygotowującego do wprowadzanych zmian oraz
umożliwiające zrozumienie ich kierunku i charakteru;
5. Program
piąty
–
sprawdzenie
poprawności
prowadzonej
dokumentacji
pracowniczej oraz rozliczeniowej pod kątem zgodności z obowiązującymi w tym
zakresie przepisami dotyczących pracowników.
2.5. AUDYT PERSONALNY
Od wielu lat podkreśla się, że kapitał ludzki ma decydujący wpływ na
osiągane przez firmę wyniki. Pracownicy są najważniejszym, a zarazem nieustannie
zmieniającym
się
potencjałem
przedsiębiorstwa.
Cała
sztuka
zarządzania
personelem polega na tym, aby właściwie rozpoznawać i wykorzystywać ten
potencjał. Z tego też względu każde przedsiębiorstwo powinno regularnie sprawdzać
w jakim stopniu pracownicy kwalifikują się do zajmowania określonych stanowisk.
Szczegółowa i dogłębna analiza potencjału pracowników wskazana jest zwłaszcza
w sytuacjach, gdy firma chce lub musi podjąć ważne decyzje kadrowe dotyczące jej
obecnych pracowników. Dokonana w ten sposób ocena pozwala na obiektywne
spojrzenie na umiejętności i kwalifikacje własnych pracowników. Ocenie mogą być
poddawane całe grupy lub pojedynczy pracownicy, bowiem cytując Philipa
Crosby’ego „najważniejsze jest dobranie właściwej osoby do właściwego zadania”.
36
Procedura oceny potencjału powinna być dostosowana do specyfiki firmy.
Poniżej zaprezentowany został przykładowy projekt audytu, obejmujące następujące
etapy:45
1. etap I – wywiad kwalifikacyjny ukierunkowany na ocenę przebiegu kariery
zawodowej, aspiracji zawodowych, motywacji do podjęcia nowych obowiązków,
diagnozę umiejętności interpersonalnych i radzenia sobie w trudnych sytuacjach.
Dane z wywiadu stanowią podstawę do weryfikacji wniosków z diagnozy
uzyskanej przy pomocy testów psychologicznych;
2. etap II – ocena poziomu przygotowania merytorycznego poprzez weryfikację
deklarowanego
przygotowania
zawodowego
i
kwalifikacji
zawodowych
w stosunku do stanowiska pracy oraz potencjalnych możliwości pracownika;
3. etap III – sprawdzanie znajomości języków obcych w zakresie biernym
i czynnym, porównanie uzyskanych wyników z deklarowaną znajomością języka;
4. etap IV – na ten etap mogą składać się m.in.:
-
test służący do oceny stylu kierowania – umożliwia on ocenę preferowanego
przez menadżera stylu kierowania, zdefiniowanie jego stosunku do zespołu
pracowniczego
zdiagnozowanie
oraz
do
przyszłych
realizowanych
przez
konsekwencji
niego
wyboru
zadań,
osoby
na
a
także
stanowisko
kierownicze;
-
test ukierunkowany na diagnozę umiejętności poznawczych – pozwala on na
określenie poziomu wiedzy ogólnej, umiejętnościami rozumienia i logicznego
interpretowania sytuacji;
-
test do pomiaru poziomu inteligencji ogólnej – bada inteligencję płynną
niezależną od wpływów kulturowych z głównym ukierunkowaniem na diagnozę
umiejętności analitycznych;
-
test
temperamentu
–
pozwala
na
określenie
podstawowych
wymiarów
osobowości opisujących formalne aspekty zachowania, który umożliwia ponadto
ocenę
przydatności
zawodowej
do
prac
wymagających
określonych
predyspozycji;
-
test osobowości – pozwala na pełny opis osobowości oraz ocenę możliwości
adaptacyjnych w środowisku zawodowym, pozwala na określenie umiejętności
społecznych oraz predyspozycji do pracy w zespole lub indywidualnie.
-
test diagnozujący umiejscowienie poczucia kontroli w sytuacji zawodowej –
pozwala na wyselekcjonowanie osób o wysokim poczuciu kontroli nad
rzeczywistością o dużej sprawności i skuteczności działania;
45
www.bdi.com.pl
37
-
test
umiejętności
interpersonalnych
–
pozwala
na
ocenę
kompetencji
społecznych w różnych sytuacjach życiowych, określa poziom kompetencji w
sytuacji ekspozycji społecznej, sytuacjach wymagających asertywności oraz
bliskiego kontaktu interpersonalnego.
Na zakończenie projektu oceny potencjału sporządzany jest kompleksowy
raport obejmujący jednocześnie analizę wyników testów oraz szczegółową relację
z ustrukturyzowanego wywiadu. Jakościowa i ilościowa analiza testowa jest
ukierunkowana
na
funkcjonowanie
diagnozę
intelektualne,
kompetencji
i
funkcjonowanie
predyspozycji
na
społeczne
osobowościową. Raport na temat kapitału ludzkiego firmy obejmuje:
obszarach:
oraz
ocenę
46
-
analizę kompetencji menedżerskich i psychologicznych;
-
analizę słabych i mocnych stron personelu;
-
omówienie wyników poszczególnych grup menedżerów sztabowych i liniowych;
-
wnioski dotyczące możliwości osiągnięcia przez pracowników celów organizacji;
-
sugestie dotyczące kierunku rozwoju poszczególnych grup pracowników.
Ponadto w raporcie końcowym może zostać przedstawiona charakterystyka
profilu poszczególnego pracownika umożliwiająca dokonanie łatwego porównania
z innymi ocenianymi pracownikami. Indywidualna ocena pracownika to:47
-
ocena potencjału intelektualnego;
-
charakterystyka osobowości;
-
ocena funkcjonowania społecznego;
-
zdefiniowanie słabych i mocnych stron;
-
sporządzenie profilu kariery zawodowej;
-
podsumowanie.
Jak widać z powyższych rozważań audyt personalny to usługa diagnozy i
oceny umiejętności zawodowych, składników osobowości oraz motywacji budujących
kompetencje pracownika. Usługa ta przynosi korzyści zarówno pracodawcy, jak
i pracownikowi. Do korzyści osiąganych przez pracodawcę można zaliczyć:48
-
uzyskanie informacji na temat posiadanego potencjału;
-
możliwość wykorzystania posiadanej wiedzy w planowaniu ścieżek rozwoju czy
awansu;
46
47
www.sedlak.com.pl
jw.
38
-
możliwość wykorzystania posiadanej wiedzy w obszarze działu kadr: planowanie
szkoleń, planowanie redukcji zatrudnienia, oceny okresowe;
-
obsada stanowisk zgodnie z potencjałem pracowników;
-
możliwość optymalnego wykorzystania kompetencji pracowników.
Z kolei korzyściami uzyskanymi przez pracownika są:
-
posiadanie rzetelnej wiedzy na temat własnych kompetencji i umiejętności;
-
poznanie obszarów wymagających poprawy;
-
możliwość zaplanowania kierunku dokształcania, szkolenia.
2.6. AUDYT MENEDŻERSKI
Według definicji przedstawionej przez G.A. Cole’a audyt menedżerski jest
metodą
rozpoznawania
kompetencji
zawodowych
i
behawioralnych
kadry
kierowniczej oraz dostosowywania ich do pożądanych profili kompetencji dla
poszczególnych stanowisk kierowniczych tak, aby zapewnić realizację strategii
przedsiębiorstwa.49 Rozpoznawanie kompetencji zawodowych i behawioralnych
kadry kierowniczej służy dążeniu do wzmocnienia efektywności działania kluczowych
osób w danej firmie.
Ten rodzaj audytu stosowany jest od początku lat osiemdziesiątych jako
metoda, która pozwala określić potrzeby szkoleniowe kierowników, planować ich
rozwój, przygotowywać plany sukcesji na stanowiskach kierowniczych oraz stosować
odpowiednio dobrane instrumenty wzmacniania potencjału kadrowego firmy. Do
głównych przyczyn przeprowadzania audytu menedżerskiego zaliczyć można:50
-
połączenia i przejęcia przedsiębiorstw,
-
internacjonalizacji działalności przedsiębiorstw,
-
nowe strategie rozwoju,
-
formowanie nowej kultury przedsiębiorstwa,
-
przekształcenia strukturalne,
-
kryzysy,
-
prywatyzacja przedsiębiorstwa,
-
identyfikacja menedżerów zdolnych zarządzać firmą,
-
przygotowywanie planów sukcesji stanowiskowej,
-
wzmacnianie potencjału kadrowego,
48
www.inwenta.pl
Cole G.A. “Personnel Management” Letts Educational Aldine Place, Londyn 1997 r.
50
http://www.kadry.info.pl
49
39
-
określanie potrzeb szkoleniowych i rozwojowych.
Zadaniem audytu
menedżerskiego , podobnie jak audytu personalnego ,
jest charakterystyka obszarów badawczych i planowanego zastosowania metod
testowych w celu przedstawienia analizy potencjału zawodowego kadry kierowniczej
poprzez
analizę
kompetencji,
umiejętności,
cech
osobowych
i
potencjału
rozwojowego. Z tego względu istotnym elementem przeprowadzanego audytu staje
się psychologiczne przygotowanie audytu menedżerskiego, czyli:51
-
zapoznanie kierowników z celami, zasadami I metodami audytu;
-
przeprowadzenie konsultacji, wzbudzenie zaufania kierowników do audytu,
uzyskanie poparcia osób znaczących w organizacji;
-
zapewnienie kierowników, iż szczegółowe wyniki audytu będą utajnione;
-
zapewnienie o realnych korzyściach z przeprowadzanego audytu – audyt
dostarczy przecież kierownikom informacji o ich kompetencjach, słabych
i mocnych stronach oraz możliwościach szkolenia I rozwoju indywidualnego;
-
unikanie posunięć gwałtownych.
W tym miejscu chciałabym przedstawić przykładowe obszary badania w
audycie menedżerskim. Są to:
Umiejętności I predyspozycje Umiejętności
związane
z Pogłębione
badanie
ogólne:
zarządzaniem:
kompetencji osobistych:
•
kompetencje społeczne
•
styl zarządzania
•
•
komunikacja
•
umiejętność
•
zdolności
i syntetyczne
•
umiejętność adaptacji
•
otwartość na zmiany
•
zdolności
•
•
przyswajania •
kreatywność
•
inicjatywa
51
•
•
umiejętność
perswazji
i pewność siebie
diagnozy
i oceny sytuacji
•
wytrwałość
zdolności negocjacyjne
•
odpowiedzialność
ustalanie celów krótko- •
i długoterminowych
sobie nowej wiedzy
•
umiejętność
emocjonalne
wyboru
priorytetów
analityczne
zrównoważenie
•
umiejętność zarządzania
czasem
samodzielność myślenia
umiejętność
organizacji
zadań
•
entuzjazm i elastyczność
•
delegowanie zadań
•
umiejętność
•
autonomia
rozwiązywania konfliktów
•
poziom uwewnętrznienia
w działaniu
http://www.kadry.info.pl
40
•
norm społecznych
odporność na stres
•
rodzaj motywacji
Źródło: Opracowanie własne na podstawie procedury badawczej znajdującej się na
stronie http://www.hric.pl.
Efektem
przeprowadzonego
audytu
menedżerskiego
jest
możliwość
opracowania indywidualnych planów rozwoju dla poszczególnego kierownika.. Plany
te dotyczą głównie takich zakresów, jak: zarządzanie personelem, komunikowanie,
zdolności interpersonalne, umiejętność pracy w zespole, umiejętność podejmowania
decyzji etc., zarządzanie jakością, umiejętność obsługi komputera, informacje
z zakresu ekonomii oraz prawa pracy.
2.7. AUDYT KOMUNIKACYJNY
W procesie zarządzania komunikacją wewnętrzną pierwszoplanową rolę
odgrywa analiza jej obecnego stanu, czyli tego, jakie są jej silne i słabe strony. Nie
wolno zapomnieć o podstawowej zasadzie dotyczącej efektywności komunikacji –
efektywna, to znaczy odpowiadająca potrzebom pracowników, czyli analiza stanu
komunikacji wewnętrznej powinna być prowadzona z punktu widzenia ich potrzeb.
Narzędziem, które służy szczegółowej i wszechstronnej analizie komunikacji
wewnętrznej, jest audyt komunikacyjny.
Audyt komunikacyjny polega na systematycznym i kompletnym badaniu
sposobów i efektów komunikowania się firmy ze swoim otoczeniem wewnętrznym
i zewnętrznym. Jego przedmiotem jest dokumentacja potrzeb, polityki, praktyk
i
możliwości
komunikacyjnych
oraz
przedstawienie
niezbędnych
danych
pozwalających zarządowi podjąć skuteczne decyzje wobec przyszłych celów
komunikacji organizacji. Metody badań są dobierane stosownie do potrzeb, mogą to
być np. wywiady z pracownikami różnych szczebli tak dobranymi ilościowo, aby ich
odpowiedzi odzwierciedlały trendy występujące w organizacji (zwykle audyt dotyczy
25 % zatrudnionych).
Moment rozpoczęcia audytu jest dla pracowników sygnałem: „firma chce
usłyszeć nasze opinie”. Wiąże się to z motywacyjnym działaniem audytu, zwykle
bowiem pracownicy nie mają zbyt dużych możliwości wypowiedzenia się na temat
swojej firmy. Ponadto w sytuacji, gdy firma jest już w trakcie zmian, audty
41
komunikacyjny może służyć jako „katalizator” opinii, gdyż zmiany zawsze powodują
napięcia w firmie, pracownicy często nie są pewni swojej przyszłości. Możliwość
porozmawiania z kimś może przyczynić się do zmniejszenia napięcia, pracownicy
czują, że wreszcie ktoś zechciał wysłuchać ich uwag na temat zmian. Wykorzystanie
w/w wartości wymaga spełnienia kilku warunków, bez których audyt w wielu
wypadkach nie ma szans powodzenia.
Pierwszym warunkiem powodzenia audytu jest zbadanie komunikacji
w firmie. Bardzo ważnym elementem jest akcja nagłaśniająca badanie – informacja
o audycie powinna o kilka dni poprzedzać rozpoczęcie badania. Ponadto informacja
powinna krótko opisywać cele i sposób badania oraz zawiadomić pracowników
o gwarancji zachowania przez nich anonimowości. Konieczne jest również
zbudowanie jak najszerszego wsparcia dla badań, aby jak najwięcej pracowników
zechciało w nich uczestniczyć. Szczególnie istotną sprawą jest zaangażowanie
kierowników.
Poza komunikacją audyt powinien obejmować te obszary, które są silnie
z komunikacją powiązane, m. in: kulturę firmy, relacje z przełożonym, satysfakcję
z pracy, identyfikację z firmą, nastawienie do oferowanych produktów. Tylko przy
uwzględnieniu
wszystkich
tych
obszarów
badanie
można
uznać
za
pełnowartościowe, nie da się bowiem przeciąć wzajemnego wpływu jakości
komunikacji oraz wymienionych obszarów. Dodatkowo istotną sprawą jest, aby nie
korzystać w takim badaniu z gotowych wzorców ankiet. Nie wolno zapominać o tym,
iż im ankieta dłuższa, tym mniej chętnie będzie wypełniana. Ankieta powinna z reguły
dać się wypełnić w 10 – 15 minut oraz musi zawierać tylko to, co rzeczywiście jest
istotne z punktu widzenia firmy. Przykładowe pytania w wywiadach z pracownikami
lub w ankietach mogą brzmieć w sposób następujący:52
-
czy otrzymujesz wszystkie informacje niezbędne do wykonywania powierzonej
pracy?;
-
czy notatki służbowe i komunikaty są jasne i zrozumiałe?;
-
jaką drogą docierają aktualizacje I informacje o zmianach w firmie lub wydziale?;
-
co funkcjonuje dobrze, a co źle w obecnym systemie przepływu informacji? Jak
można to poprawić? Czy już próbowałeś to zrobić? Z jakim efektem?;
-
do kogo masz większe zaufanie – do swoich współpracowników, bezpośrednich
przełożonych, kierowników wydziałów, dyrektorów czy samego prezesa?;
-
52
czy rozmawiasz o pracy lub firmie poza zakładem? Co mówisz?.
www.pressence.com.pl
42
Przy
audycie
komunikacyjnym
istotną
rolę
odgrywa
też
sposób
opracowywania wyników z przeprowadzonego badania. Zadaniem audytora nie jest
bowiem zinterpretowanie otrzymanych wyników w procentach, powinien on
skoncentrować swoje wysiłki na uchwyceniu zależności pomiędzy odpowiedziami
w różnych grupach pracowników, np. w następujących kategoriach: centrala – teren,
kierownicy – pracownicy szeregowi. Sumy danych dla wszystkich pracowników nie
dostarczają zbyt wiele informacji, natomiast wyniki dla różnych grup pracowników
mogą okazać się pełniejsze, np. czy pracownicy w centrali są lepiej poinformowani
niż w terenie czy też odwrotnie, jakie są potrzeby informacyjne w poszczególnych
grupach pracowników.
Przedstawiony powyżej sposób przeprowadzania audytu komunikacyjnego
można odnieść raczej większych firm zatrudniających większą liczbę pracowników
i posiadających swoje oddziały w różnych częściach kraju lub w różnych krajach.
Mniejsze firmy mogą także przeprowadzić analizę przepływu komunikacji, np.
poprzez osobiste zbieranie opinii. Dzięki zbudowaniu jak najlepszych relacji
z pracownikami można się dużo dowiedzieć na temat efektywności działań
komunikacyjnych.53
Jedną z firm, która położyła duży nacisk na komunikację wewnętrzną jest
Bank Przemysłowo-Handlowy. Za tę sferę odpowiada w nim kilkuosobowy zespół,
działający we współpracy z Departamentem Promocji, co umożliwia pełną
koordynację komunikacji zarówno wewnętrznej, jak i zewnętrznej. W roku 2000
zespół ten rozpoczął przygotowania planu działań komunikacyjnych związanych
z planowaną restrukturyzacją w firmie.
Pierwszym
krokiem
był
właśnie
audyt
komunikacyjny,
który
został
przeprowadzony na przełomie września i października 2000 roku. Było to badanie,
które miało pomóc w poznaniu silnych i słabych stron komunikacji wewnętrznej
i nastawień pracowników (metoda ta jest często wykorzystywana przez firmy na
zachodzie Europy i w USA, natomiast w Polsce stosuje ją niewiele firm). Przed
przeprowadzeniem audytu odbyło się szkolenie wszystkich dyrektorów oddziałów
banku na temat znaczenia komunikacji wewnętrznej w mających nastąpić zmianach.
W badaniu wykorzystano dwa narzędzia. W pierwszym etapie przeprowadzono 61
wywiadów z pracownikami różnych szczebli. Otrzymany materiał posłużył do
przygotowania ankiety, którą objęto 2235 pracowników, w tym wszystkich w centrali
i wybranych pracowników w co piątym oddziale banku. Ankiety były anonimowe, ich
dystrybucję
53
i
zbieranie
przeprowadzali
wybrani
pracownicy
poszczególnych
www.opoka.org.pl
43
departamentów. Ankiety wypełniło w sumie 1400 osób, czyli 62,2 % badanych. Audyt
pokazał zróżnicowanie opinii: 63 % deklarowało zadowolenie z pracy, 8 % niezadowolenie. Ponadto w czasie badań okazało się, że w przypadku zmian
zachodzących w firmie pracownicy oczekują otrzymywania coraz więcej informacji.
Na ogół potrzeby te trudno zaspokoić, ludzie czują się niedoinformowani, szerzą się
plotki – właśnie na te zjawiska wskazali pracownicy BPH, którzy od swoich
bezpośrednich przełożonych oczekiwali informacji na temat celów i przyszłości
swoich departamentów i oddziałów.
Wyniki ankiety zostały przedstawione zarządowi banku, który pod ich
wpływem
podjął
decyzje
dotyczącą
potrzeby
przeprowadzenia
działań
doskonalących komunikację. W grudniu firma zorganizowała warsztaty dla
wszystkich dyrektorów na temat komunikowania zmian pracownikom. Dyrektorzy
otrzymali
wyniki
audytu
w
formie
prezentacji,
ponadto
we
współpracy
z departamentem zarządzania zasobami ludzkimi zostały zorganizowane warsztaty
dla dyrektorów, którzy dzięki temu mieli możliwość praktycznego przećwiczenia
trudnych
i
rozmów
szczegółowo
z
pracownikami.
omawiane
były
Inscenizowane,
scenki,
w
których
nagrywane
przełożony
na
wideo
przekazywał
pracownikowi negatywną informację. Ponadto z wynikami audytu zostali zapoznani
także wszyscy pracownicy banku na łamach specjalnego wydania wewnętrznego
biuletyny BPH.
Audyt komunikacyjny w Banku Przemysłowo-Handlowym potwierdził, iż
należy wzmocnić rolę kierowników w komunikacji wewnętrznej. Wcześniej główną
rolę przekaźnika informacji pełnił firmowy biuletyn składający się z kilkudziesięciu
stron informacji o firmie, zawierający m.in. wywiady z członkami zarządu
o aktualnych wydarzeniach, teksty edukacyjne itp. Audyt komunikacyjny wskazał
konieczność rozwoju nowych narzędzi komunikacji wewnętrznej, na potrzeby
pracowników powstał inny biuletyn, który wysyłany jest do elektronicznych skrzynek
departamentów, a stąd rozsyłany jest do skrzynek pracowników oraz wywieszany
jest na tablicy ogłoszeń. Informacje rozsyłane są dzień wcześniej do menedżerów,
dzięki czemu otrzymują oni je przed podwładnymi oraz mają możliwość przekazania
ich pracownikom. Następnie informacja zostaje rozesłana do pracowników, którzy
powinni już zostać poinformowani o nadchodzących zmianach przez swoich
przełożonych. Jeśli informacja nie dotarła do pracowników od ich bezpośrednich
zwierzchników, to świadczy to o nie wykorzystaniu przez przełożonych możliwości
wzmocnienia swojego autorytetu. Ponadto działania te miały dać pracownikom
poczucie, że nikt nie ukrywa przed nimi informacji, a firma dba o to, by na bieżąco
byli zorientowani w działaniach dyrekcji, co w przypadku restrukturyzacji było bardzo
44
ważne. Pracownicy regularnie otrzymywali wiedzę o związanych z firmą planach,
negocjacjach ze związkami zawodowymi, działaniach wobec osób zwalnianych.54
2.8. AUDYT MARKETINGOWY
W
wyniku
przekształceń
ustrojowych
i
przemian
gospodarczych
zachodzących w Polsce w latach 90-tych, wiele firm utworzyło działy marketingu
i sprzedaży. W wyniku rozwoju tych działów zmieniały się ich obowiązki oraz rola
w firmie. Dla usystematyzowania podejmowanych działań, istniejącej wiedzy
rynkowej oraz roli działu marketingu w firmach niezbędny stał się audyt
marketingowy. Audyt ten jest przeglądem istniejącej organizacji i sposobu realizacji
funkcji marketingowej firmy. Jego celem jest ocena:55
-
misji, celów i strategii marketingowej firmy,
-
sprawności organizacji służb marketingu i sprzedaży,
-
istniejących
systemów
marketingowych
(planowania,
kontroli,
informacji
marketingowej, rozwoju produktów),
-
efektywności realizowanych działań marketingowych,
-
realizacji funkcji marketingowych firmy,
-
identyfikacja trudności i szans rozwojowych oraz sformułowanie planów
mających na celu poprawę marketingu przedsiębiorstwa.
Audyt marketingowy stanowi podstawowe narzędzie służące do oceny
stanu funkcjonowania przedsiębiorstwa, jest podstawą w budowaniu przez zarząd
firmy strategii marketingowej oraz w wyborze najwłaściwszego kierunku w procesie
ewentualnej restrukturyzacji. W ramach audytu marketingowego wyróżnić można
następujące rodzaje badań:56
-
makrośrodowiska (demograficzne, ekonomiczne, ekologiczne, technologiczne);
-
środowiska, w którym prowadzona jest działalność (rynki, klienci, konkurenci,
dystrybucja i dealerzy, dostawcy, usługodawcy, społeczeństwo);
-
audyt strategii marketingowej (misja biznesu, cele i zadania marketingu,
strategia);
54
opracowano na podstawie materiałów wewnętrznych Banku Przemysłowo-Handlowego oraz na
podstawie artykułu autorstwa W. Staruchowicza Rzeczpospolita z 1sierpnia 2001 r.
55
www.doradca.com
56
www.sandner.com.pl
45
-
audyt organizacji marketingu (struktura formalna, efektywność funkcjonalna,
efektywność współpracy działu marketingu z innymi działami firmy);
-
audyt
systemów
marketingu
(system
informacji
marketingowej,
systemy
planowania marketingowego, system kontroli marketingu, system rozwoju
nowego produktu);
-
audyt produktywności marketingu (analiza rentowności, analiza efektywności);
-
audyt funkcji marketingu (produkty, cena, dystrybucja, reklama i promocja
sprzedaży, personel sprzedaży, internetowe strony www);
-
wspomaganie w wyborze systemu do wspomagania procesu sprzedaży CRM
(Customer Relationship Management);
-
audyt informatyczny w zakresie wyboru systemu do wspomagania zarządzania
przedsiębiorstwem.
Audyt marketingowy obejmuje ponadto źródła i nośniki informacji, procedury
pozyskiwania, przetwarzania i analizowania danych oraz rozwiązania organizacyjne
sytuujące ją w strukturze zarządzania firmą. Generowane informacje stanowią
podstawę do badania dotychczasowych kierunków działań, zmian zachodzących
w przedsiębiorstwie i jego otoczeniu, analizy silnych i słabych stron firmy oraz
osiągniętych wyników, jak również przyczyniają się do ulepszania zarządzania
marketingowego, a co za tym idzie przyczyniają się do ulepszania zarządzania całym
przedsiębiorstwem.
Korzyści z audytu marketingowego dla przedsiębiorstwa mogą okazać się
bardzo ważne, gdyż audyt ten może np. zidentyfikować nowe potencjalne dziedziny
biznesu, zasugerować nowy rodzaj usług dla klientów, ujawnić luki w kompetencjach
technicznych i szkoleniach pracowników, poczynić wiele praktycznych sugestii,
a także może służyć jako pierwszy krok na drodze do analizy ogólnej strategii firmy
i systematycznego zastosowania zarządzania strategicznego.
2.9. AUDYT LOGISTYCZNY
W czasach zahamowania rozwoju gospodarczego, spadku sprzedaży
praktycznie we wszystkich branżach firmy zmuszone są do szukania oszczędności
i
ograniczenia
kosztów,
są
okazją
do
zrewidowania
i
raportowania
i zoptymalizowania procesów biznesowych. Z uwagi na znaczny udział w kosztach
operacyjnych i wpływ na efektywność przedsiębiorstwa procesy logistyczne mają tu
kluczowe znaczenie.
46
Logistykę przedsiębiorstwa należy rozpatrywać w kilku aspektach, które
brane są pod uwagę podczas przeprowadzania audytu:57
-
jakość – wartościowanie jakościowe całego łańcucha dostaw: od zaopatrzenia,
planowania produkcji, składowania po dystrybucję, przeanalizowanie wskaźników
i przyczyn błędów, kompletności dostaw, wielkości zapasów;
-
technika – ocena przydatności i dyspozycyjności posiadanych instalacji,
ergonomii stanowisk pracy I zachowania norm bezpieczeństwa;
-
procesy – ocena wydajności procesów, analiza przepływu dóbr pod względem
zamówień, klientów lub grup produktów, czasy poszczególnych operacji, ilość
personelu, koszty logistyczne;
-
powierzchnie
–
optymalne
wykorzystanie
powierzchni
produkcyjnych
i logistycznych jest kluczem do uniknięcia zbędnych kosztów lub dodatkowych
nakładów inwestycyjnych. Audytor dysponując bazą wielkości porównawczych
wykazuje nieefektywne wykorzystanie powierzchni i określa możliwości poprawy
uzyskując tą drogą potencjały oszczędności;
-
informatyka – system informatyczny powinien w maksymalnym stopniu
eliminować czynności ręcznego wprowadzania danych, kontrolowania stanów
i wysyłki. Podczas audytu bada się architekturę systemu włącznie z komunikacją
z klientami, sterowaniem procesami przyjęcia, składowania, kompletacji i wysyłki,
tzn. zarządzaniem magazynem. Audytor koncentruje się na bezpieczeństwie
funkcyjnym połączeń i protokołów oraz ewentualnych ograniczeniach dla logistyki
wynikających z błędów lub braku określonych funkcji systemu informatycznego;
-
czynniki zewnętrzne – wymagania klientów, struktura, wielkość i ilość zamówień,
warunki transportu, techniki produkcji, opakowań itp. Podlegają ciągłym zmianom
mającym wpływ na logistykę przedsiębiorstwa. W ramach audytu precyzuje się
wskaźniki zewnętrzne, takie jak struktura zamówień, parametry artykułów, czasy
dostaw, poziom obsługi rynku (czas od zamówienia do dostawy do klienta) oraz
określa się stopień spełnienia wymagań klientów I możliwości jego poprawy.
Kompleksowy audyt systemu logistycznego przedsiębiorstwa zwykle polega
na przeprowadzeniu następujących czynności:58
-
identyfikacja i ocena stanu istniejącego,
-
określenie przyczyn nieprawidłowości,
-
wskazanie zmian poprawiających funkcjonowanie systemu logistycznego,
-
określenie sposobu i kolejności wdrażanych zmian.
57
www.logistykafirm.com
47
W załączniku nr 3 przedstawiono przykład opracowania audytu systemu
logistycznego dla firmy X.
Celem audytu jest dostarczenie zarządowi przedsiębiorstwa podstaw do
podejmowania decyzji strategicznych w zakresie zarządzania procesami przepływów
logistycznych. Najczęściej największy nacisk położony jest na przepływ informacji
towarzyszący
przepływom
od
zaopatrzenia,
poprzez
produkcję
i
procesy
magazynowe obejmujące: przyjęcie, składowanie i kompletację towarów, aż po ich
dystrybucję do ostatecznego odbiorcy. Korzyści z przeprowadzenia audytu
logistycznego są bardzo duże. Po pierwsze usprawnienie logistyki skutkuje
obniżeniem jej kosztów i poprawą jej jakości. W wielu firmach koszty logistyczne nie
są odrębnie monitorowane i dopiero audyt logistyczny wykazuje możliwy potencjał
oszczędności w tym zakresie.
58
www.wandalex.pl
48
PODSUMOWANIE
Audyt wewnętrzny w przepisach ustawy o finansach publicznych został
określony jako ogół działań, przez które kierownik jednostki uzyskuje obiektywną
i niezależną ocenę funkcjonowania jednostki w zakresie gospodarki finansowej pod
względem legalności, gospodarności, celowości, rzetelności, a także przejrzystości
i jawności. Stosowanie powyższych mierników, służących jako kryteria oceny
gospodarki finansowej jednostki sektora finansów publicznych wymaga pogłębionej
analizy w odniesieniu do celów i działań audytu wewnętrznego. Audytorzy
wewnętrzni, badając kolejno poszczególne wskaźniki w obszarach obarczonych
najwyższym ryzykiem, poszukują odpowiedzi na pytania, czy podjęte działania nie
naruszały obowiązujących przepisów prawa, spełniały określone kryteria kosztów,
były uzasadnione i potrzebne, zadania i działania nie były fikcyjne, tzn, że
poszczególne
operacje
wystąpiły
w
rzeczywistości,
zostały
poprawnie
udokumentowane i poddane określonym procedurom formalnym.
Instytucja audytu istnieje od XIX wieku. Początkowo audyt miał jedynie
charakter zewnętrzny, jednak wraz z rozwojem ekonomicznym podmiotów
działających na rynku – wzrostem organizacji, ich rosnącym skomplikowaniem,
a także specjalizacją technologiczną operacji, zrodziła się konieczność stworzenia
audytu wewnętrznego. Powstanie pierwszych komórek audytu wewnętrznego
odnotowuje się po II wojnie światowej. Pierwotnie audyt wewnętrzny koncentrował
się na sprawach związanych z finansami i księgowością, dopiero później zaczął
obejmować całość zagadnień związanych z funkcjonowaniem organizacji świadcząc
usługi zapewniające oraz doradcze. Wynikało to głównie z potrzeby dokonywania
w miarę obiektywnej oceny systemu zarządzania ryzykiem, kontroli i procesów
nadzoru.59
Audyt
wewnętrzny
był
początkowo
powoływany
w
podmiotach
prywatnych, z czasem jednak zaczął pojawiać się w ramach organizacji administracji
publicznej, dla przykładu, w Komisji Europejskiej audyt wewnętrzny pojawił się na
skutek zmian i reformy istniejących struktur kontroli wewnętrznej. Wyodrębniona rola
audytu wewnętrznego została usankcjonowana w 2001 roku.60 Zgodnie z art. 85 i 86
rozporządzenia „każda z instytucji Unii Europejskiej ma ustanowić funkcję audytu
wewnętrznego,
która
musi
być
wykonywana
zgodnie
z
właściwymi
międzynarodowymi standardami. Zadaniem audytora wewnętrznego jest wspieranie
instytucji w zakresie zarządzania ryzykiem poprzez wydawanie niezależnej opinii
59
Praca zbiorowa “Audyt wewnętrzny – spojrzenie praktyczne” Stowarzyszenie Księgowych w Polsce
Warszawa 2003
60
Rozporządzenie Rady Unii Europejskiej nr 762/2001 z 9 kwietnia 2001 r.
49
o jakości systemów zarządzania i kontroli oraz wydawanie rekomendacji w celu
usprawnienia realizacji operacji”. Podstawową cechą wprowadzonych zmian było
wyodrębnienie funkcji audytu wewnętrznego od funkcji kontroli finansowej, w formie
dotychczas występującej w Komisji Europejskiej. Opracowania Komisji Europejskiej
na temat wzajemnych relacji pomiędzy systemem kontroli wewnętrznej a audytem
wewnętrznym
wskazują
na
przejście
z
dotychczasowego
systemu
kontroli
wewnętrznej opartej głównie na kontroli ex-ante i typowych mechanizmach kontroli
zarządczej, jak i z elementami kontroli ex-post w postaci audytu wewnętrznego.
61
Argumentem za takim kierunkiem zmian podejścia do systemu kontroli wewnętrznej
była
przede
wszystkim
nieefektywność
dotychczasowego
systemu.
Kwestią
o zasadniczym znaczeniu dla skuteczności funkcjonowania kontroli wewnętrznej
w Komisji Europejskiej jest wyraźny rozdział kompetencji pomiędzy komórki kontroli
wewnętrznej działające w dyrekcjach generalnych a Urząd Audytu Wewnętrznego.
Wyraźnie silniejszą pozycję ma Urząd Audytu Wewnętrznego, który ma kontrolować
jakość systemów kontroli wewnętrznej w dyrekcjach generalnych.62
Wprowadzenie idei audytu środków publicznych w państwach członkowskich
przyniosło wymierne korzyści, polegające między innymi na zmniejszeniu możliwości
dokonywania finansowych manipulacji tymi środkami. Nie istnieje jeden model
audytu, który miałby obowiązywać państwa członkowskie. Tym niemniej, można
zauważyć dwa zasadnicze modele: północy i południowy. W modelu południowym
audyt wewnętrzny utożsamiany jest z kontrolą. Przykładowo we Francji nie istnieje
typowy system audytu wewnętrznego. W większości instytucji dokonywane są
inspekcje lub prowadzona jest stała kontrola finansowa przeprowadzonych operacji
przez tzw. weryfikatorów. Model północny audytu Wewnętrznego bardziej odpowiada
międzynarodowym standardom audytu wewnętrznego. Obowiązuje on np. w takich
krajach jak Wielka Brytania czy Niemcy. Audyt wewnętrzny zajmuje się tam w istocie
oceną systemów, a nie transakcji, dokonując analizy możliwych usprawnień
w istniejącym systemie kontroli na potrzeby kierownictwa.63 W załączniku nr 4
przedstawiono przykładowe sposoby organizacji audytu wewnętrznego w krajach
członkowskich Unii Europejskiej. W Polsce istnieje już kilka organizacji zajmujących
się problematyką audytu wewnętrznego, między innymi Polski Instytut Kontroli
Wewnętrznej
z
siedzibą
w
Warszawie
(zrzesza
audytorów
i
kontrolerów
61
Communication to the Commission, Clarification of the responsibilities of the key factors in the domain of
internal audit and internal control in the Commission – Sec 59 z 17 stycznia 2003 r. oraz A New Framework for
Resource
Management
and
Internal
Auditing
in
the
Commission
z
22
lutego
2000 r.
62
M.Kazimierczak “Reforma systemu kontroli wewnętrznej i audytu w Komisji Europejskiej: IX Konferencja
Absolwentów KSAP, Warszawa 2002 r.
63
L.Smolak “Audyt w Unii Europejskiej” Gazeta Prawna z 3 czerwca 2003 r.
50
wewnętrznych, istnieje od 1999 r. z inicjatywy Brytyjskiego Funduszu Know-How),
Oddział Międzynarodowego Stowarzyszenia Audytu Wewnętrznego w Polsce, zwany
IIA-Polska.
Nowoczesna firma nie może funkcjonować bez sprawnie zarządzanej
komórki audytu wewnętrznego, który koncentruje się na analizie ryzyk powstających
w firmie, bowiem to właśnie rozwój praktyk zarządzania wykreował ideę audytu.
W polskiej rzeczywistości jest to jeszcze zjawisko nowe, wzbudza więc uzasadnione
zainteresowanie
szczególnie
w
środowisku
audytorów
sektora
publicznego,
wywołując wiele dyskusji na temat jego roli i miejsca. Niezwykle ważne jest więc
prawidłowe ukształtowanie zasad wykonywania tego zawodu. Polski ustawodawca
składnia się w stronę wykorzystania audytu w administracji publicznej jako narzędzia
służącego ulepszaniu organizacji, a przede wszystkim wspomaganiu w osiąganiu
przez nią celu, do jakiego została powołana. Ramy prawne stwarzają tu dużą
swobodę wyboru odpowiedniego sposobu podejścia. Otwiera to z jednej strony wiele
możliwości, ale jednocześnie stwarza też zagrożenia.
Z uwagi na fakt, iż audyt wewnętrzny nie ogranicza się wyłącznie do obszaru
finansowego, daje to możliwość spojrzenia na całość jednostki w celu poszukiwania
i eliminowania słabych jej stron. Działanie to w zasadzie służy wspomaganiu
kierownictwa całego sektora publicznego w osiągnięciu jego misji, a zwłaszcza
w uzyskiwaniu satysfakcji obywateli poprzez dostarczanie dóbr i usług o najwyższej
jakości.
W Polsce obserwujemy swoistą powściągliwość w tempie wprowadzania
audytu, co ma również swoje źródło w niepełnym zrozumieniu jego istoty. Jedynie
nieliczne jednostki sektora publicznego mają gotowy pomysł na wdrożenie nowego
stanowiska czy komórki organizacyjnej, co spowodowane jest głównie tym, że
jednostki te mają swoje określone warunki działania. Nie należy jednak w tym
wszystkim zapominać o służbie społeczeństwu, a takie funkcje wspomagające ma
pełnić właśnie audyt wewnętrzny.64
64
J. Filipiuk, G. Gołębiowski “Audytor to nie wróg” Gazeta Prawna z 20 listopada 2002 r.
51
BIBLIOGRAFIA
1. A New Framework for Resource Management and Internal Auditing in the
Commission” z dnia 22 lutego 2000 r.
2. Cole G.A. „Personnel Management” Letts Educational Aldine Place Londyn
1997 r.
3. Communication to the Commisssion, Clarification of the responsibilities of the key
factors in the domain of internal audit and internal control in the Commisision –
sec. 59 z dnia 17 stycznia 2002 r,
4. Czerwiński Krzysztof „Audyt Wewnętrzny – wydanie II” InfoAudit Sp. z o.o.
Warszawa 2005
5. Czerwiński Krzysztof, Henryk Grocholski „Podstawy Audytu Wewnętrznego” Link
Szczecin 2000 r.
6. Filipiuk Jolanta, Gołębiowski Grzegorz „Audytor to nie wróg” Gazeta Prawna
z dnia 20 listopada 2002 r.
7. Gazeta Prawna z 23.06.2004 r.
8. Gołębiowski
Grzegorz
„Audyt
wewnętrzny
w
administracji
publicznej
–
kontrowersje wobec jego roli” Kontrola Państwowa nr 5/2003 r.
9. Kazimierczak M. „Reforma systemu kontroli wewnętrznej i audytu w Komisji
Europejskiej” IX Konferencja Absolwentów KSAP Warszawa 2002 r.
10. materiały wewnętrzne Banku Przemysłowo-Handlowego
11. Praca zbiorowa „Audyt wewnętrzny – spojrzenie praktyczne” Stowarzyszenie
Księgowych w Polsce Warszawa 2003 r.
12. Rozporządzenie Ministra Finansów z 5 lipca 2002 r. w sprawie szczegółowego
sposobu i trybu przeprowadzania audytu wewnętrznego Dz. U. nr 111 poz. 973
13. Rozporządzenie Ministra Finansów z 20 grudnia 2002 r. w sprawie określenia
kwot przychodów oraz wydatków środków publicznych dokonywanych w ciągu
roku kalendarzowego, których przekroczenie powoduje obowiązek prowadzenia
audytu wewnętrznego w jednostkach sektora finansów publicznych Dz. U. nr 234
poz. 1970
14. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca
1998
i
r.
w
sprawie
organizacyjnych,
określenia
jakim
podstawowych
powinny
odpowiadać
warunków
urządzenia
technicznych
i
systemy
informatyczne
15. Rozporządzenie Rady Unii Europejskiej nr 762/2001 z 9 kwietnia 2001 r.
52
16. Saunders Edmund „Audyt I kontrola wewnętrzna w przedsiębiorstwie” Educator
Akademia Polonijna w Częstochowie Częstochowa 2002 r.
17. Sekuła M. „Jaka jest różnica między audytem a kontrolą” Gazeta Prawna z 23
czerwca 2004 r.
18. Smolak Leszek. „Audyt w Unii Europejskiej” Gazeta Prawna z dnia 3 czerwca
2003 r.
19. Smolak Leszek „Kontrola I audyt w administracji publicznej – stan I perspektywy”
materiały z konferencji odbywającej się w dniach 3-4 czerwca 2004 r.
organizowanej przez MSWiA
20. Standards for the Professional Practice of Internal Auditing The Institute of
Internal Auditors 2001 r.
21. Ustawa o finansach publicznych z 26 listopada 1998 r. Dz. U. z 2003 r nr 15 poz.
148 + późniejsze zmiany
22. Ustawa z dnia 29 września 1994 r. o rachunkowości Dz. U. z 2002 r. nr 76 poz.
694 + późniejsze zmiany
23. Wielka Encyklopedia PWN tom 2 Warszawa 2001 r.
24. www.audyt.ngo.pl
25. www.audytoprogramowania.pl
26. www.bdi.com.pl
27. www.cezar.waw.pl
28. www.ckzeto.com.pl
29. www.dcs.pl
30. www.doradca,com
31. www.edusoft.pl
32. www.ensi.net.pl
33. www.exegroup.pl
34. www.frso.pl
35. www.hric.pl
36. www.hrk.pl
37. www.infovide.pl
38. www.inwenta.pl
39. www.it-scs.com.pl
40. www.kadry.info.pl
41. www.logistykafirm.com
42. www.mf.gov.pl
43. www.nbp.pl
44. www.nik.gov.pl
53
45. www.opoka.org.pl
46. www.pressence.com.pl
47. www.promedia.iap.pl
48. www.safecomp.pl
49. www.sandner.com.pl
50. www.sedlak.com.pl
51. www.wandalex.pl
54
SPIS RYSUNKÓW
1. Przykładowy schemat organizacyjny Zespołu Audytu Wewnętrznego – str. 10
2. Cykl utrzymania bezpieczeństwa – str. 27
55
ZAŁĄCZNIKI
56
ZAŁĄCZNIK NR 1
PROGRAM BADANIA BEZPIECZEŃSTWA INFORMATYCZNEGO
(PLAN PRZEPROWADZANIA TESTÓW PENETRACYJNYCH)
1. Etap przygotowawczy – na tym etapie powstaje wstępny harmonogram
zawierający zakres prac:
•
przygotowanie i analiza dokumentacji,
•
wstępne testy penetracyjne zasobów (serwery oraz transmisja danych),
skanowanie sieci
•
szczegółowe skanowanie systemów,
•
przygotowanie raportu z wykonanych testów.
2. Uzyskanie dostępu do dokumentacji systemu oraz zapoznanie się z testowanym
systemem – na tym etapie zostają również zidentyfikowane istniejące ryzyka,
mechanizmy je ograniczające oraz następuje określenie narzędzi niezbędnych
do przeprowadzenia skanowania. Dostarczona dokumentacja powinna zawierać:
•
protokoły oraz procedury instalacyjne poszczególnych serwerów,
•
adresacja IP i schemat komunikacji sieciowej w systemie – przepływ danych,
•
informację dotyczącą otwartych portów TCP/UDP z informacją o procesach
nasłuchujących,
•
konfiguracja istotnych procesów i parametrów systemu,
•
reguły programowe urządzeń filtrujących.
3. Testy penetracyjne środowiska – (wewnętrzne i zewnętrzne) proces ten ma na
celu inwentaryzację systemów i aplikacji widocznych z sieci zewnętrznej
i
wewnętrznej,
oraz
identyfikację
zasobów
systemu.
W
skład
testów
penetracyjnych wchodzi:
•
Rekonesans sieci:
badanie odpowiedzi DNS,
badanie sieci metodami typu traceroute,
poszukiwanie wycieków w architekturze sieci (np. źródła serwisów WWW
i w nagłówkach e-mail),
bierny podsłuch i analiza ruchu sieciowego.
•
Skanowanie sieci:
badanie ścieżki dostępu do atakowanego obiektu (traceroute, pakiety
ICMP, inne),
próby obejścia zapory firewall,
57
odnalezienie aktywnych systemów,
skanowanie w poszukiwaniu otwartych portów.
•
Identyfikacja usług:
identyfikacja wg numeru portu,
analiza nagłówków serwisu,
wykrycie i analiza potencjalnie niebezpiecznych serwisów (np. ftp, telnet),
wykrycie i analiza zbędnych komponentów serwisów.
•
Identyfikacja systemów:
stack fingerprinting,
passive fingerprinting,
wyciągnięcie wniosków z rezultatów identyfikowanych usług.
•
Badania
zidentyfikowanych
uprzednio
ryzyk
oraz
wykrywanie
potencjalnych nowych zagrożeń i ich weryfikacja:
weryfikacja zaimplementowanych metod kontroli przepływu danych oraz
ochrony serwerów,
zidentyfikowanie
potencjalnych
możliwości
eskalacji
przywilejów,
pozyskania danych oraz ataków Dos,
próby wykorzystania potencjalnie niebezpiecznych konfiguracji usług,
analiza bezpieczeństwa skanerami automatycznymi.
4. Skanowanie serwerów – proces ten ma na celu wykrycie luk i podatności
związanych z działaniem aplikacji internetowych, serwerów MYSQL, i innych
usług, oraz uzyskanie nieautoryzowanego dostępu, identyfikację systemu w
szczególności identyfikacja usług I uruchomionych aplikacji co prowadzi do
wykrycia w nich luk lub też oczekiwanie na wykrycie podatności. W trakcie testów
serwera przeprowadzane są ataki typu:
•
Denial of Service,
•
Man-In-The-Middle,
•
Cross Site Scripting,
•
SQL Injection,
•
i inne.
5. Analiza wyników – ma na celu zebranie informacji, analizę wykonanych
czynności audytorskich oraz określenie rekomendacji i przygotowanie raportu z
badania.
•
Zebrany raport zawiera:
całościowa ocena bezpieczeństwa informatycznego,
analiza ryzyka związanego z bezpieczeństwem oraz wykrytymi lukami,
58
rekomendacje i zalecenia służące zwiększeniu bezpieczeństwa,
wnioski i wytyczne do wykorzystania podczas kolejnych testów.65
65
www.exegroup.pl
59
ZAŁĄCZNIK NR 2
PRZYKŁADY OPINII66
A. PRZYKŁAD OPINII BEZ ZASTRZEŻEŃ
I.
Dla …………. (nazwa adresata opinii) …………….
II.
Przeprowadziliśmy badanie sprawozdania finansowego …………… (nazwa
badanej jednostki) ……………., na które składa się:
bilans sporządzony na dzień ………………., który po stronie aktywów i
pasywów wykazuje sumę ………….. zł,
rachunek zysków i strat za rok obrotowy ………….
(za okres od do) ………….. wykazujący zysk/stratę netto ………….. zł,
informacja dodatkowa,
sprawozdanie z przepływu środków pieniężnych, wykazujące zmianę stanu
środków pieniężnych netto w ciągu roku obrotowego …………. na sumę
………….. zł.
III.
Badanie to przeprowadziliśmy stosownie do postanowień :
rozdziału 7 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. Nr
121, poz. 591),
norma wykonywania zawodu biegłego rewidenta, wydanych przez Krajową
Radę Biegłych Rewidentów …………….
IV.
Naszym zdaniem, załączone sprawozdanie finansowe sporządzone zostało,
we wszystkich istotnych aspektach, zgodnie z określonymi u powołanej wyżej
ustawie zasadami rachunkowości, stosowanymi w sposób ciągły, na
podstawie prawidłowo prowadzonych ksiąg rachunkowych. Jest ono zgodne
co do formy i treści z obowiązującymi przepisami prawa i statutem (umową)
jednostki i przedstawia rzetelnie i jasno wszystkie informacje istotne dla
oceny rentowności oraz wyniku finansowego działalności gospodarczej za
okres od …………… do ……………, jak też sytuacji majątkowej i finansowej
badanej jednostki na dzień ……………. Informacje zawarte w sprawozdaniu z
działalności są zgodne z informacjami zawartymi w zbadanym sprawozdaniu
finansowym.
V.
Imię
i
nazwisko,
nr
ewidencyjny
oraz
podpis
biegłego
rewidenta
przeprowadzającego badanie sprawozdania finansowego lub kierującego
badaniem.
66
www.audyt.ngo.pl
60
Imiona, nazwiska i podpisy osób reprezentujących podmiot uprawniony, który
zawarł umowę o badanie
VI.
Siedziba podmiotu uprawnionego i data
Pieczęć podmiotowa uprawnionego z adresem
B. PRZYKŁAD
KLAUZULI
ZAWIERAJĄCEJ
OBJAŚNIENIE,
JEDNAK
BEZ
ZGŁASZANIA ZASTRZEŻEŃ
I.
II.
………….. zł.
III.
121, poz. 591),
IV.
badanej jednostki na dzień ……………. Informacje zawarte w sprawozdaniu z
działalności są zgodne z informacjami zawartymi w zbadanym sprawozdaniu
finansowym.
IVa.
Nie zgłaszając zastrzeżeń do prawidłowości i rzetelności zbadanego
sprawozdania finansowego zwracamy uwagę, że przeciwko jednostce toczy się
proces o rzekome naruszenie praw do znaku towarowego. Jednostka odrzuciła to
61
oskarżenie, a sprawa jest w toku. Obecnie nie da się określić ostatecznego rezultatu
sprawy,
stąd
w
sprawozdaniu
zabezpieczenia
bądź
finansowym
nie
można
wykazać
zobowiązania
żadnego
wynikającego
z rozstrzygnięcia sprawy.
V.
Imię
i
nazwisko,
nr
ewidencyjny
oraz
podpis
biegłego
rewidenta
badaniem.
VI.
C. PRZYKŁADY OPINII Z ZASTRZEŻENIAMI
I.
II.
bilans sporządzony na dzień ………………., który po stronie aktywów
i pasywów wykazuje sumę ………….. zł,
………….. zł.
III.
121, poz. 591),
IV.
62
badanej jednostki na dzień ……………. Informacje zawarte w sprawozdaniu
z
działalności
są
zgodne
z
informacjami
zawartymi
w
zbadanym
sprawozdaniu finansowym.
IVa.
Nie obserwowaliśmy jednak spisu z natury produkcji nie zakończonej,
ponieważ umowa o badanie sprawozdania finansowego jednostki została
zawarta po terminie spisu. Sposób prowadzenia ksiąg rachunkowych nie
pozwala zaś na stwierdzenie wielkości stanu produkcji nie zakończonej na
ostatni dzień roku za pomocą innych procedur aniżeli spis z natury. Naszym
zdaniem, po uwzględnieniu skutków ewentualnych korekt stanu produkcji nie
zakończonej (stanowi ona ……….% zapasów) i wyniku działalności
gospodarczej, które mogłyby być konieczne, aby być pewnym, że stan ten
został poprawnie wykazany na koniec roku obrotowego.
V.
Imię
i
nazwisko,
nr
ewidencyjny
oraz
podpis
biegłego
rewidenta
badaniem.
VI.
D. PRZYKŁADY OPINII NEGATYWNEJ
I.
II.
………….. zł.
III.
121, poz. 591),
63
IV.
Waga i skutki stwierdzonych w toku badania uchybień, polegających na
nieprawidłowościach inwentaryzacji zapasów, które stanowią ……………… %
sumy bilansowej, oraz niekompletnym ujęciu kosztów usług obcych na ok.
…………………. zł, powodują, że w świetle przepisów:
………………………………………………………………..
………………………………………………………………..
powołanej wyżej ustawy o rachunkowości nie możemy uznać załączonego
sprawozdania
finansowego
za
zapewniające
prawidłowe
i
rzetelne
przestawienie wyniku działalności gospodarczej i rentowności za rok
obrotowy ………………….. oraz sytuacji majątkowej i finansowej badanej
jednostki na dzień ………………………
V.
Imię
i
nazwisko,
nr
ewidencyjny
oraz
podpis
biegłego
rewidenta
badaniem.
VI.
E. PRZYKŁAD ZRZECZENIA SIĘ WYRAŻENIA OPINII
I.
II.
bilans sporządzony na dzień ………………., który po stronie aktywów
i pasywów wykazuje sumę ………….. zł,
………….. zł.
III.
121, poz. 591),
IV.
Podaje się tu podstawowe wątpliwości, a dalej:
64
Uwzględniając wagę problemów omówionych wyżej i ich wpływ na
podstawowe wskaźniki charakteryzujące rentowność, wynik działalności
gospodarczej za rok obrotowy ………………. oraz sytuację majątkową
i finansową badanej jednostki na dzień ………………………….. nie możemy
wyrazić opinii o załączonym sprawozdaniu finansowym.
V.
Imię i nazwisko, nr ewidencyjny oraz podpis biegłego rewidenta
badaniem.
VI.
65
ZAŁĄCZNIK NR 3
AUDYT SYSTEMU LOGISTYCZNEGO FIRMY X
6. Określenie stanu istniejącego w systemie logistycznym firmy
6.1.
Opracowanie graficznego modelu systemu logistycznego firmy X (dostawcy,
poszczególne komórki firmy, odbiorcy) wraz o opisem;
6.2.
Zestawienie
zadań
logistycznych
obowiązujących
obecnie
dla
poszczególnych komórek firmy;
6.2.1. Identyfikacja obecnego przepływy materiałów (wejście, zapas, wyjście) ze
względu na postać, objętość, masę, ilości i czas (w postaci graficznej
z opisem);
6.2.2. Identyfikacja
programu
transportu,
magazynowania
i
komisjonowania
(kompletacji) – co? ile? Skąd? Dokąd? Kiedy? Jak? (w postaci tabelarycznej);
6.2.3. Identyfikacja danych o organizacji pracy systemu logistycznego firmy, np.
liczba zmian, kategorie pracy, współczynniki wykorzystania czasu pracy dla
poszczególnych kategorii, liczba ludzi i urządzeń itp;
6.3.
Identyfikacja uwarunkowań funkcjonalnych i przestrzennych pomieszczeń
produkcyjnych
i
magazynowych
(szerokość
korytarzy
transportowych,
długość dróg transportowych, podział pomieszczeń na strefy, możliwość
rozbudowy itp);
6.4.
Identyfikacja występujących obecnie procesów przepływu materiałów (ich
organizacja I technologia);
6.5.
Identyfikacja stosowanego obecnie w firmie systemu przepływu informacji –
model graficzny z opisem.
7. Wnioski płynące z analizy stanu istniejącego;
7.1.
Określenie parametrów i mierników do oceny stanu istniejącego systemu
logistycznego;
7.2.
Dokonanie oceny oraz wskazanie elementów systemu i relacji między nimi,
wymagających poprawy.
8. Sporządzenie
projektu
technologicznego
systemu
logistycznego
firmy
X
z uwzględnieniem wniosków z analizy stanu istniejącego – wykonuje się 3
warianty projektowe, zróżnicowane pod względem możliwości technologicznych,
nakładów lub kosztów;
8.1.
Opracowanie poprawionego graficznego modelu systemu logistycznego firmy
wraz z opisem;
8.2.
Określenie nowych zadań logistycznych dla poszczególnych komórek firmy;
66
8.2.1. Opracowanie nowego przepływu materiałów (w postaci graficznej z opisem):
8.2.2. Określenie nowego programu transportu, magazynowania I komisjonowania
(w postaci tabelarycznej);
8.2.3. Weryfikacja danych o organizacji pracy systemu logistycznego;
3.3.
Ukształtowanie
przedsiębiorstwa
procesów
przy
logistycznych
istniejących
w
poszczególnych
uwarunkowaniach
komórkach
funkcjonalnych
i
przestrzennych;
3.3.1. Komórka PRODUKCJA
-
określenie czynności związanych z przepływem materiałów na produkcji i
ustalenie ich sekwencji w postaci analitycznej lub graficznej;
-
wyznaczenie
potrzebnych
przestrzeni
produkcyjnych
i
buforów
międzyoperacyjnych;
3.3.2. Komórka MAGAZYN
-
określenie czynności oraz ustalenie ich sekwencji (od rampy wejściowej do
rampy wyjściowej) ze szczególnym uwzględnieniem procesu kompletacji (model
graficzny procesów przepływu materiałów);
-
wyznaczenie stref przyjęcia, składowania, kompletacji i wydania;
-
określenie użytych środków transportu, wyposażenia magazynowego i urządzeń
pomocniczych a także wskazanie sposobu ich pracy (np. ustawienie regałów);
3.3.3. Komórka TRANSPORT
-
określenie
optymalnych
w
sensie
technologicznym
środków
transportu
wewnętrznego I zewnętrznego;
-
dokonanie optymalizacji tras i oceny efektywności transportu samochodowego;
3.4. Sporządzenie zapytania ofertowego do dostawców urządzeń i środków
transportu;
3.5. Wybór najbardziej odpowiednich urządzeń i środków transportu;
3.6. Zwymiarowanie procesów przepływu materiałów w systemie logistycznym
(poszczególnych komórkach przedsiębiorstwa) ze względu na:
-
potrzebną liczbę urządzeń I środków transportu;
-
potrzebną liczbę pracowników;
-
szacunkowe nakłady (tzw. „ślepy” kosztorys);
-
szacunkowe roczne koszty eksploatacyjne realizacji procesów magazynowych
(w przypadku kosztów utrzymania wyposażenia magazynowego będą to koszty
przybliżone, w przypadku kosztów pracy ludzkiej będą to dokładne wartości
liczbowe);
3.7. Obliczenie wskaźników użytkowych i kosztowych (w tym tzw. Wskaźnika
przejścia jednostki ładunkowej przez magazyn) stanowiących kryteria oceny
67
kompleksowej wariantów projektowych;
3.8 Dokonanie oceny kompleksowej wariantów projektowych, wybór wariantu
optymalnego;
3.9. Opracowanie dla wybranego wariantu procedur kontroli wewnętrznej i zasad
stosowania odpowiedzialności testu;
3.10. Sporządzenie dla wybranego wariantu projektu przepływu informacji w postaci
zbliżone do algorytmu komputerowego umożliwiającej jego implementację jako
programu komputerowego;
4. Określenie sposobu i kolejności wdrażania zmian, zaproponowanych w wybranym
do realizacji wariancie projektowym
4.1 Wyznaczenie krytycznych momentów w procesie wdrażania
4.2. Opracowanie harmonogramu wdrożenia wybranego wariantu projektu.67
67
www.wandalex.pl
68
ZAŁĄCZNIK NR 4
AUDYT W UNII EUROPEJSKIEJ68
FRANCJA
Francuski system kontroli tworzą cztery inspekcje: Generalna Inspekcja
Finansów,
Generalna
Inspekcja
Administracji,
Generalna
Inspekcja
Spraw
Społecznych i Generalna Inspekcja przy Prezesie Rady Ministrów. Generalna
Inspekcja Administracji realizuje np. 7 misji, jednak tylko w jednostkach samorządu
na wniosek radnych przeprowadza się tzw. Audyt strukturalny polegający na analizie
finansowej I organizacyjnej badanego podmiotu. Wszystkie inne misje zbliżone są
w trybie postępowania do kontroli przeprowadzanych w Polsce. Pewnym
charakterystycznym rodzajem misji są tzw. analizy całościowe poświęcone
problemom
występującym
na
terenie
kilku
jednostek
organizacyjnych,
np.
w przypadku budowy dróg czy stacji narciarskich. W innych misjach, np.
problemowych, czynności kieruje się na działania wspólne kilku inspekcji. Końcowym
efektem tej misji jest kompleksowa propozycja dotycząca kompetencji kilku
ministrów.
PORTUGALIA
Kontrola portugalska stanowi praktycznie kopię systemu kontroli francuskiej.
Krajowy System Kontroli Wewnętrznej Administracji Państwowej został uchwalony
przez parlament portugalski w 1998 r. System stanowią 3 inspekcje tworzące
kontrolę strategiczną, sektorową i operacyjną. Najskuteczniejszym elementem tego
systemu jest kontrola strategiczna, którą w sensie wykonawczym prowadzą:
Generalna Inspekcja Finansowa – odpowiedzialna za kontrolę wszystkich wydatków
i dochodów państwa, Generalna Dyrekcja Budżetowa oraz Instytut Finansowego
Zarządzania
Ubezpieczeniem
Społecznym.
Generalna
Dyrekcja
Budżetowa
kontroluje wykonanie budżetu państwa, natomiast Instytut Finansowego Zarządzania
Ubezpieczeniem Społecznym odpowiedzialny jest za kontrole budżetu ubezpieczenia
społecznego.
Drugim szczeblem kontroli wewnętrznej jest kontrola sektorowa, którą tworzy
15 inspekcji istniejących w ministerstwach. Z kolei kontrola operacyjna prowadzona
jest w ramach departamentów poszczególnych ministerstw. Procedura planowania
i przeprowadzania kontroli nie różni się znacząco od polskich uregulowań. Raport
69
pokontrolny jest dokumentem znormalizowanym i nie może przekraczać 30 – 37
stron.
WIELKA BRYTANIA
Odmiennym modelem kontroli jest audyt brytyjski. Szeroki zakres kompetencji
w dziedzinie zarządzania audytu posiada dyrektor generalny jednostki administracji.
Elementem systemu hierarchicznego są dyspozycje dotyczące opracowywania
i
przekazywania
standardów
przez
Ministerstwo
Skarbu.
Kwantyfikatorem
postępowania jest tradycja i doświadczenie audytorów (audytor brytyjski musi
posiadać świadectwo rządowego audytora wewnętrznego określające minimalny
poziom umiejętności, wiedzy i doświadczenia koniecznych do wykonywania
obowiązków). Audytor brytyjski powinien przede wszystkim wpływać na usprawnienie
pracy, na jej doskonalenie i korekcję postaw pracowniczych, natomiast dalszym
etapem postępowania jest oddziaływanie na urzędnika przez przełożonego.
W standardach opracowanych przez Instytut Administracji Publicznej wskazuje się,
że audytor nie może przywiązywać wagę do drobnych błędów, będących wynikiem
ludzkiej pomyłki, powinien on wykazywać zrozumienie dla problemów, z którymi
borykają się pracownicy audytowanych komórek, powinien także zwracać uwagę na
słabości
systemu
wskazywane
przez
pracowników
oraz
omawiać
błędy
i niesprawności z pracownikami przez opisaniem ich w raporcie.
IRLANDIA
Audyt irlandzki polega na decentralizacji komórek audytu wewnętrznego oraz
odpowiedzialności za określenie szczegółowych zasad wykonywania audytu. Ten
rodzaj kontroli wewnętrznej w administracji irlandzkiej pojawił się dopiero na
początku lat 90-tych, a jego wprowadzenie podyktowane było koniecznością
usprawnienia pracy administracji państwowej, a przede wszystkim było implikacją
wymogów stawianych przez Wspólnoty Europejskie. Dotyczą one zwłaszcza kontroli
nad wydatkowaniem środków pochodzących z Funduszy Strukturalnych i Funduszu
Spójności.
W Irlandii nie ma aktów prawnych wprowadzających obowiązek audytu
wewnętrznego w administracji publicznej. Standardy w tym obszarze wyznaczają trzy
instytucje:
Ministerstwo
Finansów,
Irlandzki
Oddział
Instytutu
Audytorów
Wewnętrznych oraz Instytut Administracji Publicznej. Komórki audytu działają
głównie na podstawie standardów opracowanych przez Instytut Administracji
68
L. Smolak “Kontrola i audyt w administracji publicznej – stan i perspektywy” materiały
70
Publicznej. Wytyczne te stanowią adaptację standardów obowiązujących w sektorze
prywatnym do specyfiki pracy administracji publicznej. Procedury Finansów
Publicznych Ministerstwa Finansów określają audyt wewnętrzny jako wewnętrzną
informację na temat systemu kontroli zarządczej w instytucji, mającą charakter stałej
I niezależnej oceny jego efektywności. Audyt pełni tu funkcję pomocniczą dla
kierownictwa instytucji, w szczególności dla jej dysponenta.
NIEMCY
Instytut Audytu Wewnętrznego we Frankfurcie nad Menem istnieje od 1958 r.
Pomimo tego, iż podstawowym jego zadaniem jest rozpowszechnianie informacji na
temat audytu wewnętrznego oraz wypracowywanie zasad i metod przeprowadzania
audytu, dopiero w 1998 r. rząd niemiecki rozpoczął na szerszą skalę wdrażanie
audytu wewnętrznego. Do tego czasu we wszystkich ministerstwach federalnych
funkcjonowały komórki kontroli finansowej, które miały specyficzną pozycję. Były to
jednostki
zewnętrznej
kontroli
finansowej,
podporządkowane
Federalnemu
Trybunałowi Obrachunkowemu. Jednostki te były jednak włączone w strukturę
ministerstw. Na podstawie ustawy o rozwoju federalnego i krajowego prawa
budżetowego
dokonano
zmian
w
systemie
kontroli
finansowej.
Zadania
ministerialnych jednostek kontroli finansowej przejęło od 1 stycznia 1998 r. dziewięć
federalnych
urzędów
kontroli,
podlegających
bezpośrednio
Trybunałowi
Obrachunkowemu. Urzędy te znajdują się w Berlinie, Frankfurcie nad Menem,
Hamburgu, Hanowerze, Koblencji, Kolonii, Magdeburgu, Monachium i Stuttgarcie.
W czerwcu 1998 r. rząd federalny wydał dyrektywę w sprawie zapobiegania
korupcji
w
administracji
rządowej.
Dokument
ten
zalecił
wprowadzenie
w administracji rządowej czasowo lub na stałe komórek audytu wewnętrznego.
Dyrektywa była na tyle ogólna, że dawała swobodę ministrom w zakresie
szczegółowych decyzji dotyczących utworzenia komórek audytu, zatem w każdym
ministerstwie federalnym audyt wewnętrzny został zorganizowany w inny sposób.
Zadania Komórki Audytu Wewnętrznego określono w sposób ogólny jako
kontrolowanie praworządności, bezpieczeństwa, gospodarności i celowości działań
administracji oraz wypracowanie koncepcji działań prewencyjnych. Komórka może
prowadzić audyt wewnątrz ministerstwa, a w instytucjach podporządkowanych tylko
wtedy,
gdy
jest
to
niezbędne
do
prawidłowego
przeprowadzenia
audytu
w ministerstwie. Celem audytu wewnętrznego jest wykrycie słabości, braków
i błędnych postępowań oraz zainicjowanie działań zmierzających do ich zmiany.
z konferencji odbywającej się w dniach 3-4 czerwca 2004 r. organizowanej przez MSWiA
71
Komórka Audytu Wewnętrznego ma także wspierać inne jednostki organizacyjne
ministerstwa w efektywnym wypełnianiu zadań przez przekazywanie wszelkich ocen,
zaleceń oraz informacji na temat kontrolowanych działań.
Po zakończeniu audytu jego wyniki przedstawia się kierownikowi komórki
poddanej audytowi, który ma prawo się do nich ustosunkować. Audytorzy
sporządzają protokół pokontrolny zawierający opis stwierdzonych nieprawidłowości,
zalecenia oraz opinię kierownika komórki audytowanej. Protokół podpisany przez
audytorów
i
kierownika
komórki
audytowanej
przedkłada
się
właściwemu
sekretarzowi stanu. Po upływie określonego czasu audytorzy sprawdzają, czy
komórka wprowadziła w życie wszystkie zalecania. Komórka Audytu Wewnętrznego
sporządza ponadto corocznie raport dotyczący swej działalności i przedkłada go
sekretarzowi stanu.
72

RODZAJE AUDYTU, Barbara Dmowska – Stefanowska

Transkrypt

Podobne dokumenty

katarzyna górska bednarska

audyt jednostki - Instytut Badań Edukacyjnych

Audyt oprogramowania

Szczegółowy program szkolenia