RODZAJE AUDYTU, Barbara Dmowska – Stefanowska
Transkrypt
RODZAJE AUDYTU, Barbara Dmowska – Stefanowska
Międzynarodowe Centrum Szkolenia i Doradztwa w Warszawie Instytut Organizacji i Zarządzania w Przemyśle „Orgmasz” Studium „Audyt wewnętrzny i kontrola finansowa” RODZAJE AUDYTU Barbara Dmowska - Stefanowska praca dyplomowa napisana pod kierunkiem dr Piotra Ostaszewicza Warszawa, kwiecień 2005 SPIS TREŚCI WSTĘP ……………………………………………………. 1. PODSTAWOWE POJĘCIA Z ZAKRESU AUDYTU… 1.1. DEFINICJA AUDYTU ……………………………….. 1.2. ZADANIA AUDYTU ………………………………….. 1.3. METODY PRZEPROWADZANIA AUDYTU ………. 1.4. RAPORT Z PRZEPROWADZONEGO AUDYTU … 2. CHARAKTERYSTYKA WYBRANYCH RODZAJÓW AUDYTU ………………………………………………… 2.1. AUDYT INFORMATYCZNY ………………………… 2.1.1. AUDYT LEGALNOŚCI …………………………….. 2.1.2. AUDYT OPROGRAMOWANIA …………………... 2.1.3. AUDYT SPRZĘTU …………………………………. 2.1.4. AUDYT ZABEZPIECZEŃ …………………………. 2.2. AUDYT FINANSOWY ……………………………….. 2.3. AUDYT OPERACYJNY ……………………………… 2.4. AUDYT WYNAGRODZEŃ ………………………….. 2.5. AUDYT PERSONALNY ……………………………... 2.6. AUDYT MENEDŻERSKI …………………………….. 2.7. AUDYT KOMUNIKACYJNY ………………………… 2.8. AUDYT MARKETINGOWY …………………………. 2.9. AUDYT LOGISTYCZNY …………………………….. PODSUMOWANIE ………………………………………... BIBLIOGRAFIA ……………………………………………. ZAŁĄCZNIKI ……………………………………………….. 2 1. PODSTAWOWE POJĘCIA Z ZAKRESU AUDYTU 1.1. DEFINICJA AUDYTU Słowo audyt pochodzi od łacińskiego „auditor”, czyli słuchacz, słuchający. Jak można przeczytać w Wielkiej Encyklopedii PWN, audyt (z ang. auditing) to system rewizji gospodarczej i doradztwa ekonomicznego, realizowany przez wyspecjalizowanych ekspertów. Jest on realizowany według określonych wzorców, zaleceń i standardów, polega na rewizji ksiąg rachunkowych i innych dokumentów. Jego celem jest stwierdzenie, czy dokumenty dają prawdziwy i jasny obraz sytuacji finansowej danego podmiotu gospodarczego oraz wykazanie ewentualnych niedociągnięć. Na rynku możemy spotkać wiele różnych definicji audytu. Najbardziej znaną jest definicja zaproponowana przez Instytut Audytorów Wewnętrznych (skrót IIA od angielskiej nazwy Institute of Internal Auditors). Zgodnie z tą definicją „audyt wewnętrzny jest niezależną, obiektywną działalnością o charakterze zapewniającym i doradczym, prowadzoną w celu wniesienia do organizacji wartości dodanej i usprawnienia jej funkcjonowania. Audyt wewnętrzny wspiera organizację w osiąganiu wytyczonych celów poprzez systematyczne i konsekwentne działanie służące ocenie i poprawie efektywności zarządzania ryzykiem, systemu kontroli oraz procesów zarządzania organizacją.”1 Przy realizacji zadań audytorzy powinni kierować się Standardami Profesjonalnej Praktyki Audytu Wewnętrznego, w skrócie SPPAW. Standardy te dzielą się na:2 - standardy atrybutów – ich zadaniem jest zdefiniowanie wymagań wobec audytu jako jednostki organizacyjnej oraz audytora jako reprezentanta grupy zawodowej; - standardy działania – ich zadaniem jest zdefiniowanie wymagań dotyczących sposobu realizacji zadań audytu oraz zakresu zadań; - standardy wdrożenia – przypisują one Standardy Atrybutów oraz Standardy Realizacji określonym typom działań (np. audytowi zgodności, operacyjnemu, finansowemu). 1 2 K. Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 r. jw. 3 Oprócz wyżej wymienionych standardów audytorzy mogą kierować się także innymi standardami, wśród których najpopularniejszymi są: - standardy INTOSAI, - standardy ISACA, - standard COBiT, - standard COSO, - standard COCO. Jak wiadomo, zadanie audytora polega na zapewnieniu, iż świadczona usługa zostanie przeprowadzona profesjonalnie i zgodnie ze standardami. Realizacja tego celu wymaga spełnienia następujących zasad:3 - wiarygodność, - zapewnienie wysokiej jakości świadczonych usług, - obiektywizm, - unikanie konfliktu interesów, - zachowanie bezstronności, - przestrzeganie tajemnicy zawodowej, - zachowanie należytej staranności zawodowej, - umiejętność rozwiązywania konfliktów natury etycznej, - profesjonalizm. Według innych opinii pod pojęciem audyt należy rozumieć kontrolę. Istnieją dwa rodzaje kontroli: wewnętrzna (dana firma kontrolowana jest przez własnych pracowników) oraz zewnętrzna (polega na badaniu przez osoby spoza kontrolowanej firmy). Kluczowym elementem struktury kontroli wewnętrznej jest audyt wewnętrzny. Odpowiedzialność za dostarczenie odpowiedniej i skutecznej struktury kontroli wewnętrznej spoczywa na kierownictwie jednostki. Szef każdej instytucji rządowej musi zapewnić, aby struktura kontroli wewnętrznej powstała, była poddawana przeglądowi i uaktualniana, żeby utrzymać jej skuteczność. Niezwykle ważnym elementem jest pozytywne i wspierające nastawienie ze strony menadżerów. Kierownictwo ustanawia też niezależną funkcję audytu jako kluczowy element struktury kontroli wewnętrznej. Ponadto kierownictwo powinno także ustalić cele dla funkcji audytu i nie nakładać żadnych ograniczeń na audytorów mających je osiągać. W celu zapewnienia niezależności, kierujący jednostką audytu powinien być podległy 3 www.nik.gov.pl Europejskie wytyczne dla stosowania standardów kontroli INTOSAI 4 bezpośrednio szefowi instytucji. Rolą audytorów jest z kolei audyt strategii, sposobów postępowania i procedur kontroli wewnętrznej instytucji w celu zapewnienia, by kontrola ta była odpowiednia dla zrealizowania misji instytucji. Celami audytu wewnętrznego są:4 - identyfikacja i analiza ryzyk związanych z działalnością jednostki, a w szczególności ocena efektywności zarządzania ryzykiem oraz ocena systemu kontroli wewnętrznej; - wyrażanie opinii na temat skuteczności mechanizmów kontrolnych w badanym systemie; - dostarczanie kierownikowi jednostki, w oparciu o ocenę systemu kontroli wewnętrznej, racjonalnego zapewnienia, że jednostka działa prawidłowo; - składanie sprawozdań z poczynionych ustaleń, oraz tam gdzie jest to właściwe, przedstawianie uwag i wniosków dotyczących poprawy skuteczności działania jednostki w danym obszarze. Pojęcie audytu zdefiniował także polski ustawodawca. Zgodnie z artykułem 35c ustawy o finansach publicznych audytem jest ogół działań, przez które kierownik jednostki uzyskuje obiektywną i niezależną ocenę funkcjonowania jednostki w zakresie gospodarki finansowej pod względem legalności, gospodarności, celowości, rzetelności, a także przejrzystości I jawności. Audyt ten realizowany jest na podstawie i zgodnie z zasadami określonymi w art. 35a – 35t ustawy o finansach publicznych oraz innymi przepisami dotyczącymi sposobu i trybu przeprowadzania audytu wewnętrznego. W zamyśle Ministra Finansów standardy mają być podstawą do tworzenia lub opisywania bardziej szczegółowych i precyzyjnych procedur czy zasad dobrej praktyki, które jednostki sektora finansów publicznych będą tworzyć adekwatnie do swoich potrzeb. Ponadto wprost z przepisów ustawy oraz z rozporządzenia Ministra Finansów z dnia 20 grudnia 2002 r. wynika zakres podmiotów, które mają obowiązek prowadzenia audytu wewnętrznego - są to jednostki, w których kwota przychodów środków publicznych uzyskiwanych w ciągu roku kalendarzowego oraz kwota wydatków środków publicznych dokonywanych w ciągu roku kalendarzowego przekracza 35 000 tys. zł.5 4 www.mof.gov.pl Rozporządzenie Ministra Finansów z 20 grudnia 2002 r. w sprawie określenia kwot przychodów oraz wydatków środków publicznych dokonywanych w ciągu roku kalendarzowego, których przekroczenie powoduje obowiązek prowadzenia audytu wewnętrznego w jednostkach sektora finansów publicznych Dz.U. nr 234 poz. 1970 5 5 Według polskiego ustawodawstwa audyt wewnętrzny obejmuje w szczególności:6 - badanie dowodów księgowych oraz zapisów w księgach rachunkowych; - ocenę systemu gromadzenia środków publicznych i dysponowania nimi oraz gospodarowania mieniem; - ocenę efektywności I gospodarności zarządzania finansowego. Audyt wewnętrzny, jako stosunkowo młoda koncepcja wspierania zarządzania, ciągle jeszcze nie jest w pełni rozumiany. Bardzo często przyjmuje się, że jest to unowocześnienie kontroli wewnętrznej lub kontrola zewnętrzna od wewnątrz. M. Sekuła, Prezes Najwyższej Izby Kontroli, twierdzi, że „audyt oznacza nic innego jak kontrolę”7. Wynika z tego, iż zainteresowania audytora wewnętrznego ukierunkowuje się albo w stronę kontroli wewnętrznej, co byłoby powielaniem zadań dwóch różnych form organizacyjnych albo w stronę certyfikowania sprawozdań finansowych, co z kolei jest zastępowaniem działań biegłych rewidentów. Jak łatwo wywnioskować z powyższej opinii, minie jeszcze trochę czasu zanim audyt wewnętrzny zostanie właściwie zrozumiały i znajdzie ostatecznie swoje miejsce. 1.2. ZADANIA AUDYTU W celu określenia zakresu prac audytu wewnętrznego wykorzystuje się Standardy Profesjonalnej Praktyki Audytu Wewnętrznego IIA:8 SPPAW ZARZĄDZANIE ORGANIZACJĄ Audyt wewnętrzny powinien wnieść swój wkład do procesu zarządzania poprzez ocenę oraz usprawnienia systemu za pomocą którego: - są ustalane i komunikowane cele I wartości, - monitorowane jest osiąganie celów, - zapewnia się przypisanie odpowiedzialności, - zachowywane są wartości. Audytorzy powinni dokonywać przeglądu działań operacyjnych oraz 6 Ustawa o finansach publicznych z dnia 26 listopada 1998 r. Dz.U. z 2003 r. nr 15 poz 148 + późn. zmiany 7 M. Sekuła „Jaka jest różnica między audytem a kontrolą” Gazeta Prawna z 23 czerwca 2004 r. 8 K. Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 r. 6 programów w celu zapewniania spójności z systemem wartości organizacji SPPAW CHARAKTER PRACY Audytor powinien oceniać ekspozycję na ryzyko związane z zarządzaniem organizacją, działalnością operacyjną oraz systemami IT biorąc pod uwagę: - wiarygodność I integralność informacji, - skuteczność i wydajność operacji, - zabezpieczenie aktywów, - zgodność z prawem, przepisami i umowami. Ponadto zakres prac audytu wewnętrznego w jednostkach sektora finansów publicznych został zdefiniowany w Rozporządzeniu Ministra Finansów z dnia 5 lipca 2002 roku w sprawie szczegółowego sposobu i trybu przeprowadzania audytu wewnętrznego. W paragrafie 2 można przeczytać, iż „audytor wewnętrzny, przeprowadzając audyt wewnętrzny: 1. Bada wiarygodność sprawozdania finansowego oraz sprawozdania z wykonania budżetu przez następcze sprawdzenia: 1.1. Przestrzegania zasad rachunkowości, 1.2. Zgodności zapisów w księgach rachunkowych z dowodami księgowymi, 1.3. Zgodności sprawozdania finansowego oraz sprawozdania z wykonania budżetu z zapisami w księgach rachunkowych; 2. Dokonuje oceny adekwatności, efektywności i skuteczności systemów kontroli, w tym przestrzegania procedur, zarządzania ryzykiem i kierowania organizacją; 3. Dokonuje oceny przestrzegania zasady celowości i oszczędności w dokonywaniu wydatków, uzyskiwania możliwie najlepszych efektów w ramach posiadanych środków oraz przestrzegania terminów realizacji zadań i zaciągniętych zobowiązań.”9 Zakres prac audytu wewnętrznego obejmuje badanie i ocenę jakości, skuteczności i adekwatności systemu kontroli wewnętrznej oraz jakości wykonywania powierzonych zadań przez poszczególne jednostki organizacyjne. Do zadań podstawowych oraz szczegółowych audytu wewnętrznego należą:10 1. przeprowadzanie analizy i oceny systemu kontroli wewnętrznej: 9 K. Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 r. K. Czerwiński, H. Grochowski „Podstawy Audytu Wewnętrznego” Link Szczecin 2003 r. 10 7 - identyfikacja i ocena poszczególnych kontroli istniejących w systemie. Zadaniem tych kontroli jest realizacja celów biznesowych organizacji w sposób najbardziej efektywny i ekonomiczny. - przedstawianie opinii o wiarygodności badanych systemów kontroli wewnętrznej, - doradzanie kierownictwu w projektowaniu systemu kontroli wewnętrznej; 2. Przedstawianie opinii o wiarygodności sprawozdań finansowych organizacji w oparciu o ocenę wiarygodności całego systemu kontroli wewnętrznej; 3. Przedstawianie opinii dotyczących efektywności zarządzania ryzykiem; 4. Przedstawianie opinii dotyczących efektywności i racjonalności zarządzania (audyt operacyjny). Doradztwo w tym zakresie; 5. Wykonanie identyfikacji i analizy ryzyka w zakresie niezbędnym w planowaniu długoterminowym i planowaniu zadania audytowego; 6. Przeprowadzenie oceny efektywności zarządzania ryzykiem; 7. Badanie i ocena adekwatności i efektywności systemu kontroli wewnętrznej. Ocena jakości pracy kontroli wewnętrznej; 8. Doradzanie przy projektowaniu systemów kontroli; 9. Przeprowadzanie audytów finansowych, obejmujących badanie wiarygodności i kompletności informacji służących sporządzaniu raportów na temat sprawozdań finansowych oraz badanie i sporządzanie raportów na temat systemów księgowych i płatniczych organizacji. Ocena systemów księgowo-finansowych pod względem dokładności, kompletności, terminowości i realności dokonywanych transakcji oraz zgodności z zasadami rachunkowości (audyt finansowy); 10. Ochrona majątku poprzez kontrolę systemów zabezpieczających aktywa oraz w razie potrzeby weryfikację istnienia tegoż majątku; 11. Ocena efektywności i wydajności wykorzystania zasobów. Dokonywanie oceny działań jednostek organizacyjnych oraz podmiotów zależnych pod względem efektywności i wydajności (audyt operacyjny); 12. Przeprowadzanie audytów systemów informatycznych; 13. Kontrola przestrzegania przez pracowników procedur bezpieczeństwa systemów informatycznych; 14. Ocena procedur tworzonych w organizacji. Ustalenie, czy obowiązujące procedury zapewniają osiąganie zamierzonych celów i czy zapewniają zgodność z przepisami (audyt zgodności). Pisemne procedury są niezbędnym elementem systemu zarządzania. Audytor nie może sam napisać procedur dla całej instytucji, ale może i powinien opiniować wszystkie procedury. Opinia powinna uwzględniać wszelkie stwierdzone braki w zakresie kontroli wewnętrznej. Audytor 8 nie może napisać procedur, gdyż jego pierwszym obowiązkiem jest wydanie opinii; 15. Dokonywanie oceny funkcjonujących systemów zapobiegania nieprawidłowościom i podejmowania działań korygujących; 16. Ocena systemu przepływu informacji pod kątem jego dokładności, rzetelności, terminowości, użyteczności i spójności; 17. Audyt zarządzania projektami, w tym informatycznymi; 18. Przeprowadzanie ewidencji audytów oraz nadzór nad dokumentami roboczymi i ich archiwizacją; 19. Współdziałanie z podmiotami upoważnionymi do przeprowadzania kontroli w jednostce; 20. Wykonanie i stała aktualizacja Oceny Potrzeb Audytu; 21. Opracowanie rocznego i wieloletniego planu audytu; 22. Opracowanie raportu rocznego. Ocena systemów kontroli wewnętrznej w zakresie ich efektywności i niezawodności powinna być oparta na wynikach działań audytu wewnętrznego oraz wynikach pracy zespołu kontroli wewnętrznej pod względem wykrywania nieprawidłowości i oszustw. Analiza źródeł powstawania nieprawidłowości i efektów działań wyjaśniających powinna zostać uwzględniona w analizie ryzyka. Ponadto zakres działań audytu wewnętrznego obejmuje wszystkie jednostki organizacyjne, oddziały terenowe i podmioty zależne. Dokumenty, które powstają w jednostce dzieli się na 3 poziomy:11 - dokumenty ogólne definiujące cele – np. statut Zespołu Audytu Wewnętrznego, - procedury – umożliwiają realizację polityki, - instrukcje i inne tego typu szczegółowe dokumenty uzupełniające w stosunku do procedur. Zadania audytowe realizowane są na podstawie upoważnienia Kierownika organizacji, z tego względu bardzo istotną rzeczą jest taka organizacja Zespołu Audytu Wewnętrznego, która będzie dostosowana do wyznaczonych zadań. W zależności od wielkości i potrzeb organizacji oraz wielkości zespołu możliwe jest wiele rozwiązań: - audytorzy nie specjalizują się w poszczególnych typach audytu – taka struktura ma tę zaletę, iż umożliwia wykonywanie różnorodnych zadań co wpływa na 11 K. Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 r. 9 uzyskanie wszechstronnych kwalifikacji. Niestety w rozwiązaniu tym są dwie istotne wady: audytorzy muszą przeznaczyć stosunkowo dużo czasu na zapoznanie się z jednostkami audytowanymi oraz trudne jest uzyskanie specjalizacji w takich dziedzinach jak audyt finansowy czy informatyczny; - utworzenie wyspecjalizowanych zespołów – cała trudność polega na ustaleniu ilu audytorów powinna zatrudniać jednostka organizacyjna. Decyzja o wielkości Zespołu Audytu Wewnętrznego powinna być uzasadniona ilością i skomplikowaniem zadań, które mają być realizowane przez zespół audytu. Rys nr 1 STANOWISKO PRACY DS. KANCELARYJNO-BIUROWYCH DYREKTOR ZESPOLU AUDYTORÓW WEWNETRZNYCH Z-CA DYREKTORA KIEROWNIK SEKCJI KIEROWNIK SEKCJI AUDYTORZY AUDYTORZY Przykładowy schemat organizacyjny Zespołu Audytu Wewnętrznego – Krzysztof Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 r. 10 1.3. FAZY PRZEPROWADZANEGO AUDYTU W realizacji zadania, które stanowi podstawę przeprowadzenia audytu, wyróżnić można kilka faz, które mogą się na siebie nakładać. Są one podzielone w sposób następujący:12 - faza wstępna; - planowanie; - wstępne zapoznanie z jednostką audytowaną; - realizacja czynności audytowych; - raport z audytu; - monitorowanie wykonania rekomendacji. W fazie wstępnej audytor powinien przeprowadzić następujące czynności:13 - określić okres, jaki ma objąć audyt oraz przewidywaną datę jego zakończenia; - założyć akta stałe i bieżące; - zebrać informacje dotyczące jednostki audytowanej – m.in. liczba pracowników, zakresy obowiązków, opisy stanowisk, informacje o finansach jednostki, itp.; - wstępnie ocenić system kontroli wewnętrznej; - przeanalizować ryzyko; - wstępnie określić obiekt audytu; - wstępnie określić cel audytu; - ocenić potrzeby kadrowe i budżet audytu; - przygotować harmonogram audytu. W fazie wstępnej audytor powinien skoncentrować się na zebraniu jak największej ilości informacji wykorzystywanych następnie do planowania zadania audytowego. Zebranie i dokonanie wstępnej oceny informacji, które są dostępne bez formalnego powiadomienia w kierownika przeprowadzeniu analizy jednostki o ryzyka oraz rozpoczęciu w audytu, przygotowaniu ma pomóc planu audytu. Przeprowadzając wstępną analizę ryzyka audytor powinien wziąć pod uwagę czynniki ryzyka wewnętrznego oraz takie czynniki, jak: funkcjonowanie kontroli i pisemne procedury, częste zmiany kadrowe, zakres delegowania funkcji, skłonność do zmian, kwalifikacje pracowników i osób zarządzających, rezultaty poprzednich audytów. Przegląd taki może wiązać się z następującymi sposobami zbierania 12 K. Czerwiński “Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 r. 13 jw 11 informacji:14 - analiza sprawozdań i studiów dokonanych przez kierownictwo i pracowników jednostki oraz innych jednostek organizacyjnych; - diagramy’ - testy przeglądowe; - obserwacja środowiska i metod pracy; - rozmowy z pracownikami; - wykorzystanie kwestionariuszy samooceny. Nie wolno zapominać o fakcie, iż wszystkie czynności należy zapisać w dokumentacji audytu. Ponadto koniecznie należy rozważyć doświadczenie audytorów i ocenić charakter i stopień trudności zadania, które audytor ma przeprowadzić, ograniczenia czasowe i finansowe. Na etapie planowania wyróżnić możemy 3 główne etapy zadania: przygotowanie planu audytu, zatwierdzenia planu przez kierującego jednostką oraz zawiadowmienie kierownika jednostki audytowanej o dacie rozpoczęcia audytu. Faza ta polega na zrozumieniu przez audytora zasad funkcjonowania jednostki, gdyż to pozwoli mu na określenie poziomu istotności. Pierwszym krokiem jest tu opracowanie planu audytu. Jest to dokument przygotowywany przed rozpoczęciem audytu, który powinien zawierać przynajmniej takie czynności, jak:15 - wyliczenie obiektów audytu; - cele i zakres audytu; - przewidywana metodyka; - skład zespołu prowadzącego audyt; - budżet czasowy i zasoby potrzebne do przeprowadzenia audytu. Podczas planowania audytor powinien zapoznać się z zasadami funkcjonowania jednostki oraz z jej głównymi procesy biznesowe. Ułatwi to mu określenie poziomu istotności. W tej fazie zadania audytowego bardzo istotną czynnością jest przygotowanie planu audytu , który jest ogólnym dokumentem przygotowywanym przed 14 K. Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 r. 15 jw. 12 rozpoczęciem audytu. Plan ten powinien zawierać następujące informacje:16 - wyliczenie obiektów audytu, - cele i zakres audytu, - przewidywaną metodykę, - skład zespołu prowadzącego audyt, - budżet czasowy i zasoby potrzebne do przeprowadzenia audytu. Przygotowany plan powinien zostać zatwierdzony przez Dyrektora Zespołu Audytu Wewnętrznego. Ponadto na spotkaniu całego zespołu powinien on zostać przedyskutowany oraz powinno się ustalić, na których etapach audytor będzie kontrolował stan zaawansowania, kompletność dokumentacji oraz istotność ustaleń. Proces planowania powinien być w pełni udokumentowany. Następnie powinno zostać ustalone, w jaki sposób, kiedy i komu zostanie przekazany raport z audytu. Kolejnym krokiem jest powiadomienie jednostki o rozpoczęciu audytu. Powiadomienie takie powinno mieć formę pisemną z podpisem Dyrektora Zespołu Audytu Wewnętrznego. Kolejnym etapem, który przeprowadza się w ramach zadania audytowego jest wstępne zapoznanie się z jednostką audytowaną. W trakcie narady wstępnej z kierownictwem jednostki audytowanej audytor powinien osiągnąć następujące cele:17 - możliwość wzajemnego poznania się audytorów i audytowanych; - zapoznanie audytowanych z obiektami I celami audytu; - uzgodnienie kryteriów oceny; - uzgodnienie harmonogramu I rozwiązań organizacyjnych; - uzyskanie informacji od kierownictwa jednostki na temat ryzyk związanych z działalnością jednostki oraz realizacji rekomendacji z poprzednio przeprowadzanych audytów. Tematy omawiane na naradzie mogą obejmować następujące zakresy: planowane nadrzędne cele audytu, harmonogram, przydzielenie audytorów do konkretnych zadań, sposób oraz metody wymiany informacji, osoby odpowiedzialne za informacje, warunki funkcjonowania jednostki, opis procedury wykonania raportu, przebieg działań monitorujących, terminy i czas trwania poszczególnych prac audytowych. 16 17 K. Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 r. jw. 13 Następnym etapem zadania audytowego są czynności u klienta. Po przybyciu do audytowanej jednostki audytor powinien skontaktować się z kierownictwem. Audytor powinien omówić sprawy, które nie zostały poruszone na naradzie wstępnej oraz ustalić terminy spotkań z pracownikami jednostki. Następną czynnością, którą audytor musi przeprowadzić jest badanie dokumentów takich, jak: przepisy prawne, schematy organizacyjne, księgi procedur i instrukcje biurowe. Informacje o tym, jak system funkcjonuje w praktyce dostarczają wywiady z kierownictwem i personelem oraz obserwacja środowiska i metod pracy.. W celu opisania systemu środków kontroli audytor sporządza następujące dokumenty:18 - kwestionariusze samooceny; - notatki ze spotkań, wywiadów i dyskusji; - ogólny opis systemu; - opisowy lub sporządzony w formie diagramu szczegółowy opis systemu, który określa sieć współzależności i najważniejsze obiekty kontroli. Kolejnym krokiem w trakcie przeprowadzania zadania audytowego jest przygotowanie programu audytu. Program ten powinien określać procedury wymagane przy identyfikacji, analizie, ocenie oraz sporządzaniu dokumentacji podczas realizacji prac przez audytora. Powinien on zostać opracowany na podstawie przeprowadzonej przez audytora oceny słabych i mocnych stron systemu i jego kontroli wewnętrznej, jak również oceny ryzyka. Program audytu jest przygotowywany przez koordynatora audytu i ma postać procedury typu „krok po kroku”. Ponadto do programu musi zostać załączony wykaz oraz szczegółowy opis planowanych testów, których szczegółowość zależy od przeprowadzającego zadania audytowe. Program ten spełnia następujące funkcje:19 1. zestawienie informacji typu kto, co, kiedy i z czyjego upoważnienia; 2. kontrola wykonanych prac – program zawiera listę kontrolną czynności, które musi wykonać audytor w czasie zadania; 3. analiza ryzyka – pozwala na określenie szczegółowego zakresu audytu; 4. opis zaplanowanych testów i wyjaśnienie, jak będziemy realizować cele audytu. Następnym etapem jest realizacja czynności audytowych, którego celem jest zebranie, analiza, interpretacja i utrwalenie informacji uzasadniających wyniki 18 19 K. Czerwiński, H. Grocholski „Podstawy Audytu Wewnętrznego” Link Szczecin 2003 r. K. Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 r. 14 przeprowadzonego audytu. Przed zakończeniem tej fazy audytu należy poinformować kierownictwo jednostki o terminie wydania raportu wstępnego. W celu przedstawienia wyników pracy stosuje się w audycie pisemny raport, która to forma jest wymagana przez międzynarodowe standardy. Raport powinien być przedstawiony po zakończeniu każdego zadania audytowego i powinien zawierać ustalenia, wnioski audytorów oraz rekomendacje: Za sporządzenie raportu odpowiedzialny jest koordynator audytu, ale udział we wszystkich pracach jest obowiązkiem wszystkich audytorów. Cele sporządzenia tego rodzaju raportu są następujące:20 - raport dostarcza zapewnienia o adekwatności, efektywności i poziomie zaufania, jakim można obdarzyć system kontroli wewnętrznej; - ocenia efektywność, oszczędność i wydajność operacji realizowanych przez jednostkę poprzez analizę i ocenę; - wskazuje możliwość lub też wymusza usprawnienia systemu; - zwraca uwagę na ryzyka wynikające z różnic pomiędzy kryteriami a ustaleniami poczynionymi w trakcie audytu; - umożliwia kontrolę wykonania rekomendacji dzięki zapisaniu ich w raporcie wraz z uzgodnieniami dotyczącymi sposobu i terminu ich wdrażania przez kierownictwo jednostki. Wyróżnić można różne rodzaje raportów, m.in.: 1. raport końcowy – zawiera ocenę audytowanego systemu kontroli i realizacji celów biznesowych. Powinny być w nim przedstawione wszystkie fakty świadczące o słabościach systemu wraz z powiązanymi ryzykami. Raport ten powinien być krótki a rekomendacje jasne i jednoznaczne; 2. raport przejściowy – stosowany jest przy następujących sytuacjach: w trakcie prac audytowych zostały poczynione ustalenia wymagające pilnej reakcji oraz czas realizacji audytu jest długi, zaś ustalenia powinny być przedstawione przed upływem planowanego terminu zakończenia audytu. 3. raport ustny – zwraca uwagę na zagrożenia wymagające natychmiastowej reakcji; 4. raport fragmentaryczny – jego celem jest skoncentrowanie się na wybranych zagadnieniach; 20 K.Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 r. 15 5. raport wstępny – ten typ raportu jest opracowywany po zakończeniu testów. W skład tego rodzaju raportu wchodzą: część ogólna (opis obiektów, cele i zakres audytu), ogólny opis jednostki lub badanego systemu, ustalenia potwierdzone takimi dowodami na podstawie, których osoba trzecia nie będzie miała wątpliwości, co do istnienia opisanych faktów, sformułowanie wniosków, które stanowią ocenę audytora dotyczącą wpływu ustaleń na działalność, rekomendacje – wskazują sposoby naprawy lub usprawnienia działalności, słownik użytych zwrotów i skrótów oraz załączniki – standardy IIA opisują wymagania dotyczące raportu, za sporządzenie raportu odpowiedzialny jest koordynator audytu, udział w pracach jest obowiązkiem wszystkich audytorów, raport powinien być zrozumiały, przejrzysty, bezstronny i obiektywny, przed napisaniem raportu należy spotkać się z kierownictwem jednostki w celu omówienia ustaleń I rekomendacji, itp; 6. raport końcowy – jednostka audytowana jest zobowiązana do przedstawienia swoich komentarzy w formie pisemnej w określonym terminie. W celu uniknięcia komplikacji w liście przewodnim dołączonym do raportu wstępnego należy zaznaczyć, że brak odpowiedzi w podanym terminie oznacza zgodę kierownictwa jednostki ze wszystkimi ustaleniami raportu i spowoduje jego zatwierdzenie. O tym, kto jest adresatem raportów decyduje Dyrektor Zespołu Audytu Wewnętrznego, jeżeli raport opisuje działania kilku komórek organizacyjnych możliwe jest podzielenie go na kilka fragmentów. Adresatem raportu jest zwykle przełożony jednostki, w której przeprowadza się audyt. Po analizie odpowiedzi i uwag jednostki, audytor powinien upewnić się, że istnieją odpowiednie mechanizmy zapewniające, że przyjęte rekomendacje zostaną wdrożone we właściwym czasie. Najważniejsze jest bowiem wskazanie w raporcie terminu wykonania rekomendacji. Kontrola wykonania rekomendacji powinna zostać skoncentrowana na ustaleniu, czy podjęto odpowiednie działania, eliminujące uprzednio zidentyfikowane nieprawidłowości. Prace audytowe i wynikające z nich wnioski powinny zostać w pełni udokumentowane i zweryfikowane przez koordynatora zadania audytowego. 16 2. CHARAKTERYSTYKA WYBRANYCH RODZAJÓW AUDYTU 2.1. AUDYT INFORMATYCZNY W każdej firmie wykorzystującej komputery do codziennej pracy, mogą pojawić się problemy z ich funkcjonowaniem. Przyczyny powstania takich sytuacji mogą być różne, np. niewłaściwa obsługa, źle dobrany sprzęt, oprogramowanie lub wiek urządzeń. Sytuacje takie przynoszą negatywne skutki dla firmy, bowiem zwykle zdarzają się w nieodpowiednim momencie lub dotyczą krytycznego punktu infrastruktury informatycznej. Wiele z tych sytuacji można jednak przewidzieć i im zapobiec, przeprowadzając audyt informatyczny. Audyt ten obejmuje następujące zagadnienia:21 - identyfikacja najczęstszych problemów – dzięki audytowi można zidentyfikować najczęściej pojawiające się problemu na poszczególnych stanowiskach komputerowych i w sieci lokalnej, dzięki czemu w przyszłości można zapobiegać wielu krytycznym sytuacjom lub unikać powtarzających się błędów. Na tej podstawie można także określić zapotrzebowanie firmy na obsługę posiadanych zasobów informatyczną. - zebranie i uporządkowanie informacji na temat sprzętowych – opracowanie dokumentacji i raportu z dokładnego przeglądu wszystkich stanowisk i punktów sieci, pozwoli na dokładną inwentaryzację posiadanych zasobów, a co za tym idzie będzie można zoptymalizować ich wykorzystanie oraz zarządzać nimi. Działanie to umożliwi zaplanowanie harmonogramu inwestycji lub modernizacji i konserwacji bazy sprzętowej. - przegląd oprogramowania – weryfikacja poprawności instalacji oprogramowania oraz jego legalności, zmniejszy awaryjność i usprawni pracę stanowisk, pozwoli ustrzec się przed łamaniem prawa, a co za tym idzie przykrymi konsekwencjami karnymi. Dzięki temu działaniu będzie można określić jedne spójne rozwiązanie w zakresie wykorzystania oprogramowania. - określenie rodzaju/modernizacji infrastruktury – przeprowadzony audyt pozwoli oszacować potrzeby organizacji w zakresie informatyki. Wnioski po wykonanych analizach dostarczą informacji na temat konieczności konserwacji poszczególnych elementów infrastruktury, ich modernizacji czy wprowadzenia 21 www.infovide.pl 17 nowych rozwiązań. Raporty z audytu ułatwią opracowanie szczegółowych procedur oraz polityki informatycznej firmy. - zwiększenie efektywności pracy – po wnikliwej analizie, opracowywane są odpowiednie rozwiązania. Wskazuje się na obszary, gdzie jest możliwe ich zastosowanie lub gdzie dostępne zasoby mogą być wykorzystane w efektywniejszy sposób. W audycie informatycznym występują cztery zasadnicze fazy: planowanie, ocena mechanizmów kontrolnych, testowanie i raportowanie. Według Jerzego Korytowskiego, Przewodniczącego Zarządu Stowarzyszenia ds. Audytu i Kontroli Systemów Informatycznych, proces audytowy powinien przebiegać w sposób następujący:22 - szacowanie ryzyka i wstępne planowanie audytu, - zapoznanie się z audytowanym obszarem (zrozumienie natury procesów i ryzyk poprzez wywiady i pozyskanie odpowiednich dokumentów), - szczegółowe planowanie audytu, - przeprowadzenie szczegółowych prac audytowych w tym: zapoznanie się z procesem (poznanie jakie mechanizmy kontrolne zaplanowano), wywiady i pozyskiwanie dokumentów), - ocena zaplanowanych, przewidzianych mechanizmów kontrolnych pod kątem ich adekwatności (wystarczalności i siły) w stosunku do potrzeb, - ocena zgodności zastanej praktyki z planami i przewidywaniami (czy mechanizmy są stosowane i jak działają), - testowanie dowodowe, - przygotowanie i zakomunikowanie raportu. W ramach audytu informatycznego wyróżnić można następujące części: - audyt legalności oprogramowania, - audyt sprzętu, - audyt zabezpieczeń. 22 www.frso.pl 18 2.1.1. AUDYT LEGALNOŚCI OPROGRAMOWANIA Konieczność optymalizowania kosztów w firmach i wzrost liczby przestępstw komputerowych sprawiają, że jednym z istotnych działań w zarządzaniu staje się sprawne zarządzanie jej zasobami informatycznymi i sposobem ich wykorzystania przez pracowników. Audyt oprogramowania obejmuje całość oprogramowania używanego w firmie. W wyniku audytu powstaje raport przedstawiający stan oprogramowania I jego licencjonowania. Audyt oprogramowania realizowany jest zazwyczaj w kilku fazach, a uzyskane w ich trakcie informacje są podstawą sporządzania raportu audytowego. Fazy te są następujące:23 - faza I – zebranie podstawowych informacji o zasobach informatycznych w firmie, a w szczególności: ilość, rodzaj i rozmieszczenie serwerów i stacji roboczych, oprogramowanie sieciowe i systemy operacyjne, istnienie procedur dotyczących zarządzania oprogramowaniem (organizacja zakupu oprogramowania, reguły dotyczące instalacji, użytkowania i deinstalacji oprogramowania), polityka zarządzania licencjami w firmie; - faza II a – fizyczne skanowanie serwerów i stacji roboczych (skanowanie jest przeprowadzane przy pomocy specjalistycznego oprogramowania i umożliwia zinwentaryzowanie oprogramowania); - faza II b – weryfikacja licencji na oprogramowanie; - faza III – analiza danych i sporządzenie raportu audytowego – następuje porównanie liczby posiadanych licencji z liczbą instalacji poszczególnych rodzajów oprogramowania. Poza tym porównaniem raport audytowy zawiera informacje odnośnie miejsca instalacji poszczególnych programów. W ciągu ostatnich miesięcy zauważyć można istotny wzrost zainteresowania sprawą legalności oprogramowania komputerowego, o czym może świadczyć duża liczba publikacji prasowych, relacje radiowe i telewizyjne oraz ogromna liczba pytań adresowanych do producentów oprogramowania. Największa liczba pytań dotyczy weryfikacji legalności oprogramowania. O ile w przypadku firm posiadających niewielkie ilości komputerów takie zadanie nie jest skomplikowane, o tyle firmy używające sieci komputerowe i kilkadziesiąt lub więcej komputerów, często w różnych miejscach I budynkach, stają przed problemem, któremu trudno sprostać. W celu usprawnienia przeprowadzanego audytu, można przeprowadzić 23 www.ckzeto.com.pl 19 proces inwentaryzacji komputerów. Inwentaryzacja taka powinna być jak najdokładniejsza i odpowiadać na pytania dotyczące sprzętowej konfiguracji PC. Kolejnymi celami audytu, bezpośrednio wiążącymi się z inwentaryzacją sprzętu, może być oznaczenie wszystkich komputerów unikalnymi numerami identyfikacyjnymi, a także oczyszczenie listy środków trwałych komputerów, które nie są już w rzeczywistości wykorzystywane. Z audytem wiążą się także inne cele, np. wprowadzenie nowych procedur dotyczących nazewnictwa i przechowywania poufnych dokumentów w formie elektronicznej, wprowadzenie nowych przepisów w umowach o pracę, które sprecyzują zasady wykorzystania komunikatorów i oprogramowania, czy też opracowanie i wdrożenie procedur regulujących zasady zakupu nowego oprogramowania w firmie. Prawidłowo przeprowadzony audyt gwarantuje:24 - pełne, odpowiednio uporządkowanie i zarchiwizowane informacje o posiadanych zasobach sprzętowych i oprogramowania, - przeniesienie odpowiedzialności karnej na osoby bezpośrednio odpowiedzialne za określone stanowiska komputerowe, - monitoring czynności wykonywanych przez pracowników na poszczególnych stacjach komputerowych, - wytyczenie procedur zakupu i archiwizowania oprogramowania mających wpływ na porządek i efektywność pracy, - poczucie bezpieczeństwa związanego z kontrolą uprawnionych organów dotyczących legalności oprogramowania i konsekwencjami w postaci konfiskaty sprzętu i wysokich kar w przypadku wykrycia nieprawidłowości, - poczucie bezpieczeństwa związanego z ochroną komputerów przed potencjalnie niebezpiecznymi aplikacjami powodującymi niekontrolowany wypływ poufnych informacji lub będących źródłem w nieoczekiwanym momencie awarii wpływających na przerwy w pracy, - poczucie porządku wpływającego pozytywnie na efektywność pracy oraz stwarzającego dobre podstawy pod procedury wdrożenia certyfikatu jakości. Istotą audytu legalności oprogramowania jest skonfrontowanie liczby i typu licencji z informacjami zebranymi w trakcie audytu. W rezultacie otrzymuje się odpowiedź na pytania: na które aplikacje firma posiada zbyt mała liczbę licencji, na które w ogóle ich nie posiada i w ilu przypadkach posada więcej licencji niż zainstalowanych w sieci aplikacji. Z tych powodów istotnymi elementami są: 24 www.promedia.iap.pl 20 - kontrola sieci – zarząd oraz dział informatyki powinny sprawować pełną kontrolę nad danymi w firmowej sieci komputerowej, - inwentaryzacja oprogramowania oprogramowania jest tym – ryzyko większe, im używania mniejsza wiedza nielegalnego o zasobach zgromadzonych w komputerach, - weryfikacja legalności oprogramowania, - porozumienie z pracownikami – warto zapoznać pracowników z zasadami użytkowania oprogramowania oraz podpisać porozumienie określające odpowiedzialność osób zatrudnionych w zakresie przestrzegania autorytetu, - odpowiedzialność za oprogramowanie. Bogactwo i duża dostępność nielegalnego oprogramowania powoduje, iż nawet w firmach, które szczególnie dbają o prowadzenie działalności w zgodzie z obowiązującym prawem, zjawisko instalowania pirackich kopii programów przez pracowników jest powszechne. Aby zautomatyzować proces zarządzania zasobami programowymi w firmie, w tym sprawdzania zgodności oprogramowania z posiadanymi przez firmę licencjami, powstały programy audytujące. Pozwalają one również optymalizować wykorzystywanie poszczególnych aplikacji i eliminować aplikacje niepożądane w firmie. Do najczęściej stosowanych programów należą: - uplook – daje on możliwość audytu oprogramowania, sprawdzania zgodności programów z licencjami, zarządzania oprogramowaniem w firmie. Dzięki temu programowi proces audytu oprogramowania na poszczególnych firmowych komputerach przestaje być czasochłonny i nie powoduje przestoju w pracy na poszczególnych stanowiskach.25 Program ten posiada także dwa dodatkowe moduły: a) Statlook – moduł ten służy do monitorowania pracy na komputerach przez pracowników firmy; b) Weblook – moduł ten służy do monitorowania odwiedzanych stron internetowych. - program „Legalna Firma” – dzięki temu programowi możliwe jest wdrożenie procedur zarządzania licencjami i oprogramowaniem, ograniczenie odpowiedzialności kierownictwa w sytuacji wykrycia nieprawidłowości, tworzenie aktualnych raportów w przypadku planów migracyjnych, wyszukiwanie kopii poufnych dokumentów, śledzenie zmian w konfiguracji sprzętowej komputerów firmowych, 25 stała kontrola nad oprogramowaniem zainstalowanym na www.cezar.waw.pl 21 komputerach firmowych, weryfikacja i możliwość stałej aktualizacji bazy środków trwałych sprzętu komputerowego.26 - GASP – oprogramowanie przeznaczone do przeprowadzania audytu oprogramowania i sprzętu w instalacjach obejmujących od kilkunastu do kilkuset tysięcy komputerów. Program ten występuje w trzech wersjach:27 a) GASP Suite – oprogramowanie przeznaczone do przeprowadzania audytu oprogramowania i sprzętu w firmach, w których sieć informatyczną tworzy do kilkuset komputerów. Umożliwia ono wykonanie audytu manualne lub za pośrednictwem skryptów podczas logowania użytkownika do sieci. b) GASP Plus Suite – oprogramowanie przeznaczone do przeprowadzania audytu oprogramowania i sprzętu w firmach, w których sieć informatyczną tworzy do 1000 komputerów. Umożliwia ono centralne zarządzanie skanowaniem komputerów i okresowe uruchamianie procedury audytowej za pośrednictwem określonego oprogramowania. c) GASP Enterprise Suite – oprogramowanie przeznaczone do przeprowadzania audytu oprogramowania i sprzętu w firmach, w których sieć informatyczną tworzy nawet 100 tysięcy komputerów. Dzięki gromadzeniu informacji w bazie SQL umożliwia równoczesną analizę danych przez wielu operatorów. W obliczu prawa polskiego audyt legalności oprogramowania jest jedynie narzędziem weryfikującym zgodność posiadanego oprogramowania z zakupionymi licencjami. W Polsce nie ma obowiązku przeprowadzenia audytu legalności oprogramowania, zależy to wyłącznie od potrzeby i dobrej woli właściciela lub dyrektora firmy. Nie wolno jednak zapominać o tym, iż konsekwencje wynikające z posiadania nielegalnych programów są bardzo poważne, m.in. są to kwestie finansowe, odpowiedzialność cywilna i karna za naruszenie praw autorskich, utrata wiarygodności firmy i jej zarządu, zagrożenie utraty informacji i danych, zwiększenie ryzyka nieautoryzowanego dostępu do zasobów firmy, brak dostępu do pomocy technicznej i aktualizowanych wersji programów itp. 26 27 www.dcs.pl www.audytoprogramowania.pl 22 2.1.2. AUDYT SPRZĘTU Każda firma okresowo przeprowadza inwentaryzację posiadanych zasobów. Inwentaryzacja ma na celu dostarczenie informacji nie tylko o tym, że w firmie występują komputery, ale także powinna odpowiedzieć na następujące pytania:28 - jaka jest przeciętna konfiguracja komputerów w całej firmie lub w poszczególnych jego komórkach organizacyjnych? - które z komputerów w znacznym stopniu odbiegają od tych przeciętnych? - czy konfiguracja komputerów pokrywa się s ich konfiguracją w chwili zakupu lub ostatnimi odnotowanymi modyfikacjami? - jaka jest konfiguracja poszczególnych stacji roboczych i serwerów? Na podstawie tych informacji można stwierdzić, czy posiadane komputery mają parametry odpowiednie do zmiany na nową platformę systemową lub wdrożenia nowych aplikacji, czy na stacjach roboczych pozostają w niezmienionym stanie takie komponenty jak: dyski twarde, procesory, karty rozszerzeń czy też inne części składowe. Audyt sprzętu komputerowego polega na uruchomieniu na każdym komputerze znajdującym się w firmie odpowiedniej aplikacji inwentaryzacyjnej, która dokładnie identyfikuje konfigurację komputera. Wyniki audyt są umieszczane w centralnej bazie danych, która służy do opracowywania wszelkich wymaganych raportów. W przypadku starszych komputerów w wielu przypadkach system może stwierdzić, że przesyłane do centrali informacje mogą być obarczone pewnym stopniem niepewności – w takiej sytuacji należy fizycznie sprawdzić zasoby sprzętowe. Wyniki audytu mogą być wykorzystane przez:29 - działy finansowe i administracyjne – do weryfikacji informacji inwentaryzacyjnych, - kadrę menedżerską – dzięki elektronicznej formie umożliwia szybkie i łatwe generowanie dowolnych zestawień i raportów, - administratorów systemów – do śledzenia zmian w konfiguracji sprzętowej komputerów, co ułatwi wystawienie diagnozy w przypadku ewentualnych problemów i przywrócenie stanowiska do normalnej pracy. 28 www.edusoft.pl 23 2.1.3. AUDYT ZABEZPIECZEŃ Audyt bezpieczeństwa jest podstawą Polityki Bezpieczeństwa Informacji. Pozwala on kontrolować, wzbogacać i doskonalić zasady ochrony informacji. Nie wolno zapominać, iż bezpieczeństwo nie jest czymś stałym, ciągle pojawiają się nowe zagrożenia, zwłaszcza dla informacji przetwarzanych w systemach informatycznych. Z tego powodu konieczna jest stała lub okresowa weryfikacja założeń przyjętej w firmie Polityki Bezpieczeństwa Informacji. Istotnym elementem jest ponadto identyfikacja zagrożeń i analiza ryzyka przetwarzanych informacji, jest ona bowiem wymogiem prawnym, gdyż obowiązek jej przeprowadzenia nakładają zarówno Ustawa o ochronie danych osobowych oraz Ustawa o ochronie informacji niejawnych. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 roku w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne nakłada na Administratora danych osobowych następujące wymogi, które są elementami audytu bezpieczeństwa systemu informatycznego:30 - zidentyfikowanie i przeanalizowanie zagrożeń i ryzyka, na które może być narażone przetwarzanie danych osobowych, - określenie potrzeb w zakresie zabezpieczenia zbiorów danych osobowych i systemów informatycznych, z uwzględnieniem potrzeby kryptograficznej ochrony danych osobowych, w szczególności podczas ich przesyłania za pomocą urządzeń teletransmisji danych, - określenie zabezpieczeń adekwatnych do zagrożeń i ryzyka, - monitorowanie działania zabezpieczeń wdrożonych w celu ochrony danych osobowych i ich przetwarzania. Z wyżej wymienionych przepisów wynika wniosek, iż audyt bezpieczeństwa systemu informatycznego i doskonaleniu jest obowiązkiem szczególnych przy wymagań formułowaniu, modyfikowaniu bezpieczeństwa dla systemu informatycznego przetwarzającego informacje niejawne. Identyfikacja zagrożeń i ryzyka składa się zwykle z kilku etapów:31 - rozpoznanie problemu przetwarzania danych osobowych lub informacji niejawnych w firmie, 29 www.edusoft.pl www.ensi.net.pl 31 jw. 30 24 - rozpoznanie zbiorów danych osobowych lub grup informacji niejawnych przetwarzanych w firmie, - rozpoznanie systemów przetwarzających dane osobowe lub informacje niejawne, - ocenę zastosowanych systemów zabezpieczeń, - testy penetracyjne systemów przetwarzających dane osobowe lub informacje niejawne, - identyfikację zagrożeń i oszacowanie ryzyka przetwarzania zbiorów danych osobowych lub informacji niejawnych. Testy penetracyjne systemów informatycznych polegają na przeprowadzaniu symulacji ataków na systemy informatyczne przy użyciu znanych i powszechnie stosowanych metod włamań. Celem jest sprawdzenie możliwości nieautoryzowanego dostępu do danych w systemie, destabilizacji systemu oraz przejęcia nad nim kontroli. Tego rodzaju testy są koniecznością jeżeli firma chce mieć rzetelną analizę zagrożeń, a jej system jest podłączony do Internetu. Już sam fakt podłączenia do Internetu powinien zwrócić uwagę na potencjalne niebezpieczeństwo penetracji systemów firmy, m.in. zbiorów danych osobowych, informacji niejawnych przez nieznane osoby z zewnątrz. Większość firm stara się zabezpieczyć przed atakami z zewnątrz stosując systemy kontroli dostępu firewall. Jednak niebezpieczeństwo tkwi także wewnątrz firmy – według statystyk ok. 75 % incydentów związanych z bezpieczeństwem ma miejsce wewnątrz firmy. Niestety wiele firm zabezpiecza jedynie dostęp z zewnątrz i zapomina o bezpieczeństwie wewnętrznym. Z problemem tym wiąże się drugi element testu penetracyjnego, którym jest sprawdzenie możliwości dostępu do informacji z wnętrza sieci, ze stanowiska użytkownika (możliwość zwiększania uprawnień, podszywanie się pod innych użytkowników, podsłuchiwanie informacji przesyłanych przez sieć, możliwości sabotażu itp.). W załączniku nr 1 zaprezentowany został przykładowy program przeprowadzania testów penetracyjnych opracowany przez firmę EXE Group. Podstawowym zidentyfikowanie i zadaniem wewnętrznego zinwentaryzowanie audytu „najsłabszych” informatycznego jest elementów sieci komputerowych w firmie. Audytowi poddawane są urządzenia i zasoby sieciowe całej firmy pod kątem określenia ich aktualnego poziomu zabezpieczeń oraz zidentyfikowania obszarów sieci komputerowych dla właściwego i bezpiecznego funkcjonowania sieci komputerowej, które jako najsłabsze ogniwa mogą stać się przyczyną nieautoryzowanego pozyskiwania informacji. W wyniku audytu zostanie dostarczone kierownictwu firmy szczegółowe opracowanie, ukazujące wykryte 25 nieprawidłowości w funkcjonowaniu całego systemu informatycznego oraz poziom wykrytych zagrożeń w świetle aspektów bezpieczeństwa firmy. Ponadto zostaną zaproponowane działania, które należy podjąć w celu dobezpieczenia infrastruktury sieciowej i sprzętowej. Zakres audytu obejmuje następujące elementy:32 - analiza architektury sieci i możliwych dróg do systemów; - testy istniejących zabezpieczeń sprzętowych; - sprawdzenie bezpieczeństwa systemów backup’u; - ochrona współdzielonych zasobów systemowych; - sprawdzenie skuteczności działania systemów antywirusowych; - uwierzytelnianie i autoryzacja haseł użytkowników; - kontrola dostępu przed dostępem użytkowników nieuprawnionych; - analiza zabezpieczeń programowych; - skanowanie systemu w celu oceny jego szczelności; - testy bezpieczeństwa serwera WWW; - testy systemu obsługi poczty; - testy pozostałych dostępnych usług; - identyfikacja i analiza zagrożeń. Reasumując praca osób odpowiedzialnych za bezpieczeństwo systemu informatycznego sprowadza w praktyce do takich czynności, jak: - zabezpieczenie – oprócz specjalistycznej wiedzy na temat bezpieczeństwa, wymaga doskonałej znajomości systemu operacyjnego i pracujących na nim aplikacji oraz infrastruktury systemu informatycznego. Polega głównie na odpowiedniej zgodnej z polityką bezpieczeństwa i standardami, konfiguracji urządzeń sieciowych, systemów operacyjnych i aplikacji. Istnieją programy umożliwiające automatyczną lub prawie automatyczną konfigurację i zabezpieczenie serwerów i stacji roboczych, np. Security Configuration Manager; - monitorowanie – w małej sieci przeważnie ogranicza się to zadanie do regularnego czytania logów systemowych, aplikacji, routerów I firewall’i. Większe sieci najczęściej zabezpieczone są firewall’em na styku LAN z Internetem, zwykle posiadają dobre programy antywirusowe; - sprawdzenie (testowanie) przeprowadzana w – odniesieniu weryfikacja do zasad poprawności zdefiniowanych zabezpieczeń, w polityce bezpieczeństwa i do obowiązujących standardów. Dostępnych jest wiele 32 www.safecomp.com 26 programów, zarówno darmowych jak i komercyjnych, do sprawdzania stanu zabezpieczeń, począwszy od poleceń systemowych uruchamianych z linii komend, poprzez proste programy lub skrypty, aż do skomplikowanych, wielofunkcyjnych programów sprawdzających system operacyjny i aplikacje; - poprawienie zabezpieczeń – polega na dokonaniu zmian w konfiguracji lub zainstalowaniu odpowiednich poprawek dostarczonych przez producenta. Niezwykle istotnym warunkiem jest dokumentowanie wszelkich zmian w systemie i przechowywanie listy kontrolnej wypełnionej podczas konfigurowania systemu. Zabezpieczanie Zarządzanie Polityka Bezpieczeństwa Zarządzanie Monitorowanie Rys. 2 Cykl utrzymania bezpieczeństwa Źródło: www.it-scs.com.pl Po zakończeniu audytu przestawiany jest szczegółowy raport końcowy, który zawiera następujące punkty:33 - opis, zakres i cel przeprowadzonych analiz, - listę zaobserwowanych nieprawidłowości w budowie sieci komputerowej, - listę zaobserwowanych nieprawidłowości w funkcjonowaniu sieci komputerowych, 33 www.safecomp.com 27 - wykaz wykrytych nieprawidłowości. - opis zagrożeń i ich konsekwencje dla bezpieczeństwa sieci, - propozycje zaleceń pozwalających na usunięcie wykrytych nieprawidłowości, - zalecenia dotyczące procedur Bezpieczeństwa Informatycznego w firmie. 2.2. AUDYT FINANSOWY Głównym celem audytu finansowego jest zyskanie pewności, iż sprawozdania finansowe są poprawne i kompletne. Zakres audytu finansowego jest określony w ustawie. Audytor wewnętrzny powinien znać zasady sporządzania sprawozdań finansowych oraz obowiązujące w tym zakresie przepisy. Ponadto powinien on dysponować wiedzą z dziedziny księgowości, a zwłaszcza znać standardy, które określają jak należy zarejestrować w sprawozdaniach finansowych skutki transakcji i wydarzeń. Zadaniem audytora jest ustalenie, czy stosowane przez organizację zasady księgowe stanowią część spójnego, uznanego zestawu standardów, przystosowanego do działalności danej instytucji. Ponadto, musi stwierdzić, czy obejmują one wszystkie ważne aspekty działalności oraz czy są stosowane zasady polityki księgowej takie, jak: ciągłość, niezmienność, ostrożność, przewaga treści nad formą, istotność. Głównym celem sprawozdań finansowych każdej firmy jest dostarczenie odbiorcom informacji na temat sytuacji finansowej oraz wykonania zadać. Do innych celów, które realizują sprawozdania finansowe można zaliczyć:34 - dostarczenie odbiorcom potrzebnych informacji, gdyż zdefiniowanie potrzeb odbiorców stanowi punkt wyjścia do opracowania sprawozdań finansowych; - poinformowanie odbiorców, czy budżet i operacje przeprowadzone w trakcie roku obrotowego były realizowane zgodnie z wymaganiami prawa. Same sprawozdania finansowe nie udzielają takiej informacji – powinna ona być zawarta w raporcie sporządzanym przez audyt wewnętrzny; - pomoc odbiorcom w zrozumieniu charakteru, wielkości i zakresu działań firmy oraz jej sytuacji finansowej; - pomoc odbiorcom w lepszym zrozumieniu i prognozowaniu, w jaki sposób firma finansuje swoją działalność; 34 K. Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 28 - pomoc odbiorcom w zrozumieniu i prognozowaniu wyników działalności organizacji; - pomoc odbiorcom sprawozdań w ustaleniu, czy organizacja osiąga swe cele i określeniu kosztów działalności, informowanie o ilościowych aspektach realizacji budżetu. Sprawozdania finansowe powinny posiadać cechy, które czynią przedstawione przez nie informacje przydatnymi dla odbiorców. Cechy te są następujące: - zrozumiałe, - istotne, - wiarygodne, - ważne, - terminowe, - konsekwentne, - porównywalne. Celem audytu sprawozdań finansowych jest sformułowanie opinii, audytor powinien ocenić dokładność i zgodność wszystkich informacji, które są w nich zawarte. Błąd lub niezgodność jest istotne w sytuacji, kiedy istnieje duże prawdopodobieństwo, że będą miały wpływ na osoby, które są użytkownikami sprawozdań finansowych. Audytor ponadto powinien zwracać szczególną uwagę na sytuacje, w których błędy lub niezgodności zostały spowodowane w sposób celowy przez kierownictwo jednostki. Kolejną rzeczą, która należy do zadań audytora jest podjęcie decyzji, jaki jest maksymalny poziom tolerancji w sytuacji, w której występują błędy w sprawozdaniach, lecz są one akceptowalne. Taka liczba błędów nazywana jest progiem istotności. Im wyższy jest próg istotności, tym mniejszą liczbę testów rzeczywistych należy przeprowadzić. Próg istotności określa się w dwojaki sposób:35 - bezpośrednio przez ustalenie maksymalnej kwoty; - pośrednio – czyli procentowo, np. % wydatków brutto. Próg istotności pełni istotną rolę w ocenie wagi wpływu, jaki mają odkryte w czasie audytu błędy, przez szacowanie prawdopodobnego ogólnego błędu występującego w sprawozdaniach finansowych i porównywanie go z progiem 35 K. Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 r. 29 istotności. Opinie te powinny być oparte na dokumentach roboczych. Proces audytu finansowego przebiega w następujący sposób:36 1. identyfikacja oraz ocena istotnych elementów systemu kontroli wewnętrznej oraz oszacowanie zakresu w jakim audytor może na nich polegać, pod warunkiem, że zostanie ustalona ich skuteczność (testy przeglądowe); 2. sprawdzenie działania tych elementów systemu kontroli wewnętrznej w celu ustalenia, czy przez cały badany okres działały one skutecznie (testy zgodności); 3. ocena wyników badań funkcjonowania systemu kontroli wewnętrznej w celu ustalenia, czy można przyjąć zakładany stopień wiarygodności na podstawie przebadania tego systemu; 4. przeprowadzenie testów rzeczywistych. Jeśli audytor może ograniczyć się do oceny systemów kontroli wewnętrznej, wówczas można zredukować liczbę testów rzeczywistych. Obiektami audytu finansowego są:37 - kontrola środków pieniężnych, - kontrola rozrachunków i roszczeń, - windykacja należności, - kontrola zapasów, - aktywa trwałe, - kontrola zatrudnienia i wynagrodzeń, - kontrola kosztów, - kontrola przychodów, - kontrola inwestycji, - kontrola funduszy specjalnych i kapitałów zasadniczych, - inwentaryzacja, - finansowe systemy informatyczne. Badanie sprawozdania finansowego zazwyczaj składa się z dwóch etapów, które nie muszą być wyraźnie rozdzielone:38 I etap – prace wstępne – ich celem jest: zbadanie systemu ewidencji badanej jednostki, sposobu rejestracji operacji gospodarczych, systemu kontroli wewnętrznej i rzetelności ksiąg rachunkowych oraz analizę planu kont, sprawdzenie 36 . K. Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 r. jw. 38 jw. 37 30 prawidłowości stosow anych procedur dotyczących sposobu ustalania i ewidencji podatku od towarów i usług, kontrolę prawnych podstaw działalności; II etap – prace zasadnicze – składają się na nie następujące czynności: sprawdzenie prawidłowości wyceny aktywów i pasywów na dzień bilansowy oraz ustalenia wyniku finansowego za rok obrotowy, badanie sprawozdań finansowych z uwzględnieniem kryterium realności i kompletności zawartych w nich informacji, badanie prawidłowości i sporządzenia informacji dodatkowej, badanie sprawozdania z działalności jednostki za dany okres obrachunkowy, sporządzonego przez Zarząd badanego poziomu pod kątem zgodności ze sprawozdaniem finansowym oraz wymogami prawa (dotyczy organizacji prowadzących działalność gospodarczą). Rezultatami przeprowadzenia badania są; - opinia o prawidłowości i rzetelności sprawozdania finansowego; - raport z badania sporządzony w formie określonej normą nr 2 krajowej Rady Biegłych Rewidentów. Zgodnie z nowelizacją ustawy o rachunkowości w opinii powinna być Zawarta ocena prawidłowości i rzetelności sprawozdania finansowego, jasności przedstawienia sytuacji finansowej i majątkowej jednostki oraz osiągniętego wyniku finansowego. Ponadto wg art. 65 ust. 2 ustawy w opinii powinny być zawarte także informacje o tym, czy badane sprawozdanie zostało sporządzone na podstawie prawidłowo prowadzonych ksiąg rachunkowych, przygotowano je zgodnie z określonymi w ustawie zasadami rachunkowości, jest zgodne co do formy i treści z obowiązującymi przepisami prawa, statutem lub umową, jak również zawiera rzetelnie przygotowane wszystkie informacje istotne dla oceny jednostki. Istnieje kilka rodzajów opinii, np.: - opinia bez zastrzeżeń; - opinia bez zastrzeżeń z dodatkowymi objaśnieniami; - opinia z zastrzeżeniami; - opinia negatywna. W załączniku nr 2 przedstawiono przykłady różnych opinii wystawionych przez audytora. Raport, zgodnie z ustaleniami art. 65 ust. 4 ustawy o rachunkowości, powinien zawierać zwięzłe informacje o badanej jednostce oraz przedstawiać istotne wyniki szczegółowego badania, stanowiące uzasadnienie wyrażonej opinii, 31 względnie odmowy wyrażenia opinii. Raport może zostać podzielony na następujące działy:39 - część ogólna – obejmuje ona m.in.: • tytuł (raport z badania sprawozdania finansowego); • dane identyfikujące badaną jednostkę; • dane identyfikujące zbadane sprawozdanie finansowe; • powołanie się na umowę zawartą z jednostką przez podmiot uprawniony do badania; • stwierdzenie, że badana jednostka udostępniła żądane dane i informacje; • informacje o zatwierdzeniu bilansu zamknięcia za rok poprzedzający rok badany i wprowadzeniu go do ksiąg jako bilansu otwarcia; • informacje o sposobie podziału zysku (pokrycia straty), a także złożeniu sprawozdania finansowego we właściwym sądzie lub innym organie prowadzącym rejestr lub ewidencję działalności gospodarczej oraz ogłoszeniu go w sposób przewidziany przepisami; - analiza sytuacji jednostki – w jej skład wchodzi: • informacje o kształtowaniu się najważniejszych wskaźników (takich jak wynik, wskaźniki rentowności, finansowania działalności, płynności, sprawności) oraz o sytuacji majątkowej i finansowej, w tym o wypłacalności w badanym roku (w porównaniu do dwóch lub więcej lat poprzedzających); • wskazanie ewentualnych zagrożeń dla możliwości kontynuowania przez jednostkę działalności w roku następnym; - część szczegółowa raportu – w tej część nacisk położony jest na prawidłowość ksiąg rachunkowych, a zwłaszcza na: • posiadanie przez jednostkę dokumentacji opisującej przyjęte zasady rachunkowości; • kompletność i przejrzystość dokumentowania operacji gospodarczych oraz ich poprawne zakwalifikowanie do ujęcia w księgach rachunkowych; • prawidłowość otwarcia ksiąg rachunkowych oraz kompletność i poprawność dokonanych zapisów i ich powiązanie z dokumentami oraz sprawozdaniem finansowym; • spełnienie warunków, jakim powinny odpowiadać księgi rachunkowe (w tym także całkowicie lub częściowo prowadzone przy pomocy komputera); 39 www.audyt.ngo.pl 32 • właściwe przechowywanie ksiąg rachunkowych, działanie systemu kontroli wewnętrznej w powiązaniu z systemem księgowości, zwłaszcza na procedury kontroli wewnętrznej i sposób ich stosowania. 2.3. AUDYT OPERACYJNY Audyt operacyjny obejmuje badanie wydajności i skuteczności systemów i jednostek organizacyjnych, ocenę efektywności zarządzania, czyli ocenę sposobu, w jaki kierownictwo jednostki planuje swoje działania, a następnie kontroluje realizację planów. Celem audytu jest ocenienie oszczędności i wydajności. Pojęcie wydajności odnosi się do osiągania przez jednostkę założonych wyników w relacji do kosztów. Analiza wydajności to badanie relacji między kosztem projektu a wynikami. Wydajność może obejmować także porównanie rzeczywistego czasu realizacji zadania z jego harmonogramem. Z kolei ocena skuteczności obejmuje natomiast ustalenie, czy osiągnięto planowane cele, oraz relacji pomiędzy zamierzonym a faktycznym rezultatem. Oszczędność natomiast może odznaczać maksymalizację czy optymalizację przychodów z badanej działalności. Celem analizy wydajności jest ustalenie, czy korzyści odnoszone przez jednostkę, program lub przedsięwzięcie przekraczają jego koszty. Analizę wydajności audytor przeprowadza porównując koszty I rezultaty, gdy można je wyliczyć lub oszacować. Powinien on uwzględniać nie tylko dane finansowe, ale także niematerialne koszty i korzyści, np. koszty społeczne, koszty związane ze środowiskiem mailowym. Koncepcja wydajności ma zastosowanie we wszystkich procesach, nawet takich, których rezultaty są niejednolite i przez to trudne do oceny. Planując audyt wydajności należy wziąć pod uwagę wszystkie czynniki wpływające na relację pomiędzy uzyskanymi rezultatami a nakładami poniesionymi na ich uzyskanie. Nie zapominajmy, że wydajność jest pojęciem względnym. Mierzona jest ona przez porównywanie osiągniętej produktywności z wyznaczoną normą. Ilość produkcji i osiągnięta jakość jest porównana do przyjętych norm, aby określić do jakiego stopnia można poprawić wydajność. Wydajność powiększa się w następujących przypadkach:40 - jest większa produkcja przy danym zużyciu zasobów, - przy takiej samej produkcji nastąpiło ograniczenie zużycia zasobów, - przy nie zmienionej wielkości produkcji i zużyciu zasobów poprawiła się jakość. 40 K. Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 33 Ponadto zwiększeniu wydajności służą następujące czynności:41 - przeprowadzanie okresowych przeglądów w celu wyeliminowania pośrednich i zbytecznych operacji, które nie przyczyniają się do uzyskiwania końcowych produktów i usług; - wykorzystanie analizy porównawczej do oceny wydajności; - stosowanie zasad zarządzania projektami; - ograniczanie kosztów kontroli, przyspieszanie lub usprawnianie procesu podejmowania decyzji; - modernizacja produktów i usług tak, aby lepiej zaspokajały potrzeby wewnętrzne i zewnętrzne; - zaprzestanie produkcji I usług, na które nie ma zapotrzebowania; - ograniczanie kosztów przez zlecanie prac firmom zewnętrznym wtedy, kiedy jest to uzasadnione; - poprawa jakości produktów i usług bez powiększania kosztów; - stosowanie nowoczesnych rozwiązań w zarządzaniu operacyjnym , np. TQM; - zastosowanie nowych technologii; - wykorzystywanie szkoleń w celu zwiększania wydajności, poprawa warunków pracy, motywowanie pracowników. Celem audytu wydajności są:42 - sformułowanie rekomendacji umożliwiających dokonanie niezbędnych zmian i poprawę wydajności; - bezpośrednia lub pośrednia pomoc w zidentyfikowaniu możliwości dostarczania więcej albo lepszych produktów i usług po takim samym koszcie lub taniej; - wsparcie kierownictwa operacyjnego w wysiłkach zmierzających do poprawy wydajności; - podkreślenie znaczenia pomiaru wydajności i używanie uzyskanych informacji dla lepszego zarządzania operacyjnego, w tym do przypisania odpowiedzialności za wydajność; - identyfikacja metod poprawy wydajności, nawet w operacjach, gdzie wydajność jest trudna do zmierzenia; - zademonstrowanie możliwości obniżania kosztów produkcji i usług bez zmniejszana ilości i jakości produkcji albo poziomu usług; 41 K. Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 r. 42 jw. 34 - wzrost lub poprawa jakości produkcji oraz usług bez powiększania wydatków; - identyfikacja słabości w istniejących kontrolach i procesach w celu lepszego użycia zasobów. 2.4. AUDYT WYNAGRODZEŃ W obecnych czasach obszar wynagrodzeń jest jednym z najpoważniejszych elementów kosztów operacyjnych firmy, z tego też względu dogłębna analiza tych kosztów oraz umiejętność wykorzystania przepisów prawa pracy i ubezpieczeń społecznych staje się niezbędną wiedzą do prawidłowego funkcjonowania w przedsiębiorstwie. Ponadto system wynagrodzeń stosowany w firmie jest jednym z elementów budowania trwałych i dobrych relacji między pracodawcą a pracownikiem. Audyt wynagrodzeń polega na precyzyjnym i wnikliwym odniesieniu poziomów i zakresów wynagrodzeń do oferty uposażeń sektorów, które stanowią bezpośrednią konkurencję na rynku pracy. Audyt wynagrodzeń pozwala na: 43 - racjonalizację budżetu wynagrodzeń; - ocenę konkurencyjności oferty wynagrodzeń całej organizacji, poszczególnych działów oraz pojedynczych stanowisk; - weryfikację skuteczności wykorzystywanych elementów motywacyjnych z punktu widzenia celów organizacji i potrzeb jej pracowników; - ocenę efektywności budżetu wynagrodzeń firmy na tle rynkowych stawek płac. Kierownictwo firmy, które chce przewartościować swoją politykę płacową lub zweryfikować poprawność funkcjonującego systemu motywującego, może zwrócić się do audytorów z prośbą o przeprowadzenie audytu wynagrodzeń. Audytorzy mogą zasugerować następujące rodzaje programów:44 1. Program pierwszy (model istniejący) – analiza istniejącego systemu wynagrodzeń, której wynikiem jest raport diagnostyczny ze szczególnym uwzględnieniem układu oraz wysokości kosztów wynagrodzeń wraz z propozycją kierunku zmian; 2. Program drugi (model docelowy) – zaprojektowanie systemów wynagrodzeń, zintegrowanych 43 44 z pozostałymi elementami systemu motywacyjnego http://hrk.pl jw. 35 a jednocześnie uwzględniającymi możliwości finansowe firmy oraz oczekiwania kierownictwa odnośnie konkurencyjności ich wynagrodzeń w porównaniu z liderami w branży. Wynikiem prac jest przedstawienie kilku wariantowych propozycji proponowanego systemu płacowego na bazie dotychczasowych rozwiązań w zakresie wynagrodzeń; 3. Program trzeci – pomoc w tworzeniu wewnętrznych aktów normatywnych regulujących problematykę kadrowo-płacową firmy z uwzględnieniem zmian w prawie pracy. Na podstawie Regulaminu Pracy , Zakładowego Układowego Zbiorowego Pracy lub Regulaminu Wynagradzania audytor stara się wygenerować takie podstawy prawne, które nie pozostawią luk i nieścisłości w systemie oraz zapewnią wszystkim zainteresowanym stronom (pracownikom i pracodawcom) sprawiedliwe i satysfakcjonujące warunki pracy; 4. Program czwarty – istotną rolę w procesie zmian pełni odpowiednio przygotowana kampania informacyjna. Wdrażanie nowych rozwiązań bez pełnego wsparcia zmian ze strony zainteresowanych nie ma racji bytu w dłuższej perspektywie czasowej. Z tego też względu może zostać zaproponowane przeprowadzenie szkolenia przygotowującego do wprowadzanych zmian oraz umożliwiające zrozumienie ich kierunku i charakteru; 5. Program piąty – sprawdzenie poprawności prowadzonej dokumentacji pracowniczej oraz rozliczeniowej pod kątem zgodności z obowiązującymi w tym zakresie przepisami dotyczących pracowników. 2.5. AUDYT PERSONALNY Od wielu lat podkreśla się, że kapitał ludzki ma decydujący wpływ na osiągane przez firmę wyniki. Pracownicy są najważniejszym, a zarazem nieustannie zmieniającym się potencjałem przedsiębiorstwa. Cała sztuka zarządzania personelem polega na tym, aby właściwie rozpoznawać i wykorzystywać ten potencjał. Z tego też względu każde przedsiębiorstwo powinno regularnie sprawdzać w jakim stopniu pracownicy kwalifikują się do zajmowania określonych stanowisk. Szczegółowa i dogłębna analiza potencjału pracowników wskazana jest zwłaszcza w sytuacjach, gdy firma chce lub musi podjąć ważne decyzje kadrowe dotyczące jej obecnych pracowników. Dokonana w ten sposób ocena pozwala na obiektywne spojrzenie na umiejętności i kwalifikacje własnych pracowników. Ocenie mogą być poddawane całe grupy lub pojedynczy pracownicy, bowiem cytując Philipa Crosby’ego „najważniejsze jest dobranie właściwej osoby do właściwego zadania”. 36 Procedura oceny potencjału powinna być dostosowana do specyfiki firmy. Poniżej zaprezentowany został przykładowy projekt audytu, obejmujące następujące etapy:45 1. etap I – wywiad kwalifikacyjny ukierunkowany na ocenę przebiegu kariery zawodowej, aspiracji zawodowych, motywacji do podjęcia nowych obowiązków, diagnozę umiejętności interpersonalnych i radzenia sobie w trudnych sytuacjach. Dane z wywiadu stanowią podstawę do weryfikacji wniosków z diagnozy uzyskanej przy pomocy testów psychologicznych; 2. etap II – ocena poziomu przygotowania merytorycznego poprzez weryfikację deklarowanego przygotowania zawodowego i kwalifikacji zawodowych w stosunku do stanowiska pracy oraz potencjalnych możliwości pracownika; 3. etap III – sprawdzanie znajomości języków obcych w zakresie biernym i czynnym, porównanie uzyskanych wyników z deklarowaną znajomością języka; 4. etap IV – na ten etap mogą składać się m.in.: - test służący do oceny stylu kierowania – umożliwia on ocenę preferowanego przez menadżera stylu kierowania, zdefiniowanie jego stosunku do zespołu pracowniczego zdiagnozowanie oraz do przyszłych realizowanych przez konsekwencji niego wyboru zadań, osoby na a także stanowisko kierownicze; - test ukierunkowany na diagnozę umiejętności poznawczych – pozwala on na określenie poziomu wiedzy ogólnej, umiejętnościami rozumienia i logicznego interpretowania sytuacji; - test do pomiaru poziomu inteligencji ogólnej – bada inteligencję płynną niezależną od wpływów kulturowych z głównym ukierunkowaniem na diagnozę umiejętności analitycznych; - test temperamentu – pozwala na określenie podstawowych wymiarów osobowości opisujących formalne aspekty zachowania, który umożliwia ponadto ocenę przydatności zawodowej do prac wymagających określonych predyspozycji; - test osobowości – pozwala na pełny opis osobowości oraz ocenę możliwości adaptacyjnych w środowisku zawodowym, pozwala na określenie umiejętności społecznych oraz predyspozycji do pracy w zespole lub indywidualnie. - test diagnozujący umiejscowienie poczucia kontroli w sytuacji zawodowej – pozwala na wyselekcjonowanie osób o wysokim poczuciu kontroli nad rzeczywistością o dużej sprawności i skuteczności działania; 45 www.bdi.com.pl 37 - test umiejętności interpersonalnych – pozwala na ocenę kompetencji społecznych w różnych sytuacjach życiowych, określa poziom kompetencji w sytuacji ekspozycji społecznej, sytuacjach wymagających asertywności oraz bliskiego kontaktu interpersonalnego. Na zakończenie projektu oceny potencjału sporządzany jest kompleksowy raport obejmujący jednocześnie analizę wyników testów oraz szczegółową relację z ustrukturyzowanego wywiadu. Jakościowa i ilościowa analiza testowa jest ukierunkowana na funkcjonowanie diagnozę intelektualne, kompetencji i funkcjonowanie predyspozycji na społeczne osobowościową. Raport na temat kapitału ludzkiego firmy obejmuje: obszarach: oraz ocenę 46 - analizę kompetencji menedżerskich i psychologicznych; - analizę słabych i mocnych stron personelu; - omówienie wyników poszczególnych grup menedżerów sztabowych i liniowych; - wnioski dotyczące możliwości osiągnięcia przez pracowników celów organizacji; - sugestie dotyczące kierunku rozwoju poszczególnych grup pracowników. Ponadto w raporcie końcowym może zostać przedstawiona charakterystyka profilu poszczególnego pracownika umożliwiająca dokonanie łatwego porównania z innymi ocenianymi pracownikami. Indywidualna ocena pracownika to:47 - ocena potencjału intelektualnego; - charakterystyka osobowości; - ocena funkcjonowania społecznego; - zdefiniowanie słabych i mocnych stron; - sporządzenie profilu kariery zawodowej; - podsumowanie. Jak widać z powyższych rozważań audyt personalny to usługa diagnozy i oceny umiejętności zawodowych, składników osobowości oraz motywacji budujących kompetencje pracownika. Usługa ta przynosi korzyści zarówno pracodawcy, jak i pracownikowi. Do korzyści osiąganych przez pracodawcę można zaliczyć:48 - uzyskanie informacji na temat posiadanego potencjału; - możliwość wykorzystania posiadanej wiedzy w planowaniu ścieżek rozwoju czy awansu; 46 47 www.sedlak.com.pl jw. 38 - możliwość wykorzystania posiadanej wiedzy w obszarze działu kadr: planowanie szkoleń, planowanie redukcji zatrudnienia, oceny okresowe; - obsada stanowisk zgodnie z potencjałem pracowników; - możliwość optymalnego wykorzystania kompetencji pracowników. Z kolei korzyściami uzyskanymi przez pracownika są: - posiadanie rzetelnej wiedzy na temat własnych kompetencji i umiejętności; - poznanie obszarów wymagających poprawy; - możliwość zaplanowania kierunku dokształcania, szkolenia. 2.6. AUDYT MENEDŻERSKI Według definicji przedstawionej przez G.A. Cole’a audyt menedżerski jest metodą rozpoznawania kompetencji zawodowych i behawioralnych kadry kierowniczej oraz dostosowywania ich do pożądanych profili kompetencji dla poszczególnych stanowisk kierowniczych tak, aby zapewnić realizację strategii przedsiębiorstwa.49 Rozpoznawanie kompetencji zawodowych i behawioralnych kadry kierowniczej służy dążeniu do wzmocnienia efektywności działania kluczowych osób w danej firmie. Ten rodzaj audytu stosowany jest od początku lat osiemdziesiątych jako metoda, która pozwala określić potrzeby szkoleniowe kierowników, planować ich rozwój, przygotowywać plany sukcesji na stanowiskach kierowniczych oraz stosować odpowiednio dobrane instrumenty wzmacniania potencjału kadrowego firmy. Do głównych przyczyn przeprowadzania audytu menedżerskiego zaliczyć można:50 - połączenia i przejęcia przedsiębiorstw, - internacjonalizacji działalności przedsiębiorstw, - nowe strategie rozwoju, - formowanie nowej kultury przedsiębiorstwa, - przekształcenia strukturalne, - kryzysy, - prywatyzacja przedsiębiorstwa, - identyfikacja menedżerów zdolnych zarządzać firmą, - przygotowywanie planów sukcesji stanowiskowej, - wzmacnianie potencjału kadrowego, 48 www.inwenta.pl Cole G.A. “Personnel Management” Letts Educational Aldine Place, Londyn 1997 r. 50 http://www.kadry.info.pl 49 39 - określanie potrzeb szkoleniowych i rozwojowych. Zadaniem audytu menedżerskiego , podobnie jak audytu personalnego , jest charakterystyka obszarów badawczych i planowanego zastosowania metod testowych w celu przedstawienia analizy potencjału zawodowego kadry kierowniczej poprzez analizę kompetencji, umiejętności, cech osobowych i potencjału rozwojowego. Z tego względu istotnym elementem przeprowadzanego audytu staje się psychologiczne przygotowanie audytu menedżerskiego, czyli:51 - zapoznanie kierowników z celami, zasadami I metodami audytu; - przeprowadzenie konsultacji, wzbudzenie zaufania kierowników do audytu, uzyskanie poparcia osób znaczących w organizacji; - zapewnienie kierowników, iż szczegółowe wyniki audytu będą utajnione; - zapewnienie o realnych korzyściach z przeprowadzanego audytu – audyt dostarczy przecież kierownikom informacji o ich kompetencjach, słabych i mocnych stronach oraz możliwościach szkolenia I rozwoju indywidualnego; - unikanie posunięć gwałtownych. W tym miejscu chciałabym przedstawić przykładowe obszary badania w audycie menedżerskim. Są to: Umiejętności I predyspozycje Umiejętności związane z Pogłębione badanie ogólne: zarządzaniem: kompetencji osobistych: • kompetencje społeczne • styl zarządzania • • komunikacja • umiejętność • zdolności i syntetyczne • umiejętność adaptacji • otwartość na zmiany • zdolności • • przyswajania • kreatywność • inicjatywa 51 • • umiejętność perswazji i pewność siebie diagnozy i oceny sytuacji • wytrwałość zdolności negocjacyjne • odpowiedzialność ustalanie celów krótko- • i długoterminowych sobie nowej wiedzy • umiejętność emocjonalne wyboru priorytetów analityczne zrównoważenie • umiejętność zarządzania czasem samodzielność myślenia umiejętność organizacji zadań • entuzjazm i elastyczność • delegowanie zadań • umiejętność • autonomia rozwiązywania konfliktów • poziom uwewnętrznienia w działaniu http://www.kadry.info.pl 40 • norm społecznych odporność na stres • rodzaj motywacji Źródło: Opracowanie własne na podstawie procedury badawczej znajdującej się na stronie http://www.hric.pl. Efektem przeprowadzonego audytu menedżerskiego jest możliwość opracowania indywidualnych planów rozwoju dla poszczególnego kierownika.. Plany te dotyczą głównie takich zakresów, jak: zarządzanie personelem, komunikowanie, zdolności interpersonalne, umiejętność pracy w zespole, umiejętność podejmowania decyzji etc., zarządzanie jakością, umiejętność obsługi komputera, informacje z zakresu ekonomii oraz prawa pracy. 2.7. AUDYT KOMUNIKACYJNY W procesie zarządzania komunikacją wewnętrzną pierwszoplanową rolę odgrywa analiza jej obecnego stanu, czyli tego, jakie są jej silne i słabe strony. Nie wolno zapomnieć o podstawowej zasadzie dotyczącej efektywności komunikacji – efektywna, to znaczy odpowiadająca potrzebom pracowników, czyli analiza stanu komunikacji wewnętrznej powinna być prowadzona z punktu widzenia ich potrzeb. Narzędziem, które służy szczegółowej i wszechstronnej analizie komunikacji wewnętrznej, jest audyt komunikacyjny. Audyt komunikacyjny polega na systematycznym i kompletnym badaniu sposobów i efektów komunikowania się firmy ze swoim otoczeniem wewnętrznym i zewnętrznym. Jego przedmiotem jest dokumentacja potrzeb, polityki, praktyk i możliwości komunikacyjnych oraz przedstawienie niezbędnych danych pozwalających zarządowi podjąć skuteczne decyzje wobec przyszłych celów komunikacji organizacji. Metody badań są dobierane stosownie do potrzeb, mogą to być np. wywiady z pracownikami różnych szczebli tak dobranymi ilościowo, aby ich odpowiedzi odzwierciedlały trendy występujące w organizacji (zwykle audyt dotyczy 25 % zatrudnionych). Moment rozpoczęcia audytu jest dla pracowników sygnałem: „firma chce usłyszeć nasze opinie”. Wiąże się to z motywacyjnym działaniem audytu, zwykle bowiem pracownicy nie mają zbyt dużych możliwości wypowiedzenia się na temat swojej firmy. Ponadto w sytuacji, gdy firma jest już w trakcie zmian, audty 41 komunikacyjny może służyć jako „katalizator” opinii, gdyż zmiany zawsze powodują napięcia w firmie, pracownicy często nie są pewni swojej przyszłości. Możliwość porozmawiania z kimś może przyczynić się do zmniejszenia napięcia, pracownicy czują, że wreszcie ktoś zechciał wysłuchać ich uwag na temat zmian. Wykorzystanie w/w wartości wymaga spełnienia kilku warunków, bez których audyt w wielu wypadkach nie ma szans powodzenia. Pierwszym warunkiem powodzenia audytu jest zbadanie komunikacji w firmie. Bardzo ważnym elementem jest akcja nagłaśniająca badanie – informacja o audycie powinna o kilka dni poprzedzać rozpoczęcie badania. Ponadto informacja powinna krótko opisywać cele i sposób badania oraz zawiadomić pracowników o gwarancji zachowania przez nich anonimowości. Konieczne jest również zbudowanie jak najszerszego wsparcia dla badań, aby jak najwięcej pracowników zechciało w nich uczestniczyć. Szczególnie istotną sprawą jest zaangażowanie kierowników. Poza komunikacją audyt powinien obejmować te obszary, które są silnie z komunikacją powiązane, m. in: kulturę firmy, relacje z przełożonym, satysfakcję z pracy, identyfikację z firmą, nastawienie do oferowanych produktów. Tylko przy uwzględnieniu wszystkich tych obszarów badanie można uznać za pełnowartościowe, nie da się bowiem przeciąć wzajemnego wpływu jakości komunikacji oraz wymienionych obszarów. Dodatkowo istotną sprawą jest, aby nie korzystać w takim badaniu z gotowych wzorców ankiet. Nie wolno zapominać o tym, iż im ankieta dłuższa, tym mniej chętnie będzie wypełniana. Ankieta powinna z reguły dać się wypełnić w 10 – 15 minut oraz musi zawierać tylko to, co rzeczywiście jest istotne z punktu widzenia firmy. Przykładowe pytania w wywiadach z pracownikami lub w ankietach mogą brzmieć w sposób następujący:52 - czy otrzymujesz wszystkie informacje niezbędne do wykonywania powierzonej pracy?; - czy notatki służbowe i komunikaty są jasne i zrozumiałe?; - jaką drogą docierają aktualizacje I informacje o zmianach w firmie lub wydziale?; - co funkcjonuje dobrze, a co źle w obecnym systemie przepływu informacji? Jak można to poprawić? Czy już próbowałeś to zrobić? Z jakim efektem?; - do kogo masz większe zaufanie – do swoich współpracowników, bezpośrednich przełożonych, kierowników wydziałów, dyrektorów czy samego prezesa?; - 52 czy rozmawiasz o pracy lub firmie poza zakładem? Co mówisz?. www.pressence.com.pl 42 Przy audycie komunikacyjnym istotną rolę odgrywa też sposób opracowywania wyników z przeprowadzonego badania. Zadaniem audytora nie jest bowiem zinterpretowanie otrzymanych wyników w procentach, powinien on skoncentrować swoje wysiłki na uchwyceniu zależności pomiędzy odpowiedziami w różnych grupach pracowników, np. w następujących kategoriach: centrala – teren, kierownicy – pracownicy szeregowi. Sumy danych dla wszystkich pracowników nie dostarczają zbyt wiele informacji, natomiast wyniki dla różnych grup pracowników mogą okazać się pełniejsze, np. czy pracownicy w centrali są lepiej poinformowani niż w terenie czy też odwrotnie, jakie są potrzeby informacyjne w poszczególnych grupach pracowników. Przedstawiony powyżej sposób przeprowadzania audytu komunikacyjnego można odnieść raczej większych firm zatrudniających większą liczbę pracowników i posiadających swoje oddziały w różnych częściach kraju lub w różnych krajach. Mniejsze firmy mogą także przeprowadzić analizę przepływu komunikacji, np. poprzez osobiste zbieranie opinii. Dzięki zbudowaniu jak najlepszych relacji z pracownikami można się dużo dowiedzieć na temat efektywności działań komunikacyjnych.53 Jedną z firm, która położyła duży nacisk na komunikację wewnętrzną jest Bank Przemysłowo-Handlowy. Za tę sferę odpowiada w nim kilkuosobowy zespół, działający we współpracy z Departamentem Promocji, co umożliwia pełną koordynację komunikacji zarówno wewnętrznej, jak i zewnętrznej. W roku 2000 zespół ten rozpoczął przygotowania planu działań komunikacyjnych związanych z planowaną restrukturyzacją w firmie. Pierwszym krokiem był właśnie audyt komunikacyjny, który został przeprowadzony na przełomie września i października 2000 roku. Było to badanie, które miało pomóc w poznaniu silnych i słabych stron komunikacji wewnętrznej i nastawień pracowników (metoda ta jest często wykorzystywana przez firmy na zachodzie Europy i w USA, natomiast w Polsce stosuje ją niewiele firm). Przed przeprowadzeniem audytu odbyło się szkolenie wszystkich dyrektorów oddziałów banku na temat znaczenia komunikacji wewnętrznej w mających nastąpić zmianach. W badaniu wykorzystano dwa narzędzia. W pierwszym etapie przeprowadzono 61 wywiadów z pracownikami różnych szczebli. Otrzymany materiał posłużył do przygotowania ankiety, którą objęto 2235 pracowników, w tym wszystkich w centrali i wybranych pracowników w co piątym oddziale banku. Ankiety były anonimowe, ich dystrybucję 53 i zbieranie przeprowadzali wybrani pracownicy poszczególnych www.opoka.org.pl 43 departamentów. Ankiety wypełniło w sumie 1400 osób, czyli 62,2 % badanych. Audyt pokazał zróżnicowanie opinii: 63 % deklarowało zadowolenie z pracy, 8 % niezadowolenie. Ponadto w czasie badań okazało się, że w przypadku zmian zachodzących w firmie pracownicy oczekują otrzymywania coraz więcej informacji. Na ogół potrzeby te trudno zaspokoić, ludzie czują się niedoinformowani, szerzą się plotki – właśnie na te zjawiska wskazali pracownicy BPH, którzy od swoich bezpośrednich przełożonych oczekiwali informacji na temat celów i przyszłości swoich departamentów i oddziałów. Wyniki ankiety zostały przedstawione zarządowi banku, który pod ich wpływem podjął decyzje dotyczącą potrzeby przeprowadzenia działań doskonalących komunikację. W grudniu firma zorganizowała warsztaty dla wszystkich dyrektorów na temat komunikowania zmian pracownikom. Dyrektorzy otrzymali wyniki audytu w formie prezentacji, ponadto we współpracy z departamentem zarządzania zasobami ludzkimi zostały zorganizowane warsztaty dla dyrektorów, którzy dzięki temu mieli możliwość praktycznego przećwiczenia trudnych i rozmów szczegółowo z pracownikami. omawiane były Inscenizowane, scenki, w których nagrywane przełożony na wideo przekazywał pracownikowi negatywną informację. Ponadto z wynikami audytu zostali zapoznani także wszyscy pracownicy banku na łamach specjalnego wydania wewnętrznego biuletyny BPH. Audyt komunikacyjny w Banku Przemysłowo-Handlowym potwierdził, iż należy wzmocnić rolę kierowników w komunikacji wewnętrznej. Wcześniej główną rolę przekaźnika informacji pełnił firmowy biuletyn składający się z kilkudziesięciu stron informacji o firmie, zawierający m.in. wywiady z członkami zarządu o aktualnych wydarzeniach, teksty edukacyjne itp. Audyt komunikacyjny wskazał konieczność rozwoju nowych narzędzi komunikacji wewnętrznej, na potrzeby pracowników powstał inny biuletyn, który wysyłany jest do elektronicznych skrzynek departamentów, a stąd rozsyłany jest do skrzynek pracowników oraz wywieszany jest na tablicy ogłoszeń. Informacje rozsyłane są dzień wcześniej do menedżerów, dzięki czemu otrzymują oni je przed podwładnymi oraz mają możliwość przekazania ich pracownikom. Następnie informacja zostaje rozesłana do pracowników, którzy powinni już zostać poinformowani o nadchodzących zmianach przez swoich przełożonych. Jeśli informacja nie dotarła do pracowników od ich bezpośrednich zwierzchników, to świadczy to o nie wykorzystaniu przez przełożonych możliwości wzmocnienia swojego autorytetu. Ponadto działania te miały dać pracownikom poczucie, że nikt nie ukrywa przed nimi informacji, a firma dba o to, by na bieżąco byli zorientowani w działaniach dyrekcji, co w przypadku restrukturyzacji było bardzo 44 ważne. Pracownicy regularnie otrzymywali wiedzę o związanych z firmą planach, negocjacjach ze związkami zawodowymi, działaniach wobec osób zwalnianych.54 2.8. AUDYT MARKETINGOWY W wyniku przekształceń ustrojowych i przemian gospodarczych zachodzących w Polsce w latach 90-tych, wiele firm utworzyło działy marketingu i sprzedaży. W wyniku rozwoju tych działów zmieniały się ich obowiązki oraz rola w firmie. Dla usystematyzowania podejmowanych działań, istniejącej wiedzy rynkowej oraz roli działu marketingu w firmach niezbędny stał się audyt marketingowy. Audyt ten jest przeglądem istniejącej organizacji i sposobu realizacji funkcji marketingowej firmy. Jego celem jest ocena:55 - misji, celów i strategii marketingowej firmy, - sprawności organizacji służb marketingu i sprzedaży, - istniejących systemów marketingowych (planowania, kontroli, informacji marketingowej, rozwoju produktów), - efektywności realizowanych działań marketingowych, - realizacji funkcji marketingowych firmy, - identyfikacja trudności i szans rozwojowych oraz sformułowanie planów mających na celu poprawę marketingu przedsiębiorstwa. Audyt marketingowy stanowi podstawowe narzędzie służące do oceny stanu funkcjonowania przedsiębiorstwa, jest podstawą w budowaniu przez zarząd firmy strategii marketingowej oraz w wyborze najwłaściwszego kierunku w procesie ewentualnej restrukturyzacji. W ramach audytu marketingowego wyróżnić można następujące rodzaje badań:56 - makrośrodowiska (demograficzne, ekonomiczne, ekologiczne, technologiczne); - środowiska, w którym prowadzona jest działalność (rynki, klienci, konkurenci, dystrybucja i dealerzy, dostawcy, usługodawcy, społeczeństwo); - audyt strategii marketingowej (misja biznesu, cele i zadania marketingu, strategia); 54 opracowano na podstawie materiałów wewnętrznych Banku Przemysłowo-Handlowego oraz na podstawie artykułu autorstwa W. Staruchowicza Rzeczpospolita z 1sierpnia 2001 r. 55 www.doradca.com 56 www.sandner.com.pl 45 - audyt organizacji marketingu (struktura formalna, efektywność funkcjonalna, efektywność współpracy działu marketingu z innymi działami firmy); - audyt systemów marketingu (system informacji marketingowej, systemy planowania marketingowego, system kontroli marketingu, system rozwoju nowego produktu); - audyt produktywności marketingu (analiza rentowności, analiza efektywności); - audyt funkcji marketingu (produkty, cena, dystrybucja, reklama i promocja sprzedaży, personel sprzedaży, internetowe strony www); - wspomaganie w wyborze systemu do wspomagania procesu sprzedaży CRM (Customer Relationship Management); - audyt informatyczny w zakresie wyboru systemu do wspomagania zarządzania przedsiębiorstwem. Audyt marketingowy obejmuje ponadto źródła i nośniki informacji, procedury pozyskiwania, przetwarzania i analizowania danych oraz rozwiązania organizacyjne sytuujące ją w strukturze zarządzania firmą. Generowane informacje stanowią podstawę do badania dotychczasowych kierunków działań, zmian zachodzących w przedsiębiorstwie i jego otoczeniu, analizy silnych i słabych stron firmy oraz osiągniętych wyników, jak również przyczyniają się do ulepszania zarządzania marketingowego, a co za tym idzie przyczyniają się do ulepszania zarządzania całym przedsiębiorstwem. Korzyści z audytu marketingowego dla przedsiębiorstwa mogą okazać się bardzo ważne, gdyż audyt ten może np. zidentyfikować nowe potencjalne dziedziny biznesu, zasugerować nowy rodzaj usług dla klientów, ujawnić luki w kompetencjach technicznych i szkoleniach pracowników, poczynić wiele praktycznych sugestii, a także może służyć jako pierwszy krok na drodze do analizy ogólnej strategii firmy i systematycznego zastosowania zarządzania strategicznego. 2.9. AUDYT LOGISTYCZNY W czasach zahamowania rozwoju gospodarczego, spadku sprzedaży praktycznie we wszystkich branżach firmy zmuszone są do szukania oszczędności i ograniczenia kosztów, są okazją do zrewidowania i raportowania i zoptymalizowania procesów biznesowych. Z uwagi na znaczny udział w kosztach operacyjnych i wpływ na efektywność przedsiębiorstwa procesy logistyczne mają tu kluczowe znaczenie. 46 Logistykę przedsiębiorstwa należy rozpatrywać w kilku aspektach, które brane są pod uwagę podczas przeprowadzania audytu:57 - jakość – wartościowanie jakościowe całego łańcucha dostaw: od zaopatrzenia, planowania produkcji, składowania po dystrybucję, przeanalizowanie wskaźników i przyczyn błędów, kompletności dostaw, wielkości zapasów; - technika – ocena przydatności i dyspozycyjności posiadanych instalacji, ergonomii stanowisk pracy I zachowania norm bezpieczeństwa; - procesy – ocena wydajności procesów, analiza przepływu dóbr pod względem zamówień, klientów lub grup produktów, czasy poszczególnych operacji, ilość personelu, koszty logistyczne; - powierzchnie – optymalne wykorzystanie powierzchni produkcyjnych i logistycznych jest kluczem do uniknięcia zbędnych kosztów lub dodatkowych nakładów inwestycyjnych. Audytor dysponując bazą wielkości porównawczych wykazuje nieefektywne wykorzystanie powierzchni i określa możliwości poprawy uzyskując tą drogą potencjały oszczędności; - informatyka – system informatyczny powinien w maksymalnym stopniu eliminować czynności ręcznego wprowadzania danych, kontrolowania stanów i wysyłki. Podczas audytu bada się architekturę systemu włącznie z komunikacją z klientami, sterowaniem procesami przyjęcia, składowania, kompletacji i wysyłki, tzn. zarządzaniem magazynem. Audytor koncentruje się na bezpieczeństwie funkcyjnym połączeń i protokołów oraz ewentualnych ograniczeniach dla logistyki wynikających z błędów lub braku określonych funkcji systemu informatycznego; - czynniki zewnętrzne – wymagania klientów, struktura, wielkość i ilość zamówień, warunki transportu, techniki produkcji, opakowań itp. Podlegają ciągłym zmianom mającym wpływ na logistykę przedsiębiorstwa. W ramach audytu precyzuje się wskaźniki zewnętrzne, takie jak struktura zamówień, parametry artykułów, czasy dostaw, poziom obsługi rynku (czas od zamówienia do dostawy do klienta) oraz określa się stopień spełnienia wymagań klientów I możliwości jego poprawy. Kompleksowy audyt systemu logistycznego przedsiębiorstwa zwykle polega na przeprowadzeniu następujących czynności:58 - identyfikacja i ocena stanu istniejącego, - określenie przyczyn nieprawidłowości, - wskazanie zmian poprawiających funkcjonowanie systemu logistycznego, - określenie sposobu i kolejności wdrażanych zmian. 57 www.logistykafirm.com 47 W załączniku nr 3 przedstawiono przykład opracowania audytu systemu logistycznego dla firmy X. Celem audytu jest dostarczenie zarządowi przedsiębiorstwa podstaw do podejmowania decyzji strategicznych w zakresie zarządzania procesami przepływów logistycznych. Najczęściej największy nacisk położony jest na przepływ informacji towarzyszący przepływom od zaopatrzenia, poprzez produkcję i procesy magazynowe obejmujące: przyjęcie, składowanie i kompletację towarów, aż po ich dystrybucję do ostatecznego odbiorcy. Korzyści z przeprowadzenia audytu logistycznego są bardzo duże. Po pierwsze usprawnienie logistyki skutkuje obniżeniem jej kosztów i poprawą jej jakości. W wielu firmach koszty logistyczne nie są odrębnie monitorowane i dopiero audyt logistyczny wykazuje możliwy potencjał oszczędności w tym zakresie. 58 www.wandalex.pl 48 PODSUMOWANIE Audyt wewnętrzny w przepisach ustawy o finansach publicznych został określony jako ogół działań, przez które kierownik jednostki uzyskuje obiektywną i niezależną ocenę funkcjonowania jednostki w zakresie gospodarki finansowej pod względem legalności, gospodarności, celowości, rzetelności, a także przejrzystości i jawności. Stosowanie powyższych mierników, służących jako kryteria oceny gospodarki finansowej jednostki sektora finansów publicznych wymaga pogłębionej analizy w odniesieniu do celów i działań audytu wewnętrznego. Audytorzy wewnętrzni, badając kolejno poszczególne wskaźniki w obszarach obarczonych najwyższym ryzykiem, poszukują odpowiedzi na pytania, czy podjęte działania nie naruszały obowiązujących przepisów prawa, spełniały określone kryteria kosztów, były uzasadnione i potrzebne, zadania i działania nie były fikcyjne, tzn, że poszczególne operacje wystąpiły w rzeczywistości, zostały poprawnie udokumentowane i poddane określonym procedurom formalnym. Instytucja audytu istnieje od XIX wieku. Początkowo audyt miał jedynie charakter zewnętrzny, jednak wraz z rozwojem ekonomicznym podmiotów działających na rynku – wzrostem organizacji, ich rosnącym skomplikowaniem, a także specjalizacją technologiczną operacji, zrodziła się konieczność stworzenia audytu wewnętrznego. Powstanie pierwszych komórek audytu wewnętrznego odnotowuje się po II wojnie światowej. Pierwotnie audyt wewnętrzny koncentrował się na sprawach związanych z finansami i księgowością, dopiero później zaczął obejmować całość zagadnień związanych z funkcjonowaniem organizacji świadcząc usługi zapewniające oraz doradcze. Wynikało to głównie z potrzeby dokonywania w miarę obiektywnej oceny systemu zarządzania ryzykiem, kontroli i procesów nadzoru.59 Audyt wewnętrzny był początkowo powoływany w podmiotach prywatnych, z czasem jednak zaczął pojawiać się w ramach organizacji administracji publicznej, dla przykładu, w Komisji Europejskiej audyt wewnętrzny pojawił się na skutek zmian i reformy istniejących struktur kontroli wewnętrznej. Wyodrębniona rola audytu wewnętrznego została usankcjonowana w 2001 roku.60 Zgodnie z art. 85 i 86 rozporządzenia „każda z instytucji Unii Europejskiej ma ustanowić funkcję audytu wewnętrznego, która musi być wykonywana zgodnie z właściwymi międzynarodowymi standardami. Zadaniem audytora wewnętrznego jest wspieranie instytucji w zakresie zarządzania ryzykiem poprzez wydawanie niezależnej opinii 59 Praca zbiorowa “Audyt wewnętrzny – spojrzenie praktyczne” Stowarzyszenie Księgowych w Polsce Warszawa 2003 60 Rozporządzenie Rady Unii Europejskiej nr 762/2001 z 9 kwietnia 2001 r. 49 o jakości systemów zarządzania i kontroli oraz wydawanie rekomendacji w celu usprawnienia realizacji operacji”. Podstawową cechą wprowadzonych zmian było wyodrębnienie funkcji audytu wewnętrznego od funkcji kontroli finansowej, w formie dotychczas występującej w Komisji Europejskiej. Opracowania Komisji Europejskiej na temat wzajemnych relacji pomiędzy systemem kontroli wewnętrznej a audytem wewnętrznym wskazują na przejście z dotychczasowego systemu kontroli wewnętrznej opartej głównie na kontroli ex-ante i typowych mechanizmach kontroli zarządczej, jak i z elementami kontroli ex-post w postaci audytu wewnętrznego. 61 Argumentem za takim kierunkiem zmian podejścia do systemu kontroli wewnętrznej była przede wszystkim nieefektywność dotychczasowego systemu. Kwestią o zasadniczym znaczeniu dla skuteczności funkcjonowania kontroli wewnętrznej w Komisji Europejskiej jest wyraźny rozdział kompetencji pomiędzy komórki kontroli wewnętrznej działające w dyrekcjach generalnych a Urząd Audytu Wewnętrznego. Wyraźnie silniejszą pozycję ma Urząd Audytu Wewnętrznego, który ma kontrolować jakość systemów kontroli wewnętrznej w dyrekcjach generalnych.62 Wprowadzenie idei audytu środków publicznych w państwach członkowskich przyniosło wymierne korzyści, polegające między innymi na zmniejszeniu możliwości dokonywania finansowych manipulacji tymi środkami. Nie istnieje jeden model audytu, który miałby obowiązywać państwa członkowskie. Tym niemniej, można zauważyć dwa zasadnicze modele: północy i południowy. W modelu południowym audyt wewnętrzny utożsamiany jest z kontrolą. Przykładowo we Francji nie istnieje typowy system audytu wewnętrznego. W większości instytucji dokonywane są inspekcje lub prowadzona jest stała kontrola finansowa przeprowadzonych operacji przez tzw. weryfikatorów. Model północny audytu Wewnętrznego bardziej odpowiada międzynarodowym standardom audytu wewnętrznego. Obowiązuje on np. w takich krajach jak Wielka Brytania czy Niemcy. Audyt wewnętrzny zajmuje się tam w istocie oceną systemów, a nie transakcji, dokonując analizy możliwych usprawnień w istniejącym systemie kontroli na potrzeby kierownictwa.63 W załączniku nr 4 przedstawiono przykładowe sposoby organizacji audytu wewnętrznego w krajach członkowskich Unii Europejskiej. W Polsce istnieje już kilka organizacji zajmujących się problematyką audytu wewnętrznego, między innymi Polski Instytut Kontroli Wewnętrznej z siedzibą w Warszawie (zrzesza audytorów i kontrolerów 61 Communication to the Commission, Clarification of the responsibilities of the key factors in the domain of internal audit and internal control in the Commission – Sec 59 z 17 stycznia 2003 r. oraz A New Framework for Resource Management and Internal Auditing in the Commission z 22 lutego 2000 r. 62 M.Kazimierczak “Reforma systemu kontroli wewnętrznej i audytu w Komisji Europejskiej: IX Konferencja Absolwentów KSAP, Warszawa 2002 r. 63 L.Smolak “Audyt w Unii Europejskiej” Gazeta Prawna z 3 czerwca 2003 r. 50 wewnętrznych, istnieje od 1999 r. z inicjatywy Brytyjskiego Funduszu Know-How), Oddział Międzynarodowego Stowarzyszenia Audytu Wewnętrznego w Polsce, zwany IIA-Polska. Nowoczesna firma nie może funkcjonować bez sprawnie zarządzanej komórki audytu wewnętrznego, który koncentruje się na analizie ryzyk powstających w firmie, bowiem to właśnie rozwój praktyk zarządzania wykreował ideę audytu. W polskiej rzeczywistości jest to jeszcze zjawisko nowe, wzbudza więc uzasadnione zainteresowanie szczególnie w środowisku audytorów sektora publicznego, wywołując wiele dyskusji na temat jego roli i miejsca. Niezwykle ważne jest więc prawidłowe ukształtowanie zasad wykonywania tego zawodu. Polski ustawodawca składnia się w stronę wykorzystania audytu w administracji publicznej jako narzędzia służącego ulepszaniu organizacji, a przede wszystkim wspomaganiu w osiąganiu przez nią celu, do jakiego została powołana. Ramy prawne stwarzają tu dużą swobodę wyboru odpowiedniego sposobu podejścia. Otwiera to z jednej strony wiele możliwości, ale jednocześnie stwarza też zagrożenia. Z uwagi na fakt, iż audyt wewnętrzny nie ogranicza się wyłącznie do obszaru finansowego, daje to możliwość spojrzenia na całość jednostki w celu poszukiwania i eliminowania słabych jej stron. Działanie to w zasadzie służy wspomaganiu kierownictwa całego sektora publicznego w osiągnięciu jego misji, a zwłaszcza w uzyskiwaniu satysfakcji obywateli poprzez dostarczanie dóbr i usług o najwyższej jakości. W Polsce obserwujemy swoistą powściągliwość w tempie wprowadzania audytu, co ma również swoje źródło w niepełnym zrozumieniu jego istoty. Jedynie nieliczne jednostki sektora publicznego mają gotowy pomysł na wdrożenie nowego stanowiska czy komórki organizacyjnej, co spowodowane jest głównie tym, że jednostki te mają swoje określone warunki działania. Nie należy jednak w tym wszystkim zapominać o służbie społeczeństwu, a takie funkcje wspomagające ma pełnić właśnie audyt wewnętrzny.64 64 J. Filipiuk, G. Gołębiowski “Audytor to nie wróg” Gazeta Prawna z 20 listopada 2002 r. 51 BIBLIOGRAFIA 1. A New Framework for Resource Management and Internal Auditing in the Commission” z dnia 22 lutego 2000 r. 2. Cole G.A. „Personnel Management” Letts Educational Aldine Place Londyn 1997 r. 3. Communication to the Commisssion, Clarification of the responsibilities of the key factors in the domain of internal audit and internal control in the Commisision – sec. 59 z dnia 17 stycznia 2002 r, 4. Czerwiński Krzysztof „Audyt Wewnętrzny – wydanie II” InfoAudit Sp. z o.o. Warszawa 2005 5. Czerwiński Krzysztof, Henryk Grocholski „Podstawy Audytu Wewnętrznego” Link Szczecin 2000 r. 6. Filipiuk Jolanta, Gołębiowski Grzegorz „Audytor to nie wróg” Gazeta Prawna z dnia 20 listopada 2002 r. 7. Gazeta Prawna z 23.06.2004 r. 8. Gołębiowski Grzegorz „Audyt wewnętrzny w administracji publicznej – kontrowersje wobec jego roli” Kontrola Państwowa nr 5/2003 r. 9. Kazimierczak M. „Reforma systemu kontroli wewnętrznej i audytu w Komisji Europejskiej” IX Konferencja Absolwentów KSAP Warszawa 2002 r. 10. materiały wewnętrzne Banku Przemysłowo-Handlowego 11. Praca zbiorowa „Audyt wewnętrzny – spojrzenie praktyczne” Stowarzyszenie Księgowych w Polsce Warszawa 2003 r. 12. Rozporządzenie Ministra Finansów z 5 lipca 2002 r. w sprawie szczegółowego sposobu i trybu przeprowadzania audytu wewnętrznego Dz. U. nr 111 poz. 973 13. Rozporządzenie Ministra Finansów z 20 grudnia 2002 r. w sprawie określenia kwot przychodów oraz wydatków środków publicznych dokonywanych w ciągu roku kalendarzowego, których przekroczenie powoduje obowiązek prowadzenia audytu wewnętrznego w jednostkach sektora finansów publicznych Dz. U. nr 234 poz. 1970 14. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 i r. w sprawie organizacyjnych, określenia jakim podstawowych powinny odpowiadać warunków urządzenia technicznych i systemy informatyczne 15. Rozporządzenie Rady Unii Europejskiej nr 762/2001 z 9 kwietnia 2001 r. 52 16. Saunders Edmund „Audyt I kontrola wewnętrzna w przedsiębiorstwie” Educator Akademia Polonijna w Częstochowie Częstochowa 2002 r. 17. Sekuła M. „Jaka jest różnica między audytem a kontrolą” Gazeta Prawna z 23 czerwca 2004 r. 18. Smolak Leszek. „Audyt w Unii Europejskiej” Gazeta Prawna z dnia 3 czerwca 2003 r. 19. Smolak Leszek „Kontrola I audyt w administracji publicznej – stan I perspektywy” materiały z konferencji odbywającej się w dniach 3-4 czerwca 2004 r. organizowanej przez MSWiA 20. Standards for the Professional Practice of Internal Auditing The Institute of Internal Auditors 2001 r. 21. Ustawa o finansach publicznych z 26 listopada 1998 r. Dz. U. z 2003 r nr 15 poz. 148 + późniejsze zmiany 22. Ustawa z dnia 29 września 1994 r. o rachunkowości Dz. U. z 2002 r. nr 76 poz. 694 + późniejsze zmiany 23. Wielka Encyklopedia PWN tom 2 Warszawa 2001 r. 24. www.audyt.ngo.pl 25. www.audytoprogramowania.pl 26. www.bdi.com.pl 27. www.cezar.waw.pl 28. www.ckzeto.com.pl 29. www.dcs.pl 30. www.doradca,com 31. www.edusoft.pl 32. www.ensi.net.pl 33. www.exegroup.pl 34. www.frso.pl 35. www.hric.pl 36. www.hrk.pl 37. www.infovide.pl 38. www.inwenta.pl 39. www.it-scs.com.pl 40. www.kadry.info.pl 41. www.logistykafirm.com 42. www.mf.gov.pl 43. www.nbp.pl 44. www.nik.gov.pl 53 45. www.opoka.org.pl 46. www.pressence.com.pl 47. www.promedia.iap.pl 48. www.safecomp.pl 49. www.sandner.com.pl 50. www.sedlak.com.pl 51. www.wandalex.pl 54 SPIS RYSUNKÓW 1. Przykładowy schemat organizacyjny Zespołu Audytu Wewnętrznego – str. 10 2. Cykl utrzymania bezpieczeństwa – str. 27 55 ZAŁĄCZNIKI 56 ZAŁĄCZNIK NR 1 PROGRAM BADANIA BEZPIECZEŃSTWA INFORMATYCZNEGO (PLAN PRZEPROWADZANIA TESTÓW PENETRACYJNYCH) 1. Etap przygotowawczy – na tym etapie powstaje wstępny harmonogram zawierający zakres prac: • przygotowanie i analiza dokumentacji, • wstępne testy penetracyjne zasobów (serwery oraz transmisja danych), skanowanie sieci • szczegółowe skanowanie systemów, • przygotowanie raportu z wykonanych testów. 2. Uzyskanie dostępu do dokumentacji systemu oraz zapoznanie się z testowanym systemem – na tym etapie zostają również zidentyfikowane istniejące ryzyka, mechanizmy je ograniczające oraz następuje określenie narzędzi niezbędnych do przeprowadzenia skanowania. Dostarczona dokumentacja powinna zawierać: • protokoły oraz procedury instalacyjne poszczególnych serwerów, • adresacja IP i schemat komunikacji sieciowej w systemie – przepływ danych, • informację dotyczącą otwartych portów TCP/UDP z informacją o procesach nasłuchujących, • konfiguracja istotnych procesów i parametrów systemu, • reguły programowe urządzeń filtrujących. 3. Testy penetracyjne środowiska – (wewnętrzne i zewnętrzne) proces ten ma na celu inwentaryzację systemów i aplikacji widocznych z sieci zewnętrznej i wewnętrznej, oraz identyfikację zasobów systemu. W skład testów penetracyjnych wchodzi: • Rekonesans sieci: badanie odpowiedzi DNS, badanie sieci metodami typu traceroute, poszukiwanie wycieków w architekturze sieci (np. źródła serwisów WWW i w nagłówkach e-mail), bierny podsłuch i analiza ruchu sieciowego. • Skanowanie sieci: badanie ścieżki dostępu do atakowanego obiektu (traceroute, pakiety ICMP, inne), próby obejścia zapory firewall, 57 odnalezienie aktywnych systemów, skanowanie w poszukiwaniu otwartych portów. • Identyfikacja usług: identyfikacja wg numeru portu, analiza nagłówków serwisu, wykrycie i analiza potencjalnie niebezpiecznych serwisów (np. ftp, telnet), wykrycie i analiza zbędnych komponentów serwisów. • Identyfikacja systemów: stack fingerprinting, passive fingerprinting, wyciągnięcie wniosków z rezultatów identyfikowanych usług. • Badania zidentyfikowanych uprzednio ryzyk oraz wykrywanie potencjalnych nowych zagrożeń i ich weryfikacja: weryfikacja zaimplementowanych metod kontroli przepływu danych oraz ochrony serwerów, zidentyfikowanie potencjalnych możliwości eskalacji przywilejów, pozyskania danych oraz ataków Dos, próby wykorzystania potencjalnie niebezpiecznych konfiguracji usług, analiza bezpieczeństwa skanerami automatycznymi. 4. Skanowanie serwerów – proces ten ma na celu wykrycie luk i podatności związanych z działaniem aplikacji internetowych, serwerów MYSQL, i innych usług, oraz uzyskanie nieautoryzowanego dostępu, identyfikację systemu w szczególności identyfikacja usług I uruchomionych aplikacji co prowadzi do wykrycia w nich luk lub też oczekiwanie na wykrycie podatności. W trakcie testów serwera przeprowadzane są ataki typu: • Denial of Service, • Man-In-The-Middle, • Cross Site Scripting, • SQL Injection, • i inne. 5. Analiza wyników – ma na celu zebranie informacji, analizę wykonanych czynności audytorskich oraz określenie rekomendacji i przygotowanie raportu z badania. • Zebrany raport zawiera: całościowa ocena bezpieczeństwa informatycznego, analiza ryzyka związanego z bezpieczeństwem oraz wykrytymi lukami, 58 rekomendacje i zalecenia służące zwiększeniu bezpieczeństwa, wnioski i wytyczne do wykorzystania podczas kolejnych testów.65 65 www.exegroup.pl 59 ZAŁĄCZNIK NR 2 PRZYKŁADY OPINII66 A. PRZYKŁAD OPINII BEZ ZASTRZEŻEŃ I. Dla …………. (nazwa adresata opinii) ……………. II. Przeprowadziliśmy badanie sprawozdania finansowego …………… (nazwa badanej jednostki) ……………., na które składa się: bilans sporządzony na dzień ………………., który po stronie aktywów i pasywów wykazuje sumę ………….. zł, rachunek zysków i strat za rok obrotowy …………. (za okres od do) ………….. wykazujący zysk/stratę netto ………….. zł, informacja dodatkowa, sprawozdanie z przepływu środków pieniężnych, wykazujące zmianę stanu środków pieniężnych netto w ciągu roku obrotowego …………. na sumę ………….. zł. III. Badanie to przeprowadziliśmy stosownie do postanowień : rozdziału 7 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. Nr 121, poz. 591), norma wykonywania zawodu biegłego rewidenta, wydanych przez Krajową Radę Biegłych Rewidentów ……………. IV. Naszym zdaniem, załączone sprawozdanie finansowe sporządzone zostało, we wszystkich istotnych aspektach, zgodnie z określonymi u powołanej wyżej ustawie zasadami rachunkowości, stosowanymi w sposób ciągły, na podstawie prawidłowo prowadzonych ksiąg rachunkowych. Jest ono zgodne co do formy i treści z obowiązującymi przepisami prawa i statutem (umową) jednostki i przedstawia rzetelnie i jasno wszystkie informacje istotne dla oceny rentowności oraz wyniku finansowego działalności gospodarczej za okres od …………… do ……………, jak też sytuacji majątkowej i finansowej badanej jednostki na dzień ……………. Informacje zawarte w sprawozdaniu z działalności są zgodne z informacjami zawartymi w zbadanym sprawozdaniu finansowym. V. Imię i nazwisko, nr ewidencyjny oraz podpis biegłego rewidenta przeprowadzającego badanie sprawozdania finansowego lub kierującego badaniem. 66 www.audyt.ngo.pl 60 Imiona, nazwiska i podpisy osób reprezentujących podmiot uprawniony, który zawarł umowę o badanie VI. Siedziba podmiotu uprawnionego i data Pieczęć podmiotowa uprawnionego z adresem B. PRZYKŁAD KLAUZULI ZAWIERAJĄCEJ OBJAŚNIENIE, JEDNAK BEZ ZGŁASZANIA ZASTRZEŻEŃ I. Dla …………. (nazwa adresata opinii) ……………. II. Przeprowadziliśmy badanie sprawozdania finansowego …………… (nazwa badanej jednostki) ……………., na które składa się: bilans sporządzony na dzień ………………., który po stronie aktywów i pasywów wykazuje sumę ………….. zł, rachunek zysków i strat za rok obrotowy …………. (za okres od do) ………….. wykazujący zysk/stratę netto ………….. zł, informacja dodatkowa, sprawozdanie z przepływu środków pieniężnych, wykazujące zmianę stanu środków pieniężnych netto w ciągu roku obrotowego …………. na sumę ………….. zł. III. Badanie to przeprowadziliśmy stosownie do postanowień : rozdziału 7 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. Nr 121, poz. 591), norma wykonywania zawodu biegłego rewidenta, wydanych przez Krajową Radę Biegłych Rewidentów ……………. IV. Naszym zdaniem, załączone sprawozdanie finansowe sporządzone zostało, we wszystkich istotnych aspektach, zgodnie z określonymi u powołanej wyżej ustawie zasadami rachunkowości, stosowanymi w sposób ciągły, na podstawie prawidłowo prowadzonych ksiąg rachunkowych. Jest ono zgodne co do formy i treści z obowiązującymi przepisami prawa i statutem (umową) jednostki i przedstawia rzetelnie i jasno wszystkie informacje istotne dla oceny rentowności oraz wyniku finansowego działalności gospodarczej za okres od …………… do ……………, jak też sytuacji majątkowej i finansowej badanej jednostki na dzień ……………. Informacje zawarte w sprawozdaniu z działalności są zgodne z informacjami zawartymi w zbadanym sprawozdaniu finansowym. IVa. Nie zgłaszając zastrzeżeń do prawidłowości i rzetelności zbadanego sprawozdania finansowego zwracamy uwagę, że przeciwko jednostce toczy się proces o rzekome naruszenie praw do znaku towarowego. Jednostka odrzuciła to 61 oskarżenie, a sprawa jest w toku. Obecnie nie da się określić ostatecznego rezultatu sprawy, stąd w sprawozdaniu zabezpieczenia bądź finansowym nie można wykazać zobowiązania żadnego wynikającego z rozstrzygnięcia sprawy. V. Imię i nazwisko, nr ewidencyjny oraz podpis biegłego rewidenta przeprowadzającego badanie sprawozdania finansowego lub kierującego badaniem. Imiona, nazwiska i podpisy osób reprezentujących podmiot uprawniony, który zawarł umowę o badanie VI. Siedziba podmiotu uprawnionego i data Pieczęć podmiotowa uprawnionego z adresem C. PRZYKŁADY OPINII Z ZASTRZEŻENIAMI I. Dla …………. (nazwa adresata opinii) ……………. II. Przeprowadziliśmy badanie sprawozdania finansowego …………… (nazwa badanej jednostki) ……………., na które składa się: bilans sporządzony na dzień ………………., który po stronie aktywów i pasywów wykazuje sumę ………….. zł, rachunek zysków i strat za rok obrotowy …………. (za okres od do) ………….. wykazujący zysk/stratę netto ………….. zł, informacja dodatkowa, sprawozdanie z przepływu środków pieniężnych, wykazujące zmianę stanu środków pieniężnych netto w ciągu roku obrotowego …………. na sumę ………….. zł. III. Badanie to przeprowadziliśmy stosownie do postanowień : rozdziału 7 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. Nr 121, poz. 591), norma wykonywania zawodu biegłego rewidenta, wydanych przez Krajową Radę Biegłych Rewidentów ……………. IV. Naszym zdaniem, załączone sprawozdanie finansowe sporządzone zostało, we wszystkich istotnych aspektach, zgodnie z określonymi u powołanej wyżej ustawie zasadami rachunkowości, stosowanymi w sposób ciągły, na podstawie prawidłowo prowadzonych ksiąg rachunkowych. Jest ono zgodne co do formy i treści z obowiązującymi przepisami prawa i statutem (umową) jednostki i przedstawia rzetelnie i jasno wszystkie informacje istotne dla oceny rentowności oraz wyniku finansowego działalności gospodarczej za okres od …………… do ……………, jak też sytuacji majątkowej i finansowej 62 badanej jednostki na dzień ……………. Informacje zawarte w sprawozdaniu z działalności są zgodne z informacjami zawartymi w zbadanym sprawozdaniu finansowym. IVa. Nie obserwowaliśmy jednak spisu z natury produkcji nie zakończonej, ponieważ umowa o badanie sprawozdania finansowego jednostki została zawarta po terminie spisu. Sposób prowadzenia ksiąg rachunkowych nie pozwala zaś na stwierdzenie wielkości stanu produkcji nie zakończonej na ostatni dzień roku za pomocą innych procedur aniżeli spis z natury. Naszym zdaniem, po uwzględnieniu skutków ewentualnych korekt stanu produkcji nie zakończonej (stanowi ona ……….% zapasów) i wyniku działalności gospodarczej, które mogłyby być konieczne, aby być pewnym, że stan ten został poprawnie wykazany na koniec roku obrotowego. V. Imię i nazwisko, nr ewidencyjny oraz podpis biegłego rewidenta przeprowadzającego badanie sprawozdania finansowego lub kierującego badaniem. Imiona, nazwiska i podpisy osób reprezentujących podmiot uprawniony, który zawarł umowę o badanie VI. Siedziba podmiotu uprawnionego i data Pieczęć podmiotowa uprawnionego z adresem D. PRZYKŁADY OPINII NEGATYWNEJ I. Dla …………. (nazwa adresata opinii) ……………. II. Przeprowadziliśmy badanie sprawozdania finansowego …………… (nazwa badanej jednostki) ……………., na które składa się: bilans sporządzony na dzień ………………., który po stronie aktywów i pasywów wykazuje sumę ………….. zł, rachunek zysków i strat za rok obrotowy …………. (za okres od do) ………….. wykazujący zysk/stratę netto ………….. zł, informacja dodatkowa, sprawozdanie z przepływu środków pieniężnych, wykazujące zmianę stanu środków pieniężnych netto w ciągu roku obrotowego …………. na sumę ………….. zł. III. Badanie to przeprowadziliśmy stosownie do postanowień : rozdziału 7 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. Nr 121, poz. 591), norma wykonywania zawodu biegłego rewidenta, wydanych przez Krajową Radę Biegłych Rewidentów ……………. 63 IV. Waga i skutki stwierdzonych w toku badania uchybień, polegających na nieprawidłowościach inwentaryzacji zapasów, które stanowią ……………… % sumy bilansowej, oraz niekompletnym ujęciu kosztów usług obcych na ok. …………………. zł, powodują, że w świetle przepisów: ……………………………………………………………….. ……………………………………………………………….. powołanej wyżej ustawy o rachunkowości nie możemy uznać załączonego sprawozdania finansowego za zapewniające prawidłowe i rzetelne przestawienie wyniku działalności gospodarczej i rentowności za rok obrotowy ………………….. oraz sytuacji majątkowej i finansowej badanej jednostki na dzień ……………………… V. Imię i nazwisko, nr ewidencyjny oraz podpis biegłego rewidenta przeprowadzającego badanie sprawozdania finansowego lub kierującego badaniem. Imiona, nazwiska i podpisy osób reprezentujących podmiot uprawniony, który zawarł umowę o badanie VI. Siedziba podmiotu uprawnionego i data Pieczęć podmiotowa uprawnionego z adresem E. PRZYKŁAD ZRZECZENIA SIĘ WYRAŻENIA OPINII I. Dla …………. (nazwa adresata opinii) ……………. II. Przeprowadziliśmy badanie sprawozdania finansowego …………… (nazwa badanej jednostki) ……………., na które składa się: bilans sporządzony na dzień ………………., który po stronie aktywów i pasywów wykazuje sumę ………….. zł, rachunek zysków i strat za rok obrotowy …………. (za okres od do) ………….. wykazujący zysk/stratę netto ………….. zł, informacja dodatkowa, sprawozdanie z przepływu środków pieniężnych, wykazujące zmianę stanu środków pieniężnych netto w ciągu roku obrotowego …………. na sumę ………….. zł. III. Badanie to przeprowadziliśmy stosownie do postanowień : rozdziału 7 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. Nr 121, poz. 591), norma wykonywania zawodu biegłego rewidenta, wydanych przez Krajową Radę Biegłych Rewidentów ……………. IV. Podaje się tu podstawowe wątpliwości, a dalej: 64 Uwzględniając wagę problemów omówionych wyżej i ich wpływ na podstawowe wskaźniki charakteryzujące rentowność, wynik działalności gospodarczej za rok obrotowy ………………. oraz sytuację majątkową i finansową badanej jednostki na dzień ………………………….. nie możemy wyrazić opinii o załączonym sprawozdaniu finansowym. V. Imię i nazwisko, nr ewidencyjny oraz podpis biegłego rewidenta przeprowadzającego badanie sprawozdania finansowego lub kierującego badaniem. Imiona, nazwiska i podpisy osób reprezentujących podmiot uprawniony, który zawarł umowę o badanie VI. Siedziba podmiotu uprawnionego i data Pieczęć podmiotowa uprawnionego z adresem 65 ZAŁĄCZNIK NR 3 AUDYT SYSTEMU LOGISTYCZNEGO FIRMY X 6. Określenie stanu istniejącego w systemie logistycznym firmy 6.1. Opracowanie graficznego modelu systemu logistycznego firmy X (dostawcy, poszczególne komórki firmy, odbiorcy) wraz o opisem; 6.2. Zestawienie zadań logistycznych obowiązujących obecnie dla poszczególnych komórek firmy; 6.2.1. Identyfikacja obecnego przepływy materiałów (wejście, zapas, wyjście) ze względu na postać, objętość, masę, ilości i czas (w postaci graficznej z opisem); 6.2.2. Identyfikacja programu transportu, magazynowania i komisjonowania (kompletacji) – co? ile? Skąd? Dokąd? Kiedy? Jak? (w postaci tabelarycznej); 6.2.3. Identyfikacja danych o organizacji pracy systemu logistycznego firmy, np. liczba zmian, kategorie pracy, współczynniki wykorzystania czasu pracy dla poszczególnych kategorii, liczba ludzi i urządzeń itp; 6.3. Identyfikacja uwarunkowań funkcjonalnych i przestrzennych pomieszczeń produkcyjnych i magazynowych (szerokość korytarzy transportowych, długość dróg transportowych, podział pomieszczeń na strefy, możliwość rozbudowy itp); 6.4. Identyfikacja występujących obecnie procesów przepływu materiałów (ich organizacja I technologia); 6.5. Identyfikacja stosowanego obecnie w firmie systemu przepływu informacji – model graficzny z opisem. 7. Wnioski płynące z analizy stanu istniejącego; 7.1. Określenie parametrów i mierników do oceny stanu istniejącego systemu logistycznego; 7.2. Dokonanie oceny oraz wskazanie elementów systemu i relacji między nimi, wymagających poprawy. 8. Sporządzenie projektu technologicznego systemu logistycznego firmy X z uwzględnieniem wniosków z analizy stanu istniejącego – wykonuje się 3 warianty projektowe, zróżnicowane pod względem możliwości technologicznych, nakładów lub kosztów; 8.1. Opracowanie poprawionego graficznego modelu systemu logistycznego firmy wraz z opisem; 8.2. Określenie nowych zadań logistycznych dla poszczególnych komórek firmy; 66 8.2.1. Opracowanie nowego przepływu materiałów (w postaci graficznej z opisem): 8.2.2. Określenie nowego programu transportu, magazynowania I komisjonowania (w postaci tabelarycznej); 8.2.3. Weryfikacja danych o organizacji pracy systemu logistycznego; 3.3. Ukształtowanie przedsiębiorstwa procesów przy logistycznych istniejących w poszczególnych uwarunkowaniach komórkach funkcjonalnych i przestrzennych; 3.3.1. Komórka PRODUKCJA - określenie czynności związanych z przepływem materiałów na produkcji i ustalenie ich sekwencji w postaci analitycznej lub graficznej; - wyznaczenie potrzebnych przestrzeni produkcyjnych i buforów międzyoperacyjnych; 3.3.2. Komórka MAGAZYN - określenie czynności oraz ustalenie ich sekwencji (od rampy wejściowej do rampy wyjściowej) ze szczególnym uwzględnieniem procesu kompletacji (model graficzny procesów przepływu materiałów); - wyznaczenie stref przyjęcia, składowania, kompletacji i wydania; - określenie użytych środków transportu, wyposażenia magazynowego i urządzeń pomocniczych a także wskazanie sposobu ich pracy (np. ustawienie regałów); 3.3.3. Komórka TRANSPORT - określenie optymalnych w sensie technologicznym środków transportu wewnętrznego I zewnętrznego; - dokonanie optymalizacji tras i oceny efektywności transportu samochodowego; 3.4. Sporządzenie zapytania ofertowego do dostawców urządzeń i środków transportu; 3.5. Wybór najbardziej odpowiednich urządzeń i środków transportu; 3.6. Zwymiarowanie procesów przepływu materiałów w systemie logistycznym (poszczególnych komórkach przedsiębiorstwa) ze względu na: - potrzebną liczbę urządzeń I środków transportu; - potrzebną liczbę pracowników; - szacunkowe nakłady (tzw. „ślepy” kosztorys); - szacunkowe roczne koszty eksploatacyjne realizacji procesów magazynowych (w przypadku kosztów utrzymania wyposażenia magazynowego będą to koszty przybliżone, w przypadku kosztów pracy ludzkiej będą to dokładne wartości liczbowe); 3.7. Obliczenie wskaźników użytkowych i kosztowych (w tym tzw. Wskaźnika przejścia jednostki ładunkowej przez magazyn) stanowiących kryteria oceny 67 kompleksowej wariantów projektowych; 3.8 Dokonanie oceny kompleksowej wariantów projektowych, wybór wariantu optymalnego; 3.9. Opracowanie dla wybranego wariantu procedur kontroli wewnętrznej i zasad stosowania odpowiedzialności testu; 3.10. Sporządzenie dla wybranego wariantu projektu przepływu informacji w postaci zbliżone do algorytmu komputerowego umożliwiającej jego implementację jako programu komputerowego; 4. Określenie sposobu i kolejności wdrażania zmian, zaproponowanych w wybranym do realizacji wariancie projektowym 4.1 Wyznaczenie krytycznych momentów w procesie wdrażania 4.2. Opracowanie harmonogramu wdrożenia wybranego wariantu projektu.67 67 www.wandalex.pl 68 ZAŁĄCZNIK NR 4 AUDYT W UNII EUROPEJSKIEJ68 FRANCJA Francuski system kontroli tworzą cztery inspekcje: Generalna Inspekcja Finansów, Generalna Inspekcja Administracji, Generalna Inspekcja Spraw Społecznych i Generalna Inspekcja przy Prezesie Rady Ministrów. Generalna Inspekcja Administracji realizuje np. 7 misji, jednak tylko w jednostkach samorządu na wniosek radnych przeprowadza się tzw. Audyt strukturalny polegający na analizie finansowej I organizacyjnej badanego podmiotu. Wszystkie inne misje zbliżone są w trybie postępowania do kontroli przeprowadzanych w Polsce. Pewnym charakterystycznym rodzajem misji są tzw. analizy całościowe poświęcone problemom występującym na terenie kilku jednostek organizacyjnych, np. w przypadku budowy dróg czy stacji narciarskich. W innych misjach, np. problemowych, czynności kieruje się na działania wspólne kilku inspekcji. Końcowym efektem tej misji jest kompleksowa propozycja dotycząca kompetencji kilku ministrów. PORTUGALIA Kontrola portugalska stanowi praktycznie kopię systemu kontroli francuskiej. Krajowy System Kontroli Wewnętrznej Administracji Państwowej został uchwalony przez parlament portugalski w 1998 r. System stanowią 3 inspekcje tworzące kontrolę strategiczną, sektorową i operacyjną. Najskuteczniejszym elementem tego systemu jest kontrola strategiczna, którą w sensie wykonawczym prowadzą: Generalna Inspekcja Finansowa – odpowiedzialna za kontrolę wszystkich wydatków i dochodów państwa, Generalna Dyrekcja Budżetowa oraz Instytut Finansowego Zarządzania Ubezpieczeniem Społecznym. Generalna Dyrekcja Budżetowa kontroluje wykonanie budżetu państwa, natomiast Instytut Finansowego Zarządzania Ubezpieczeniem Społecznym odpowiedzialny jest za kontrole budżetu ubezpieczenia społecznego. Drugim szczeblem kontroli wewnętrznej jest kontrola sektorowa, którą tworzy 15 inspekcji istniejących w ministerstwach. Z kolei kontrola operacyjna prowadzona jest w ramach departamentów poszczególnych ministerstw. Procedura planowania i przeprowadzania kontroli nie różni się znacząco od polskich uregulowań. Raport 69 pokontrolny jest dokumentem znormalizowanym i nie może przekraczać 30 – 37 stron. WIELKA BRYTANIA Odmiennym modelem kontroli jest audyt brytyjski. Szeroki zakres kompetencji w dziedzinie zarządzania audytu posiada dyrektor generalny jednostki administracji. Elementem systemu hierarchicznego są dyspozycje dotyczące opracowywania i przekazywania standardów przez Ministerstwo Skarbu. Kwantyfikatorem postępowania jest tradycja i doświadczenie audytorów (audytor brytyjski musi posiadać świadectwo rządowego audytora wewnętrznego określające minimalny poziom umiejętności, wiedzy i doświadczenia koniecznych do wykonywania obowiązków). Audytor brytyjski powinien przede wszystkim wpływać na usprawnienie pracy, na jej doskonalenie i korekcję postaw pracowniczych, natomiast dalszym etapem postępowania jest oddziaływanie na urzędnika przez przełożonego. W standardach opracowanych przez Instytut Administracji Publicznej wskazuje się, że audytor nie może przywiązywać wagę do drobnych błędów, będących wynikiem ludzkiej pomyłki, powinien on wykazywać zrozumienie dla problemów, z którymi borykają się pracownicy audytowanych komórek, powinien także zwracać uwagę na słabości systemu wskazywane przez pracowników oraz omawiać błędy i niesprawności z pracownikami przez opisaniem ich w raporcie. IRLANDIA Audyt irlandzki polega na decentralizacji komórek audytu wewnętrznego oraz odpowiedzialności za określenie szczegółowych zasad wykonywania audytu. Ten rodzaj kontroli wewnętrznej w administracji irlandzkiej pojawił się dopiero na początku lat 90-tych, a jego wprowadzenie podyktowane było koniecznością usprawnienia pracy administracji państwowej, a przede wszystkim było implikacją wymogów stawianych przez Wspólnoty Europejskie. Dotyczą one zwłaszcza kontroli nad wydatkowaniem środków pochodzących z Funduszy Strukturalnych i Funduszu Spójności. W Irlandii nie ma aktów prawnych wprowadzających obowiązek audytu wewnętrznego w administracji publicznej. Standardy w tym obszarze wyznaczają trzy instytucje: Ministerstwo Finansów, Irlandzki Oddział Instytutu Audytorów Wewnętrznych oraz Instytut Administracji Publicznej. Komórki audytu działają głównie na podstawie standardów opracowanych przez Instytut Administracji 68 L. Smolak “Kontrola i audyt w administracji publicznej – stan i perspektywy” materiały 70 Publicznej. Wytyczne te stanowią adaptację standardów obowiązujących w sektorze prywatnym do specyfiki pracy administracji publicznej. Procedury Finansów Publicznych Ministerstwa Finansów określają audyt wewnętrzny jako wewnętrzną informację na temat systemu kontroli zarządczej w instytucji, mającą charakter stałej I niezależnej oceny jego efektywności. Audyt pełni tu funkcję pomocniczą dla kierownictwa instytucji, w szczególności dla jej dysponenta. NIEMCY Instytut Audytu Wewnętrznego we Frankfurcie nad Menem istnieje od 1958 r. Pomimo tego, iż podstawowym jego zadaniem jest rozpowszechnianie informacji na temat audytu wewnętrznego oraz wypracowywanie zasad i metod przeprowadzania audytu, dopiero w 1998 r. rząd niemiecki rozpoczął na szerszą skalę wdrażanie audytu wewnętrznego. Do tego czasu we wszystkich ministerstwach federalnych funkcjonowały komórki kontroli finansowej, które miały specyficzną pozycję. Były to jednostki zewnętrznej kontroli finansowej, podporządkowane Federalnemu Trybunałowi Obrachunkowemu. Jednostki te były jednak włączone w strukturę ministerstw. Na podstawie ustawy o rozwoju federalnego i krajowego prawa budżetowego dokonano zmian w systemie kontroli finansowej. Zadania ministerialnych jednostek kontroli finansowej przejęło od 1 stycznia 1998 r. dziewięć federalnych urzędów kontroli, podlegających bezpośrednio Trybunałowi Obrachunkowemu. Urzędy te znajdują się w Berlinie, Frankfurcie nad Menem, Hamburgu, Hanowerze, Koblencji, Kolonii, Magdeburgu, Monachium i Stuttgarcie. W czerwcu 1998 r. rząd federalny wydał dyrektywę w sprawie zapobiegania korupcji w administracji rządowej. Dokument ten zalecił wprowadzenie w administracji rządowej czasowo lub na stałe komórek audytu wewnętrznego. Dyrektywa była na tyle ogólna, że dawała swobodę ministrom w zakresie szczegółowych decyzji dotyczących utworzenia komórek audytu, zatem w każdym ministerstwie federalnym audyt wewnętrzny został zorganizowany w inny sposób. Zadania Komórki Audytu Wewnętrznego określono w sposób ogólny jako kontrolowanie praworządności, bezpieczeństwa, gospodarności i celowości działań administracji oraz wypracowanie koncepcji działań prewencyjnych. Komórka może prowadzić audyt wewnątrz ministerstwa, a w instytucjach podporządkowanych tylko wtedy, gdy jest to niezbędne do prawidłowego przeprowadzenia audytu w ministerstwie. Celem audytu wewnętrznego jest wykrycie słabości, braków i błędnych postępowań oraz zainicjowanie działań zmierzających do ich zmiany. z konferencji odbywającej się w dniach 3-4 czerwca 2004 r. organizowanej przez MSWiA 71 Komórka Audytu Wewnętrznego ma także wspierać inne jednostki organizacyjne ministerstwa w efektywnym wypełnianiu zadań przez przekazywanie wszelkich ocen, zaleceń oraz informacji na temat kontrolowanych działań. Po zakończeniu audytu jego wyniki przedstawia się kierownikowi komórki poddanej audytowi, który ma prawo się do nich ustosunkować. Audytorzy sporządzają protokół pokontrolny zawierający opis stwierdzonych nieprawidłowości, zalecenia oraz opinię kierownika komórki audytowanej. Protokół podpisany przez audytorów i kierownika komórki audytowanej przedkłada się właściwemu sekretarzowi stanu. Po upływie określonego czasu audytorzy sprawdzają, czy komórka wprowadziła w życie wszystkie zalecania. Komórka Audytu Wewnętrznego sporządza ponadto corocznie raport dotyczący swej działalności i przedkłada go sekretarzowi stanu. 72