pobierz artykuł

JoMS 1/16/2013, ss. 209-238
Aleksandra Szejniuk
WSGE | 209
210 | WSGE
Rola audytu wewnętrznego w zarządzaniu bezpieczeństwem
The role of internal audit in safety management
dr Aleksandra Szejniuk
Wyższa Szkoła Gospodarki Euroregionalnej im. Alcide De Gasperi w Józefowie
[email protected]
Abstracts
Organizations are constantly developing. This process enforce their
security needs. This is a result of the value of organization’s capital as well
as advanced techniques and technologies. Audit treated as a process assesses the safety of the state, property and processes. It allows to get information on the protection of individuals with regard to the law, comply
with safety standards and above all the use of the organization’s security
policy. Its mission is to enhance the effectiveness of the procedures and to
demonstrate the proper way of use or misuse of the organization’s human
resources, tangible and intangible assets.
Nieustanny rozwój organizacji wymusza coraz większe potrzeby ich
bezpieczeństwa. Jest to efekt posiadanego kapitału o znacznej wartości,
a także zaawansowanej techniki i technologii. Audyt traktowany jako
proces ocenia stan bezpieczeństwa obiektów, mienia i procesów. Pozwala
uzyskać informację dotyczącą ochrony osób w odniesieniu do przepisów
prawa, przestrzegania standardów bezpieczeństwa, a przede wszystkim
stosowania polityki bezpieczeństwa organizacji. Jego zadaniem jest zwiększenie efektywności stosowanych procedur, a także pokazanie właściwego
lub niewłaściwego sposobu wykorzystania posiadanych przez organizację
zasobów ludzkich, materialnych i niematerialnych.
Key words:
audit, security, risk, SWO (RAS), nonconformity, corrective action, correction, prevention
audyt, bezpieczeństwo, ryzyko, SWO, niezgodność, działania korygujące,
korekcja, działania zapobiegawcze
WSGE | 211
Sprawności funkcjonowania organizacji nie zapewni nawet najbardziej
szczegółowo zaprojektowany system kontroli wewnętrznej. Organizacje
zmuszane są do przewidywania ewentualnych nieprawidłowości, a przede
wszystkim przeciwdziałania negatywnym skutkom tych zdarzeń. Efektem
tych działań jest walka z nadużyciami, defraudacją, a zatem zjawiskami
patologii w organizacjach.
W Polsce zauważa się zapotrzebowanie na kontrolę i narzędzia umożliwiające jej przeprowadzenie. Zachowanie bezpieczeństwa prowadzonej
działalności stanie się coraz trudniejsze i będzie miało coraz większe znaczenie (Kuc 2002). Zdaniem kontroli wewnętrznej jest uwzględnienie coraz większych wymagań zarówno wewnętrznych, jak i zewnętrznych.
Przedsiębiorstwa w dobie kryzysu zaufania muszą być zarówno elastyczne, jak i posiadać zdolność przystosowania się do zmieniających się
warunków. Każda organizacja podlega ocenie efektywności jej działania.
Dlatego obok kontroli wykorzystuje się audyt wewnętrzny, który umożliwia wzrost znaczenia doradczego, wprowadza nowe standardy, a także
odgrywa znaczącą rolę w realizacji reform przedsiębiorstwa.
1. Znaczenie audytu wewnętrznego
Ewolucja zakresu pojęciowego audytu wewnętrznego w początkowym
okresie wskazuje na jego ograniczoną rolę. Obejmował on przede wszystkim sprawy finansowe organizacji. Niektóre instytucje sprowadzały funkcje
audytu wewnętrznego do uzgodnienia dokumentacji księgowej (Moeller
2005). Upływ czasu spowodował, że zarówno ilościowy, jak i jakościowy
zakres realizowanych zadań był bardziej skomplikowany, co z kolei było
powodem trudności związanych z zarządzaniem. Reakcją kierownictwa
na te zjawiska było stosowanie bardziej wyrafinowanych instrumentów
zarządzania. Jednym z nich był audyt wewnętrzny, który obejmował nowe
obszary organizacji, zmieniał cel, rolę i znaczenie.
Omówione zmiany znalazły odzwierciedlenie w treści określanych
definicji audytu wewnętrznego. Dokonując analizy przedmiotu, należy
stwierdzić, że od kilkudziesięciu lat próbowano znaleźć taką definicję,
którą w sposób całościowy definiowała istotę audytu wewnętrznego. Zaprezentowano w sposób syntetyczny te definicje, które są najbardziej
wartościowe dla określenia procesu ich rozwoju.
Ważną rolę w procesie tworzenia definicji audytu wewnętrznego
odegrał The Institute of Internal Auditors, który jako pierwszy podjął
212 | WSGE
próbę określenia audytu wewnętrznego. Ponadto rozwijał nowe jakościowo
zjawiska, na które miało wpływ otoczenie zewnętrzne. Prezentację definicji i jej przeobrażeń w latach 1941–2008 ilustruje tabela 1.
Tabela 1. Definicje prezentowane przez The Institute of Internal Auditors
w latach 1941–2008
Lata
Określenie terminu audyt wewnętrzny
1941
J.B. Thurston, jeden z założycieli IIA, zaznaczył, że termin audyt wewnętrzny
nie jest adekwatny do zadań realizowanych przez audyt (Dodey 1965).
Definicja opracowana w IIA brzmi następująco: „Audyt wewnętrzny to
niezależna działalność oceniająca wewnątrz organizacji. Utworzona w celu
przeglądu księgowości, finansów oraz innej działalności operacyjnej, stanowi
podstawę zabezpieczającej i konstruktywnej funkcji usługowej w stosunku do
zarządzania” (The Accounting Review 1995).
Zmiany w treści definicji audytu wewnętrznego, które zostały wprowadzone
przez IIA, dotyczyły rozszerzenia zadań w zakresie oceny i przeglądu
zarządzania oraz oceny działań przedsiębiorstwa (Sawyer, Dittenhofer,
Scheiner 2003).
Audyt wewnętrzny to niezależna działalność, oceniająca wewnątrz organizacji.
Utworzona w celu przeglądu operacji stanowi podstawę zabezpieczającej
i konstruktywnej funkcji usługowej w stosunku do zarządzania (Dodey 1965).
Audyt wewnętrzny jest niezależną funkcją oceniającą, powołaną wewnątrz
organizacji w celu sprawdzenia, kontrolowania i rozwoju jej aktywności oraz
świadczącą dla niej swe usługi (Standards… 1978).
Podkreśla niezależność audytu wewnętrznego w ramach istniejącego
rozwiązania organizacyjnego. Ponadto IIA odszedł od precyzowania obszarów
badawczych typowych dla realizacji zadań audytu wewnętrznego, podkreślając,
że zakres jego działań jest sprzężony z realizacją celów organizacji.
The Institute of Interal Auditors, zdając sobie sprawę, że formułowane
dotychczas definicje nie zawierają jeszcze wszystkich elementów audytu
wewnętrznego, wprowadził zmiany w podstawowym dokumencie, jakim
jest „Oświadczenie o obowiązkach audytorów wewnętrznych” oraz założył
Guidance Task Force (GTF).
GTF wzięło pod uwagę opinie i sugestie członków IIA, jak i definicję audytu
wewnętrznego zawartą w dokumencie wydanym przez The Institute of
Internal Auditors Research Foundation (IIARF)1. Definicja ta traktuje audyt
wewnętrzny jako proces, poprzez który organizacja zyskuje zapewnienie,
że ryzyka, na które jest narażona, są zrozumiałe i właściwie zarządzane
w dynamicznie zmieniającym się otoczeniu2.
Zarząd IIA przyjął objaśnienie zaproponowane przez GFT i określa audyt
wewnętrzny jako obiektywne zapewnienie i działalność doradczą, które nie
jest niezależnie zarządzane wewnątrz organizacji kierowanej ideą dodawania
wartości w celu poprawy funkcjonowania organizacji (http://www.theira.org).
1947
1957
1971
1978
1990
1998
1999
1999
lipiec
Audyt wewnętrzny pomaga organizacji w osiągnięciu założeń (celów) poprzez
wznoszenie systematycznego i zdyscyplinowanego podejścia do oceny
i poprawy efektywności zarządzania ryzykiem (http://www.theira.org).
WSGE | 213
Lata
2001
2005
2008
2011
Określenie terminu audyt wewnętrzny
IIA wprowadził zmiany w powyższej definicji i ostatecznie przyjęła
ona postać następującą: Audyt wewnętrzny to działalność niezależna,
obiektywnie zapewniająca i doradcza, której celem jest przysporzenie wartości
i usprawnienie działalności operacyjnej organizacji (Standards… 2001).
Na uwagę zasługuje definicja zawarta w Ustawie o finansach publicznych, która
określa audyt wewnętrzny jako ogół działań obejmujących:
• niezależne badanie systemów zarządzania i kontroli w jednostce, w tym
procedur kontroli finansowej, o których mowa w art. 43 ust. 3 tejże
ustawy, w wyniku którego kierownik jednostki uzyskuje obiektywną
i niezależną ocenę adekwatności, efektywności i skuteczności tych
systemów,
• czynności doradcze, w tym składanie wniosków, mające na celu
usprawnienie funkcjonowania jednostki (Ustawa z dnia 30 czerwca 2005
r. o finansach publicznych).
Ustawa z dnia 13 sierpnia 2008 r. zakłada, że audyt wewnętrzny jest
działalnością niezależną i obiektywną, której celem jest przysporzenie
jednostce wartości dodanej i usprawnienie jej funkcjonowania (Projekt ustawy
o finansach publicznych z dnia 13 sierpnia 2008 r.).
To nowe spojrzenie na audyt wewnętrzny, którego początkiem jest światowa
recesja gospodarcza. Podstawowymi cechami charakteryzującymi audyt
wewnętrzny będą (Lisiński 2011):
• audyt wewnętrzny będzie instrumentem doskonalenia funkcjonowania
organizacji ze szczególnym uwzględnieniem jego dwóch podstawowych
funkcji tzn. kontrolnej i doradczej, a przedmiotem zainteresowania
będzie działalność operacyjna,
• odejście od formalno-prawnych instrumentów mających za zadanie
przeciwdziałanie zjawiskom patologicznym na rzecz budowania systemu
wartości. Skupianie uwagi wokół niego wszystkich organów i jednostek
organizacyjnych instytucji oraz poszczególnych pracowników, którym
zależy na zmianie funkcjonowania organizacji,
• wykorzystanie najnowszych osiągnięć w zakresie teorii zarządzania
przy konstruowaniu audytu wewnętrznego jako nowego instrumentu
zarządzania, którego podstawowym celem będzie doskonalenie
organizacji w wymiarze operacyjnym i strategicznym.
Źródło: opracowanie własne na podstawie Lisiński M., 2011, Audyt
Wewnętrzny W Doskonaleniu Instytucji. Aspekty TeoretycznoMetodologiczne i Praktyczne, PWE, Warszawa.
Dotychczasowa analiza rozwoju istoty audytu wewnętrznego dokonana przez instytucje zajmujące się audytem wewnętrznym nie wyczerpuje wszystkich wątków zakresu pojęciowego omawianej kategorii.
Pełne zrozumienie pojęcia audytu wewnętrznego wymaga określenia
podstawowych cech, jakie prace audytorskie muszą spełniać. Audyt
wewnętrzny zgodnie z licznymi definicjami tego pojęcia jest działalnością
niezależną i obiektywną, weryfikacyjną, doradczą i prewencyjną oraz
214 | WSGE
systematyczną, zorientowaną na ryzyko, ukierunkowaną na badanie procesu. Wymienione elementy określające charakter audytu opisuje tabela 2.
Tabela 2. Charakterystyka audytu wewnętrznego
Cele działalności
Działalność niezależna
i obiektywna
Działalność
weryfikacyjna
Działalność
systematyczna
Działalność doradcza
i prewencyjna
Działalność
zorientowana na
ryzyko
Działalność
ukierunkowana na
badanie procesów
Charakterystyka cechy
Pełna swoboda w określaniu zakresu prac audytowych,
realizacji zadań audytowych i wydawaniu wniosków
pokontrolnych pozwala zachować obiektywizm w ocenie
działania organizacji.
Ocena prawidłowości funkcjonowania systemu
kontroli wewnętrznej i podjęcie działań eliminujących
zidentyfikowane nieprawidłowości.
Ocena wszystkich istotnych obszarów funkcjonowania
organizacji, ponowne poddawanie analizie tych samych
obszarów w określonych odstępach czasowych.
Audytor pełni role doradcy w procesach identyfikacji
i zarządzania ryzykiem oraz podejmuje działania
prewencyjne i zapobiegawcze wobec nieprawidłowości
poprzez mechanizmy kontrolne.
Identyfikacja obszarów największego ryzyka i określenie
sposobu zarządzania nim.
•
•
•
zidentyfikowanie i systematyczne opisanie procesów
z podziałem na procesy główne i pomocnicze,
przypisanie istotnych dla organizacji rodzajów ryzyka
do procesów,
wydzielenie procesów podlegających audytowi
zewnętrznemu.
Źródło: Stowarzyszenie Księgowych w Polsce, 2003, Audyt wewnętrzny.
Spojrzenie praktyczne [za:] Dryl W., 2010, Audyt Marketingowy,
CeDeWu.pl, Warszawa.
Definiując pojęcie audytu wewnętrznego, należy określić jego cele,
charakter, przedmiot, sposób przeprowadzania itd. Na podstawie definicji
dostarczonych przez literaturę zarówno polską, jak i zagraniczną, polskie
ustawodawstwo oraz instytucje, których działalność obejmuje również audyt, należałoby określić audyt wewnętrzny jako niezależną i obiektywną
działalność doradczą, służącą tworzeniu wartości dodanej poprzez usprawnienie procesów zarządzania organizacją, weryfikację procedur kontrolnych oraz ograniczenie ryzyka związanego z działalnością organizacji.
Rozwój produktów i usług oraz zużycie zasobów do promocji tych
wyrobów czy usług powinny dostarczyć wartości dla przedsiębiorstwa,
WSGE | 215
powinny generować większy zysk lub tez dać ten sam wysoki wynik
przy obniżeniu nakładów. Dlatego dobrze prowadzony audyt wpływa
na obniżenie kosztów poprzez fakt, iż audytorzy maja wgląd w operacje,
uczestniczą w ich projektowaniu, oceniają ryzyko i zgłaszają możliwości
ulepszeń (Hegar, Szymańska-Koszyc).
Audyt wewnętrzny umożliwia wzrost znaczenia doradczego, wprowadza nowe standardy a przede wszystkim odgrywa znaczącą rolę w realizacji reform przedsiębiorstwa. Jest on narzędziem zarządzania. Daje
kierownictwu pewność, że cele i zadania stawiane organizacji są realizowane. Aby zapewnić efektywność potrzeb menedżera, należy stosować
następujące zasady: zapewnić wysoką jakość audytu, profesjonalizm audytorów, wyznaczać poziom istotności, zapewnić obiektywizm a także swobodny obieg informacji.
Jednak najważniejszą zasadą stosowaną w audycie jest odpowiedzialność
kierownika organizacji za system audytu wewnętrznego, a także ukierunkowane podejście na poprawę działania jednostki. Wysoka jakość
audytu to dążenie w kierunku dostarczania kierownictwu usług mających
określić wartość dodaną.
Przeprowadzając audyt, należy dać informację, w jakim zakresie można
wprowadzać usprawnienia. Obejmuje on badanie rzetelności w zakresie
wypełniania obowiązków przez pracowników z należytą starannością,
tzn.: sumiennie i terminowo. Należy to do zadań jednostki określanych dla
poszczególnych komórek organizacyjnych i osób wyznaczonych do tych
celów. Ponadto dokumentowanie określonych działań lub stanów faktycznych zgodnie z rzeczywistością we właściwej formie i w wymaganych
terminach. Podstawowymi kryteriami audytu wewnętrznego są jakość,
trafność i realizm.
1.1.Kryteria działalności organizacji
Prawidłowo przeprowadzony audyt uzależnia funkcjonowanie organizacji. Audyt jest ważny dla kierownictwa firmy, gdyż pokazuje im
błędy, jakie popełniali, co pozwoli uniknąć ich w przyszłości. Pomaga
podejmować decyzje finansowe. „Przestrzega przed wykonywaniem
pewnych czynności, szkodliwych dla działalności badanej firmy” (Jagielski 2003).
Audyt pozwala firmie uzyskać obiektywną i niezależną ocenę funkcjonowania jednostki pod względem legalności, gospodarności, rzetelności
216 | WSGE
i jawności. „Bada i ocenia skuteczność funkcjonowania istniejących
w organizacji, procedur i mechanizmów kontroli wewnętrznej oraz ich
przestrzegania” (Knedel, Stasik 2005).
Audyt pozwala identyfikować potencjalne nieprawidłowości
w zarządzaniu organizacją przed wystąpieniem istotnych szkód. Kryteria
gospodarności prezentuje tabela nr 3.
Tabela 3. Kryteria oceny gospodarności jednostki
Kryterium
Legalność
Zakres badania
•
•
•
Gospodarność
•
•
•
•
Celowość
•
•
•
Rzetelność
•
•
Przejrzystość
Jawność
•
•
•
•
•
zgodność funkcjonowania jednostki lub audytowanej
działalności z obowiązującymi przepisami prawa,
prawidłowość stosowania przepisów wewnętrznych
obowiązujących w jednostce w ramach wykonywanych zadań,
zgodność audytowanej działalności z aktami administracyjnymi,
orzeczeniami sądowymi, umowami cywilnoprawnymi oraz
innymi obowiązującymi aktami i normami,
zaniechanie działalności mimo prawnie określonego obowiązku.
zapewnienie oszczędnego i efektywnego wykorzystania
środków,
uzyskanie właściwej relacji nakładów do efektów,
wykorzystanie możliwości zapobiegania lub ograniczania
wysokości szkód powstałych w działalności jednostki.
zapewnienie zgodności działań jednostki z jej celami
statutowymi,
zapewnienie optymalizacji zastosowanych metod i środków oraz
ich adekwatności do osiągnięcia założonych celów,
zakres przyjętych przez kierownictwo kryteriów faktów
i okoliczności.
wypełnienie obowiązków pracowniczych z należytą
starannością, sumiennie i terminowo,
dokumentowanie działań i stanów faktycznych we właściwej
formie, w wymaganych terminach z uwzględnieniem faktów
i okoliczności.
klasyfikowanie dochodów i wydatków publicznych,
stosowanie obowiązujących zasad rachunkowości,
prowadzenie sprawozdawczości.
udostępnianie sprawozdań dotyczących finansów i działalności
jednostki,
udostępnianie innych informacji dotyczących funkcjonowania
jednostki i podejmowanych decyzji.
Źródło: Winiarska K., 2007, Audyt wewnętrzny w 2007 roku
Standardy międzynarodowe – regulacje krajowe, Difin, Warszawa [za:]
Moczydłowska W.,2004, Standardy audytu wewnętrznego, Gazeta Prawna,
nr 204/2004 [za:] Dryl W., 2010, Audyt Marketingowy, CeDeWu.pl,
Warszawa.
WSGE | 217
Zaprezentowane w tabeli kryteria są wyznacznikiem oceny
gospodarności badanej jednostki. Pierwszym kryterium jest legalność,
a zatem zgodność funkcjonowania jednostki z obowiązującymi przepisami prawa. Określenie prawidłowości stosowania przepisów wewnętrznych
obowiązujących w jednostce w ramach wykonywanych zadań. Ponadto zgodność audytowanej działalności z aktami administracyjnymi.
Następnym kryterium oceny gospodarności, której zakres badań obejmuje zapewnienie oszczędnego i efektywnego wykorzystania środków, uzyskanie właściwej relacji do efektów, a także wykorzystanie możliwości zapobiegania lub ograniczenia wysokości ewentualnych szkód. Innym kryterium jest celowość, której zadaniem jest zapewnienie zgodności działań
jednostki z jej celami, które określa statut. Zapewnienie optymalizacji zastosowanych metod i środków oraz wyznaczenie zakresu przyjętego przez
kierownictwo w postaci kryteriów, faktów i okoliczności. Kolejnym kryterium jest rzetelność i przejrzystość, gdzie zakres badań dotyczy wypełniania
obowiązków pracowniczych z wyjątkową starannością (sumiennie i terminowo), stosowanie obowiązujących zasad rachunkowości, a także prowadzenie sprawozdawczości. Ostatnim kryterium w ocenie gospodarności
jest jawność polegającą na udostępnianiu sprawozdań dotyczących finansów i działalności jednostki. Dodatkowo udostępnianie innych informacji
dotyczących funkcjonowania jednostki i podejmowania decyzji. Audyt
pozwala identyfikować potencjalne nieprawidłowości w zarządzaniu
organizacją przed wystąpieniem istotnych nieprzewidzianych szkód.
Systematyczny proces gromadzenia i oceny dowodów dotyczących uzyskanych wyników działalności i wydarzeń ekonomicznych jest procesem
przebiegu audytu, którego koncepcję prezentuje rysunek 1.
218 | WSGE
Rysunek 1. Koncepcja audytu
Źródło: Guy D.M., Alderman C.W., Winters A.J., 1990, Audyting,
H.B.J. Publishers, Orlando, Florida [za:] Dryl W., 2010, Audyt Marketingowy, CeDeWu.pl, Warszawa.
Z rysunku wynika, że audytor musi przede wszystkim pozyskiwać
dowody i poddawać ocenie, a następnie ustalić relacje, jakie występują
pomiędzy nimi. Uzyskanie danych ekonomicznych jest podstawą do
przyjęcia kryteriów pozwalających określać je w sposób jednoznaczny.
Kolejnym zadaniem jest zaprezentowanie wyników wszystkim osobom,
które uczestniczyły w badaniu.
Według ustawy audytor bada wiarygodność sprawozdania finansowego oraz sprawozdania z wykonania budżetu przez sprawdzenie:
WSGE | 219
• przestrzegania zasad rachunkowości,
• zgodności zapisów w księgach rachunkowych z dowodami księgowymi,
• zgodności sprawozdania finansowego oraz sprawozdania z wykonania
budżetu z zapisami w księgach rachunkowych.
Ustawa określa ponadto zadania wykonywane przez audytora w zakre-
sie:
• oceny adekwatności, efektywności i skuteczności systemów kontroli,
w tym przestrzegania procedur kontroli oraz przeprowadzania wstępnej oceny celowości zaciągania zobowiązań finansowych i dokonywania wydatków, zarządzania ryzykiem i kierowania jednostką sektora
finansów publicznych,
• oceny przestrzegania zasady celowości i oszczędności w dokonywaniu wydatków, uzyskiwania możliwie najlepszych efektów w ramach
posiadanych środków oraz przestrzegania terminów realizacji zadań
i zaciągniętych zobowiązań.
Działanie audytora pozwala ocenić przestrzeganie wszystkich procedur, do których zobowiązana jest organizacja.
2. Rodzaje audytów wewnętrznych
Klasyfikacja audytu wewnętrznego w polskim ustawodawstwie opiera
się na literaturze zagranicznej. Na jej podstawie podjęto wiele prób jego
klasyfikacji. Trudność wykonania tego zadania wynikała z braku jednolitego nazewnictwa poszczególnych rodzajów audytu w literaturze. Zamiennie używa się nazwy audyt operacyjny, audyt działalności, audyt
programów, audyt wyników, audyt kompleksowy, audyt ukierunkowany
na zarządzanie. Od niedawna pojawiło się określenie współczesny audyt
wewnętrzny (ang. modern internal audyting), które obejmowało wszystkie
wyżej wymienione formy działalności audytorskiej (Kuc 2002).
Amerykańscy autorzy J.G. Siegal oraz J.K.Shim klasyfikują audyt
wewnętrzny na (Sawyer, Dittenhofer, Scheiner 2003):
• audyt finansowy, traktowany jako badanie dokumentów i zapisów
księgowych celem sformułowania odpowiednich wniosków i opinii
220 | WSGE
z badania. Rolę audytora pełni tu biegły niezależny rewident,
• audyt zarządzania służy natomiast ocenie efektywności działań kierownictwa,
• audyt zgodności, którego zadaniem jest weryfikacja działań przedsiębiorstwa z obowiązującymi zasadami i przepisami,
• audyt wewnętrzny, którego celem jest ocena zgodności procedur i operacji ze strategią (polityką korporacyjną) przedsiębiorstwa.
Klasyfikację odmienną od powszechnie używanych i opisywanych
kryteriów stworzył J. Stępniewski. Autor wyszczególnił formy audytu wewnętrznego z perspektywy czynników sukcesu organizacji, tj.
(Stępniewski 2001):
• audyt prawidłowości – opiera się na badaniu istnienia i przestrzegania reguł dotyczących funkcjonowania przedsiębiorstwa. Polega on
na weryfikowaniu zgodności tych reguł z faktycznie podejmowanymi
działaniami. W ramach audytu prawidłowości J. Stępniewski wyszczególnił: audyt bezpieczeństwa, audyt sprawności (Stępniewski 2001).
W sytuacji, gdy reguły są opisane w postaci np. instrukcji, audyt przyjmuje formę audytu zgodności. Jeżeli reguły są ewidentne i dotyczą
sposobu funkcjonowania np. ochrony danych i majątku, audyt przyjmuje formę audytu bezpieczeństwa;
• audyt sprawności – obejmuje badanie trafności sformułowanych reguł.
Dotyczy odpowiedniości tych reguł, a także doskonalenia ich wdrożenia. Ten rodzaj audytu jest niezbędny, gdy organizacja nie posiada systemu procedur postępowania, bądź gdy wykazują one nieprawidłowości lub są niekompletne. W ramach audytu sprawności J. Stępniewski
wymienia: audyt sprawności, w którym badaniu podlega adekwatność
środków do przyjętych celów, dostosowanie metod i procedur do aktualnych warunków działania, rygor zarządzania oraz jakość uzyskiwanych wyników; audyt zarządzania, któremu podlega adekwatność
celów do strategii i polityki przedsiębiorstwa, dostosowanie struktur
do zakładanych celów oraz komunikacja i stosunki międzyludzkie
panujące wewnątrz organizacji. Formą audytu zarządzania jest audyt
strategiczny. Obszarem zainteresowania tej formy audytu jest najwyższy poziom zarządzania oraz metod ich realizacji. J. Stępniewski wyodrębnia dwa podstawowe rodzaje audytu wewnętrznego, w ramach
których dokonuje podziału na bardziej szczegółowe kategorie. Klasy-
WSGE | 221
fikacja autora jest bardzo ogólna, a wyodrębnione w niej kategorie dotyczą szerokich i mało sprecyzowanych obszarów działalności.
Spośród najczęściej istniejących klasyfikacji audytu wewnętrznego
najczęstszą wymienianą kategorią jest audyt finansowy. Nazewnictwo
pozostałych form audytu opisywanych w literaturze przedmiotu jest zmienne. Ogromne znaczenie audytu finansowego podkreśla D. A. Żytniec
(Żytniec 2004). Autorka przyjęła kryterium klasyfikacji jako przedmiot
audytu, czyli obszar podlegający kontroli. Dokonuje podziału audytów na
te o charakterze finansowym i niefinansowym, który prezentuje rysunek 2.
Rysunek 2. Klasyfikacja rodzajów audytu wewnętrznego
Źródło: opracowanie własne na podstawie Żytniec D. A., 2004, Kontrola
222 | WSGE
wewnętrzna i audyt wewnętrzny, Kontrola i audyt w perspektywie
europejskiej, Konferencja MSWiA, Warszawa.
Dokonana klasyfikacja wprowadza nowe formy audytu wewnętrznego,
tj. audyt programów, informatyczny oraz działalności. Formy audytu
wymieniane przez autorkę zawierają w sobie audyt personalny. Choć
istnieją obszary przenikania się poszczególnych rodzajów audytu z audytem personalnym, nie jest możliwe konkretne umiejscowienie tego audytu
w wymienionej klasyfikacji. Podjęcie próby sklasyfikowania audytu personalnego wymaga jego usytuowania obok form niefinansowych audytu,
stworzenia w klasyfikacji kolejnej kategorii.
Źródło wiedzy dotyczące rodzajów audytu wewnętrznego stanowią
rozważania B. R. Kuca na ten temat (Kuc 2002). Autor nie dokonuje próby
klasyfikacji form audytu według żadnego kryterium, wymienia jedynie
jego rodzaje, nie zawsze nawet je charakteryzując. B. R. Kuc kategoryzując,
uogólniając i porządkując typy audytu wewnętrznego, podkreśla ważną
według niego klasyfikację obejmującą trzy rodzaje (Penc 2002):
• audyty systemu – ocena skuteczności systemu zarządzania jakością,
identyfikacja słabych punktów, ustalenie i podjęcie działań korygujących: obejmuje wszystkie obszary działania przedsiębiorstwa,
• audyty procesu – ocena skuteczności środków zarządzania przyjętych
w określonym procesie, badanie zdolności jakościowej procesu, podejmowania działań korygujących i prewencyjnych,
• audyty wyrobu – ocena skuteczności środków zarządzania przyjętych
dla określonego wyrobu, badanie jakości wyrobu, podejmowanie działań korygujących i prewencyjnych, obszar zainteresowania tego rodzaju audytu obejmuje określony wyrób bądź jego część.
Prezentacja dokonana przez autora bardzo rzeczowo i praktycznie
pokazuje próby klasyfikacji form audytu. Określa powyższą klasyfikację
jako mało szczegółową. Zwraca uwagę na podejmowane w literaturze zbyt
szczegółowe próby kategoryzacji audytów wewnętrznych. Koncentrowanie
się na tak drobiazgowych aspektach działalności organizacji skutkuje zbyt
dużą liczbą niepotrzebnych informacji, generuje koszty, marnotrawi czas
i zasoby ludzkie. „Jest przejawem szkodliwego dla organizacji procesu
autonomizacji w jego wariancie przedkładania środków na cele” (Kieżun
1997).
WSGE | 223
B.R. Kuc uważa, że audyt wewnętrzny jest potrzebny tylko wtedy, gdy
poddaje ocenie w organizacji duże zagadnienia. Według autora istnieją
podstawy, by wśród rodzajów audytu wewnętrznego można wyróżnić
takie formy, jak (Paczuła 2002): audyt branżowy, audyty finansowe, operacyjne, zarządzania, zgodności z celami, standardami czy uzgodnieniami,
audyt programu projektu, zarządzania jakością, audyt marketingowy, audyt bezpieczeństwa systemów informatycznych, audyt systemowy, audyt
stanowiskowy, audyt bezpieczeństwa pracy.
Inny podział audytu wewnętrznego dokonuje K. Czerwiński,
wyodrębniając następujące rodzaje audytów (Czerwiński 2005):
• audyt finansowy – przeprowadzany w oparciu o sprawozdania finansowe. Dotyczy oceny ich wiarygodności zgodnie ze standardami rewizji finansowej;
• audyt operacyjny – analiza wydajności i skuteczności systemów, które funkcjonują w ramach jednostki, ocena osiągnięcia zamierzonych
rezultatów w porównaniu z kosztami poniesionymi na ich realizację.
Obejmuje również badanie efektywności zarządzania, sposobu, w jaki
kierownictwo jednostki planuje działania, a następnie kontroluje stopień ich realizacji;
• audyt informatyczny – dotyczy kontroli systemów informatycznych
wdrażanych i stosowanych w jednostce.
Analiza dokonana w ramach audytu wewnętrznego umożliwia
wyróżnienie spośród klasyfikacji prezentowanych w poszczególnych opracowaniach. Najczęściej pojawiają się audyt finansowy i operacyjny. W. Korndörfer dokonuje podziału audytu wewnętrznego na typy, które prezentuje rysunek 3.
224 | WSGE
Rysunek 3. Klasyfikacja audytu wewnętrznego
Źródło: Korndörfer W., Pezz L., 1993, Einführung In das Prüfungs – Und
Revisionswensen, Gaabler Verlag, wyd. 3, Wiesbaden.
Autor określa audyt operacyjny (Korndörfer 1993) jako zjawisko
zmieniające się w szybkim tempie. Zauważa rolę tej formy audytu w procesach planowania, przekazywania informacji, realizacji operacji, kontroli,
a także korygowania procesów oraz wdrażania nowych rozwiązań.
Wiele klasyfikacji rodzajów audytu wewnętrznego prezentowanych
w literaturze omawianego przedmiotu wymienia:
• audyt działalności,
• audyt operacyjny,
• audyt finansowy,
• audyt zarządzania,
• audyt informatyczny,
• audyt zgodności,
• audyt systemów.
Rozważanie dotyczące tych form audytu, a zwłaszcza ich zakresu,
pozwalają ograniczyć tę klasyfikację. Niektóre spośród wymienionych
powyżej rodzajów audytu przenikają się na tyle, że stawianie pomiędzy
nimi wyraźnej granicy wydaje się być nieuzasadnione.
Analiza literatury przedmiotu i proponowane przez jej autorów klasyfikacje audytu wewnętrznego, a także opis ich charakterystyki, dają
WSGE | 225
wskazówkę do stworzenia klasyfikacji audytów. Interpretację rodzajów audytu przedstawia tabela nr 4.
Tabela 4. Klasyfikacja rodzajów audytu wewnętrznego
Rodzaj audytu
Audyt
finansowy
Definicja
Ocena sprawozdań
finansowych organizacji
pod względem rzetelności
odzwierciedlenia
faktycznego stanu
jednostki.
Zakres
•
•
•
•
•
•
•
•
Audyt
operacyjny
Audyt
zgodności
Badanie efektywności
i gospodarności
wykorzystania środków
przeznaczonych do
realizacji poszczególnych
procesów.
Weryfikacja zgodności
prowadzonej działalności
z przepisami prawa
i procedurami
wewnętrznymi organizacji.
•
•
•
•
•
•
kontrola środków pieniężnych,
kontr. rozrachunków i zysków,
kontr. zatrudnienia i wynagrodzeń,
ocena organizacji rachunkowości,
badanie dowodów księgowych,
ocena sprawozdań finansowych,
ocena efektywności
gospodarowania majątkiem
organizacji.
ocena efektywności zarządzania,
planowania i kontroli,
ocena produktów i technologii,
analiza otoczenia organizacji,
ocena integralności
i bezpieczeństwa systemów
informatycznych,
ocena efektywności, oszczędności
i wydajności wykorzystania
zasobów.
badanie zgodności realizacji
strategii wdrażania procedur
z obowiązującymi przepisami
prawnymi,
badanie działalność pracowników
organizacji do procedur i polityki
wytyczonej przez kierownictwo.
Źródło: opracowanie własne.
Prezentowane definicje, jak i zakres działań podejmowanych w zakresie wymienionych powyżej rodzajów audytu wewnętrznego, pozwalają
jednoznacznie wskazać miejsce audytu personalnego w ich klasyfikacji.
Audyt personalny jest rodzajem audytu operacyjnego. Jego zadaniem
jest ocena efektywności zarządzania personelem w organizacji. Analizie
podlega otoczenie organizacji oraz efektywność zasobów zaangażowanych
w realizację procesów personalnych. Zakres procesów podlegających analizie jest zatem podobny do audytu operacyjnego. Personel jest jednym
z aspektów działalności organizacji, które mogą podlegać badaniu w audycie operacyjnym.
Z prezentowanej literatury przedmiotu zauważa się wiele sposobów
226 | WSGE
klasyfikacji rodzajów audytu wewnętrznego. Audyt wewnętrzny może być
skierowany na każdy etap działalności przedsiębiorstwa, który w ocenie
przedsiębiorcy i zarządu musi być kontrolowany. W konsekwencji tworzonych jest coraz więcej typów audytów. Należy brać pod uwagę fakt,
że tworzenie zbyt wielu rodzajów audytu wewnętrznego jest bezpodstawne, w praktyce może prowadzić do powtarzania działań audytowych
i w efekcie do praktyk nieekonomicznych.
Wprowadzenie audytu wewnętrznego jest dowodem na to, że dotychczasowa kontrola stosowana w systemie zarządzania została uznana
za nieskuteczną. Nie gwarantowała ona ograniczenia ryzyka związanego
z niewłaściwym wykorzystaniem funduszy unijnych.
2.1.Audyt jakości
Przedsiębiorstwo, chcąc utrzymać się na rynku, dąży do zaspokajania
potrzeb swoich klientów przy równoczesnym zachowaniu odpowiedniej
jakości dostarczanych produktów. Zadowolenie konsumenta związane jest
nie tylko z przydatnością użytkową danego produktu lub usługi, ale przede
wszystkim ze zgodnością z ich wymaganiami oraz z atrakcyjną dla nich
ceną. A zatem dbałość o jakość dotyczy wszystkich etapów związanych
z produkcją obejmującą działalność przedsiębiorstwa (doskonalenie
wyrobów i usług, technologie, kwalifikacje pracowników, środki i przedmioty pracy, procesy i systemy marketingowe, projektowe, wytwórcze,
eksploatacyjne i informacyjno-decyzyjne) (Chabiera, Doroszewicz 2000),
z czym związany jest system zarządzania jakością (określany jako TQM –
Total Quality Management). Najlepszym narzędziem kontroli i oceny są
audyty jakości.
Audyt jakości jest wynikiem oczekiwań i wymagań stawianych przez
konsumentów firmie wobec produkowanych przez nią wyrobów lub
świadczonych usług.
Zgodnie z normą ISO 8402 audyt jakości definiuje się jako usystematyzowane i niezależne badanie mające stwierdzić czy działania odnoszące
się do jakości i ich wyniki są zgodne z zaplanowanymi ustaleniami oraz czy
ustalenia te są skutecznie realizowane i pozwalają na osiągnięcie zamierzonych celów (Chabiera, Doroszewicz 2000).
Audyt (audyt) przebiega w dwóch etapach, pierwszy z nich dotyczy
przeglądu dokumentacji systemu jakości. Jego celem jest zbadanie treści
merytorycznej i właściwa jej prezentacja. Dlatego analizę informacji za-
WSGE | 227
wartych w księdze jakości i procedurach przeprowadza się pod kątem
zgodności z wymaganiami normy (odpowiednio do modelu działania
systemu). Drugi etap dotyczy badania na stanowisku pracy. Poprzedza się
je sprawdzaniem odpowiednich instrukcji, schematów organizacyjnych,
specyfikacji technicznych, a także raportów z poprzednich audytów. Etap
ten przeprowadzany jest drogą wywiadu w celu określenia stanu rzeczywistego. Bada on czy uzgodnione wcześniej wymagania są znane zainteresowanym osobom, czy są faktycznie stosowane oraz w jaki sposób można
tego dowieść (np. poprzez prowadzenie odpowiedniej dokumentacji).
Dzięki przeprowadzeniu tych etapów następuje weryfikacja informacji
z audytu poprzedniego i obecnego.
Obecnie w Polsce obowiązuje ustanowiona przez PKN (Polski Komitet
Normalizacyjny) z grudnia 1994 norma dotycząca audytu. Składa się ona
z trzech części:
PN-ISO 10011-1 Wytyczne do audytowania systemów jakości. Audytowanie. Norma ta ustala podstawowe zasady, kryteria i praktyki audytu. Jest
wytyczną do ustanawiania planowania, wykonania i dokumentowania audytów systemów jakości. Jej ogólny charakter pozwala na zastosowanie jej
w różnych branżach i organizacjach.
PN-ISO 10011-2 Wytyczne do audytowania systemów jakości. Kryteria
kwalifikowania audytorów systemów jakości. Norma ta jest stosowana
przy ocenie kwalifikacji zawodowej audytorów, którzy będą audytować
systemy jakości według wytycznych normy ISO 10011-1
PN-ISO 10011-3 Wytyczne do audytowania systemów jakości. Zarządzanie programami audytu. Norma ta jest stosowana przy tworzeniu i utrzymywaniu kierownictwa programu audytów systemów jakości, które są
przeprowadzane zgodnie z wytycznymi normy ISO 10011-1 (Chabiera,
Doroszewicz 2000).
Na audyt jakości składają się audyt zewnętrzny i audyt wewnętrzny.
Audyt zewnętrzny przeprowadzany jest dla potrzeb zewnętrznych
przedsiębiorstwa, np. przy wyborze dostawców. Jeśli dostawca nie posiada
udokumentowanego systemu jakości (certyfikatu), można przeprowadzić
228 | WSGE
audyt. Odbywa się on jednak po uprzednim uzyskaniu zgody od dostawcy.
Jego przyzwolenie dotyczy również audytora, którym może być pracownik, odbiorcy lub odpowiednia jednostka wyspecjalizowana w tej dziedzinie (Chabiera, Doroszewicz 2000).
Szczególnym przypadkiem audytu zewnętrznego jest audyt certyfikujący. Przeprowadzany jest on przez niezależną i upoważnioną do tego celu
jednostkę certyfikacyjną. Odbywa się on, by przyznać świadectwo, formalne potwierdzenie zgodności badanego systemu z wymaganiami normy. Certyfikat ma ograniczony okres ważności (zwykle trzy-cztery lata)
a wznowienie jego ważności następuje na wniosek dostawcy (Kuc 2001).
Przeprowadzenie audytów wewnętrznych nakazane jest przez normy
ISO serii 9001. Oznacza, że audyty powinny być udokumentowane i dokonywane w planowanych odstępach czasowych w celu ustalenia, czy system
zarządzania jakości jest zgodny z ustalonymi przedsięwzięciami oraz czy
jest on efektywnie wdrażany i utrzymywany. Audyt wewnętrzny realizowany jest na potrzeby wewnętrzne przedsiębiorstwa przez odpowiednio
przeszkolonych pracowników audytorów z zewnątrz. Celem audytu wewnętrznego jest zbadanie zgodności rzeczywistych działań związanych
z jakością z działaniami zaplanowanymi oraz wdrożenie działania alarmowego, korygującego i zapobiegawczego w przypadku pojawienia się ewentualnych niezgodności (Chabiera, Doroszewicz 2000).
W systemie zarządzania jakością ważną rolę spełnia audyt wyrobów.
Jego zadaniem jest upewnienie, że wprowadzane procesy i procedury pozwalają na realizację wyrobów zgodnych z wymaganiami. Ponadto bada
on jakość wyrobów w czasie, jego przechowywania i jednocześnie poszukuje przyczyn wadliwości wyrobów.
Phillip Kotler podkreśla znaczenie audytu prowadzonego we wszystkich dziedzinach przedsiębiorstwa (jakość produktu, strategie i działania
promocyjne, sieć dystrybutorów, ceny, które są akceptowane przez klienta
i firmę, konkurencja, analiza rentowności a także system szkoleń i motywacji, wynagrodzenia i morale pracowników), a nie tylko w miejscach,
gdzie zauważono jakiekolwiek nieprawidłowości.
Istotne znaczenie ma regularność powtarzania audytu nawet wtedy,
gdy przedsiębiorstwo doskonale funkcjonuje na rynku. Pozwala to uniknąć zarówno niedoskonałości, jak i zaniedbań, powodując ich korygowanie. Działanie takie umożliwia rozwój i realizację organizacji. Przedsiębiorstwo powinno pamiętać o obiektywnej ocenie swojej działalności,
WSGE | 229
a zatem powinno korzystać z audytu zewnętrznego, który jest najbardziej
obiektywną formą kontroli.
Audyt marketingowy to inaczej kompleksowa, okresowa i systematyczna ocena marketingowego funkcjonowania organizacji, która obejmuje otoczenie rynkowe i jej wewnętrzną działalność marketingową. Jej
zadaniem jest ocena konkurencyjnej efektywności działalności marketingowej, rozpoznanie mocnych i słabych stron działań w tej dziedzinie oraz
prezentację wyników kierownictwu firmy. Audyt marketingowy powinien odznaczać się szeregiem cech, których występowanie gwarantuje jego
skuteczność. Te cechy to wszechstronność, systematyczność, niezależność
i regularność.
Organizacje powinny w sposób ciągły dokonywać analizy a jednocześnie identyfikować warunki mające wpływ na ich działanie. Muszą odpowiednio reagować na zmiany. Jednocześnie powinny zdobywać informacje
o zdarzeniach, działaniach i warunkach, które przyczyniają się do zmian.
Jakość informacji dotyczy zapewnienia, że wartość jest odpowiednia, tzn.
że znajdują się tu potrzebne informacje:
• informacja jest na czas,
• informacja jest aktualna – tzn. że jest to ostatnia informacja dostępna,
• informacja jest dokładna – tzn. że informacje są prawidłowe (Kuc
2002).
Aby zapewnić efektywność audytu, informacja powinna być właściwa,
zdobyta na czas a przede wszystkim we właściwym miejscu. Zdolność
kierownictwa do podejmowania odpowiednich decyzji zależy od jakości
informacji. Właściwe decyzje przyczyniają się do sprawnego zarządzania
i kontrolowania organizacji.
2.2.Audyt bezpieczeństwa pracy
Audyt bezpieczeństwa pracy to ważny element prowadzenia działalności gospodarczej. Jego zadaniem jest ocena funkcjonowania systemu
bezpieczeństwa pracy, rozpoznawanie i wykrywanie powstałych niedociągnięć, przyczyniając się do likwidacji. Dążenie do doskonalenia bezpieczeństwa pracy lub też do zachowania go na poziomie, na który pozwala
kadra menadżerska. Ważne jest ustalenie przyczyn nieprawidłowości, odróżnienia audytu od kontroli czy inspekcji w celu wykrycia braków i zaniedbań oraz nakładanie ewentualnych sankcji.
230 | WSGE
W systemie bezpieczeństwa pracy wyróżnia się:
• Audyt systemowy – dotyczy oceny dokumentacji a także funkcjonowania całego systemu. Ważne jest właściwe wykorzystanie wyników
audytu przy opracowywaniu planów naprawczych;
• Audyt stanowiskowy- polega na ocenie pracy konkretnego stanowiska. Obejmuje on ustalenie profilaktyki niezbędnej na danym stanowisku. Jednocześnie konieczne jest uwzględnienie ryzyka zawodowego;
• Audyt zewnętrzny - powinien dokonać oceny przez pryzmat jednostki
spoza danej organizacji. Jego celem jest pokazanie kierunku, w którym
podąża dana organizacja. Pozwala to na obiektywną i rzetelną informację, uzyskanie pewności, że organizacja dąży do określonej strategii
i celów operacyjnych (Kuc 2002).
Audyt w zakresie bezpieczeństwa pracy musi być przeprowadzony
w sposób okresowy i ciągły, co oznacza, że należy powtarzać go co jakiś
czas. Powinno uwzględniać się zmieniające przepisy a także czy organizacja zmierza do wytyczonych celów.
2.3.Audyt bezpieczeństwa danych
Duże znaczenie ma fakt ochrony danych przetwarzanych i przechowywanych w systemach informatycznych (wewnętrznych sieciach firm czy
Internecie). Ma to związek z coraz większym rozwojem „hakerstwa” a także szpiegostwa gospodarczego. Działalność ta ma związek z wykradaniem
nośników oraz pozyskiwaniem poufnych danych przedsiębiorstwa (dane
branżowe, gospodarcze, informacje o technologiach i procesach produkcyjnych).
Obawiając się utraty wiarygodności podobnych przestępstw komputerowych, firmy nie zgłaszają policji lub innym tego typu instytucjom ewentualnych szkód (Kaczmarek 2002).
Przeprowadzenie audytu bezpieczeństwa danych jest jednym ze sposobów ochrony przed nielegalną infiltracją danych systemów informatycznych. Jego zadaniem jest sprawdzenie poprawności działania systemu. Ponadto analiza szacowania ryzyka (pod względem niezawodności w sytuacjach kryzysowych i odporności na włamanie przez modem czy Internet
lub na przejęcie kontroli nad systemem), kontrola spełnienia wymogów
prawnych, analiza już istniejących w firmie systemów kontrolnych, okre-
WSGE | 231
sowe kontrole zabezpieczeń (Kuc 2002).
Dużym zagrożeniem dla bezpieczeństwa danych i systemu komputerowego przedsiębiorstwa są jego pracownicy. Dział kadr powinien zdobywać informacje o potencjalnym pracowniku i jego przeszłości w celu uzyskania informacji, kogo zatrudnia się w organizacji.
System informatyczny audytuje się pod względem jego zgodności
z ustaloną polityką bezpieczeństwa informacji poprzez kontrolę praw dostępu do systemu, tworzenia kopii awaryjnych, jednoznaczności operacji
zarządzania informacją.
2.4.Audyt bezpieczeństwa
Audyt bezpieczeństwa to proces zmierzający do podniesienia poziomu
bezpieczeństwa obiektu. To kompleksowa i obiektywna analiza informacji o aktualnym stanie bezpieczeństwa organizacji, określanie zagrożeń,
sprawdzenie efektywności działań służb ochrony, a także zgodność stosowanych procedur z polityką bezpieczeństwa. Rozwiązania te dotyczą inwestycyjnej, wykonawczej i proceduralnej sfery zarządzania bezpieczeństwem.
Podstawowe elementy audytu bezpieczeństwa dotyczą (Musiał 1997):
• analizy wewnętrznych i zewnętrznych zagrożeń,
• oceny stanu zabezpieczeń obiektów i rekomendacji działań,
• analizy efektywności zastosowanych rozwiązań, wspieranie przez nią
procesów operacyjnych.
Audyt bezpieczeństwa jest warunkiem funkcjonowania organizacji
na rynku. To działalność polegająca na pozyskiwaniu informacji o stanie
organizacji w celu zwiększenia poziomu we wszystkich obszarach działalności organizacji. Ponadto umożliwia szybkie reagowanie na ewentualne
zagrożenia i nieprzewidziane sytuacje kryzysowe.
Celem audytu bezpieczeństwa jest (Rutkowski 2009):
• określenie celów strategii i polityki bezpieczeństwa,
• określenie wymagań w zakresie bezpieczeństwa,
• różnych podejść do przeprowadzenia analizy ryzyka,
• omówienie różnego rodzaju planów zabezpieczeń,
• sposoby organizacji służb bezpieczeństwa,
232 | WSGE
• znaczenie szkoleń i działań uświadamiających,
• wykrywanie i reagowanie na incydenty.
Wymienione cele są wykorzystywane przy projektowaniu struktur kierowniczych i wykonawczych. Pozwalają one na określenie wymagań i analizę ryzyka związanego z działalnością organizacji. Duże znaczenie mają
szkolenia, które nie tylko uświadamiają, ale także przygotowują do wykrywania i szybkiego reagowania w razie ewentualnych nieprawidłowości.
Audyt bezpieczeństwa to kompleksowa ocena jego stanu polegająca na
(Nowakowski, Szafran, Szafran 2009):
• sprawdzeniu poziomu bezpieczeństwa w organizacji,
• identyfikacji słabych punktów,
• analizie potrzeb,
• określeniu, jakie obszary wymagają zmian.
Organizacje funkcjonujące na rynku muszą działać w zakresie analizy
potrzeb zabezpieczających ich działalność. Jest to wymóg związany z nowymi produktami i technologiami.
W Polsce audyt bezpieczeństwa jest jeszcze mało znanym narzędziem,
który powinien być wykorzystywany przez wszystkie organizacje działające na rynku krajowym. Audyt powinien być wykorzystywany jako jeden
z elementów stanowiących o poziomie bezpieczeństwa. Przyjmuje się, iż
audytowanie odbywa się na trzech poziomach (Lisiński 2011):
• skrócony audyt bezpieczeństwa w odniesieniu do obiektu, procesu
i całej organizacji,
• rozszerzony audyt bezpieczeństwa przeprowadzony na podstawie audytu skróconego w sytuacji, gdy dany parametr nie osiągnie pożądanego poziomu,
• pełen audyt bezpieczeństwa kompleksowo oceniający obiekt, proces,
organizacje.
Dokonywanie audytu bezpieczeństwa na wymienionych poziomach
pozwala na eliminacje ryzyka związanego z brakiem zachowania norm
bezpieczeństwa. Bezpieczeństwo podlega prawom psychologii. A zatem
sprawne, efektywne i skuteczne działanie wymaga wysokich kwalifikacji
WSGE | 233
menedżerskich. Powinno być zarządzane przez kompetentnych specjalistów (Lisiecki 2008).
Czynniki określające i wpływające na bezpieczeństwo prezentuje rysunek 4.
Rysunek 4. Czynniki wpływające na bezpieczeństwo
Bezpieczeństwo wewnętrzne
Działania
własne
Zagrożenia
Skutki
Kierownictwo
Przedmiot
Zasoby
Źródło: opracowanie własne na podstawie Rutkowski C., 2010,
Bezpieczeństwo wewnętrzne. Tożsamość – kierowanie – zarządzanie,
WSZiP, Warszawa.
Organizacje powinny przewidywać zagrożenia i skutki wynikające
z ich działalności. Powinny kontrolować wszystkie zdarzenia w przedsiębiorstwie. Kontrola jest zawsze wtórna do rzeczywistości. Nigdy nie jest
pierwotną inicjującą siłą. W zależności od swoich umiejętności ujawnia
fakty, zdarzenia, następstwa, ale ich nie kreuje (Materiały konferencji naukowej „Kontrola i controlling w Zarządzaniu – Zdążyć przed błędem).
Audyt bezpieczeństwa przynosi korzyści (Jagielski 2003):
• uzyskanie opinii na temat aktualnego i rzeczywistego bezpieczeństwa
obiektu,
• doradztwo w zakresie usprawnień dotyczących bezpieczeństwa,
• bezpieczeństwo realizacji celów biznesowych firmy.
Audyt bezpieczeństwa wykorzystywany jest jako narzędzie zarządzania bezpieczeństwem w organizacji. Pozwala uzyskać informacje o zaistniałych nieprawidłowościach pomiędzy stanem istniejącym a wymaganym. W ocenie funkcjonowania organizacji wykorzystywany jest system
234 | WSGE
wczesnego ostrzegania (SWO). Pozwala on na wczesne informowanie menedżerów o ewentualności pojawienia się zagrożeń związanych z upadłością organizacji. Podkreślenia wymaga fakt efektywności SWO z systemem
zarządzania ryzykiem. Ma to znaczenie w przewidywaniu przyszłości, której celem jest osiąganie wytyczonych zadań. Schemat systemu wczesnego
ostrzegania prezentuje rysunek 5.
Rysunek 5. System wczesnego ostrzegania
SWO
Strefa
obserwacji
Sposób
pozyskiwania
informacji
System
obserwacji
Analiza
informacji
Ostrzeganie
o zagrożeniu
Ujawnienie
zagrożeń
Propozycje
decyzyjne
Decyzje
Źródło: Berliński L., 2003, Projektowanie i ocena strategii innowacyjnych,
AJG, Bydgoszcz.
Idea analizy wczesnego ostrzegania zaproponowana przez D. Fijałkowską bierze pod uwagę zasięg, metodę, rozwiązanie personalne oraz
narzędziowe (Fijałkowska 2004):
• aspekt zasięgu dotyczy ustalenia obszarów obserwacji,
• aspekt metodologiczny uwzględnia metody doboru oraz metody analizy cech opisujących zdarzenia,
• aspekt personalny ustalenie zarządzających i odbiorców sygnałów,
WSGE | 235
• aspekt narzędziowy wyznacza techniczną infrastrukturę i narzędzia
wykorzystywane w procesie.
W praktyce zarządczej wykorzystuje się analizę sprawozdań finansowych w funkcjonującej organizacji. Jest to podyktowane rzetelnością danych zawartych w bilansach.
Zarządzanie organizacją związane jest z ryzykiem. Wg Druckera
(Drucker 2000), menedżerowie muszą dysponować umiejętnościami technicznymi, interpersonalnymi, koncepcyjnymi, a także diagnostycznymi
i analitycznymi. Umiejętne zarządzanie ryzykiem pozwala na przewidywanie wszelkich nieprawidłowości mogących zagrozić funkcjonowaniu
organizacji. Budowanie systemu umożliwiającego efektywne zarządzanie ryzykiem dokonywane jest dzięki audytowi wewnętrznemu, którego
głównym zadaniem jest wspieranie organizacji w osiąganiu jej celów przez
systematyczne i zdyscyplinowane podejście do oceny i doskonalenia skuteczności, procesów zarządzania ryzykiem, kontroli i governance (Międzynarodowe Standardy Audytu Wewnętrznego). Audyt wewnętrzny jest
niezależną i obiektywną działalnością, którą wykorzystuje się w tworzeniu
wartości dodanej poprzez usprawnienie procesów zarządzania organizacją.
Podsumowanie
Odpowiedni system zarządzania ryzykiem jest uzależniony od właściwego systemu wczesnego ostrzegania. Ma to znaczenie dla identyfikacji
przyszłych zdarzeń. Ważną rolę spełnia audyt wewnętrzny, który usprawnia działalność organizacji poprzez ocenę zagrożeń. Jego działalność jest
obiektywna, niezależna i doradcza. Ułatwia menedżerom nie tylko zarządzanie organizacją, ale także umożliwia przewidywany rozwój niezależnie
od okoliczności. Powinien być kojarzony z podnoszeniem jakości i poprawą efektywności organizacji. Zasada ta powinna wynikać zarówno z dostosowania do norm Unii Europejskiej oraz wymogów prawa.
References
Chabiera J., Doroszewicz S., Zwierzchowska A., 2000, Zarządzanie jakością, Poradnik menadżera, Centrum Informacji Menadżera prof. dr
hab. K. Cholewicka-Goździk, Warszawa.
236 | WSGE
Czerwiński K., 2005, Audyt Wewnętrzny, wyd. II, InfoAudyt, Warszawa.
Dodey D.E., 1965, Nothing new under the sun?, The International Auditor
1965, Summer.
Drucker P., 2000, Zarządzanie w XXI wieku, Muza, Warszawa.
Dziurzyński K. (2010), Wykluczony na drodze do inkluzji - miejsce edukacji w pokonywaniu wykluczenia (współautor: A. Łukasiewicz) (w:)
Wykluczenie społeczne - czynniki ryzyka, profilaktyka, remedia, red.
nauk. S. Nazaruk, M. Nowak, E. Konovaluk. Biała Podlaska. ISBN 97883-610444-85-7. p. 129-140
Fijałkowska D., 2004, Systemy wczesnego ostrzegania w controllingu strategicznym, „Controlling i Rachunkowość Zarządcza”, nr 2.
Hegar T., M. Szymańska-Koszyc, Audyt wewnętrzny integralna część zarządzania firma-cz.II, www.kadry.info.pl.
Jagielski J., 2003, Audyt wewnętrzny – miejsce w systemie kontroli i organizacji, „Kontrola Państwowa, nr 3.
Kaczmarek S., 2002, Badania marketingowe. Metody i techniki, PWE, Warszawa.
Kieżun W., 1997, Sprawne zarządzanie organizacją, Oficyna Wydawnicza
SGH, Warszawa.
Korndörfer W., Pezz L., 1993, Einführung In das Prüfungs – Und Revisionswensen, Gaabler Verlag, wyd. 3, Wiesbaden.
Kotler P., Marketing., 1994, Analiza, planowanie, wdrażanie i kontrola, Gebethner i S-ka, Warszawa.
Kuc B.R., 2001, Audyt wewnętrzny, PTM, Warszawa.
Kuc B.R., 2002, Audyt wewnętrzny. Teoria i praktyka, Wyd. menadżerskie
PTM, Warszawa.
Lisiecki M., 2008, Zarządzanie bezpieczeństwem – wyzwania XX wieku,
WSZiP, Warszawa.
Lisiński M., 2011, Audyt wewnętrzny w doskonaleniu instytucji. Aspekty
teoretyczno-metodologiczne i praktyczne, PWE, Warszawa.
Materiały konferencji naukowej „Kontrola i controlling w Zarządzaniu –
Zdążyć przed błędem, 20–21 czerwca 2011 r., WSZiM w Warszawie.
Międzynarodowe Standardy Audytu Wewnętrznego, The Institute of Internal Auditors, IIA Polska, http://www.iia.org.pl.
Musiał T., 1997, Audyt bezpieczeństwa, Szkoła Eksploatacji Podziemnej,
WSGE | 237
Kraków.
Nowakowski Z., Szafran H., Szafran R., 2009, Bezpieczeństwo w XXI wieku.
Strategie bezpieczeństwa narodowego Polski i wybranych państw, maszynopis, Rzeszów.
Paczuła Cz., 2002, Kontrola wewnętrzna w zarządzaniu jednostką gospodarczą, wyd. II, Difin, Warszawa.
Penc J., 2002, Kontrola i kontroling w zarządzaniu, tendencje, koncepcje,
instrumenty, WSZiM, Warszawa.
Projekt Ustawy o finansach publicznych z dnia 13 sierpnia 2008 r., http://
www.mf.gov.pl.
Rutkowski C., 2010, Bezpieczeństwo wewnętrzne. Tożsamość – kierowanie –
zarządzanie, WSZiP, Warszawa.
Sawyer L.B., Dittenhofer M.A., Scheiner J.H., 2003, Sawyer’s Internal
Audyting 5th Edition, The Institute of Internal Audytors, Altmonte
Springes, Florida.
Standards for The Professional Practice of Internal Auditing, 1978, The Institute of Internal Auditors, Altamonte Spring, Florida.
Standards for The Professional Practice of Internal Auditing, 2001, The Institute of Internal Auditors, Altamonte Spring, Florida.
Stępniewski J., 2001, Audyt i diagnostyka firmy, W.A.E., Wrocław.
The Accounting Review, 1995, vol. 30, No. 1.
Ustawa z dnia 30 czerwca 2005 r. o finansach publicznych, Dz. U., z 2005 r.,
nr 249, poz. 2104.
Żytniec D.A., 2004, Kontrola wewnętrzna i audyt wewnętrzny. Kontrola
i audyt w perspektywie europejskiej, Materiały konferencji MSWiA,
Warszawa.
(Footnotes)
1  The Institute of Internal Auditors Research Foundation (IIARF) został utworzony
w 1976 r. przez IIA (http://www.theira.org, pobrano 15.06.2010).
2  Dokument ten znany jest pod nazwą Competency Framework for Internal Auditing –
CFIA. (http://www.theira.org, pobrano 15.06.2010).
238 | WSGE