dr Justyna B. Zakrzewska
Biegły Rewident, FCCA Prezes Zarządu Biura Rachunkowego Account Sp. z o.o.
1. Definicja i znaczenie kontroli jakości
Kontrola wewnętrzna jest integralną częścią procesu zarządzania organizacją. Ogranicza ona czynniki ryzyka, które są zidentyfikowane oraz efektywnie i aktywnie monitorowane przez osoby zarządzające i nadzorujące jednostkę, kierownictwo i inny personel.
Zapewnienie efektywnego, zintegrowanego systemu zarządzania ryzykiem i kontroli wewnętrznej powinno stanowić kluczowy element nadzoru ze strony kierownictwa. Kryzysy finansowe w ostatnich latach wykazały, że w niektórych organizacjach, zwłaszcza w niektórych instytucjach finansowych, praktyki w zakresie zarządzania ryzykiem i kontroli wewnętrznej były wadliwe lub nieskuteczne. Przed ostatnimi kryzysami finansowymi wiele firm nadmiernie koncentrowało się na kontroli sprawozdawczości finansowej, co pokazało, że wiele zagrożeń, jakie wpływały na organizacje, pochodziło z obszarów innych niż sprawozdawczość finansowa, w tym źródeł zewnętrznych. Skuteczne zarządzanie ryzykiem i kontrola wewnętrzna powinny być kluczowym elementem dobrego zarządzania na każdym poziomie organizacji i we wszystkich operacjach1.
Inaczej ma się kwestia systemu kontroli jakości w firmie audytorskiej. Wprawdzie tu również to naczelne kierownictwo odpowiada za opracowanie, wdrożenie oraz prawidłowe działanie systemu kontroli jakości, jednak służy on celom innym niż tylko i wyłącznie usatysfakcjonowanie klienta – podmiotu zlecającego przegląd, badanie sprawozdania finansowego lub inne usługi atestacyjne. Firma audytorska to podmiot zaufania publicznego, dlatego też kontrola jakości w tego typu jednostce ma służyć głównie zagwarantowaniu rzetelnego wykonywania usług atestacyjnych, na wynikach których opierają swoje decyzje biznesowe podmioty będące uczestnikami życia gospodarczego.
Ustanowienie i przestrzeganie zgodnych z wymogami zasad kontroli jakości zapewnia też firmie audytorskiej dodatkową ochronę w przypadku ewentualnych roszczeń, skarg i zarzutów.
1.1. Regulacje prawne dotyczące kontroli jakości w firmach audytorskich
Zgodnie z art. 21 ust. 2 pkt 3 lit. b ustawy z dnia 7 maja 2009 r. o biegłych rewidentach i ich samorządzie, podmiotach uprawnionych do badania sprawozdań finansowych oraz o nadzorze publicznym Krajowa Rada Biegłych Rewidentów ustanowiła, w formie uchwały zatwierdzonej przez Komisje Nadzoru Audytowego, zasady wewnętrznej kontroli jakości podmiotu uprawnionego do badania sprawozdań finansowych jako Załącznik do uchwały nr 1378/32/2009 Krajowej Rady Biegłych Rewidentów z dnia 13 października 2009 r.
Zasady wewnętrznej kontroli jakości podmiotu uprawnionego do badania sprawozdań finansowych, określają ogólne wymogi dla systemu wewnętrznej kontroli jakości usług czynności rewizji finansowej wykonywanych przez podmioty uprawnione do badania sprawozdań finansowych.
Zgodnie z zapisami uchwały, przez system kontroli jakości należy rozumieć procesy umożliwiające uzyskanie przez kierownictwo podmiotu uprawnionego racjonalnej pewności, że czynności rewizji finansowej są wykonywane zgodnie z obowiązującymi zasadami etyki zawodowej biegłych rewidentów, krajowymi standardami rewizji finansowej oraz wewnętrznym standardem jakości podmiotu uprawnionego. Każdy podmiot uprawniony obowiązany jest opracować, wprowadzić do stosowania i zapewnić skuteczne działanie systemu kontroli jakości odpowiedniego do zakresu i skali prowadzonej działalności.
Wymogi zasad kontroli jakości należy odczytywać i stosować w połączeniu z odpowiednimi wymogami zasad etyki oraz Kodeksu etyki zawodowych księgowych Międzynarodowej Federacji Księgowych „IFAC”.2
2. Wdrażanie zasad kontroli wewnętrznej
Kontrola wewnętrzna jest często postrzegana i traktowana jako wymóg zgodności z przepisami prawa, a nie jako element umożliwiający poprawę działania organizacji. Skuteczna kontrola wewnętrzna może pomóc organizacjom w poprawie ich wydajności poprzez umożliwienie im wykorzystania dodatkowych możliwości i podjęcie wyzwań w sposób bardziej kontrolowany. Dlatego istnieje potrzeba lepszego zrozumienia, w jaki sposób wyniki organizacji zależą od skutecznego zarządzania ryzykiem oraz roli i skuteczności systemu kontroli wewnętrznej. Charakter i zakres opracowanych przez firmę zasad i procedur kontroli jakości będą zależne od wielu czynników, w tym od wielkości i charakteru firmy oraz jej cech operacyjnych. Skuteczne zasady i procedury nie muszą być czasochłonne lub złożone3.
2.1. Kluczowe zasady oceny i poprawy kontroli wewnętrznej
Zasady przedstawione poniżej opisują dobre praktyki w zakresie oceny i poprawy systemów kontroli wewnętrznej. Zasady te nie są opracowane w celu zaprojektowania i wdrożenia systemu kontroli wewnętrznej, o którym traktują inne istniejące wytyczne, ale mają na celu ułatwienie ocenę i poprawę istniejących procesów kontroli wewnętrznej, poprzez podkreślenie szeregu obszarów, w których praktyczne zastosowanie tych wytycznych często zawodzi w firmie audytorskiej4.
2.1.1. Wspieranie celów organizacji
Kontrola wewnętrzna powinna być wykorzystywana do wspierania organizacji w osiąganiu jej celów poprzez zarządzanie ponoszonym przez nią ryzykiem, przy jednoczesnym przestrzeganiu zasad, przepisów i dokumentów obowiązujących w firmie audytorskiej. Organizacja powinna zatem uczynić kontrolę wewnętrzną częścią procesu zarządzania ryzykiem i zintegrować ją w ramach całego systemu zarządzania. Firma audytorska projektując swój system kontroli jakości musi uwzględnić następujące kluczowe elementy: wymogi etyczne, niezależność i obiektywizm, utrzymywanie zawodowych kompetencji, należytą staranność i jakość pracy, ogólnie przyjęte normy wykonywania zawodu, jasność sformułowań i wskazówek, utrzymanie równowagi pomiędzy praktycznością rozwiązań a ekonomiką, rozmiarem firmy i jej zasobami, uzasadnionymi analizami kosztów i korzyści dla klientów oraz firmy, rozsądny dobór i utrzymanie klientów5. Projekt systemu kontroli jakości powinien obejmować konkretne zagadnienia i praktyki ważne dla stałego podwyższania standardów zawodowych oraz wypełniania mających zastosowanie wymogów regulacyjnych i prawnych oraz kodeksu IFAC.
Wprowadzeniem do deklaracji ogólnej polityki kontroli jakości w firmie audytorskiej może być misja firmy, jej cele oraz szczegółowy opis jej struktury organizacyjnej. Odpowiedzialność za kontrolę wewnętrzną powinna zostać powierzona tym, którzy mają najwyższy poziom władzy. Nie powinna być delegowana na pracowników, którzy nie posiadają uprawnień wykonawczych.
2.1.2. Ustalenie ról i obowiązków
Kierownictwo firmy audytorskiej w kontroli wewnętrznej powinno określić różne role i obowiązki, w tym organów zarządzających, kierownictwa na wszystkich szczeblach, pracowników, wewnętrznych i zewnętrznych dostawców jak również koordynować współpracę między nimi.
Kierownictwo firmy audytorskiej powinno zaprojektować, wdrożyć, utrzymywać, monitorować, oceniać działanie systemu kontroli wewnętrznej w organizacji. Sprawozdanie z oceny kontroli wewnętrznej powinno być zgodne ze strategią zarządzania ryzykiem i polityką kontroli wewnętrznej w jednostce.
Wszyscy partnerzy i pracownicy w firmie audytorskiej muszą znać i rozumieć Sekcję 290 Kodeksu IFAC, MSKJ 1.20 – 1.25, i MSRF 220.11. Wszyscy członkowie zespołu realizującego zlecenie muszą spełnić wymogi niezależności Kodeksu IFAC dla wszystkich usług atestacyjnych i wydanych sprawozdań biegłych rewidentów. Firma musi uzyskać pisemne potwierdzenie od wszystkich partnerów i pracowników zobowiązanych przez stosowne wymogi etyczne do zachowania niezależności, że zrozumieją zasady i procedury obowiązujące w firmie i stosują się do nich.
2.1.3. Wspieranie kultury motywacji
Naczelnym obowiązkiem partnerów i kierownictwa w firmie audytorskiej jest promocja kultury organizacji, która motywuje jej członków do działania zgodnie ze strategią zarządzania ryzykiem i polityką kontroli wewnętrznej w celu osiągania celów firmy audytorskiej.
„Sygnały z góry” mają krytyczne znaczenie w tym zakresie6. Partnerzy i kierownictwo powinny w pełni przyjąć do wiadomości znaczenie „Sygnałów z góry”, kultury i etyki w ramach organizacji. Wszystkie te czynniki są niezbędne dla skutecznego działania systemu kontroli wewnętrznej. Zarówno organ zarządzający, jak i kierownictwo w jednostce muszą dawać przykład dobrego zarządzania ryzykiem i przestrzegania procedur kontroli wewnętrznej.
Na przykład jeśli partnerzy w firmie audytorskiej nie zarządzają ryzykiem i nie przestrzegają procedur kontroli wewnętrznej, wówczas pracownicy niższych szczebli będą bardziej skłonni uważać, że odpowiednie zarządzanie ryzykiem poprzez skuteczne kontrole nie jest priorytetem firmy audytorskiej7.
Kodeks postępowania może wspierać prawidłowe podstawy pracowników oraz zwracać uwagę na konsekwencje naruszenia w nim zawartych zasad. Oprócz posiadania kodeksu, kierownictwo powinno stale wzmacniać swoje zasady w słowie i czynie, poprzez programy szkoleniowe, modelowe zachowanie, podjęcie odpowiednich działań w reakcji na naruszenia zasad8.
Efektywne „Sygnały z góry” obejmują tworzenie wyraźnych zakresów kompetencji i odpowiedzialności w zakresie zarządzania, zarządzania ryzykiem i kontroli wewnętrznej, a także przypisywanie tym tematom wysokiego priorytetu na regularnych posiedzeniach kierownictwa oraz na spotkaniach pracowniczych9.
2.1.4. Łączenie celów kontroli wewnętrznej z indywidualnymi działaniami
Partnerzy i kierownictwo powinni łączyć osiągnięcie celów organizacji w zakresie kontroli wewnętrznej z indywidualnymi celami wydajności. Każda osoba w organizacji powinna odpowiadać za realizację powierzonych jej celów dotyczących kontroli wewnętrznej10. Kluczowe znaczenie kontroli wewnętrznej dla trwałego sukcesu organizacji nie może być przecenione. Osiąganie celów i utrzymanie skutecznej kontroli są nierozłączne11.
Trwały sukces opiera się na zasobach ludzkich będących podstawą realizacji nowych możliwości i właściwego działania kontroli12.
2.1.5. Zapewnienie odpowiednich kompetencji
Partnerzy, kierownictwo oraz inni uczestnicy systemu zarządzania w organizacji powinni być wystarczająco kompetentni do wypełniania obowiązków kontrolnych związanych z ich rolami. Kompetencje w tym zakresie to wiedza z zakresu:
- zmian celów organizacji jak również zewnętrzne i wewnętrzne środowisko, strategia, działania, procesy i systemy wpływają na ryzyko,
- zabezpieczania przed czynnikami ryzyka poprzez odpowiednie kontrole, zgodnie ze strategią firmy w zakresie zarządzania ryzykiem i polityką kontroli wewnętrznej,
- możliwości wdrożenia i stosowania kontroli, monitorowania ich skuteczności oraz radzenia sobie z wszystkimi rodzajami ryzyka zabezpieczonymi w niedostateczny sposób, jak również z ewentualnymi błędami systemu kontroli;
- posiadania wystarczających możliwości oceny i ulepszania indywidualnych kontroli oraz
- wykonywania, przeglądu, oceny i poprawy systemu kontroli wewnętrznej.
W ostatnich latach na całym świecie silnie zarysowuje się problem niedoboru wykwalifikowanych, kompetentnych księgowych i biegłych rewidentów. W związku z tym mniejsze firmy audytorskie mają większy problem z pozyskaniem fachowego personelu, niż duże firmy z branży. Wiąże się to z mniejszymi możliwościami awansu pracowników w małych i średnich firmach audytorskich jak również z niższymi płacami oraz świadczeniami dodatkowymi. Dlatego też planowanie zasobów ludzkich jest dla małych i średnich przedsiębiorstw z branży dużym wyzwaniem. W trakcie ustalania przedziałów wynagrodzeń w firmie dobrze jest wziąć pod uwagę koszt utraty pracowników na rzecz konkurencji13. Dobrobyt każdej firmy zależy od ilości i jakości zatrudnionego w niej lub świadczącego usługi na jej rzecz profesjonalnego personelu. Naturalne jest, że sukces firmy będzie bezpośrednio powiązany z zarządzaniem jej personelem. Osoba odpowiedzialna za zasoby ludzkie w firmie powinna zatwierdzać udział pracowników w zewnętrznych kursach podnoszących ich kwalifikacje zawodowe. Partnerzy i pracownicy odpowiadają za dokumentowanie podnoszenia swoich kwalifikacji zawodowych. Osoba odpowiedzialna za zasoby ludzkie w firmie powinna przeglądać tę dokumentację corocznie, razem z partnerem lub pracownikiem.
2.1.6. Reakcja na ryzyko
Poszczególne kontrole powinny zawsze być projektowane, wdrażane i stosowane w taki sposób aby były odpowiedzią na zidentyfikowane czynniki ryzyka, jego przyczyny i skutki. Kontrole są środkiem do osiągania celu – skutecznego zarządzania ryzykiem, umożliwiającego organizacji osiągnięcia jej celów14.
Najważniejsze pytanie na jakie firma audytorska powinna uzyskać odpowiedz przed rozpoczęciem prac związanych z projektowaniem, wdrażaniem, stosowaniem lub oceną kontroli wewnętrznej, to „jakie rodzaje ryzyka kontrola ma ograniczać lub też eliminować”. Firmy audytorskie powinny zadbać o to, aby wszystkie procesy podejmowania decyzji strategicznych i operacyjnych były wspierane przez zarządzanie ryzykiem i późniejsze wdrażanie odpowiednich kontroli. Wszystkie istotne odchylenia od zamierzonego rezultatu muszą zostać ocenione15.
Firmy audytorskie powinny również rozważyć potrzebę pozostania elastycznymi, unikać nadmiernej kontroli, ponieważ celem kontroli wewnętrznej jest umożliwianie, nie utrudnianie realizacji celów organizacji. W zależności od typu i stopnia zagrożenia i na podstawie, między innymi, opisanych powyżej aspektów kontroli wewnętrznej, organizacja może zdecydować o:
- niepodejmowaniu pewnego ryzyka poprzez nie rozpoczynanie lub zakończenie działalności, która powoduje powstanie czynników ryzyka,
- podjęciu dodatkowego ryzyka w pogoni za wyższym zyskiem poprzez zaangażowanie w bardziej ryzykowne działania lub obniżeniu poziomu kontroli wewnętrznej,
- kontrolowaniu ryzyka, poprzez usuwanie źródła, zmianę prawdopodobieństwa lub zmiany charakteru, wielkości lub czasu trwania skutków,
- podziale ryzyka przez dodatkowe ubezpieczenie, co jest również uważane za kontrolę,
- zaakceptowaniu ryzyka, poprzez nie podejmowanie żadnych działań oprócz monitorowania zmian ryzyka.
Równowaga między ryzykiem i związaną z nią kontrolą nieustannie się zmienia w dynamicznym środowisku gospodarczym a kontrole powinny być stale poddawane ponownej ocenie i optymalizacji. Ponowna ocena czynników ryzyka i dostosowanie do niej procedur kontroli wewnętrznej powinny być prowadzone w cyklu ciągłym. Zmiany w strategii podejmowania ryzyka przez firmę audytorską prowadzą do zmian w zakresie stosowanych procedur kontroli wewnętrznej. Ponadto zewnętrzne zdarzenia mogą mieć wpływ na ryzyko, które z kolei może wymagać zmian systemie kontroli wewnętrznej16.
Wysiłek włożony w planowanie, realizację i monitorowanie kontroli wewnętrznej musi być odpowiednio zrównoważony dążeniem do osiągnięcia zaplanowanych celów gospodarczych organizacji. Przy zbyt małej uwadze poświęconej kontroli wewnętrznej, cele biznesowe nie zostaną osiągnięte. Z drugiej strony, zbyt rygorystyczne wymagania kontroli mogą sparaliżować organizację: kontrola wewnętrzna staje się celem samym w sobie.
W wielu firmach audytorskich istnieje system kontroli wewnętrznej w postaci pisemnych instrukcji i procedur, ale może on nie być w wystarczającym stopniu stosowany w codziennej pracy w jednostce.
2.1.7. Regularne komunikowanie się
Kierownictwo powinno zapewnić regularną komunikację dotyczącą działania i oceny systemu kontroli wewnętrznej na wszystkich poziomach, jak również wyników tej oceny. Pozwoli to upewnić się odpowiedzialnym osobom, że zasady kontroli wewnętrznej są w pełni zrozumiałe i poprawnie stosowane przez wszystkich17.
Kontrole wewnętrzne będą skuteczne tylko, gdy będą zrozumiałe dla zainteresowanych osób, podobnie jak ryzyko, które mają modyfikować. Dlatego kontroli nie powinno się dokumentować i informować o nich w izolacji, ale działania te powinny zostać zintegrowane, poprzez formalne i nieformalne kanały, z elementami systemu zarządzania, w ramach których mają one pracować, w tym związanych z nimi celów, działań, procesów, systemów, rodzajów ryzyka i zakresów odpowiedzialności.
Odpowiednia dokumentacja systemu kontroli wewnętrznej i komunikacja są niezbędne do skutecznej kontroli wewnętrznej. Przy dokumentowaniu i przekazywaniu informacji o kontroli, należy zwrócić uwagę na użyteczność i zrozumiałość różnych polityk, procedur itp. Stosowanie prostego języka wspiera skuteczną kontrolę wewnętrzną18.
Zarządzanie ryzykiem i kontrola wewnętrzna powinny być również osadzone w sposobie, w jaki ludzie pracują. Dlatego kierownictwo poprzez aktywną komunikację i dyskusję zapewnia, że to, co jest napisane w dokumentacji systemu kontroli wewnętrznej lub innym podręczniku, jest rozumiane w całej organizacji i stosowane w praktyce przez pracowników19.
Zmiany w systemie kontroli wewnętrznej powinny być odzwierciedlone w zaktualizowanej dokumentacji i dodatkowych komunikatach. Ważne jest przetestowanie nowych wdrażanych projektów i udokumentowanych kontroli, a następnie monitorowanie efektywności ich działania20.
Firma audytorska powinna jak najszybciej zidentyfikować błąd w działaniu kontroli indywidualnej albo systemu kontroli wewnętrznej, aby móc zapobiec dalszym błędom lub je ograniczyć. W wielu przypadkach jednak mało uwagi poświęca się określeniu, co dokładnie powinno być monitorowane i oceniane w odniesieniu do kontroli wewnętrznej, jak to powinno to być robione, i przez kogo21.
2.1.8. Egzekwowanie zasad kontroli jakości i nagradzanie ich przestrzegania
System kontroli jakości w firmie to nie tylko skuteczny nadzór. Niezbędne są też: proces egzekwowania (obejmujący konsekwencje za nieprzestrzeganie, nieposzanowanie, brak należytej staranności i uwagi, nadużycie i obejście systemu) oraz procedury naprawcze. Firma może wyznaczyć osobę zarządzającą procesem dyscyplinarnym.
Nawet najbardziej rozbudowane reguły i procedury nie mogą objąć całości spraw dotyczących kwestii dyscyplinarnych oraz wszystkich rodzajów podejmowanego postępowania dyscyplinarnego. W związku z tym zasady firmy mogą ustanawiać tylko ogólne wytyczne dotyczące rozwiązywania istotnych zagadnień dyscyplinarnych22.
Proces rozpatrywania kwestii dyscyplinarnych powinien być przeprowadzany obiektywnie, sumiennie, w sposób wolny od uprzedzeń. Wyciągnięte wnioski powinny być uzasadnione a rozwiązanie sprawy powinno odbyć się bez zbędnej zwłoki. Naturalnie, ustalona kolejność zdarzeń dyscyplinarnych będzie zależała, pod pewnymi względami, od prawa pracy obowiązującego w systemie prawnym firmy23.
Poważne, umyślne, powtarzające się wykroczenia lub przypadki nieposzanowania zasad obowiązujących w firmie i zawodowych reguł nie mogą być tolerowane. Muszą być podjęte odpowiednie kroki korygujące zachowanie partnerów lub pracowników, lub też należy zakończyć stosunek pracy z daną osobą24.
Ważne jest podkreślanie pełnego poszanowania firmy dla silnego i skutecznego systemu kontroli wewnętrznej poprzez jednoznaczne umacnianie i okazywanie uznania dla: przestrzegania zasad, roli kierownictwa, innowacyjności, szkoleń, rozwoju i współpracy – łącznie z osobistym zaangażowaniem i wkładem w kontrolę jakości, etykę i uczciwość.
Okresowa ocena pracowników jest jednym ze sposobów, w jaki firma zachęca personel do podnoszenia kwalifikacji zawodowych, wzmacnia pozytywne zachowania oraz daje możliwość konstruktywnej krytyki. Ocena taka powinna brać pod uwagę nie tylko pracę nad realizacją różnych zleceń, ale także opinie osób nadzorujących (kadry kierowniczej i partnerów) oraz komentarze od klientów. Okresowe oceny pracowników są zwykle przeprowadzane za pomocą formularza o treści zdefiniowanej przez politykę firmy.
Zarówno kontrole indywidualne, jak również system kontroli wewnętrznej jako całość powinny być regularnie monitorowane i oceniane. Identyfikacja niedopuszczalnie wysokiego poziomu ryzyka, błędów w kontroli lub zdarzeń, które nie mieszczą się w granicach podejmowanego ryzyka mogą oznaczać, że kontrola indywidualna lub system kontroli wewnętrznej są nieskuteczne i wymagają naprawy25.
2.1.9. Zapewnienie przejrzystości i odpowiedzialności
Partnerzy, wraz z kierownictwem, powinni okresowo składać zainteresowanym stronom sprawozdania na temat profilu ryzyka organizacji, jak również struktury i faktycznego działania systemu kontroli wewnętrznej organizacji26.
Wszystkie ważne decyzje biznesowe powinny być oparte na odpowiedniej ocenie ryzyka, która określa ogólny efekt niepewności wobec celów organizacji, tak że poszczególne rodzaje ryzyka nie są oceniane i rozpatrywane oddzielnie lub w sposób liniowy, niezwiązany.
2.1.10. Monitorowanie i ocena
Zarówno kontrole indywidualne, jak również system kontroli wewnętrznej jako całość powinny być regularnie monitorowane i oceniane. Identyfikacja niedopuszczalnie wysokiego poziomu ryzyka, błędów w kontroli lub zdarzeń, które nie znajdują się w określonych granicach podejmowanego ryzyka przez firmę audytorską mogą oznaczać, że kontrola indywidualna lub system kontroli wewnętrznej są nieskuteczne i wymagają poprawy27.
Wiele osób myli monitorowanie i ocenę systemu kontroli wewnętrznej z monitoringiem i oceną poszczególnych kontroli. Na pierwszy rzut oka, indywidualna kontrola może wydawać się skuteczna, ale należy ją również oceniać w kontekście tego, jak ogólny system kontroli wewnętrznej ma w założeniu pracować. Odwrotnie, skuteczny system kontroli wewnętrznej powinien być w stanie wykrywać i naprawiać, w odpowiednim czasie, indywidualne kontrole, które stały się niewystarczające lub zbędne. Dlatego zarówno poszczególne kontrole i ogólny system kontroli wewnętrznej powinny być regularnie monitorowane i oceniane w powiązaniu ze sobą. Na tym kończy się cykl „planuj-wykonuj-sprawdzaj-działaj” w odniesieniu do kontroli wewnętrznej.28
Poszczególne kontrole, które wcześniej działały skutecznie mogą z czasem ulec osłabieniu, zawieść, lub stać się zbędne. Wymagane kontrole mogą również nie istnieć. Możliwe przyczyny słabości kontroli lub błędów obejmują: ciągłe zmiany w organizacji, jej celach, działaniach i środowisku, zmiany charakteru lub poziomu podejmowanego ryzyka, co powoduje, że istniejące kontrole stają się nieskuteczne lub niewłaściwe, nawet jeśli wciąż wydają się działać dobrze. Analiza ryzyka nie jest już prawidłowa, a zatem podstawa kontroli nie jest już odpowiednia, kontrole nie zostały odpowiednio zaprojektowane dla powiązanego ryzyka (błąd konstrukcyjny) lub nieprawidłowo wdrożone, kontrola nie jest odpowiednio wykonywana (wada działania)29.
Źle zaprojektowane lub wdrożone kontrole są głównym źródłem ryzyka. Projektowanie samych kontroli, jak i ich wdrożenie powinno zostać poddane ocenie, w szczególności, gdy kontrole prowadzone są w formie pisemnych instrukcji lub procedur. Odpowiedni formularz oceny ryzyka powinien zostać wykorzystany do testowania i optymalizacji systemu kontroli i jej procesów30.
Monitorowanie powinno odbywać się okresowo, a w niektórych przypadkach, w sposób ciągły, w zależności od czynników takich jak: zmienność środowiska, znaczenie kontroli, charakter kontroli (np. kontrola rutynowa lub nadzwyczajna), stabilność sterowania, historia niepowodzeń kontroli, istnienie kontroli kompensacyjnych i relacje kosztów do korzyści. Monitorowanie powinno obejmować badanie wydarzeń i innych przypadków aby określić, jakie rezultaty osiągnęły kontrole i jak można je poprawić. Istniejące kontrole są również oceniane w ramach każdej oceny ryzyka i ponownej oceny.
Dlatego organizacja powinna okresowo monitorować i oceniać, czy wszystkie elementy niezbędne do stworzenia skutecznego i opłacalnego systemu kontroli wewnętrznej, jak określono w różnych wytycznych kontroli wewnętrznych, są wdrożone i działają dobrze, na przykład, zgodnie z tymi wytycznymi31.
Działania wynikające z oceny systemu kontroli wewnętrznej powinny zawierać połączenie wyników z poprzedniego cykl „planuj-wykonuj-sprawdzaj-działaj” z nowymi wartościami wejściowymi tak, że organizacja może szybko i skutecznie reagować na odstępstwa od planu i dostosować się do zmian środowiska, które mają wpływ na jej zdolność do osiągnięcia celów we własnych granicach podejmowania ryzyka32.
Integralną częścią monitorowania i oceny systemu kontroli wewnętrznej jest raportowanie wyników i statusu planów działań naprawczych do organu zarządzającego, w celu umożliwienia mu wykonywania obowiązków.
2.2. Sposób raportowania rezultatów przeglądu działania kontroli wewnętrznej
Wiele organizacji ma uzasadnioną potrzebę aby kontrola wewnętrzna, zarządzanie ryzykiem istniały i działały w firmie audytorskiej.
Firmy audytorskie powinny przejrzyście przedstawiać sprawozdania na temat struktury i funkcjonowania ich systemu zarządzania, zarządzania ryzykiem i systemu kontroli wewnętrznej w różnych sprawozdaniach dla zainteresowanych stron, np. poprzez okresowe sprawozdania z odpowiedzialności.
Jednak firmy audytorskie nie powinny tylko informować o istnieniu ich systemu, ale również o stwierdzonych poważnych zagrożeniach dla organizacji, sposobach monitorowania i oceniania kontroli wewnętrznej oraz jakie działania zostały podjęte w celu eliminacji błędów lub słabości systemu kontroli wewnętrznej. Lepsze zrozumienie, w jaki sposób organizacja zarządza ryzykiem tworzy zaufanie i niezbędne poczucie bezpieczeństwa jej interesariuszy.
W odniesieniu do zakresu i szczegółowości sprawozdań, organizacje powinny oceniać informacje, których potrzebują różne podmioty, aby podejmować wystarczająco świadome decyzje dotyczące organizacji. Znaczna część informacji, które są istotne w podejmowaniu decyzji menedżerskich jest również istotna dla interesariuszy zewnętrznych. Jednak należy wziąć pod uwagę kwestie konkurencyjności i poufności. Narzędziem w tym zakresie jest ustanowienie otwartej komunikacji z interesariuszami na temat zarządzania w organizacji, zarządzania ryzykiem i kontroli wewnętrznej.
Organizacje powinny stworzyć mechanizm do włączenia w ich systemie kontroli wewnętrznej odpowiednich opinii od różnych zainteresowanych stron.
3. WNIOSKI
Główną odpowiedzialność w firmie audytorskiej za opracowanie, wdrożenie i monitorowanie systemu kontroli jakości ponosi jej kierownictwo, ale wszyscy członkowie organizacji mają obowiązek przestrzegania zasad systemu kontroli jakości.
System kontroli jakości ma służyć przede wszystkim zapewnieniu wysokich standardów pracy biegłych rewidentów ale również ograniczeniu ryzyka wykonywania zawodu.
System kontroli jakości w firmie audytorskiej powinien odnosić się do następujących zagadnień: odpowiedzialność kierownictwa za zapewnianie jakości w firmie, wymogi etyczne, podejmowania i kontynuacja współpracy ze zleceniodawcą, zasoby ludzkie, przebieg realizacji zlecenia oraz nadzór nad systemem kontroli jakości.
Niedostosowanie się biegłych rewidentów wykonujących zawód do wymogów posiadania i stosowania systemu kontroli jakości będzie mogło skutkować wykluczeniem z grona biegłych rewidentów.
Zmiana wymogów prawnych może stanowić impuls do zmian, dostosowania się do nowych przepisów prawnych, samodoskonalenia i dalszego rozwoju firm audytorskich, a biegli rewidenci potrafiący adaptować się do zmienionych uwarunkowań prawnych mogą mieć nadzieję na utrzymanie firmy oraz na wzmocnienie pozycji rynkowej na tle konkurencji.
LITERATURA
- „Przewodnik wdrażania Kontroli Jakości w Małych i Średnich Firmach Audytorskich” (tłumaczenie publikacji IFAC) ABES Audyt Sp. z o. o. i Account Sp. z o.o. Warszawa, 2009.
- HANDBOOK OF INTERNATIONAL STANDARDS ON AUDITING AND QUALITY CONTROL 2012 EDITION, New York, the International Federation of Accountants (IFAC), 2012.
- Zasady wewnętrznej kontroli jakości podmiotu uprawnionego do badania sprawozdań finansowych, Załącznik do uchwały nr 1378/32/2009, Krajowej Rady Biegłych Rewidentów z dnia 13 października 2009 r.
- Kodeks etyki zawodowych księgowych IFAC.
- Tone at the Top and Audit Quality” IFAC: http://www.ifac.org/store, 2009.
- Round table discussion: The Future of Audit after the Financial Crisis, discussion paper 01.07.09, ACCA.
- Professional Accountants in Business Committee International Good Practice Guidance, Evaluating and Improving Internal Control in Organizations, IFAC 2012, http://www.ifac.org/publications.
Przypisy
- Norma Międzynarodowej Organizacji Normalizacyjnej (International Organization for Standardization – ISO) Norma 31000:2009 – Zarządzanie Ryzykiem (omówiona w Załączniku B) wykorzystuje pojęcie „kryteria ryzyka ”, aby wskazać warunki, w odniesieniu do których oceniane jest znaczenie ryzyka. Inne wytyczne stosują pojęcie „skłonność na ryzyka” oraz „tolerancja ryzyka”. Ponieważ terminy te nie są jednoznacznie zdefiniowane niniejsze wytyczne stosują pojęcie „ograniczenia w podejmowaniu ryzyka”.
- Przewodnik wdrażania Kontroli Jakości w Małych i Średnich Firmach Audytorskich” (tłumaczenie publikacji IFAC) ABES Audyt Sp. z o. o. i Account Sp. z o.o. Warszawa, 2009.
- Professional Accountants in Business Committee International Good Practice Guidance, Evaluating and Improving Internal Control in Organizations, IFAC 2012.
- Professional Accountants in Business Committee International Good Practice Guidance, Evaluating and Improving Internal Control in Organizations, IFAC 2012.
- Przewodnik wdrażania Kontroli Jakości w Małych i Średnich Firmach Audytorskich” (tłumaczenie publikacji IFAC) ABES Audyt Sp. z o. o. i Account Sp. z o.o. Warszawa, 2009.
- Professional Accountants in Business Committee International Good Practice Guidance, Evaluating and Improving Internal Control in Organizations, IFAC 2012.
- Professional Accountants in Business Committee International Good Practice Guidance, Evaluating and Improving Internal Control in Organizations, IFAC 2012.
- Professional Accountants in Business Committee International Good Practice Guidance, Evaluating and Improving Internal Control in Organizations, IFAC 2012.
- Professional Accountants in Business Committee International Good Practice Guidance, Evaluating and Improving Internal Control in Organizations, IFAC 2012.
- Professional Accountants in Business Committee International Good Practice Guidance, Evaluating and Improving Internal Control in Organizations, IFAC 2012.
- Professional Accountants in Business Committee International Good Practice Guidance, Evaluating and Improving Internal Control in Organizations, IFAC 2012.
- Professional Accountants in Business Committee International Good Practice Guidance, Evaluating and Improving Internal Control in Organizations, IFAC 2012.
- „Przewodnik wdrażania Kontroli Jakości w Małych i Średnich Firmach Audytorskich” (tłumaczenie publikacji IFAC) ABES Audyt Sp. z o. o. i Account Sp. z o.o. Warszawa, 2009.
- Professional Accountants in Business Committee International Good Practice Guidance, Evaluating and Improving Internal Control in Organizations, IFAC 2012.
- Professional Accountants in Business Committee International Good Practice Guidance, Evaluating and Improving Internal Control in Organizations, IFAC 2012.
- Professional Accountants in Business Committee International Good Practice Guidance, Evaluating and Improving Internal Control in Organizations, IFAC 2012.
- Professional Accountants in Business Committee International Good Practice Guidance, Evaluating and Improving Internal Control in Organizations, IFAC 2012.
- Professional Accountants in Business Committee International Good Practice Guidance, Evaluating and Improving Internal Control in Organizations, IFAC 2012.
- Professional Accountants in Business Committee International Good Practice Guidance, Evaluating and Improving Internal Control in Organizations, IFAC 2012.
- Professional Accountants in Business Committee International Good Practice Guidance, Evaluating and Improving Internal Control in Organizations, IFAC 2012.
- Professional Accountants in Business Committee International Good Practice Guidance, Evaluating and Improving Internal Control in Organizations, IFAC 2012.
- Professional Accountants in Business Committee International Good Practice Guidance, Evaluating and Improving Internal Control in Organizations, IFAC 2012.
- Professional Accountants in Business Committee International Good Practice Guidance, Evaluating and Improving Internal Control in Organizations, IFAC 2012.
- Professional Accountants in Business Committee International Good Practice Guidance, Evaluating and Improving Internal Control in Organizations, IFAC 2012.
- Professional Accountants in Business Committee International Good Practice Guidance, Evaluating and Improving Internal Control in Organizations, IFAC 2012.
- Professional Accountants in Business Committee International Good Practice Guidance, Evaluating and Improving Internal Control in Organizations, IFAC 2012.
- Professional Accountants in Business Committee International Good Practice Guidance, Evaluating and Improving Internal Control in Organizations, IFAC 2012.
- Cykl „planuj-wykonuj-sprawdź-działaj”, zwany również Cyklem Deminga, to powtarzający się czterostopniowy proces zarządzania, zwykle wykorzystywany w organizacjach w celu kontroli i ciągłego doskonalenia procesów i produktów. Więcej informacji znajduje się na stronie internetowej Międzynarodowej Organizacji Normalizacyjnej. Professional Accountants in Business Committee International Good Practice Guidance, Evaluating and Improving Internal Control in Organizations, IFAC 2012.
- Professional Accountants in Business Committee International Good Practice Guidance, Evaluating and Improving Internal Control in Organizations, IFAC 2012.
- Na przykład poprzez wykonanie studium zagrożeń i operacyjności, które jest strukturyzowaną oceną planowanej lub istniejącej procedury kontrolnej, służące określeniu i ocenie jej słabych stron i braków, Professional Accountants in Business Committee International Good Practice Guidance, Evaluating and Improving Internal Control in Organizations, IFAC 2012.
- Professional Accountants in Business Committee International Good Practice Guidance, Evaluating and Improving Internal Control in Organizations, IFAC 2012.
- „Cykl Planuj-Wykonuj-Sprawdź-Działaj”, zwany również Cyklem Deminga, to powtarzający się czterostopniowy proces zarządzania, zwykle wykorzystywany w organizacjach w celu kontroli i ciągłego doskonalenia procesów i produktów. Więcej informacji znajduje się na stronie internetowej Międzynarodowej Organizacji Normalizacyjnej. Professional Accountants in Business Committee International Good Practice Guidance, Evaluating and Improving Internal Control in Organizations, IFAC 2012.