12 pytań do:
Olgi Petelczyc
Olga, bardzo Ci dziękuję, iż przyjęłaś zaproszenie do ESG 12on12!
Masz kilkanaście lat doświadczeń w audycie wewnętrznym. Posiadasz międzynarodowy certyfikat dla audytorów wewnętrznych oraz dla walidatorów mogących oceniać jakość audytu w organizacji wydany przez Międzynarodowy Instytut Audytorów Wewnętrznych (The IIA). Zacznijmy więc od podstaw i wytłumaczenia czym jest audyt wewnętrzny i jakie są jego zadania?
Zgodnie z definicją Międzynarodowego Instytutu Audytorów Wewnętrznych (The IIA): „Audyt wewnętrzny jest działalnością niezależną i obiektywną, której celem jest przysporzenie wartości i usprawnienie działalności operacyjnej organizacji. Polega na systematycznej i dokonywanej w uporządkowany sposób ocenie procesów: zarządzania ryzykiem, kontroli i ładu organizacyjnego, i przyczynia się do poprawy ich działania. Pomaga organizacji osiągnąć cele dostarczając zapewnienia o skuteczności tych procesów, jak również poprzez doradztwo.”
Tak jak rolą biegłego rewidenta jest wydanie opinii na temat sprawozdania finansowego, tak rolą audytora wewnętrznego (AW) jest wydanie opinii na temat procesu, który bada (np. zakupy, IT, dojrzałość etyki, windykacja). Rolą AW jest również wydanie ogólnej opinii na temat systemów zarządzania na potrzeby rady nadzorczej/komitetu audytu.
Abyśmy faktycznie mogli mówić o audycie wewnętrznym, musi on działać w oparciu o Kodeks etyki oraz Międzynarodowe standardy praktyki zawodowej audytu wewnętrznego IIA (Standardy). Certyfikatami potwierdzającym znajomość Standardów są CIA® (Certified Internal Auditor®) oraz CGAP® (Certified Government Auditing Professional®). Zarządzający komórką audytu powinien legitymować się takim certyfikatem, a najlepiej, aby jak największa liczba audytorów taki certyfikat posiadała. Na świecie jest już nas ponad 200 tys. W Polsce The IIA jest reprezentowany przez Instytut Audytorów Wewnętrznych IIA Polska, który zrzesza certyfikowanych audytorów wewnętrznych i sympatyków tej profesji.
Jak wygląda dzień z życia audytora wewnętrznego? Czy bardziej polega on na inwestygowaniu bieżących problemów w firmach czy też na planowanym przechodzeniu przez kluczowe tematy? Czy to praca raczej 1-osobowa czy potrzebny jest cały zespół?
Z administracyjnego punktu widzenia dzień pracy audytora nie różni się zbytnio od dnia innego pracownika danej organizacji. Jesteśmy na tych samych prawach co inni pracownicy tyle, że mamy inne zadania i inny sposób raportowania wyników.
Trzy podstawowe fazy audytu wewnętrznego to:
- przegląd wstępny z analizą ryzyka, na potrzeby danego zadania,
- realizacja zadania oraz
- raportowanie wyników.
W raporcie zawarta jest opinia z audytu. Później, jeśli wydane zostały zalecenia, audytor wewnętrzny również weryfikuje ich wdrożenie. COVID-19 pokazał, że musimy szybko reagować na nowe ryzyka, zawsze możliwa jest zmiana planu czy zadanie poza planem. W pandemii wzrósł popyt na zadania doradcze. Audytorzy powinni być też elastyczni w odpowiadaniu na potrzeby organizacji, choć niekoniecznie jest to pierwsza cecha kojarzona z audytem.
Przechodząc do pojedynczego zadania audytowego, audytor ocenia najpierw adekwatność ładu organizacyjnego, sposób zarządzania ryzykiem i kontrolę wewnętrzną, a w drugim kroku ich skuteczność, wydajność i zgodność.
Jak widzimy, nie jest to zatem detektyw na usługach zarządu, ale osoba, która stosuje ustrukturyzowane podejście do badania systemów zarządzania. Na podstawie swoich badań audyt wewnętrzny wydaje roczną opinię dotyczącą funkcjonowania systemów zarządzania i komunikuje ją Radzie Nadzorczej/Komitetowi Audytu.
Jak powinna wyglądać struktura komórki audytu wewnętrznego w firmie? Czy tzw. Model 3 linii IIA (obrony) jest najlepszą praktyką? Na czym on polega?
Cele modelu 3 lini IIA jest tworzenie i ochrona wartości. Model jasno określa oczekiwania różnych grup w organizacji.
Odpowiedzialność – organ zarządzający; zazwyczaj rada i jej podkomitety, np.. komitet audytu, są odpowiedzialne przed interesariuszami za nadzór. Działania – zarządzanie; pierwsza i druga linia odpowiadają za zarządzanie ryzykiem.
Zapewnienie – audyt wewnętrzny – trzecia linia; niezależna funkcja raportująca bezpośrednio do rady/komitetu audytu –dostarcza usługi zapewniające, doradcze, z pespektywy całej organizacji i zapewnia ciągłe doskonalenie organizacji, i jednocześnie wspiera Zarząd w jego roli.
Na początku 2020 roku została opublikowana uaktualniona wersja Modelu Trzech Linii. Modyfikację poprzedził szereg spotkań – miałam ten przywilej i przyjemność reprezentować Polskę na jednym z etapów prac. Konsultacje prowadzono na wszystkich kontynentach, a swoje uwagi zgłosiło wiele międzynarodowych organizacji. Wierzymy, że nowy model dużo bardziej odpowiada na wyzwania, jakie stawia przed nami XXI wiek. Na pewno jest to model powszechnie stosowany na świecie od ponad 20 lat, co ciekawe, wiele organizacji nawet nie wie, że go stosuje ponieważ przez lata zdążył on na stałe wpisać się w teorię zarządzania.
Głównym celem wprowadzonych aktualizacji było sprawienie, by stał się on bardziej progresywny, wspierał koordynację i komunikację, likwidował silosy . Mam nadzieję, że nam się to udało. Co bardzo istotne do Modelu zostały wprowadzone trzy podstawowe wartości, na których powinien opierać się ład organizacyjny, czyli: odpowiedzialne przywództwo, przejrzystość i uczciwość.
Model Trzech Linii IIA (obrony) jest ważną częścią dobrych praktyk. Wpisany jest on m.in. w DPSN 2021, czyli Dobre Praktyki Spółek Notowanych 2021, jak również w rekomendacje UKNF dla sektora finansowego.
Jak ważna jest niezależność audytora wewnętrznego? Czy jest ona możliwa, jeśli audytor wewnętrzny jest zatrudniony na etacie spółki? Może lepiej, aby audytor wewnętrzny był tzw. pracownikiem outsourcingowanym?
Niezależność i obiektywizm to podstawa pracy audytora wewnętrznego. Bez niezależności, przy złym umiejscowieniu funkcji audytu wewnętrznego, trudno uchronić audytorów przed naciskami i nieetycznymi oczekiwaniami. Nawet przy zapewnieniu niezależności mogą się niestety zdarzyć takie sytuacje. Audytorzy wewnętrzni powinni mieć zapewnione bezpieczeństwo.
Outsourcowanie funkcji audytu jest dopuszczalne i pozwalają na nie Standardy. Trzeba jednak zdawać sobie sprawę, że jeśli taka osoba nie pracuje w pełni dla organizacji, to traci dostęp do cennych informacji z wewnątrz organizacji, ma ograniczone możliwości budowania relacji i przede wszystkim utrudnioną możliwość bieżącego wspierania organizacji. Może to też wpłynąć na ograniczenie niezależności i obiektywizmu audytora.
Na przykład prawo bankowe zabrania outsourcowania funkcji audytu wewnętrznego m.in. z uwagi na zagrożenie utraty niezależności i obiektywizmu. Zewnętrzny audytor wewnętrzny jest trochę jak biegły rewident w warunkach, w których nie obowiązuje go ustawa o biegłych rewidentach.
Osobiście jestem zwolenniczką mniejszej komórki audytu z budżetem na zatrudnienie ekspertów przez audytorów tam, gdzie potrzebują specjalistycznego wsparcia, np. w zakresie kwestii ESG. Do czasu aż sami tych kompetencji nie zdobędą.
Jak powinny wyglądać relacje między audytorem wewnętrznym, Zarządem a Radą Nadzorczą – tu w szczególności Komitetem Audytu?
Relacje powinny być kształtowane w sposób partnerski, przy czym każdy powinien dobrze znać swój zakres odpowiedzialności i działań. Zarządzający audytem wewnętrznym powinien podlegać organizacyjnie Prezesowi Zarządu, a funkcjonalnie Przewodniczącemu Komitetu Audytu lub Przewodniczącemu Rady Nadzorczej, jeżeli Rada pełni funkcję Komitetu Audytu. Ważne, aby osoba kierująca audytem wewnętrznym miała dostęp do Rady Nadzorczej/Komitetu Audytu i mogła się z tymi organami spotykać bez obecności Zarządu. Rada Nadzorcza/Komitet Audytu powinny decydować też o zatrudnieniu oraz rozwiązaniu stosunku pracy z zarządzającym audytem, o systemie wynagradzania, który nie może być uzależniony od krótkookresowych celów spółki. Z perspektywy funkcjonowania komórki audytu, poza oczywiście przedstawianiem planów i wyników audytów oraz oceny rocznej dotyczącej systemu zarządzania, zarządzający audytem powinien informować o wynikach programu oceny i poprawy jakości funkcjonowania komórki audytu wewnętrznego oraz, w ramach tego programu, planować co najmniej raz na 5 lat, a w razie potrzeby częściej, ocenę zewnętrzną audytu wewnętrznego.
Czym praca audytora wewnętrznego różni się od pracy audytora zewnętrznego, czyli biegłego rewidenta i jak na nią wpływa, np. w kontekście rocznego sprawozdania finansowego?
Od strony metodyki pracy wszystkie te funkcje działają bardzo podobnie. Opieramy się na analizie ryzyka. Mamy te same metody doboru próby, musimy zbierać wiarygodne dowody na potwierdzenie ustaleń, itd. Różni nas przede wszystkim cel działania, rola, obszar kompetencji oraz sposób raportowania.
Audytor wewnętrzny w tym zestawieniu ma najszerszy zakres badania, de facto bada całą organizację.
W specyficznych obszarach audyt wewnętrzny może posiłkować się ekspertami zewnętrznym, ale w takiej sytuacji to nie właściciel procesu wybiera firmę/eksperta, która ma go audytować, ale audyt wewnętrzny korzysta z pomocy zewnętrznych audytorów/ekspertów.
Ogromną przewagą audytora wewnętrznego jest to, że zna organizację, może łączyć różne źródła wiedzy, np. ze spotkań komitetów w jakich bierze udział z głosem doradczym.
Biegły rewident jest wybierany i ostatecznie raportuje do Rady Nadzorczej. Wyniki jego pracy są istotną informacją dla akcjonariuszy i potencjalnych inwestorów. Bada sprawozdanie finansowe oraz elementy kontroli wewnętrznej, które mają w jego ocenie wpływ na sprawozdanie oraz możliwość kontynuacji działania. Biegły rewident współpracuje w powyższym zakresie (a przynajmniej powinien) z audytem wewnętrznym.
Poza audytorem wewnętrznym i biegłym rewidentem, w organizacji możemy spotkać się także z dodatkowym audytem zewnętrznym tzw. eksperckim. Audyt zewnętrzny zamawiamy, kiedy czujemy taką potrzebę albo kiedy wymagana jest bardzo specjalistyczna wiedza do oceny/optymalizacji danego obszaru. Głównie jest to doradztwo. Ścieżka raportowania audytora zewnętrznego kończy się często na Zarządzie. Wynagrodzenie dla audytora zewnętrznego zatwierdza ten, kto zamawia usługę, np. szef IT. Jego niezależność może być w takiej sytuacji znacznie ograniczona.
Powiedzieliśmy już o wielu zaletach audytu wewnętrznego. Widzą go też inwestorzy instytucjonalni, którzy w ankiecie o ładzie korporacyjnym, którą przeprowadzałam we wrześniu 2020 roku, wskazali go jako ważny dla nich element. Co jest więc powodem, iż spółki giełdowe raczej rzadko posiadają audyt wewnętrzny? W nowych Dobrych Praktykach Spółek Notowanych 2021 wskazany jest on jako zasada dla 140 największych spółek.
Moim zdaniem istnieje kilka źródeł tego zjawiska. Po pierwsze, brak wiedzy na temat tego, czym jest audyt wewnętrzny i jakie korzyści płyną z posiadania go w organizacji. Drugi to zamęt informacyjny wprowadzany przez pseudoekspertów od audytu, którzy tłumaczą na szkoleniach, że audyt wewnętrzny to to samo co kontrola i że druga i trzecia linia zapewnienia to w sumie to samo. To oczywiście nieprawda. Już w czasach starożytnego Rzymu istniała funkcja audytora. Sam Instytut Audytorów Wewnętrznych IIA ma także bardzo bogatą tradycję – działa już od przeszło 80 lat. Współczesny kształt tego zawodu wyewoluował z kontroli finansowej. Obecnie dostarczamy zapewnienia dla wszystkich procesów w organizacji, działamy w oparciu o międzynarodowe Standardy, powinniśmy zatem mieć zapewnioną niezależność organizacyjną. Dzięki naszemu szczególnemu umiejscowieniu możemy wydawać opinie dot. systemów i funkcji na potrzeby Rady Nadzorczej. Podczas gdy działania kontrolne prowadzone przez komórki kontroli wewnętrznej, znajdujące się na drugiej linii, mają za zadanie zweryfikować informacje o nieprawidłowościach, nie ma powszechnie obowiązujących standardów kontroli w sektorze prywatnym. Komórka kontroli dedykowana jest bardziej do działań śledczych i badania zgodności. Ich działania są często wymuszone materializacją konkretnego ryzyka.
Niestety często spotykaną praktyką jest zmiana na stanowisku zarządzającego audytem przy jednoczesnej zmianie władz spółki, które rekomendują wówczas na stanowisko audytora osobę zaufaną, ale niekoniecznie kompetentną. Trudno w takiej sytuacji o dostarczenie organizacji wartość. Trzeba także przyznać, że Komitety Audytu nie zawsze spełniają swoją rolę w stosunku do audytorów.
Warto zauważyć że Standardy audytu w mniejszych organizacjach dopuszczają powierzanie zarządzającemu audytem innych zadań (nie dotyczących ani działalności operacyjnej, ani sektora finansowego w Polsce), jak np. koordynację funkcji zarządzania ryzykiem czy compliance. By to jednak było możliwe, zarządzający audytem – jako umiejscowiony na trzeciej linii – powinien prowadzić nadzór nad całością.
Do tej pory mówiliśmy raczej o „twardych” elementach, ale audyt wewnętrzny to także elementy „miękkie”. Specjalizujesz się m.in. w audycie kultury organizacyjnej. Jak on wygląda i jak duży wpływ ma kultura organizacyjna na skalę popełnianych przestępstw czy nieprawidłowości?
Peter Drucker powiedział, że „Kultura zjada strategię na śniadanie”. I to widać w pracy audytora wewnętrznego. Czasami mamy świetnie zaprojektowane kontrole, ale z jakiegoś powodu cele nie są osiągane. Warto wtedy przyjrzeć się kulturze organizacji. Nie trzeba oczywiście przeprowadzać badania w całej organizacji, można skupić się na danym departamencie lub na grupie osób zaangażowanych w dany proces. Lub przeprowadzić badanie w całej organizacji ale skupić się na specyficznym obszarze jak audyt kultury ryzyka lub dojrzałości etyki. Czasami nieprawidłowości czy nadużycia są efektem wywierania dużej presji na osiągnięcie zamierzonego wyniku, a ta z kolei jest efektem źle ustalonych krótkoterminowych celów. Stąd już tylko krok do katastrofy, szczególnie w dzisiejszych czasach. Oczywiście to tylko przykład. Faktem jest, że pandemia COVID-19 wystawiła etykę biznesu na bardzo trudną próbę.
W dzisiejszych czasach coraz mocniej na znaczeniu zyskują kwestie ESG (ang. environmental, social, governance). Raportowanie kwestii środowiskowych, społecznych i związanych z ładem korporacyjnym często stanowi dla firm większe wyzwanie niż kwestii finansowych. Często wymaga ono danych spoza samej spółki. Jak wygląda to z perspektywy audytora wewnętrznego?
Moim zdaniem to wciąż temat nie do końca rozpoznany przez audytorów wewnętrznych, bo samo raportowanie czy obszary ESG wciąż w wielu organizacjach nie są priorytetowe. Pozyskiwanie danych od kontrahentów z łańcucha dostaw to odrębny szeroki temat. Firmy nie zawsze umieszczają w umowach obowiązek dostarczania określonych informacji, nie mówiąc już o możliwości audytu. Świadomość rośnie. Audyt wewnętrzny może być tutaj wsparciem, dostarczać usługi zapewniające, ale i na wcześniejszym poziomie dojrzałości systemu raportowania – usługi doradcze. Natomiast audytor wewnętrzny nigdy nie może być odpowiedzialny za ostateczne rozwiązania ani przyjąć odpowiedzialności za zarządzanie ryzykiem.
Obecnie w Polsce tylko wybrane największe podmioty zobowiązane są raportować dane niefinansowe, a NFRD, czyli unijna Dyrektywa o raportowaniu niefinansowym (wdrożona w Polsce poprzez ustawę o rachunkowości) nie jest zbyt wymagająca. Mówi ona m.in. o opisie kluczowych polityk dla pięciu kwestii podlegających raportowaniu. Jaki jest Twoim zdaniem minimalny zakres takich polityk? Które są „must have” a które „nice to have”?
Moim zdaniem kluczowe są polityki dotyczące zarządzania ryzykiem. Identyfikacja ryzyka pomaga w określeniu najbardziej priorytetowych obszarów i działania w obszarach ESG.
Ważne są polityki dotyczące klimatu, praw człowieka, zakupów z uwzględnieniem odpowiedzialnego zarządzania łańcuchem dostaw, przeciwdziałania nadużyciom. Patrząc na badania potwierdzające wpływ różnorodności na efektywność organizacji, dodałabym do tego katalogu również polityki w zakresie różnorodności.
„Nice to have” to bardziej kwestia kultury organizacji i branży w jakiej dana organizacja funkcjonuje. Polecam też, aby w organizacji opisać kwestie dotyczące należytej staranności.
Wiele w kwestii raportowania danych ESG zmieni się od 2024 roku, czyli po wprowadzeniu nowej dyrektywy Unii Europejskiej, tzw. CSRD (Corporate Sustainability Reporting Directive). Poza znaczącym zwiększeniem zakresu podmiotów, które mają być objęte nowym obowiązkiem i wdrożeniem unijnego standardu raportowania, wprowadzona zostanie najpewniej obowiązkowa weryfikacja informacji. Jak wpłynie to na pracę audytorów wewnętrznych?
Pamiętam moje pierwsze rozmowy z jednym z szefów Komitetu Audytu na temat raportowania niefinansowego, był rok 2017, usłyszałam wtedy, cytuję: „nie mieszaj w głowach audytorom tym raportowaniem niefinansowym, mają wystarczająco dużo pracy wynikającej z rekomendacji UKNF”. Przyznam, że trochę mnie to wtedy zszokowało. Nie poddaję się jednak i od 5 lat edukuję w tym zakresie audytorów wewnętrznych, podnosząc świadomość na temat rangi tych zagadnień, czy to na moim blogu, czy na webinarach #Audittalks przy kawie.
Obowiązek zrównoważonego raportowania i, co więcej, obowiązkowa atestacja sprawozdania wszystko zmienia. Do tego należy dodać bardzo pozytywne zmiany dotyczące ESG w DPSN 2021. Spowoduje to wzrost potrzeb informacyjnych dla rady nadzorczej w zakresie tego, jak spółka/grupa jest przygotowana do raportowania, czy istnieją systemy zapewniające wiarygodność danych, czy odpowiednio zarządzamy ryzykami w tych obszarach, czy odpowiadamy na potrzeby naszych interesariuszy. Temat ten będzie w centrum zainteresowania Zarządów, ponieważ to od tego zależeć będzie przewaga i konkurencyjność firmy. Jestem przekonana, że już niedługo audytorzy wewnętrzni będą mieć w tym obszarze, mówiąc kolokwialnie, pełne ręce roboty.
Zakres dyrektywy jest bardzo szeroki, nie wszystkie zobowiązane podmioty posiadają audyt wewnętrzny. W takiej sytuacji warto skorzystać z audytora zewnętrznego. Należy jednak pamiętać, że podmiot, który doradza przy zarządzaniu kwestiami ESG i tworzeniu raportu, nie może prowadzić później, kiedy już będzie wymagany audyt raportu zrównoważonego, usług atestacyjnych (zatwierdzających).
Od lat wspierasz kwestie związane z klimatem oraz różnorodnością. Jesteś m.in. Ambasadorką 30% Club Poland, kampanii społecznej, której celem jest zwiększenie różnorodności we władzach największych firm w Polsce. Jak ważna jest różnorodność opinii i doświadczeń w pracy audytora wewnętrznego?
Ogromna. Audytor wewnętrzny z założenia powinien mieć szerokie spojrzenie na badane obszary, łączyć różne perspektywy, komunikować się w sposób konstruktywny, czasami wręcz łagodzący napięcia, często mieć odwagę kwestionować rozwiązania, które są nieadekwatne. Im środowisko wewnętrzne, w którym pracujemy, jest bardziej różnorodne, otwarte i innowacyjne, tym łatwiej wprowadzać w nim zmiany wynikające z rekomendacji audytu i tym chętniej osoby odpowiedzialne takie zmiany wprowadzają. Ostatecznie to właśnie stanowi istotę audytu wewnętrznego –dostarczanie wartości dla organizacji.