Bankowość i finanse | Audyty wewnętrzne | Nowe standardy odpowiadają na pytanie, czym jest audyt

Ustanowienie nowych standardów w zakresie audytu wewnętrznego to bardzo istotna zmiana, nie tylko dla sektora finansowego, ale setek innych branż na całym świecie. Jakie przesłanki legły u podstaw podjęcia działań na rzecz wypracowania obecnie obowiązujących reguł, które zastąpiły dokument będący podstawą dla prowadzenia prac audytorskich przez wiele lat?

– Niewiele jest segmentów gospodarki, w których na całym świecie obowiązują jednolite standardy, respektowane praktycznie przez wszystkie podmioty w skali ogólnoświatowej. Do owych nielicznych przykładów należy lotnictwo cywilne, ze standardami wydawanymi przez Międzynarodową Organizację Lotnictwa Cywilnego ICAO, energetyka jądrowa, gdzie standardy bezpieczeństwa wydaje Międzynarodowa Agencja Energii Atomowej IAEA, czy właśnie audyt wewnętrzny. Instytut Audytorów Wewnętrznych (IIA), wydający standardy dla audytorów, podobnie jak ICAO czy IAEA, nie ma wprawdzie bezpośredniego umocowania prawnego, nie może zatem narzucać wypracowywanych standardów na podstawie regulacji, niemniej od lat przyjęło się, że są one powszechnie stosowane. Standardy te traktowane są jako międzynarodowy benchmark jakości i są stosowane na całym świecie. Jeśli spojrzymy na polskie regulacje, w rekomendacjach KNF, dobrych praktykach dla spółek giełdowych czy też wytycznych resortu aktywów państwowych odnośnie do audytów w spółkach Skarbu Państwa, znajdziemy odniesienia do nich – albo bezpośrednio wskazanie, że należy je stosować, albo zalecenia, że audyt wewnętrzny powinien stosować międzynarodowe standardy, takie jak standardy IIA.

Obowiązujące do niedawna standardy formalnie pochodziły z roku 2017, jednak jest to jedynie data wprowadzenia ostatnich, stosunkowo niewielkich korekt. Tak naprawdę standardy pochodziły z lat dziewięćdziesiątych i na przestrzeni minionych dekad były kilkukrotnie modyfikowane w niewielkim stopniu. W pewnym momencie IIA stwierdził, że ich obecny kształt coraz bardziej odbiega od rzeczywistości rynkowej, w konsekwencji postanowiono opracować standardy zupełnie od nowa, bazując na dotychczasowym dorobku.

Od czasów GDPR w prawie unijnym doszedł do głosu trend neutralności technologicznej, w myśl którego akt prawny powinien być odporny na dynamiczne zmiany technologii, podczas gdy elementem zmiennym stały się regulacyjne standardy techniczne. Czy opracowując nowe standardy audytu wewnętrznego, również brano pod uwagę wyzwanie, jakim jest zmienność technologii, tak by nowe regulacje nie były zbyt podatne na nieprzewidywalny niekiedy rozwój sfery IT?

– W toku prac nad standardami otrzymaliśmy zalecenie od IIA, by miały one charakter ponadczasowy i pozostawały aktualne przez kolejnych kilkanaście lat, a zarazem odnosiły się do bieżących wyzwań i trendów, takich jak choćby AI, machine learning czy cyberbezpieczeństwo. Spełnienie tych dwóch z pozoru sprzecznych celów udało się osiągnąć dzięki zastosowaniu dwustopniowej struktury. Same standardy staraliśmy się tworzyć jako element ponadczasowy, równolegle wprowadzając tzw. wymogi tematyczne, opisujące metody przeprowadzania audytów dla konkretnych obszarów, jak wspomniane już cyberbezpieczeństwo. Założenie jest takie, by dokumenty zawierające wymogi tematyczne sukcesywnie modyfikować w nawiązaniu do aktualnych trendów, bez konieczności dokonywania zmian w samych standardach. Można się tu dopatrzeć podobieństwa do takich aktów prawa unijnego jak GDPR czy DORA, bazujących na koncepcji neutralności technologicznej.

Jeśli mielibyśmy wskazać kilka kluczowych zmian, jakie wniosły nowe standardy w stosunku do stanu wcześniejszego, na co powinniśmy zwrócić szczególną uwagę?

– Dotychczasowe standardy odpowiadały na pytanie, jak przeprowadzać audyty: jak oceniać ryzyko, w jaki sposób prowadzić testy audytorskie czy też jak przekazywać informacje o ustaleniach. Do tego był dodany element pozycji audytu w strukturze organizacji, czyli niezależność, obiektywizm, podporządkowanie radzie nadzorczej itp. Nowe standardy odpowiadają raczej na pytanie, czym jest audyt. Składają się one z pięciu części, pierwsza z nich, najkrótsza, to cel audytu, druga część poświęcona jest kwestiom z zakresu etyki i profesjonalizmu, trzecia obejmuje ład organizacyjny. Nowością w dużej mierze są zawarte w części czwartej zapisy odnośnie do zarządzania funkcją audytu (managing the internal audit function), wreszcie piąta i ostatnia część dotyczy już samego wykonywania audytów. Jeśli chodzi o różnice wobec dotychczasowego stanu, wskazałbym trzy kluczowe zmiany, które się przewijają przez różne elementy nowych standardów. Dotychczasowy dokument zakładał, że audyt ma ocenić mechanizmy kontrolne i cały system kontroli wewnętrznej, co oczywiście jest w dalszym ciągu realizowane, natomiast nowe standardy dają również odpowiedź na pytanie, po co to robimy. Mamy być partnerem strategicznym dla rady nadzorczej i zarządu, mamy patrzeć szerzej, zamiast koncentrować się na formalnych szczegółach. Praca audytorów daje kierownictwu wiedzę, żeby mogło podejmować lepsze decyzje, żeby wiedziało, które obszary organizacji działają, a które wymagają natychmiastowej uwagi. Drugą kwestią, na którą aktualne standardy kładą silny nacisk, jest komunikacja z pozostałymi komórkami w danym podmiocie. Rola audytora nie może ograniczać się do wydawania zaleceń dla poszczególnych działów na podstawie wniosków z przeprowadzonego audytu, te czasy dawno minęły. Standardy akcentują potrzebę komunikacji, budowania relacji z ludźmi. Będąc częścią organizacji, audytorzy muszą być blisko ludzi i blisko biznesu, tylko w ten sposób są w stanie pozyskać wiedzę, co się dzieje w danej instytucji. Żeby skutecznie i trafnie oceniać ryzyka, musimy znać organizację, na tym polega główna różnica pomiędzy audytem wewnętrznym i jakimkolwiek doradcą zewnętrznym. Trzeci obszar akcentowany w nowych standardach to performance management. Kiedyś oceniano jakość audytu tylko na podstawie formalnej zgodności z poszczególnymi standardami, dziś wiemy, że to nie wystarczy. Dlatego zaproponowaliśmy szereg KPI, na podstawie których jesteśmy w stanie zmierzyć jakość audytu. Jesteśmy częścią organizacji, działamy dla niej, zatem organizacja musi mieć możliwość weryfikacji efektywności naszych działań.

Przyszłością wielu zawodów jest sukcesywna automatyzacja, a audyt zapewne nie jest pod tym względem wyjątkiem. Jak standardy IIA odnoszą się do wykorzystania technologii, w tym bazujących na AI czy uczeniu maszynowym, celem zwiększenia efektywności działań audytorskich?

– Kwestia ta jest przedmiotem nie tyle samych standardów, które, jak już wspomniałem, powinny być ponadczasowe, ile praktyki. Standardy mówią przede wszystkim o tym, jakie wymogi etyczne powinni spełniać audytorzy, jakie ma być położenie audytu w strukturze organizacji, jak zarządzać audytem, wreszcie jak przygotowywać plany i jak audytować, choć też na pewnym poziomie ogólności. Natomiast kwestie technologiczne, też wspomniane w standardach, zmieniają się bardzo szybko i jest to widoczne w praktyce. Przykładem może być wybór próby. Obecnie coraz częściej nie musimy tego robić, bo dysponujemy odpowiednimi ­narzędziami, które po wprowadzeniu odpowiedniego zapytania są w stanie zbadać całą bazę danych w tempie dotąd niespotykanym. Mamy zupełnie nowe możliwości, co znacząco ułatwia pracę, ale z drugiej strony trzeba wiedzieć, czego się szuka. AI jest jedynie narzędziem, zatem musi dostać wskazówkę, czego i w jakim kierunku szukamy. Generalnie możemy przyjąć założenie, że praca o charakterze powtarzalnym sukcesywnie wyginie, natomiast zajęcie audytora jest chyba najmniej powtarzalną pracą, jaką jestem w stanie sobie wyobrazić.

A jak wyglądał sam proces wypracowywania standardów, ilu uczestników brało w nim udział i z kim były konsultowane zapisy?

– Instytut Audytorów Wewnętrznych zaprosił 21 osób do rady ds. standardów audytu, ciała doradczego dla zarządu instytutu. To rada pracowała nad nowymi standardami. IIA bardzo zadbał o dywersyfikację pod różnymi względami, zarówno geograficznym, jak i kompetencyjnym. W skład rady weszło kilka osób z USA, po jednym uczestniku z Kanady, Brazylii, Australii, Japonii, Chin i Indonezji, mamy osobę z RPA, z Egiptu, dwie osoby z Bliskiego Wschodu – z Kataru i ze Zjednoczonych Emiratów Arabskich – i czterech uczestników z Europy. Oprócz mnie, jako reprezentanta Polski, byli to przedstawiciele Anglii, Luksemburga (choć kolega od lat pracuje we Francji) i Austrii. Pod względem kompetencyjnym w skład grupy wchodzili zarówno szefowie departamentów audytu wewnętrznego, partnerzy z dużych firm konsultingowych, konsultanci z małych firm czy osoby z sektora publicznego, Mamy nawet profesora audytu wewnętrznego! Standardy, wypracowane przez ten zespół zostały poddane bardzo szerokim konsultacjom na bardzo różnych frontach, otrzymaliśmy kilkanaście tysięcy uwag do opublikowanego przez nas dokumentu konsultacyjnego. W tych uzgodnieniach brali udział najróżniejsi interesariusze, poczynając od Komisji Europejskiej poprzez Międzynarodowy Fundusz Walutowy, Bank Światowy, OECD, duże firmy konsultingowe, aż po oddziały IIA na całym świecie i w końcu tysiące audytorów wewnętrznych.

W obliczu tak dużego sukcesu, którego jednym z autorów jest pan, godzi się zapytać, jak trafił pan do tak prestiżowego grona ekspertów z całego świata?

– W audycie pracuję od ponad 20 lat i zawsze, poza rozwojem ścieżki kariery zawodowej, angażowałem się w działalność o charakterze wolontariackim. Przez kilka lat byłem wiceprezesem IIA Polska, polskiego oddziału Instytutu Audytorów Wewnętrznych. Pracując w BGK, również dbam o relacje międzynarodowe. A ponieważ lubię dzielić się wiedzą, byłem zapraszany na różnego rodzaju konferencje, najpierw w Europie, potem również poza nią. Podczas tych spotkań miałem okazję poznać ludzi z centrali IIA. Wielokrotnie rozmawialiśmy o tym, jak powinien wyglądać audyt, co jest najważniejsze dla audytorów w dzisiejszym świecie, jak powinniśmy wspierać decydentów w organizacjach. Najwyraźniej moje poglądy spotkały się z aprobatą, bo po kilku latach zostałem zaproszony do uczestnictwa w procesie tworzenia standardów. To nie było łatwe ćwiczenie, bo łączenie pracy na pełen etat w BGK z de facto drugą pracą na pełen etat nad standardami to duże wyzwanie. Myślę, że nie udałoby się to, gdyby nie mój fantastyczny zespół w BGK.

Z mojego punktu widzenia traktuję to jak olbrzymie wyróżnienie nie tylko dla mnie osobiście, ale również dla BGK i dla Polski. Pamiętajmy, że mówimy o wytworzeniu standardów, które obowiązują bezpośrednio lub pośrednio miliony ludzi na świecie, w dodatku przygotowanych przez organizację cieszącą się powszechną estymą, z ponad osiemdziesięcioletnim doświadczeniem, jaką jest IIA. Przez całe 80 lat we władzach IIA nigdy nie było nikogo z Polski – aż do teraz.

Jako swoiste podsumowanie naszej rozmowy proszę o odpowiedź na pytanie, czy w obliczu zmian technologicznych i podyktowanej nimi niepewności odnośnie do przyszłości poszczególnych zawodów praca audytora wydaje się być dobrym wyborem?

– Moim zdaniem audyt jest jednym z najciekawszych miejsc pracy. Oczywiście, jeśli ktoś szuka relatywnie prostej, powtarzalnej pracy, to bez wątpienia nie odnajdzie się w audycie, pozostaje tylko pytanie, czy w obecnym świecie takie zajęcie należy traktować jako perspektywiczne. Audytorzy jednego dnia analizują obszar kredytów, następnego dnia sferę marketingu, a później cyberbezpieczeństwa czy HR, trzeba mieć szerokie kompetencje i skłonność do ustawicznego uczenia się, by nadążać za tym, co się dzieje na świecie. Nawet jeśli w większym zespole audytowym mamy większą specjalizację i na przykład ten sam audytor po dwóch czy trzech latach robi zadania w tym samym obszarze – to i świat zmienia się tak szybko, że ten obszar też się zmienia, obecne doświadczenia będą całkiem odmienne od tych wcześniejszych. Generalnie jest to praca wymagająca, wszakże zapewniająca sporo satysfakcji, pozwala bowiem realnie wpływać na funkcjonowanie organizacji jako całości. Poza samym zarządem, bardzo mało jest miejsc, gdzie można realnie wpływać na wszystkie procesy, działania, na wszystko to co się dzieje w organizacji. Za sprawczość, możliwość przełożenia naszych działań wprost na sukces firmy uwielbiam tę pracę.