Audyt i doradztwo w instytucjach finansowych: Szczelny parasol

Zdzisław Marciniak

Według encyklopedycznej definicji audyt to systematyczna i niezależna ocena danej organizacji, systemu, procesu, projektu lub produktu. Przedmiot audytu jest badany na zgodność z określonym punktem odniesienia – listą kontrolną, przepisami prawa, normami, standardami lub przepisami wewnętrznymi danej organizacji (polityki, procedury). Wiele procedur związanych z audytem można przyspieszyć lub zautomatyzować, wykorzystując różne narzędzia, także informatyczne.

System zamiast notatek

Z instytucji finansowych znikają audytorzy skrzętnie notujący efekty swoich prac w papierowym zeszycie, coraz mniejsza grupa korzysta z prostych w obsłudze plików Excela i Worda. Coraz częściej audyt prowadzony jest z wykorzystaniem wyspecjalizowanych systemów informatycznych, które oprócz podstawowej funkcji dodatkowo usprawniają pracę zespołu, służąc m.in. do przeglądu pracy audytorów, czy umożliwiając jednoczesną pracę kliku audytorów nad jednym projektem czy repozytorium danych. W bankach funkcjonują systemy IT wspierające i dokumentujące cały zakres prac komórki audytu wewnętrznego według metodologii przyjętej przez dany bank. Systemy obejmują niektóre lub wszystkie fazy procesu audytu.

Etapy audytu według Rekomendacji H K omisji Nadzoru F inansowego t o n ajpierw planowanie audytów – systemy wspierają zdefiniowanie obszarów audytu, monitorowanie ryzyka poszczególnych produktów, usług czy komórek organizacyjnych, systematyzują proces dokumentowania zmian zachodzących w banku oraz informacji uzyskanych od pracowników, umożliwiają sporządzanie rocznych i kilkuletnich planów audytu, gdzie jego częstotliwość uwzględnia stopień ryzyka oraz znaczenie poszczególnych obszarów dla funkcjonowania banku według kryteriów zdefiniowanych przez tę samą instytucję. Systemy umożliwiają wygenerowanie mapy ryzyka banku. Kolejnym krokiem jest przygotowanie audytu – dzięki systemom możliwe jest udokumentowanie zakresu planowanego audytu, metod testowania oraz doboru testowanej próby. Następnie przychodzi czas na przeprowadzenie audytu i sformułowanie wniosków – systemy IT pozwalają na udokumentowanie poszczególnych kroków audytu oraz zarchiwizowanie w formie skanów wszystkich dokumentów źródłowych, na podstawie których sformułowano wnioski poaudytowe i zabezpieczenie ich przed niepowołanym dostępem. Systemy ułatwiają też wygenerowanie raportu według wzorca przyjętego przez bank. Na zakończenie przeprowadzane są czynności poaudytowe – systemy ułatwiają audytorom i audytowanym monitorowanie wdrożenia zaleceń poaudytowych, mogą rozsyłać do pracowników e-maile o zbliżających się i przekroczonych terminach.

Full service

W powszechnym przekonaniu najpopularniejszymi rodzajami audytu są tzw. audyty bezpieczeństwa rozumiane jako zabezpieczenie się przed ryzykiem ataku z zewnątrz. Tymczasem to tylko wąski fragment tego, co systemy IT mogą zaoferować w celu poprawienia bezpieczeństwa instytucji bankowej i jej klientów. – Na bezpieczeństwo banku składają się bowiem m.in. także bezpieczeństwo wewnętrzne i bezpieczeństwo prawne. Kluczowym elementem bezpieczeństwa wewnętrznego są metody zapewnienia zgodności bankowych operacji i procedur z ładem korporacyjnym (Governance), a bezpieczeństwo prawne dotyczy zgodnoś...