Czym jest audyt – rodzaje, metody i cele jego przeprowadzania

Audyt to pojęcie spotykane względnie często, choć tak naprawdę nie ma jednoznacznej definicji. Dodatkowo często mylone jest z kontrolą lub błędnie nazywane „auditem”. Co więcej, w wielu przedsiębiorcach samo wspomnienie o audycie budzi duży stres. Czy słusznie? Czym dokładnie jest pojęcie audytu, jakie są jego cele i kto zajmuje się przeprowadzaniem tego typu procesów?

Co to jest audyt?

Kluczową trudnością w dokładnym ujęciu terminu „audyt” jest mnogość jego definicji. Co się z tym wiąże, nieraz pojawiają się nieścisłości w zakresie różnych jego klasyfikacji czy etapów przeprowadzania. Niejednoznaczna jest też etiologia tego słowa. Jako podstawę uznaje się łacińskie określenia: „auditio” (słuchanie lub słyszenie), a także „auditus” (przesłuchanie). Nawiązują one do tzw. przesłuchiwania rachunków, które przeprowadzano już w starożytnym Rzymie. Polegało to na zestawianiu ze sobą dokumentów różnych urzędników oraz ich weryfikację, co pełniło funkcje ochronne dla finansów publicznych. To właśnie na tej podstawie powstało m.in. angielskie słowo „audit”, a z niego zaczerpnięto używaną u nas – spolszczoną – wersję. Warto o tym pamiętać, ponieważ w niektórych opisach pojawia się wspomniana wyżej forma angielska, pomimo że w języku polskim nie jest ona poprawna (odpowiada za to przede wszystkim używanie określenia „audit” w normie ISO 19011, która opisuje audytowanie systemów zarządzania).

Należy przy tym zauważyć, że na trudności z jednoznaczną interpretacją terminu „audyt” wpływa też jego historia. Początkowo odnosił się on bowiem przede wszystkim do typowych kontroli z zakresu finansowo-księgowego przedsiębiorstw. Z biegiem lat znacznie jednak rozszerzono to pojęcie i współcześnie audytowi można w zasadzie poddać każdy obszar działania wybranej jednostki. Owszem, rewizja gospodarcza wciąż stanowi główne rozumienie, lecz często audytor wykonuje tak naprawdę o wiele bardziej holistyczną ocenę wybranego podmiotu. Możliwe jest też skupienie się tylko na konkretnym obszarze, jak np. marketing czy HR.

Generalnie zatem uznaje się, że audyt to szczegółowe badanie (analiza działalności) wybranej jednostki, które wykonują odpowiednio do tego przygotowani audytorzy. Często jest to proces, który powtarza się regularnie i ma duże znaczenie dla kontrolowania sytuacji panującej w danej jednostce, jej postępowania względem zgodności z prawem, wskazywania jej mocnych oraz słabych stron czy tworzenia planów na przyszłość. Zadaniem audytora jest przede wszystkim wyszukanie ewentualnych nieprawidłowości czy problemów w funkcjonowaniu organizacji. Co ważne, nie zawsze musi być to przedsiębiorstwo, ponieważ audytowi mogą podlegać też uczelnie wyższe, urzędy, banki itd.

Definicja audytu według normy ISO

Jeśli chodzi o oficjalne definicje, jedna z nich została zawarta we wspomnianej już normie PN-EN ISO 19011:2018, która opisuje audytowanie systemów zarzadzania, zasady jego przeprowadzania i zarządzania tego typu programami. Co jest dużym plusem, wskazana norma jest przydatna do przeprowadzania audytów systemów zarządzania w jednostkach o każdej wielkości, niezależnie od branży czy wewnętrznych systemów funkcjonowania. Zgodnie z nią audyt to: „systematyczny, niezależny i udokumentowany proces uzyskiwania dowodu obiektywnego oraz jego obiektywnej oceny w celu określenia stopnia spełnienia kryteriów auditu”.

Należy też dodać, że każdy audyt powinien mieć jasno określone ramy czasowe, a jego sposób przeprowadzenia opierać się o bardzo konkretne procedury.

Jakie są cele audytu?

Jak łatwo wnioskować z powyższego opisu, celem audytu jest dokładna i niezależna ocena danej organizacji, projektu, systemu, procesu, usługi czy nawet konkretnego produktu oraz wyszukanie wszelkich związanych z tym problemów. Ma to przynieść wiarygodne informacje, które w efekcie mają za zadanie pomóc w zarządzaniu określonym obszarem.

Audyt zwykle ma zatem także charakter doradczy, czego finalnym celem jest wsparcie zarządzania organizacją i doprowadzenie do poprawy oraz usprawnienia działalności określonego podmiotu. Jego wyniki nie powinny wskazywać przy tym „winnych” ewentualnych problemów, zwłaszcza w formie konkretnych nazwisk – nie ma mieć on bowiem formy represyjnej, a raczej wspierającą.

Kim jest audytor?

Audyt wykonują specjalnie przygotowani do tego audytorzy, którzy w swoim działaniu m.in. muszą kierować się zasadami: rzetelności, uczciwości, zgodności z etyką, należytej staranności, niezależności, poufności i wnioskowaniu w oparciu o konkretne dowody.

Jeśli chodzi o audytorów wewnętrznych systemów zarządzania, szczególnie podkreśla się konieczność znajomości przez nich struktury i wymagań wynikających z normy ISO 9001, zaś audytorzy systemu zarządzania bezpieczeństwem informacji – normy ISO/IEC 27001. Do przeprowadzania audytów przygotowują przede wszystkim odpowiednie szkolenia, które prowadzone są przez certyfikowane jednostki, działające na podstawie przyjętych standardów zawodowych.

Przewagą organizacji, w strukturach której funkcjonuje audytor wewnętrzny, jest możliwość nieustannego kontrolowania zachodzących procesów. W pewnym sensie audyt trwa tam przez cały rok, dzięki czemu daje też szanse na szybkie zauważenie pojawiających się trudności i równie szybkie im zaradzenia.

Co ważne, specjaliści kierują się w trakcie audytowania przepisami prawa, zarówno krajowego, jak i międzynarodowego (np. Unii Europejskiej), przepisami wewnętrznymi organizacji, określonymi standardami, listami kontrolnymi czy normami. Zawsze zatem oceny mają „twarde” podstawy i nie są indywidualnymi opiniami (choć wielu ekspertów podkreśla, że duża część przepisów prawnych może być interpretowana na różne sposoby, stąd też w praktyce zawsze pozostaje ).

Rodzaje audytów – kto zajmuje się ich przeprowadzaniem?

Jednym z kryteriów podziału audytów jest podmiot, który je przeprowadza. W tym zakresie wyróżnia się trzy podstawowe sposoby audytowania (z czego ostatni z opisanych poniżej – tj. audyt trzeciej strony – jest zdecydowanie najrzadszy).

Audyt wewnętrzny

Inaczej określany audytem pierwszej strony. Najczęściej przeprowadzany jest przez osoby na stałe zatrudnione w danym podmiocie – funkcjonują w ramach jej struktury, choć jednocześnie zachowują odpowiednią niezależność organizacyjną. Rzadziej są to audytorzy, którym zleca się tego typu czynność np. na podstawie umowy zlecania.

Jak wskazuje definicja stworzona przez The Institute of Internal Auditors (IIA – Instytut Audytorów Wewnętrznych), to „niezależna, obiektywna działalność o charakterze doradczym, prowadzona w celu wniesienia do organizacji wartości dodanej i usprawnienia jej funkcjonowania”. Generalnie pełni zatem rolę przede wszystkim wspierającą – ma ułatwiać realizowanie celów danej organizacji, podwyższać efektywność działania zatrudnionych w niej osób, ułatwiać wykonywanie ich obowiązków, identyfikować ewentualne ryzyka i dawać wskazówki w zakresie przygotowania odpowiednich procesów zarządzania ryzykiem i wskazywać możliwe sposoby ich minimalizowania itp.

Co więcej, audyt wewnętrzny został zdefiniowany także w Dziale VI. ustawy o finansach publicznych i dotyczy audytowania oraz koordynacji owych audytów w jednostkach sektora finansów publicznych. Art. 272 wskazuje, że: „Audyt wewnętrzny jest działalnością niezależną i obiektywną, której celem jest wspieranie ministra kierującego działem lub kierownika jednostki w realizacji celów i zadań przez systematyczną ocenę kontroli zarządczej oraz czynności doradcze”. Istnienie odpowiednich komórek audytu wewnętrznego jest w tym przypadku obowiązkowe, co ma ogromne znaczenie dla ochrony interesów społecznych.

Audyt zewnętrzny

Przeprowadzają go podmioty niezależne od danej organizacji, inaczej określany audytem drugiej strony. Najczęściej są to wyspecjalizowane firmy konsultingowe lub audytorskie, które zatrudniają audytorów i rewidentów w pełni przygotowanych do auditingu (posiadających odpowiednie uprawnienia). W tym przypadku kluczowa jest ocena funkcjonowania wybranych jednostek pod względem finansowym, w przeciwieństwie do audytu wewnętrznego, który często obejmuje także obszary niefinansowe.

Audyt trzeciej strony

To szczególna forma audytu zewnętrznego. Audytorzy są bowiem zupełnie niezależni od podmiotu, który analizują. Są to np. jednostki certyfikujące (jeżeli dany podmiot chce uzyskać akredytowany certyfikat ISO, poddawanie się tego typu audytom jest obowiązkowe)

Przedmiot audytu – jakie obszary najczęściej podlegają ocenie?

Drugim z ważnych podziałów jest ten dotyczący badanego obszaru. Najczęściej wyróżnia się audyty: finansowy, operacyjny oraz informatyczny. Pierwszy dotyczy szeroko rozumianego funkcjonowania gospodarki finansowej danego podmiotu (jego gospodarności, zysków, strat itd.) i w większości są jest działaniem ex-post.

Audyt operacyjny obejmuje zaś nieco więcej obszarów - m.in. zarządzanie, opłacalność, wykonanie określonych celów - przy jednoczesnym ukierunkowaniu przede wszystkim na przyszłość danej organizacji. Generalnie przyjmuje się, że ma za zadanie ocenę, w jakim stopniu organizacja realizuje postawione przed nią cele, a także – jak to robi. Pozwala to następnie na przygotowanie wskazówek, które pozwolą na usprawnienie działalności operacyjnej organizacji. Podkreśla się przy tym, że audyty finansowy i operacyjny są w zasadzie nierozerwalne. Zarówno podczas przeprowadzania jednego, jak i drugiego, nieuniknione są wzajemne odniesienia.

Audyt informatyczny często uznaje się za uzupełniający i ma na celu przede wszystkim ocenę, czy systemy informatyczne danej organizacji odpowiednio ochraniają jej dobra, utrzymują integralność, ułatwiają organizacji osiąganie celów itp. Obejmuje on zarówno wykorzystywane sprzęty, zasoby intelektualne, jak np. stosowane oprogramowania, a także kadrowe (programiści, informatycy, administratorzy danych itd.).

Wśród mniej popularnych, wyróżnia się m.in. także audyty oceniające działania marketingowe, kulturę organizacji czy zarządzanie personelem w danym przedsiębiorstwie.

Audyt a kontrola – czy są tym samym?

O ile historycznie faktycznie audyt i kontrola miewały niemalże taki sam zakres i cele, o tyle współcześnie są to zupełnie inne procesy. Po pierwsze, kontrola zwykle przeprowadzana jest już po wystąpieniu określonego problemu (ex-post) – jest reakcją na jego „objawy”. Celem kontroli faktycznie może być znalezienie osób, działów czy systemów, które są odpowiedzialne za owe nieprawidłowości.

Audyt przeprowadza się zaś raczej w formie zapobiegawczej – by wykryć ewentualne słabe punkty, zanim w ogóle doprowadzą one do wspomnianych problemów, co pozwala zawczasu im zaradzić. Jest to zatem tzw. ocena ex-ante (choć oczywiście bierze się pod uwagę także elementy będące typową analizą ex-post, jak np. efektywność dotychczasowych sposobów działania).

Po drugie, wiele definicji podkreśla, że audyt i kontrola to pojęcia „zahaczające o siebie”, przy czym zwykle to pierwszy z wymienionych tu procesów jest szerszy i w jego ramach możliwa jest ocena całego systemu kontroli, jaki panuje w wybranej jednostce. Co więcej, jego celem może być też stworzenie wskazówek, które w ogóle umożliwią stworzenie odpowiednich systemów kontroli wewnętrznej.

Czy należy „bać się” audytu?

Dla wielu osób okres audytowania i oczekiwania na jego ewentualne wyniki jest bardzo stresujący. Często stawia to całą organizację „w stan gotowości”, a pojawiające się liczne pytania i chęć sprawdzania dokumentów mogą powodować dyskomfort. Jednocześnie warto pamiętać, że audyt ma na celu zabezpieczenie danego podmiotu na przyszłość, a wykrycie ewentualnych nieprawidłowości to tak naprawdę pierwszy krok do zapobiegania możliwym problemom, a nie ich tworzenie tu i teraz.

Warto zatem podejść do audytu, jak do szansy na rozwój, poziom stresu na pewno ulegnie obniżeniu, a możliwe zyski z jego wyników staną się motywacją do czynnego uczestniczenia w całym procesie.