Ryzyko & plan audytu

Dziś chciałbym zwrócić uwagę na pewne ważne, a czasem pomijane zagadnienia związane z postrzeganiem zarządzania ryzykiem realizowanego w trakcie zadań audytu wewnętrznego. 

Bez wątpienia realizacja zadań związanych z audytem wewnętrznym pozwala poznać i zrozumieć funkcjonowanie całej organizacji. Brakuje jednak zazwyczaj bardziej dynamicznego podejścia bazującego na analizie ryzyka. Zazwyczaj także audytorzy nie mają odpowiednich kompetencji, aby właściwie określić wartość ryzyka w raporcie - informacje o przedziałach wartości ryzyka, czy jakościowy opis tej wartości, lub jakieś kolory, nie stanowią informacji użytecznej dla zarządów.

Innym problemem jest to, że ocena ryzyka realizowana przez audyt nie stanowi systemu. Jest to analiza np. ryzyka w procesie realizowana raz na kilka lat i może być jedynie wykorzystywana jako wkład do rejestru ryzyka, które jednak powinno zostać jeszcze raz przeanalizowane przez organizację ryzyka (posiada ku temu lepsze kompetencje) - np. osoby realizujące ERM.

Także plan audytu powinien być dostosowywany okresowo - może rolowany kwartalnie - aby podążać za zmianami ryzyka w organizacji.

Plan audytu zaś powinien koncentrować się na najważniejszych ryzykach dla przedsiębiorstwa. Zespół audytu powinien zatem ściśle współpracować z organizacją ryzyka, aby badać rzeczywiście najważniejsze procesy i najważniejsze ryzyka dla realizacji planów. Ale należy podkreślić, że te ryzyka nie są określane przez audyt, a powinny być rezultatem analizy przeprowadzonej w ramach ERM.

Jeżeli nie ma tego procesu wdrożonego (ERM), to audyt powinien sam przeprowadzać przynajmniej raz do roku odpowiednie warsztaty, aby tę lukę zapełnić. Dopiero wtedy plan audytu będzie pokrywać najważniejsze ryzyka i jego realizacje kreować wartość dodaną dla organizacji.