Specjalista ds. Audytu i Compliance

Planowanie audytu to proces strategiczny, oparty na ryzyku, a nie na losowym wyborze. Proces ten obejmuje: 1. Stworzenie 'świata audytu' (Audit Universe): Identyfikuję i dokumentuję wszystkie możliwe do audytowania obszary w organizacji – procesy, działy, systemy IT. 2. Przeprowadzenie oceny ryzyka: Dla każdego obszaru z 'świata audytu' oceniam ryzyko, biorąc pod uwagę jego potencjalny wpływ na finanse, reputację i zgodność z prawem oraz prawdopodobieństwo jego wystąpienia. 3. Stworzenie rocznego planu audytu: Na podstawie wyników oceny ryzyka, tworzę roczny plan audytu. Obszary o najwyższym ryzyku mają najwyższy priorytet i są audytowane najczęściej. 4. Konsultacje i alokacja zasobów: Plan jest konsultowany z zarządem i komitetem audytu, a następnie alokuję zasoby (czas, ludzie) do jego realizacji. Oprócz ryzyka, przy priorytetyzacji uwzględniam również wymogi regulacyjne, prośby zarządu oraz wyniki poprzednich audytów.

Ocena ryzyka to fundament audytu. Stosuję metodykę, która pozwala zrozumieć, gdzie organizacja jest najbardziej narażona. Proces oceny ryzyka: 1. Identyfikacja ryzyka nieodłącznego (Inherent Risk): Analizuję proces i identyfikuję ryzyka, które istnieją w nim naturalnie, przy założeniu, że nie ma żadnych kontroli. 2. Ocena skuteczności istniejących kontroli: Identyfikuję i oceniam mechanizmy kontrolne, które mają ograniczać to ryzyko. 3. Obliczenie ryzyka rezydualnego (Residual Risk): To ryzyko, które pozostaje po uwzględnieniu działania kontroli. Na nim skupia się audyt. Testowanie kontroli i identyfikacja słabości: Testuję kontrole na dwóch poziomach: • Skuteczność projektu (Design Effectiveness): Czy kontrola, jeśli działałaby idealnie, jest w stanie zapobiec ryzyku? • Skuteczność operacyjna (Operating Effectiveness): Czy kontrola faktycznie działa w praktyce, w sposób spójny i regularny? (Testuję próbkę transakcji). Słabość kontrolna występuje, gdy kontrola jest źle zaprojektowana lub nie działa w praktyce. Sklasyfikowane słabości wraz z rekomendacjami działań naprawczych są kluczowym wynikiem mojej pracy.

Zarządzanie programem SOX (Sarbanes-Oxley Act) to sformalizowany proces zapewnienia wiarygodności sprawozdawczości finansowej w spółkach publicznych. Program SOX obejmuje: • Określenie zakresu (Scoping): Identyfikuję kluczowe procesy i systemy, które mają wpływ na sprawozdawczość finansową. • Dokumentacja i testowanie kontroli: Dokumentuję i regularnie testuję kluczowe kontrole w tych procesach. • Zarządzanie słabościami: Nadzoruję proces naprawy zidentyfikowanych słabości kontrolnych. • Wsparcie dla zarządu: Dostarczam dowodów, które pozwalają zarządowi złożyć coroczne oświadczenie o skuteczności systemu kontroli wewnętrznej. Testowanie ITGC (IT General Controls) jest fundamentem SOX, ponieważ wiarygodność danych finansowych zależy od niezawodności systemów IT. Testy te obejmują kluczowe obszary: 1. Zarządzanie dostępem: Kto ma dostęp do czego w systemach i czy jest on zgodny z zasadą minimalnych uprawnień? 2. Zarządzanie zmianą: Czy wszystkie zmiany w systemach IT (np. aktualizacje oprogramowania) przechodzą przez sformalizowany proces testowania i akceptacji? 3. Operacje komputerowe: Czy istnieją procedury backupu, odtwarzania danych po awarii i monitorowania systemów?

Dochodzenie w sprawie nadużyć to delikatny proces wymagający dyskrecji, obiektywizmu i metodycznego podejścia. Proces ten obejmuje: 1. Ocenę zgłoszenia: Analizuję wstępne informacje, aby ocenić ich wiarygodność i powagę. 2. Planowanie dochodzenia: Tworzę plan, definiując cele, zakres i metody zbierania dowodów, aby uniknąć 'zniszczenia' śladów. 3. Zbieranie i analiza dowodów: Zbieram dowody (dokumenty, dane z systemów, e-maile) i przeprowadzam analizę danych w poszukiwaniu anomalii. 4. Rozmowy i wywiady: Prowadzę rozmowy ze świadkami i osobami objętymi dochodzeniem. 5. Raportowanie: Przedstawiam wyniki dochodzenia zarządowi lub komitetowi audytu w formie obiektywnego raportu opartego wyłącznie na faktach. W mojej pracy audytorskiej na bieżąco monitoruję 'czerwone flagi', które mogą wskazywać na potencjalne nadużycia, takie jak: • Anomalie finansowe: Niewyjaśnione transakcje, duplikaty płatności, faktury od nietypowych dostawców. • Zmiany w zachowaniu pracowników: Nagła zmiana stylu życia, niechęć do urlopu, praca po godzinach bez uzasadnienia. • Słabości kontroli wewnętrznej: Brak segregacji obowiązków, brak nadzoru, częste 'wyjątki' od procedur.

Celem programu monitorowania zgodności jest zapewnienie, że firma stale przestrzega przepisów, a nie tylko podczas audytu. Proces wdrożenia takiego programu obejmuje: 1. Mapowanie regulacji: Identyfikuję wszystkie kluczowe regulacje, które dotyczą firmy (np. RODO, przepisy przeciwko praniu pieniędzy (AML), regulacje branżowe) i 'mapuję' je na konkretne procesy i działania w organizacji. 2. Identyfikacja i wdrożenie kontroli: Dla każdego wymogu regulacyjnego definiuję i wdrażam odpowiedni mechanizm kontrolny. 3. Stworzenie procedur monitorowania: Opracowuję harmonogram i procedury regularnego testowania tych kontroli. 4. Mechanizmy raportowania: Tworzę system raportowania, który na bieżąco informuje zarząd o poziomie zgodności i ewentualnych odchyleniach. 5. Programy szkoleniowe: Regularnie prowadzę szkolenia dla pracowników, aby upewnić się, że rozumieją oni regulacje, które ich dotyczą, i znają swoje obowiązki. Program taki musi być dynamiczny i regularnie aktualizowany w odpowiedzi na zmiany w przepisach.

Ryzyko związane z dostawcami i partnerami biznesowymi (third-party risk) jest jednym z największych zagrożeń dla nowoczesnych firm. Zarządzam nim w sposób oparty na ryzyku: Proces Due Diligence (przed nawiązaniem współpracy): Przed podpisaniem umowy z nowym, kluczowym dostawcą, przeprowadzam jego ocenę pod kątem: • Stabilności finansowej. • Reputacji i zgodności z prawem (np. polityki antykorupcyjne). • Bezpieczeństwa informacji (jeśli będzie miał dostęp do naszych danych). Ciągły monitoring (w trakcie współpracy): Nie wszyscy dostawcy wymagają takiego samego poziomu nadzoru. Dzielę ich na grupy ryzyka. Dla tych najbardziej strategicznych: • Regularnie monitoruję ich wyniki i zgodność z warunkami umowy. • Przeprowadzam okresowe audyty ich procesów. • Wymagam regularnych oświadczeń lub certyfikatów potwierdzających zgodność z kluczowymi regulacjami. Celem jest zapewnienie, że nasi partnerzy biznesowi nie staną się źródłem problemów prawnych, finansowych lub reputacyjnych dla naszej firmy.