Compliance a audyt wewnętrzny czyli: Audiatur et altera pars

Compliance a audyt wewnętrzny czyli: Audiatur et altera pars

Międzynarodowy Instytut Audytorów Wewnętrznych uznawany jest za popularyzatora teorii "trzech linii obrony" (ang. three lines of defense). Teorii, której zadaniem jest wydzielenie niezależnych od siebie jednostek, mających na celu efektywne zarządzanie ryzykiem nieprawidłowości mogących wystąpić w ramach działalności organizacji. Opublikowany w styczniu 2013r. "Postition Paper of Defense in Effective Risk Management and Control", stanowi wykładnię wspomnianej teorii.

Model trzech linii obrony ma charakter ramowy, wyznaczający pewne określone, fundamentalne i bazowe zasady dla efektywnego minimalizowania wystąpienia ryzyka zagrażającego bieżącej działalności organizacji.

Podział III linii obrony

Na koncepcję trzech linii obrony składają się następujące funkcje wewnątrz organizacyjne:

  1. Pierwszą linię obrony konstytuują działania biznesowe, operacyjne, a więc szeroko rozumiany "biznes". To właśnie w pierwszej linii obrony umiejscowione są procesy operacyjne, to tutaj zlokalizowana jest również odpowiedzialność za zdarzenia kreujące ryzyko. Pierwsza linia obrony odpowiedzialna jest ponadto za zaprojektowanie, a także wdrożenie kontroli właściwych dla zidentyfikowanych ryzyk. W ramach tej linii obrony usytuowane jest również tzw. właścicielstwo ryzyka.
  2. Druga linia obrony to ten etap prewencji wewnątrzorganizacyjnej, którego nadrzędnym zadaniem jest efektywna identyfikacja ryzyka i zagrożeń dla działalności danego podmiotu. Druga linia obrony ma za zadanie rozpoznanie tych zagrożeń, które nie zostały wykryte w ramach działalności pierwszej z linii.Wewnątrz tego poziomu ochrony usytuowane zostały jednostki wyspecjalizowane w działaniach mających na celu wspieranie pierwszej linii obrony, wspieranie kadry kierowniczej w efektywnym zarządzaniu ryzykiem i skuteczności zaimplementowanych kontroli. To właśnie wewnątrz drugiej linii obrony umiejscowione zostały funkcje takie jak: kontrola finansowa, compliance, bezpieczeństwo, kontrola jakości.
  3. Trzecią linię obrony konstytuuje jednostka audytu wewnętrznego. Nie wykonuje ona czynności zarządczych, przedstawia natomiast wyniki weryfikacji działalności pozostałych linii. Rolę ostatniej z linii obrony organizacji, pełnić może również audytor zewnętrzny.

Wraz z rozwojem świadomości organizacyjnej, systematycznym zwiększaniem wymogów nakładanych na przedsiębiorstwa w zakresie oceny ryzyka, zarządzania zgodnością, ale również sprawozdawczością, koncepcja modelu trzech linii obrony, staje się coraz to bardziej rozpoznawalną, a przede wszystkim implementowaną w ramach struktur organizacji.

Na wzrost świadomości kadry zarządzającej średniego jak i wyższego szczebla, niewątpliwy wpływ ma fakt zwiększonej aktywności ustawodawcy względem przedsiębiorców. Już nie tylko wspomniany wzrost wymagań, obostrzeń i regulacji względem podmiotów działających na danym rynku stał się przyczyną, wdrażania przedmiotowej koncepcji. Niebagatelną rolę odgrywa tutaj także wzmożona aktywność kontrolna organów regulacyjnych.

Dlatego też ostatnie lata to systematyczny wzrost znaczenia jednostek audytu wewnętrznego i compliance wewnątrz organizacji. Symptomatyczne jest tutaj uchwalenie Rozporządzenia nr 537/2014 z dnia 16 kwietnia 2014 roku, przyjętego przez Parlament Europejski i Radę, którego efektem była polska Ustawa z dnia 11 maja 2017 roku o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym. Ustawa ta, będąca nowelizacją dotychczasowej regulacji o biegłych rewidentach, samorządzie biegłych rewidentów, podmiotach będących uprawnionymi do badania sprawozdań finansowych, a także nadzorze publicznym, implementuje wprost przepisy wprowadzone przez Unię Europejską w odniesieniu do audytu i zasad badania i kontroli sprawozdań finansowych.

Audyt wewnętrzny a compliance

Compliance jako funkcja ma za zadanie dostosowywanie działalności organizacji do wymogów powszechnie obowiązującego prawa, wymogów regulatora, obowiązków wynikających z regulacji wewnętrznych danego sektora, w którym podmiot prowadzi swą działalność, a także do schematu postępowania wyznaczanego przez regulacje wewnętrzne danej organizacji. Rolą audytu wewnętrznego jest natomiast monitorowanie procesów wewnątrz organizacji, weryfikacja kompletności działań mających za zadanie "mitygowanie ryzyka", efektywności, zasadności i właściwości wdrożonych kontroli.

W zakresie przeprowadzanych kontroli mających na celu weryfikację efektywności działań podejmowanych przez organizację compliance koncentruje się na analizowaniu konkretnych spraw, natomiast audyt  weryfikować będzie całe procesy.

Rozróżnienie funkcji audytu wewnętrznego i compliance odnosi się również do celów każdej z nich. Nadrzędnym i fundamentalnym wyznacznikiem działalności obydwu jednostek jest zapewnienie ciągłości działalności organizacji poprzez efektywną minimalizację ryzyka.

Spoglądając jednak na partykularne założenia każdej z funkcji, można w przypadku jednostki compliance wyróżnić zapewnienie ciągłości działalności organizacji poprzez dostosowanie profilu działalności organizacji do zmieniającego się otoczenia prawno-regulacyjnego. Natomiast celem komórki audytu wewnętrznego będzie działanie na rzecz zapewnienia prawidłowego i efektywnego funkcjonowania organizacji, również pod względem legalności. Compliance próbuje zatem "nadążyć" za zmieniającym się otoczeniem prawnym, podczas gdy audyt dokonuje krytycznej oceny tej rzeczywistości.

Jednostka Compliance analizuje ryzyko ex ante; audyt - ex post.   

Nie należy bowiem zapominać, iż jednostka audytu wewnętrznego, wyposażona jest w szereg uprawnień kontrolnych, które upoważniają ją do przeprowadzania audytu również wewnątrz jednostki compliance. Niemniej jednak, uprawnienie to nie może i nie powinno stanowić przeszkody względem współpracy obydwu funkcji wewnątrz organizacji. Konflikt stanowiłby blokadę na drodze do efektywnego rozwoju działalności danej organizacji.

Obie jednostki posiadają atrybuty i upoważnienia zezwalające na kompleksowe i przekrojowe spojrzenie na sposób prowadzenia działalności biznesowej, jej procesy, strukturę organizacyjną, a także efektywność operacyjną, przejawiającą się m.in. we wspólnym definiowaniu ryzyk danej organizacji, opracowanie ich uspójnionej klasyfikacji, minimalizowanie działań niepożądanych. To wszystko przekłada się na  maksymalizację korzyści z podejmowanych działań biznesowych.

Audiatur et altera pars

Tytułowa sentencja jest egzemplifikacją procesowej zasady, wywodzącej się z prawa rzymskiego, stanowiącej o tym, iż druga strona procesu powinna zostać wysłuchana.

Wyrok, nawet jeśli właściwy, bez stanowiska drugiej strony jest niesłuszny.

Przenosząc i niejako parafrazując tę zasadę na grunt organizacji, należy mieć na uwadze fakt, iż nie sposób w sposób efektywny i kompleksowy zarządzać ryzykiem, bez współpracy i współdziałania jednostek konstytuujących omawiane 3 linie obrony. Ich zadaniem jest nie tylko działanie na rzecz zysku przedsiębiorstwa, lecz także działanie na rzecz sprawiedliwości. Ma ona bowiem to do siebie, że gdy jest urzeczywistniona, niesie wraz ze sobą sprawne zarządzenie, przejrzystość i chyba najważniejsze - spokój w obliczu nadchodzących wyzwań, których w okresie postpandemicznym, tj. tzw. "new normal", nie brakuje.

*Inspiracją do napisania powyższego tekstu był artykuł autorstwa prof. Franciszka Longchamps de Bérier pt. "AUDIATUR ET ALTERA PARS. SZKIC O BRAKUJĄCEJ KOLUMNIE PAŁACU SPRAWIEDLIWOŚCI ". Opublikowany w Leges sapere. Studia i prace dedykowane profesorowi Januszowi Sondlowi w pięćdziesiątą rocznicę pracy naukowej, red. W. Uruszczak – P. Święcicka – A. Kremer, Kraków 2008  

Niniejsza strona zawiera wyłącznie informacje ogólne i jest oparta na doświadczeniach i badaniach autora. Autor nie udziela w ramach niniejszych publikacji porad biznesowych, prawnych ani innych profesjonalnych porad lub usług. Treści zawarte na niniejszej stronie nie zastępują porad prawnych ani usług. Opinie, stanowiska i spostrzeżenia wyrażone w ramach publikacji na niniejszej stronie nie powinny być również wykorzystywane jako podstawa do jakichkolwiek decyzji lub działań, które mogą mieć wpływ na prowadzoną przez Państwa działalność. Przed podjęciem jakiejkolwiek decyzji lub podjęciem jakichkolwiek działań, które mogą mieć wpływ na działalność Państwa firmy, należy uzyskać opinię wykwalifikowanego doradcy prawnego. Autor nie ponosi odpowiedzialności za jakiekolwiek straty poniesione przez jakąkolwiek osobę lub podmiot polegający na podstępowaniu wedle treści przedstawionych na niniejszej stronie. Wszelki opinie, poglądy i stanowiska przedstawione na niniejszej stronie są prywatnymi poglądami autora, a w związku z tym nie powinny być w jakikolwiek sposób utożsamiane ze stanowiskiem organizacji, które autor reprezentował, reprezentuje obecnie i/lub będzie reprezentował. Cytowanie treści artykułów na niniejszej stronie jest dozwolone z zastrzeżeniem podania źródła cytatu wraz z odnośnikiem prowadzącym do niniejszej strony.

W celu zapewnienia jak najlepszych usług online, ta strona korzysta z plików cookies.

Jeśli korzystasz z naszej strony internetowej, wyrażasz zgodę na używanie naszych plików cookies.