Przejdź do treści
W K
GoBD: nie dotyczy Zgodny z §203 StGB

Agent monitorowania IKS

Monitorowanie systemu kontroli wewnętrznej w jednym pipeline, zawsze gotowe do certyfikacji dla zarządu, rady nadzorczej i Substantive Testing Big-4 - zgodne z KSH, UoR, KNF i KSRF 250/315/330.

Ciągłe monitorowanie systemu kontroli wewnętrznej zgodne z KSH art. 382 §3 oraz ramami COSO 2013 - gotowe do certyfikacji i audytu.

Przeanalizować proces

Wybór spośród ponad 5 000 projektów w 25 latach tworzenia oprogramowania

Airbus Volkswagen Shell Renault Evonik Vattenfall Philips KPMG

KNF, PIBR, KAS i UOKiK razem tworzą ciągły nadzór nad systemem kontroli wewnętrznej, który wymaga podejścia Cert-Ready by Design

Agent monitoruje system kontroli wewnętrznej zgodnie z polskim KSH art. 382 §3 i 391 (zarząd oraz rada nadzorcza), ustawą o rachunkowości art. 4-15 i 50-54, rekomendacjami KNF Z (ład korporacyjny instytucji finansowych) i D (governance IT), KSRF 250 (zgodność z prawem), 315 (zrozumienie jednostki) i 330 (procedury w odpowiedzi na ryzyka) oraz standardami COSO 2013, COSO ERM 2017, ISO 31000 i ISO 37301. Działa w 100% deterministycznie, bez generatywnej AI w decyzjach o klasyfikacji słabości kontroli.

Wynik: Ciągłe monitorowanie wskaźników KCI eliminuje ryzyko istotnej słabości niewykrytej przez biegłego rewidenta, cross-check KSeF FA(2) chroni przed sankcją KKS art. 56 do 21,6 mln zł, a coroczna ocena systemu kontroli dla zarządu i rady nadzorczej zgodnie z KSH art. 382 §3 oraz zgodność z ustawą o sygnalistach 2024 oszczędzają 30-50 procent czasu komitetu audytu.

81% Silnik reguł
6% Agent AI
13% Człowiek

16 deterministycznych punktów decyzyjnych z dwiema eskalacjami ludzkimi (klasyfikacja istotnej słabości oraz coroczna ocena systemu kontroli przez zarząd) tworzy Audit-Trail dla KAS, PIBR, KNF i Big-4 wg PCAOB AS 2401:

Wymogi KNF, kontrole UOKiK, Substantive Testing PIBR i KKS art. 56 - cztery wymagające fronty systemu kontroli wewnętrznej

System kontroli wewnętrznej (IKS) w Polsce to złożony framework regulacyjny łączący sześć głównych obszarów: KSH art. 382 §3 i 391 (odpowiedzialność zarządu i rady nadzorczej za skuteczny system kontroli zarządczej), ustawę o rachunkowości art. 4-15 i 50-54 (zasady prowadzenia ksiąg rachunkowych i sprawozdawczości), rekomendacje KNF Z (ład korporacyjny instytucji nadzorowanych) oraz D (governance IT), KSRF 250, 315 i 330 (Substantive Testing przez biegłego rewidenta PIBR), ustawę o sygnalistach z 14.06.2024 oraz uznane przez KIBR standardy COSO 2013, ERM 2017 i ISO 31000. Każda średnia i duża spółka w Polsce z obowiązkiem badania ustawowego musi udokumentować skuteczność systemu kontroli przez pięć komponentów COSO, trzy linie obrony, ciągłe monitorowanie wskaźników KCI oraz cross-check z KSeF FA(2) od 1.7.2026.

KNF, PIBR, KAS i UOKiK tworzą ciągły nadzór nad systemem kontroli wymagający Cert-Ready by Design

KNF jest najsurowszym regulatorem ładu korporacyjnego w Europie Środkowej. Rekomendacja Z z 22.07.2014 wymaga od banków, ubezpieczycieli, TFI i domów maklerskich niezależnego komitetu audytu rady nadzorczej, polityki wynagrodzeń powiązanej z celami długoterminowymi, systemu kontroli wewnętrznej zorganizowanego w trzy linie obrony, compliance officera raportującego bezpośrednio do zarządu oraz niezależnego audytu wewnętrznego. Za naruszenia KNF nakłada sankcje do 10 procent obrotu lub odbiera licencję. Rekomendacja D z 8.01.2013 wymaga dodatkowo polityki bezpieczeństwa IT, zarządzania zmianami, kontroli dostępu, ciągłości działania, audytu logów IT z retencją 5 lat oraz cyberbezpieczeństwa zgodnego z ustawą z 5.07.2018 o krajowym systemie cyberbezpieczeństwa.

PIBR (Polska Izba Biegłych Rewidentów) wydaje Krajowe Standardy Rewizji Finansowej (KSRF) zgodne z ISA. KSRF 315 wymaga od biegłego rewidenta zrozumienia jednostki i jej systemu kontroli oraz identyfikacji ryzyk istotnych zniekształceń, a KSRF 330 wymaga testów projektu kontroli i testów skuteczności operacyjnej w ramach Substantive Testing (zwykle 25-60 transakcji rocznie). Audyt podatkowy KAS w 2024 roku wskazał niedociągnięcia systemu kontroli jako jeden z trzech najczęstszych ustaleń, obok dokumentacji umów i RODO. Sankcje kumulują się: KKS art. 56 (30% wartości VAT, maksymalnie 21,6 mln zł), RODO do 4 procent obrotu lub 20 mln EUR, UOKiK do 10 procent obrotu, ustawa o sygnalistach do 100 procent szkody oraz osobista odpowiedzialność członków zarządu wg KSH art. 293-300. Polska firma średnia (300-500 pracowników, 100-300 mln zł obrotu) ma potencjalną ekspozycję sankcyjną 50-150 mln zł rocznie bez podejścia Cert-Ready by Design.

16 deterministycznych punktów decyzyjnych z dwiema eskalacjami ludzkimi

Agent przetwarza system kontroli przez pipeline 16 strukturalnych punktów decyzyjnych: czternaście klasyfikacji regułowych, jedną wspomaganą przez LLM ekstrakcję klasyfikacji procesu oraz dwie eskalacje ludzkie (klasyfikacja istotnej słabości oraz coroczna ocena skuteczności systemu kontroli przez zarząd i radę nadzorczą). Klasyfikację procesu wykonuje LLM, mapując obszar biznesowy, wartość, ryzyko regulacyjne i częstotliwość na pięć komponentów COSO 2013. Pozostałe 14 klasyfikacji opiera się na KSH art. 382 §3, ustawie o rachunkowości art. 4-15, rekomendacjach KNF Z i D, KSRF 250/315/330, ustawie o sygnalistach 2024, ISO 31000 oraz COSO ERM 2017.

Konkretny przykład: średnia polska spółka produkcyjna notowana na GPW (450 pracowników, 280 mln zł obrotu, sektor IT) prowadzi roczny monitoring systemu kontroli. Agent klasyfikuje 25 procesów finansowych, 18 operacyjnych, 12 IT (rekomendacja KNF D), 8 compliance i 5 strategicznych, co łącznie daje 68 procesów zmapowanych na COSO 2013. Według ISO 31000 zidentyfikowano 142 ryzyka: 47 wysokich, 68 średnich i 27 niskich. Rekomendacja Z nie ma zastosowania (spółka nie jest instytucją KNF), natomiast rekomendacja D obowiązuje (wymagany audyt IT). Substantive Testing wg KSRF 315 i 330 obejmuje 47 kontroli wysokiego ryzyka po 30 transakcji, czyli 1410 testów operacyjnych. Cross-check KSeF FA(2) jest comiesięczny dla 1200 faktur sprzedażowych i 800 zakupowych. W 2024 roku odnotowano 8 zgłoszeń sygnalistów, średnia obsługa 18 dni, bez retorsji. Trzy linie obrony są udokumentowane, a ciągłe monitorowanie obejmuje 23 wskaźniki KCI z progami. Zidentyfikowano 4 niedociągnięcia: jedna istotna słabość (brak segregacji obowiązków w płatnościach powyżej 100 tys. zł) eskalowana do komitetu audytu oraz trzy znaczące słabości w naprawie. Coroczna ocena systemu kontroli przez zarząd jest pozytywna z jednym zastrzeżeniem dotyczącym istotnej słabości i planem naprawczym do III kwartału.

Ciągłe monitorowanie wskaźników KCI w czasie rzeczywistym z progami eskalacji

Zasada 16 COSO 2013 (ciągłe monitorowanie) wymaga od organizacji nieustannej oceny jakości systemu kontroli. Agent dostarcza pulpit kluczowych wskaźników kontroli (KCI) z progami eskalacji: (1) pokrycie kontrolą three-way match (cel 100%, próg 98%); (2) naruszenia segregacji obowiązków (cel 0, próg 3 rocznie); (3) przeglądy dostępu uprzywilejowanego (cel 100%, próg 95% kwartalnie); (4) nieudane próby logowania (rekomendacja KNF D, próg 50 dziennie); (5) udane testy odtwarzania kopii zapasowych (cel 100%, próg 1 rocznie zgodnie z BCP); (6) czas reakcji kanału sygnalistów (cel poniżej 30 dni, próg poniżej 60 dni zgodnie z ustawą z 2024 roku); (7) skuteczność cross-checku KSeF FA(2) (cel 99%, próg 97%). Alerty w czasie rzeczywistym trafiają do compliance officera, kwartalne raporty do komitetu audytu rady nadzorczej, a roczny raport do zarządu zgodnie z KSH art. 382 §3.

Przypadki szczególne w Polsce: spółki GPW, instytucje KNF, grupy kapitałowe

Polskie spółki notowane na GPW mają dodatkowe obowiązki wynikające z Dobrych Praktyk Spółek Notowanych 2021: coroczny raport komitetu audytu o skuteczności systemu kontroli z konkretnymi wskaźnikami KCI i statusem działań naprawczych, ujawnienie istotnych słabości w sprawozdaniu rocznym zgodnie z KSRF 265, opis trzech linii obrony w prospekcie emisyjnym oraz polityka różnorodności zarządu i rady nadzorczej. Instytucje nadzorowane przez KNF (banki, ubezpieczyciele, TFI, domy maklerskie) muszą dodatkowo prowadzić ICAAP/ILAAP zgodnie z rekomendacją Z, składać do KNF raport stress-testowy, przeprowadzać analizę wpływu na działalność (BIA) zgodnie z rekomendacją D oraz poddawać outsourcing IT audytowi biegłego rewidenta PIBR. Grupy kapitałowe (spółka matka wraz ze spółkami zależnymi) konsolidują system kontroli na poziomie grupy zgodnie z UoR art. 55 oraz KSRF 600 (badanie skonsolidowanych sprawozdań finansowych) - agent obsługuje uzgodnienia między podmiotami, mapując framework kontroli dla każdej spółki. Międzynarodowe grupy z polskim oddziałem muszą ponadto dostosować globalny framework SOX do KSRF, KIBR i KNF (mapowanie COSO globalnego na polski).

Integracja z polskim ekosystemem: Comarch, SAP, AuditBoard, Symfonia, Sygnanet, KSeF

Agent integruje się z polskimi systemami GRC i ERP przez API: Comarch ERP XL Audit i GRC Module (lider segmentu Enterprise i GPW z modułem audytu i GRC), Comarch ERP Optima Compliance (MŚP z audit-trailem), SAP S/4HANA Polish Localization GRC i SAP Process Control (grupy międzynarodowe i spółki GPW), AuditBoard Polska (lokalizacja PIBR z workflow Substantive Testing), Symfonia ERP i Audyt (średni biznes), enova365 Moduł Audyt i Kontrola Wewnętrzna, Asseco Softlab GRC, Wolters Kluwer ProgMan Audyt, Sygnanet (platforma sygnalistów certyfikowana w 2024 roku) oraz Diligent Boards (rada nadzorcza GPW). Po stronie baz zewnętrznych agent łączy się z KSeF API z certyfikatem kwalifikowanym (CenCert/Szafir/EuroCert/KIR), CRBR API (MF), białą listą podatników VAT oraz GIIF API do cross-checku AML. Substantive Testing Big-4 wspiera bezpośredni eksport do Deloitte ASM, PwC Halo, EY Helix i KPMG Clara z metadanymi audit-trail wg PCAOB AS 1215 i AS 2401. Audit-trail jest przechowywany 5 lat zgodnie z Ordynacją podatkową art. 86, a dla instytucji nadzorowanych dochodzi dokumentacja wg KNF art. 70.

Tabela mikrodecyzji

Kto decyduje w tym agencie?

16 kroków decyzyjnych, podział według decydenta

81%(13/16)
Silnik reguł
deterministyczne
6%(1/16)
Agent AI
modelowe z poziomem pewności
13%(2/16)
Człowiek
jawnie przypisane
Człowiek
Silnik reguł
Agent AI
Każdy wiersz to decyzja. Rozwiń, aby zobaczyć protokół decyzyjny i możliwość sprzeciwu.
Klasyfikacja procesu objetego kontrola Czy proces to obszar finansowy (UoR art. 4-15), operacyjny, IT (KNF Rec D), compliance (UOKiK/AML/RODO), czy strategiczny zarzadczy (KSH art. 382 §3)? Agent AI Audytor

LLM klasyfikuje proces na podstawie obszaru biznesowego, wartości, ryzyka regulacyjnego i częstotliwości, a następnie mapuje go na pięć komponentów COSO 2013

Protokół decyzyjny

Wersja modelu i wynik pewności
Dane wejściowe i wynik klasyfikacji
Uzasadnienie decyzji (wyjaśnialność)
Ścieżka audytu z pełną identyfikowalnością

Możliwość sprzeciwu: Tak - w pełni udokumentowane, weryfikowalne przez ludzi, sprzeciw przez formalny proces.

Możliwość sprzeciwu: Audytor

Mapowanie ryzyk wg ISO 31000 + COSO ERM 2017 Czy zidentyfikowane ryzyka sa zmapowane wg taksonomii ISO 31000 (kontekst, ocena, traktowanie) + COSO ERM 2017 5 komponentow? Silnik reguł Audytor

ISO 31000 wymaga systematycznej oceny ryzyk; KIBR uznaje COSO 2013 i ERM 2017 za standard badania systemu kontroli wewnętrznej przez biegłego rewidenta

Protokół decyzyjny

ID reguły i numer wersji
Dane wejściowe które uruchomiły regułę
Wynik obliczenia i zastosowana formuła

Możliwość sprzeciwu: Tak - zastosowanie reguły weryfikowalne. Sprzeciw przy błędnych danych lub złej wersji reguły.

Możliwość sprzeciwu: Audytor

Walidacja Recommendation Z dla instytucji KNF Czy spolka jest objeta Recommendation Z (banki, ubezpieczyciele, TFI, domy maklerskie) i spelnia wymogi ladu korporacyjnego? Silnik reguł Audytor

Rekomendacja KNF Z z 22.07.2014 wymaga od instytucji nadzorowanych niezależnego komitetu audytu, polityki wynagrodzeń oraz systemu kontroli wewnętrznej opartego na trzech liniach obrony

Protokół decyzyjny

ID reguły i numer wersji
Dane wejściowe które uruchomiły regułę
Wynik obliczenia i zastosowana formuła

Możliwość sprzeciwu: Tak - zastosowanie reguły weryfikowalne. Sprzeciw przy błędnych danych lub złej wersji reguły.

Możliwość sprzeciwu: Audytor

Sprawdzenie kontroli IT wg KNF Recommendation D Czy systemy IT wspierajace IKS spelniaja KNF Recommendation D (zarzadzanie obszarami technologii informacyjnej)? Silnik reguł Audytor

Rekomendacja KNF D z 8.01.2013 wymaga polityki bezpieczeństwa IT, zarządzania zmianami, kontroli dostępu, ciągłości działania i audytu logów - obowiązkowo dla banków, TFI oraz zakładów ubezpieczeń

Protokół decyzyjny

ID reguły i numer wersji
Dane wejściowe które uruchomiły regułę
Wynik obliczenia i zastosowana formuła

Możliwość sprzeciwu: Tak - zastosowanie reguły weryfikowalne. Sprzeciw przy błędnych danych lub złej wersji reguły.

Możliwość sprzeciwu: Audytor

Substantive Testing wg KSRF 250 + 315 Czy zaplanowane testy wiarygodnosci (substantive procedures) zgodnie z KSRF 250 (zgodnosc z prawem) + KSRF 315 (zrozumienie jednostki) sa wystarczajace? Silnik reguł Audytor

KSRF 250 wymaga oceny zgodności z aktami prawnymi, a KSRF 315 oceny ryzyk istotnych zniekształceń oraz testów systemu kontroli - to obowiązkowe procedury biegłego rewidenta PIBR

Protokół decyzyjny

ID reguły i numer wersji
Dane wejściowe które uruchomiły regułę
Wynik obliczenia i zastosowana formuła

Możliwość sprzeciwu: Tak - zastosowanie reguły weryfikowalne. Sprzeciw przy błędnych danych lub złej wersji reguły.

Możliwość sprzeciwu: Audytor

Testowanie projektowania kontroli (Design Effectiveness) Czy projekt kontroli (control design) odpowiada zidentyfikowanym ryzykom i jest udokumentowany? Silnik reguł Audytor

KSRF 315 i KSRF 330 wymagają oceny, czy kontrola może zapobiec zniekształceniom lub je wykryć; bez dokumentacji wartość dowodowa kontroli jest zerowa

Protokół decyzyjny

ID reguły i numer wersji
Dane wejściowe które uruchomiły regułę
Wynik obliczenia i zastosowana formuła

Możliwość sprzeciwu: Tak - zastosowanie reguły weryfikowalne. Sprzeciw przy błędnych danych lub złej wersji reguły.

Możliwość sprzeciwu: Audytor

Testowanie skutecznosci operacyjnej (Operating Effectiveness) Czy kontrola dziala efektywnie w okresie (population-based testing zgodnie z KSRF 330)? Silnik reguł Audytor

KSRF 330 wymaga, aby testy skuteczności operacyjnej opierały się na reprezentatywnej próbie - zwykle 25-60 transakcji rocznie zgodnie z metodyką PIBR i Big-4

Protokół decyzyjny

ID reguły i numer wersji
Dane wejściowe które uruchomiły regułę
Wynik obliczenia i zastosowana formuła

Możliwość sprzeciwu: Tak - zastosowanie reguły weryfikowalne. Sprzeciw przy błędnych danych lub złej wersji reguły.

Możliwość sprzeciwu: Audytor

Cross-check IKS z faktami KSeF FA(2) Czy kontrola wewnetrzna obejmuje walidacje krzyzowa procesow z fakturami KSeF FA(2) (od 1.7.2026 obowiazkowo)? Silnik reguł Audytor

Ustawa o KSeF z 16.06.2023 wymaga, aby kontrole wewnętrzne procesów zakupowych i sprzedażowych weryfikowały zgodność z KSeF; brak takiej weryfikacji rodzi ryzyko KKS art. 56 (30% VAT)

Protokół decyzyjny

ID reguły i numer wersji
Dane wejściowe które uruchomiły regułę
Wynik obliczenia i zastosowana formuła

Możliwość sprzeciwu: Tak - zastosowanie reguły weryfikowalne. Sprzeciw przy błędnych danych lub złej wersji reguły.

Możliwość sprzeciwu: Audytor

Walidacja kanalu sygnalistow Ustawy 2024 Czy organizacja ma dzialajacy kanal sygnalistow + procedury obslugi zgloszen + ochrony przed retorsjami? Silnik reguł Pracownik

Ustawa o sygnalistach z 14.06.2024 (wdrożenie dyrektywy UE 2019/1937) jest obowiązkowa powyżej 50 pracowników; za retorsje grozi sankcja do 100% szkody oraz odpowiedzialność z KK art. 218

Protokół decyzyjny

ID reguły i numer wersji
Dane wejściowe które uruchomiły regułę
Wynik obliczenia i zastosowana formuła

Możliwość sprzeciwu: Tak - zastosowanie reguły weryfikowalne. Sprzeciw przy błędnych danych lub złej wersji reguły.

Możliwość sprzeciwu: Pracownik

Three Lines of Defense dla zarzadu i rady nadzorczej Czy struktura trzech linii obrony jest udokumentowana: linia 1 (zarzadzanie operacyjne), linia 2 (compliance + ryzyko), linia 3 (audyt wewnetrzny niezalezny)? Silnik reguł Audytor

Zgodnie z KSH art. 382 §3 zarząd odpowiada za system kontroli, a wg art. 391 nadzoruje go rada nadzorcza; trzy linie obrony to standard KIBR i KNF dla spółek GPW

Protokół decyzyjny

ID reguły i numer wersji
Dane wejściowe które uruchomiły regułę
Wynik obliczenia i zastosowana formuła

Możliwość sprzeciwu: Tak - zastosowanie reguły weryfikowalne. Sprzeciw przy błędnych danych lub złej wersji reguły.

Możliwość sprzeciwu: Audytor

Continuous Monitoring kluczowych wskaznikow KCI Czy Key Control Indicators (KCI) sa monitorowane w czasie rzeczywistym z progami eskalacji? Silnik reguł Audytor

Zasada 16 COSO 2013 (ciągłe monitorowanie) wymaga, aby organizacja stale oceniała jakość systemu kontroli; AuditBoard i SAP Process Control dostarczają pulpity KCI dla spółek GPW

Protokół decyzyjny

ID reguły i numer wersji
Dane wejściowe które uruchomiły regułę
Wynik obliczenia i zastosowana formuła

Możliwość sprzeciwu: Tak - zastosowanie reguły weryfikowalne. Sprzeciw przy błędnych danych lub złej wersji reguły.

Możliwość sprzeciwu: Audytor

Dokumentacja niedociagniec kontroli (Control Deficiencies) Czy zidentyfikowane niedociagniecia (significant deficiency / material weakness) sa zaraportowane wg KSRF 265? Silnik reguł Audytor

KSRF 265 wymaga, aby biegły rewident komunikował niedociągnięcia kontroli wewnętrznej zarządowi i radzie nadzorczej; każda znacząca słabość wymaga planu naprawczego

Protokół decyzyjny

ID reguły i numer wersji
Dane wejściowe które uruchomiły regułę
Wynik obliczenia i zastosowana formuła

Możliwość sprzeciwu: Tak - zastosowanie reguły weryfikowalne. Sprzeciw przy błędnych danych lub złej wersji reguły.

Możliwość sprzeciwu: Audytor

Eskalacja material weakness do rady nadzorczej Eskalacja do komitetu audytu rady nadzorczej przy material weakness lub fraud risk? Człowiek Audytor

Decyzja o uznaniu słabości za istotną (material weakness) wymaga osądu zawodowego biegłego rewidenta i komitetu audytu zgodnie z KSH art. 391 i nie da się jej zautomatyzować

Protokół decyzyjny

ID decydenta i rola
Uzasadnienie decyzji
Znacznik czasu i kontekst

Możliwość sprzeciwu: Tak - przez przełożonego, radę zakładową lub formalny sprzeciw.

Możliwość sprzeciwu: Audytor

Audyt-trail dla KAS + PIBR + Big-4 Czy audyt-trail z dokumentacja wszystkich testow IKS jest dostepny dla KAS + PIBR + Deloitte/PwC/EY/KPMG? Silnik reguł Audytor

Audyt KAS, PIBR oraz PCAOB AS 2401 wymagają kompletnej ścieżki audytu systemu kontroli: projektu kontroli, skuteczności operacyjnej i działań naprawczych - z retencją 5 lat (Ordynacja podatkowa art. 86)

Protokół decyzyjny

ID reguły i numer wersji
Dane wejściowe które uruchomiły regułę
Wynik obliczenia i zastosowana formuła

Możliwość sprzeciwu: Tak - zastosowanie reguły weryfikowalne. Sprzeciw przy błędnych danych lub złej wersji reguły.

Możliwość sprzeciwu: Audytor

Quartalny remediation tracking Czy plan remediacji niedociagniec jest sledzony kwartalnie z deadline + odpowiedzialnym? Silnik reguł Audytor

Dobre Praktyki Spółek Notowanych GPW 2021 wymagają, aby każda słabość miała plan naprawczy z przypisanym właścicielem, terminem i statusem raportowanym do komitetu audytu

Protokół decyzyjny

ID reguły i numer wersji
Dane wejściowe które uruchomiły regułę
Wynik obliczenia i zastosowana formuła

Możliwość sprzeciwu: Tak - zastosowanie reguły weryfikowalne. Sprzeciw przy błędnych danych lub złej wersji reguły.

Możliwość sprzeciwu: Audytor

Roczna ocena efektywnosci IKS dla zarzadu Eskalacja rocznej oceny efektywnosci IKS przez zarzad i rade nadzorcza zgodnie z KSH? Człowiek Audytor

KSH art. 382 §3 i 391 wymagają, aby zarząd oraz rada nadzorcza co roku zatwierdzali ocenę skuteczności systemu kontroli; dla spółek GPW i instytucji KNF jest ona ujawniana w sprawozdaniu rocznym

Protokół decyzyjny

ID decydenta i rola
Uzasadnienie decyzji
Znacznik czasu i kontekst

Możliwość sprzeciwu: Tak - przez przełożonego, radę zakładową lub formalny sprzeciw.

Możliwość sprzeciwu: Audytor

Protokół decyzyjny i prawo do sprzeciwu

Każda decyzja, którą ten agent podejmuje lub przygotowuje, jest dokumentowana w pełnym protokole decyzyjnym. Osoby dotknięte (pracownicy, dostawcy, audytorzy) mogą przeglądać, rozumieć i kwestionować każdą pojedynczą decyzję.

Jaka reguła w jakiej wersji została zastosowana?
Na jakich danych oparto decyzję?
Kto (człowiek, silnik reguł czy AI) zdecydował - i dlaczego?
Jak osoba dotknięta może złożyć sprzeciw?
Jak Decision Layer wymusza to architektonicznie →

Czy ten agent pasuje do Twojego procesu?

Analizujemy Twój konkretny proces finansowy i pokazujemy, jak ten agent wpisuje się w Twój krajobraz systemowy. 30 minut, bez przygotowania.

Przeanalizować proces

Uwagi dotyczące governance

GoBD: nie dotyczy Zgodny z §203 StGB

KSH art. 382 §3 i 391: zarząd jednostki odpowiada za skuteczny system kontroli wewnętrznej, a rada nadzorcza go nadzoruje. Sankcje: KSH art. 293-300 przewidują osobistą odpowiedzialność członków zarządu za szkodę wyrządzoną spółce. Rekomendacja KNF Z: banki, ubezpieczyciele, TFI i domy maklerskie muszą mieć niezależny komitet audytu, politykę wynagrodzeń oraz trzy linie obrony. KNF może nakładać kary do 10 procent obrotu lub odebrać licencję. UOKiK: kontrole compliance z sankcją do 10 procent obrotu. RODO art. 32 wymaga środków bezpieczeństwa kontroli pod rygorem sankcji UODO do 4 procent obrotu lub 20 mln EUR. KKS art. 56 grozi sankcją 30 procent wartości VAT, maksymalnie 21,6 mln zł.

PIBR oraz KSRF 250/315/330: Polska Izba Biegłych Rewidentów przyjęła Krajowe Standardy Rewizji Finansowej (KSRF) zgodne z Międzynarodowymi Standardami Rewizji Finansowej (ISA). Substantive Testing (KSRF 330) wymaga próby 25-60 transakcji rocznie dla testów skuteczności operacyjnej. COSO 2013 uznane przez KIBR: Krajowa Izba Biegłych Rewidentów uznaje pięć komponentów COSO 2013 (Control Environment, Risk Assessment, Control Activities, Information & Communication, Monitoring) za standard oceny systemu kontroli wewnętrznej. Dobre Praktyki GPW: Dobre Praktyki Spółek Notowanych GPW 2021 wymagają od emitentów dokumentowania systemu kontroli oraz corocznego raportu o jego skuteczności.

Wkład w dokumentację procesową

Mapowanie procesów odbywa się na pięć komponentów COSO 2013 oraz ISO 31000 z taksonomią ryzyk. Silnik kontroli z wersjonowaniem reguł obejmuje KSH art. 382 §3, UoR, rekomendacje KNF Z i D, KSRF 250/315/330 oraz ustawę o sygnalistach 2024. Ciągłe monitorowanie KCI dostarcza pulpity w czasie rzeczywistym z progami eskalacji i workflow działań naprawczych. Cross-check KSeF FA(2) to comiesięczna walidacja kontroli zakupowych i sprzedażowych wobec faktur. Kwartalne śledzenie działań naprawczych przekazuje właściciela, termin i status do komitetu audytu rady nadzorczej. Audit-trail dla KAS, PIBR, KNF i Big-4 jest opatrzony certyfikatem kwalifikowanym i przechowywany 5 lat (Ordynacja podatkowa art. 86).

Panel wyników

Agent Readiness 79-86%
Governance Complexity 82-89%
Economic Impact 70-77%
Lighthouse Effect 51-58%
Implementation Complexity 76-83%
Wolumen transakcji Miesięcznie

Wymagania wstępne

  • ERP z modułem audit-trail i wersjonowaniem (Comarch ERP XL Audit, SAP S/4HANA GRC, AuditBoard, Symfonia Audyt, enova365 Audyt)
  • Platforma GRC z mapowaniem pięciu komponentów COSO 2013 (Process Control, Risk Management, Compliance Management)
  • Sygnanet lub inna certyfikowana platforma sygnalistów zgodna z ustawą z 2024 roku
  • Integracja KSeF FA(2) z certyfikatem kwalifikowanym do cross-checku systemu kontroli
  • Organizacja oparta na trzech liniach obrony: niezależny audyt wewnętrzny, compliance oraz zarządzanie ryzykiem
  • Komitet audytu rady nadzorczej zgodnie z KSH art. 391 oraz ustawą o biegłych rewidentach art. 128

Wkład w infrastrukturę

Agent jest częścią infrastruktury Decision Layer dla compliance i raportowania do organów nadzoru. Pobiera dane procesów z systemów ERP (Comarch ERP XL, SAP S/4HANA, Symfonia), wskaźniki KCI z platform GRC (AuditBoard, SAP Process Control), zgłoszenia sygnalistów (Sygnanet) oraz dane KSeF FA(2), a dostarcza ocenę skuteczności systemu kontroli wraz z audit-trailem dla zarządu, rady nadzorczej, KAS, KNF, PIBR i Substantive Testing Big-4. Architektura Cert-Ready zawiera metadane audit-trail wg PCAOB AS 2401.

Co zawiera ta ocena: 9 slajdów dla Twojego zespołu kierowniczego

Spersonalizowana z Twoimi danymi. Wygenerowana w 2 minuty w przeglądarce. Bez przesyłania, bez logowania.

  1. 1

    Strona tytułowa - Nazwa procesu, punkty decyzyjne, potencjał automatyzacji

  2. 2

    Podsumowanie - Uwolnione FTE, koszt na transakcję, data progu rentowności

  3. 3

    Stan obecny - Wolumen transakcji, koszty błędów, scenariusz wzrostu

  4. 4

    Architektura rozwiązania - Człowiek - silnik reguł - agent AI

  5. 5

    Governance - EU AI Act, rada zakładowa/GoBD, ścieżka audytu

  6. 6

    Analiza ryzyka - 5 ryzyk z prawdopodobieństwem i środkami zaradczymi

  7. 7

    Mapa drogowa - Plan 3-fazowy z konkretnymi datami

  8. 8

    Business case - Porównanie 3 scenariuszy plus matryca wrażliwości

  9. 9

    Propozycja dyskusji - Konkretne kolejne kroki

Zawiera: porównanie 3 scenariuszy

Brak działania vs. nowe zatrudnienie vs. automatyzacja - z Twoim poziomem wynagrodzeń, Twoją stopą błędów i Twoim planem wzrostu.

Pokaż metodologię obliczeń

Hourly rate: Annual salary (your input) × 1.3 employer burden ÷ 1,720 annual work hours

Savings: Transactions × 12 × automation rate × minutes/transaction × hourly rate × economic factor

Quality ROI: Error reduction × transactions × 12 × EUR 260/error (APQC Open Standards Benchmarking)

FTE: Saved hours ÷ 1,720 annual work hours

Break-Even: Benchmark investment ÷ monthly combined savings (efficiency + quality)

New hire: Annual salary × 1.3 + EUR 12,000 recruiting per FTE

Wszystkie dane pozostają w Twojej przeglądarce. Nic nie jest przesyłane na serwer.

Agent monitorowania IKS

Initial assessment for your leadership team

A thorough initial assessment in 2 minutes - with your numbers, your risk profile and industry benchmarks. No vendor logo, no sales pitch.

All data stays in your browser. Nothing is transmitted.

Powiązani agenci

Agent zgodności umów

Zgodność umów z PZP, AML, UOKiK, RODO i ustawą o sygnalistach plus krzyżowa kontrola KSeF FA(2) w jednym pipeline - Cert-Ready by Design dla KAS i Big-4 Substantive Testing.

W K
Readiness: 81-88%
Economic: 72-79%
Governance: 78-85%
Mikrodecyzje: 14
Miesięcznie

Często zadawane pytania

Czego KSH art. 382 §3 i 391 wymaga od zarządu i rady nadzorczej w zakresie systemu kontroli wewnętrznej?

Kodeks spółek handlowych z 15.09.2000 art. 382 §3 stanowi, że zarząd odpowiada za należyte prowadzenie spraw spółki, w tym za skuteczny system kontroli wewnętrznej. Art. 391 KSH stanowi, że rada nadzorcza sprawuje stały nadzór nad działalnością spółki we wszystkich jej obszarach, w tym ocenia skuteczność systemu kontroli. Naruszenie tych obowiązków uruchamia osobistą odpowiedzialność członków zarządu zgodnie z KSH art. 293-300 (szkoda wyrządzona spółce). Dla spółek GPW Dobre Praktyki Spółek Notowanych 2021 wymagają dodatkowo corocznego raportu komitetu audytu o skuteczności systemu kontroli z konkretnymi wskaźnikami KCI i statusem działań naprawczych. Agent automatyzuje zbieranie dowodów z ERP, GRC i Sygnanet oraz generuje raport dla zarządu i rady nadzorczej.

Czym jest rekomendacja KNF Z i kiedy jest obowiązkowa?

Rekomendacja KNF Z z 22.07.2014 'Zasady ładu korporacyjnego dla instytucji nadzorowanych' jest obowiązkowa dla banków, zakładów ubezpieczeń, towarzystw funduszy inwestycyjnych (TFI), domów maklerskich oraz innych instytucji nadzorowanych przez Komisję Nadzoru Finansowego. Wymaga ona: (1) niezależnego komitetu audytu rady nadzorczej z co najmniej trzema członkami, w tym jednym z kompetencjami w zakresie rachunkowości lub audytu; (2) polityki wynagrodzeń powiązanej z celami długoterminowymi; (3) systemu kontroli wewnętrznej opartego na trzech liniach obrony; (4) compliance officera raportującego bezpośrednio do zarządu; (5) audytu wewnętrznego niezależnego strukturalnie; (6) zarządzania ryzykiem zgodnie z ICAAP/ILAAP. Za naruszenie KNF może nałożyć karę do 10 procent obrotu lub odebrać licencję.

Czego rekomendacja KNF D wymaga w zakresie IT i kontroli systemów?

Rekomendacja KNF D z 8.01.2013 'Zarządzanie obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego' wymaga od instytucji nadzorowanych: (1) polityki bezpieczeństwa IT zatwierdzonej przez zarząd; (2) zarządzania zmianami z rejestracją, testowaniem i zatwierdzaniem; (3) kontroli dostępu RBAC wraz z segregacją obowiązków; (4) ciągłości działania (BCP) oraz planu odtwarzania (DRP) testowanych corocznie; (5) audytu logów IT z retencją co najmniej 5 lat (zgodnie z Ordynacją podatkową art. 86); (6) zarządzania outsourcingiem IT z umowami SLA; (7) cyberbezpieczeństwa zgodnego z ustawą z 5.07.2018 o krajowym systemie cyberbezpieczeństwa. Agent automatycznie monitoruje zgodność z rekomendacją D dzięki integracji z SAP S/4HANA GRC, Comarch ERP XL Audit i AuditBoard.

Czym są KSRF 315 i 330 i jak biegły rewident testuje system kontroli wewnętrznej?

Krajowe Standardy Rewizji Finansowej (KSRF) wydane przez PIBR są zgodne z Międzynarodowymi Standardami Rewizji Finansowej (ISA). KSRF 315 'Identyfikacja i ocena ryzyk istotnych zniekształceń' wymaga od biegłego rewidenta zrozumienia jednostki oraz jej systemu kontroli, a także identyfikacji ryzyk istotnych zniekształceń na poziomie sprawozdania finansowego i stwierdzeń. KSRF 330 'Procedury biegłego rewidenta w odpowiedzi na ocenione ryzyka' wymaga: (1) testów projektu kontroli (czy mogą zapobiec zniekształceniom lub je wykryć); (2) testów skuteczności operacyjnej (czy działają w praktyce w danym okresie); (3) Substantive Testing zwykle na 25-60 transakcjach rocznie. Big-4 (Deloitte ASM, PwC Halo, EY Helix, KPMG Clara) wymaga kompletnego audit-trailu wg PCAOB AS 2401.

Jak ustawa o sygnalistach 2024 wpływa na monitorowanie systemu kontroli?

Ustawa z 14.06.2024 wdraża dyrektywę UE 2019/1937 i wymaga od organizacji powyżej 50 pracowników kanału wewnętrznego dla sygnalistów, procedury obsługi zgłoszeń oraz ochrony sygnalisty przed retorsjami. W kontekście systemu kontroli oznacza to, że: (1) sygnaliści są dodatkowym źródłem informacji o niedociągnięciach kontroli; (2) procedura obsługi zgłoszeń musi być częścią mapy systemu kontroli; (3) sama ochrona sygnalisty przed retorsjami jest monitorowaną kontrolą. Za naruszenia (utrudnianie zgłaszania, retorsje, brak procedury) grozi sankcja do 100 procent szkody oraz odpowiedzialność karna z art. 218 KK. Agent monitoruje liczbę zgłoszeń, czas obsługi, status działań naprawczych i brak retorsji, integrując się z platformą Sygnanet, najczęściej wybieraną na polskim rynku.

Czym są trzy linie obrony i dlaczego KIBR uznaje COSO 2013?

Trzy linie obrony to model organizacyjny systemu kontroli wewnętrznej rekomendowany przez Institute of Internal Auditors (IIA) i przyjęty przez KIBR (Krajową Izbę Biegłych Rewidentów) jako standard badania systemu kontroli. Linia 1 to zarządzanie operacyjne (kierownicy procesów odpowiedzialni za wykonywanie kontroli na pierwszej linii). Linia 2 to compliance i zarządzanie ryzykiem (compliance officer oraz risk manager nadzorujący kontrole pierwszej linii). Linia 3 to audyt wewnętrzny niezależny strukturalnie, raportujący bezpośrednio do komitetu audytu rady nadzorczej. KIBR uznaje pięć komponentów COSO 2013 (Control Environment, Risk Assessment, Control Activities, Information & Communication, Monitoring) za standard oceny systemu kontroli przez biegłego rewidenta. Dla spółek GPW i instytucji KNF jest to model obowiązkowy.

Jak cross-check systemu kontroli z KSeF FA(2) chroni przed KKS art. 56?

Od 1 lipca 2026 KSeF jest obowiązkowy dla B2B w Polsce. Kontrole wewnętrzne procesów zakupowych i sprzedażowych muszą obejmować walidację krzyżową z fakturami KSeF FA(2). Agent waliduje co miesiąc, czy: (1) każda kontrola three-way match (zamówienie, dostawa, faktura) odpowiada fakturom KSeF; (2) numery NIP dostawców zgadzają się z bazą UBO CRBR oraz białą listą podatników VAT; (3) klasyfikacja VAT-MPP jest zgodna z art. 108a ustawy o VAT (split payment powyżej 15.000 zł dla towarów z załącznika nr 15); (4) trzynaście grup GTU jest poprawnie oznaczonych dla JPK_V7M. Brak takiego cross-checku rodzi ryzyko KKS art. 56 (30 procent wartości VAT, maksymalnie 21,6 mln zł) oraz odpowiedzialność karną z art. 60-61 dla osób odpowiedzialnych. Agent dostarcza Audit-Trail wprost do KAS oraz roczne raporty dla zarządu wg KSH art. 382 §3.

Co dalej?

1

30 minut

Pierwsza rozmowa

Analizujemy Twój proces i identyfikujemy optymalny punkt startowy.

2

1 tydzień

Discover

Mapowanie logiki decyzyjnej. Reguły udokumentowane, Decision Layer zaprojektowany.

3

3-4 tygodnie

Build

Produkcyjny agent w Twojej infrastrukturze. Governance, audit trail, cert-ready od dnia 1.

4

12-18 miesięcy

Samodzielność

Pełny dostęp do kodu źródłowego, promptów i wersji reguł. Bez vendor lock-in.

Wdrożyć tego agenta?

Oceniamy Twój krajobraz procesów finansowych i pokazujemy, jak ten agent pasuje do Twojej infrastruktury.