Marcin Dublaszewski
Rok 2024 przynosi istotne zmiany w standardach audytu wewnętrznego, które mają na celu dostosowanie praktyk kontrolnych do dynamicznie zmieniającego się otoczenia biznesowego oraz rosnących wymagań regulacyjnych. W niniejszym artykule przedstawię kluczowe elementy nowych standardów oraz ich znaczenie dla członków zarządów, rad nadzorczych oraz osób odpowiedzialnych za compliance.
Kogo dotyczą i obowiązują standardy IIA
Standardy audytu wewnętrznego (Global Internal Audit Standards™) obowiązują każdą osobę lub jednostkę świadczącą usługi audytu wewnętrznego, niezależnie od tego, czy organizacja zatrudnia audytorów wewnętrznych bezpośrednio, czy korzysta z usług zewnętrznych dostawców, czy też obu form jednocześnie. Organizacje korzystające z usług audytu wewnętrznego różnią się pod względem sektora i branży, celu, wielkości, złożoności i struktury a także kultury organizacyjnej.
Standardy te mają zastosowanie zarówno do funkcji audytu wewnętrznego, jak i do indywidualnych audytorów wewnętrznych, w tym kierującego funkcją audytu (Chief Audit Executive – CAE). Osoba ta jest odpowiedzialna za wdrożenie i zgodność całej funkcji audytu wewnętrznego z zasadami i standardami, jednak wszyscy audytorzy wewnętrzni są zobowiązani do przestrzegania zasad i standardów odpowiednich do wykonywania swoich obowiązków zawodowych, które są przedstawione głównie w domenie II: Etyka i Profesjonalizm oraz domenie V: Wykonywanie Usług Audytu Wewnętrznego.
Standardy są zorganizowane w pięć domen:
- Domena I: Cel audytu wewnętrznego.
- Domena II: Etyka i Profesjonalizm.
- Domena III: Zarządzanie funkcją audytu wewnętrznego.
- Domena IV: Zarządzanie funkcją audytu wewnętrznego.
- Domena V: Wykonywanie usług audytu wewnętrznego.
Domeny II do V zawierają następujące elementy:
- Zasady: szerokie opisy grupy wymagań i rozważań.
- Standardy, które obejmują:
- Wymagania: obowiązkowe praktyki audytu wewnętrznego.
- Rozważania dotyczące wdrożenia: powszechnie preferowane praktyki do rozważenia przy wdrażaniu wymagań.
- Przykłady dowodów zgodności: sposoby wykazania, że wymagania standardów zostały wdrożone.
- Wymagania: obowiązkowe praktyki audytu wewnętrznego.
Standardy używają słowa „must” (musi) w sekcjach dotyczących wymagań oraz słów „should” i „may” (może, powinien) w sekcjach rozważań dotyczących wdrożenia. Każdy standard kończy się listą przykładów dowodów, które nie są wymaganiami ani jedynymi sposobami na wykazanie zgodności; są one dostarczane, aby pomóc funkcjom audytu wewnętrznego przygotować się do ocen jakości, które opierają się na dowodach demonstracyjnych.
Aktualizacja Standardów oznacza, że Międzynarodowa Rada Standardów Audytu Wewnętrznego zakończyła ważny etap w ewolucji IPPF (International Professional Practices Framework), wieloletniego projektu aktualizacji obowiązkowych wytycznych. 9 stycznia 2024 roku Rada Standardów opublikowała Global Internal Audit Standards™, główny komponent IPPF, który zastąpi Międzynarodowe Standardy Praktyki Zawodowej Audytu Wewnętrznego z 2017 roku, obowiązujące do 9 stycznia 2025 roku. Funkcje audytu wewnętrznego muszą przyjąć nowe standardy do 9 stycznia 2025 roku. Treść dokumentu jest już dostępna w języku polskim na stronie Instytutów Audytorów Wewnętrznych IIA Polska.
Standardy IIA są powszechnie uznawanymi standardami audytu wewnętrznego i wszędzie tam, gdzie jest takie odniesienie (np. Rekomendacja H w obszarze bankowym czy Kodeks Dobrych Praktyk GPW dla spółek notowanych na parkiecie warszawskim), rozumie się, że są one obowiązujące. IIA jest liderem w kształtowaniu oraz rozwoju audytu, a definicja, misja oraz rola audytu wewnętrznego promowane przez IIA są powszechnie uznawane i niekwestionowane.
Nowe standardy obejmują zawartość z pięciu obowiązkowych elementów IPPF z 2017 roku (Misja Audytu Wewnętrznego, Definicja Audytu Wewnętrznego, Zasady Podstawowe dla Praktyki Zawodowej Audytu Wewnętrznego, Kodeks Etyki i Standardy), a także jednego z zalecanych (nieobowiązkowych) elementów, jakim są Wytyczne Wdrożeniowe. Te elementy nie będą już istnieć jako odrębne byty.
Do IPPF zostaną dodane obowiązkowe Wymagania Tematyczne, mające na celu zwiększenie spójności i jakości usług audytu wewnętrznego związanych z konkretnymi obszarami ryzyka. Globalne Wytyczne pozostaną zalecanym elementem nowego IPPF, dostarczającym szczegółowych informacji na temat różnych praktyk i tematów związanych z audytem wewnętrznym. W chwili obecnej trwa proces uzgadniania pierwszych Wymagań Tematycznych – odnośnie cyberbezpieczeństwa.
Kodeks Dobrych Praktyk GPW a audyt wewnętrzny
Kodeks Dobrych Praktyk GPW (Dobre Praktyki Spółek Notowanych na GPW 2021, DPSN2021) jest zbiorem zasad ładu korporacyjnego, którym od 2002 roku podlegają emitenci akcji notowanych na Głównym Rynku GPW. DPSN2021, podobnie jak jego wcześniejsze wersje, uwzględnia aktualny stan prawny i najnowsze trendy w obszarze corporate governance, a także reaguje na postulaty uczestników rynku.
DPSN2021 podkreśla znaczenie sprawnie działających systemów i funkcji wewnętrznych, które są kluczowe dla nadzoru nad spółką. W szczególności dla audytu wewnętrznego, kodeks nakłada następujące obowiązki:
- Skuteczne systemy kontroli: Spółka giełdowa utrzymuje skuteczne systemy kontroli wewnętrznej, zarządzania ryzykiem oraz nadzoru zgodności działalności z prawem (compliance), a także skuteczną funkcję audytu wewnętrznego, odpowiednie do wielkości spółki i rodzaju oraz skali prowadzonej działalności, za działanie których odpowiada zarząd.
- Struktura organizacyjna: Spółka wyodrębnia w swojej strukturze jednostki odpowiedzialne za zadania poszczególnych systemów lub funkcji, chyba że nie jest to uzasadnione z uwagi na rozmiar spółki lub rodzaj jej działalności.
- Audytor wewnętrzny w spółkach indeksowych: Spółka należąca do indeksu WIG20, mWIG40 lub sWIG80 powołuje audytora wewnętrznego kierującego funkcją audytu wewnętrznego, działającego zgodnie z powszechnie uznanymi międzynarodowymi standardami praktyki zawodowej audytu wewnętrznego. W pozostałych spółkach, w których nie powołano audytora wewnętrznego spełniającego ww. wymogi, komitet audytu (lub rada nadzorcza, jeżeli pełni funkcję komitetu audytu) co roku dokonuje oceny, czy istnieje potrzeba powołania takiej osoby.
- Wynagrodzenie: Wynagrodzenie osób odpowiedzialnych za zarządzanie ryzykiem i compliance oraz kierującego audytem wewnętrznym powinno być uzależnione od realizacji wyznaczonych zadań, a nie od krótkoterminowych wyników spółki.
- Podległość: Osoby odpowiedzialne za zarządzanie ryzykiem i compliance podlegają bezpośrednio prezesowi lub innemu członkowi zarządu. Kierujący audytem wewnętrznym podlega organizacyjnie prezesowi zarządu, a funkcjonalnie przewodniczącemu komitetu audytu lub przewodniczącemu rady nadzorczej, jeżeli rada pełni funkcję komitetu audytu.
- Ocena systemów i funkcji: Co najmniej raz w roku osoba odpowiedzialna za audyt wewnętrzny, a w przypadku braku wyodrębnienia w spółce takiej funkcji zarząd spółki, przedstawia radzie nadzorczej ocenę skuteczności funkcjonowania systemów i funkcji, o których mowa w zasadzie 3.1, wraz z odpowiednim sprawozdaniem. Rada nadzorcza monitoruje skuteczność systemów i funkcji, w oparciu między innymi o sprawozdania okresowo dostarczane jej bezpośrednio przez osoby odpowiedzialne za te funkcje oraz zarząd spółki, jak również dokonuje rocznej oceny skuteczności funkcjonowania tych systemów i funkcji.
- Przegląd audytu wewnętrznego: Co najmniej raz na pięć lat w spółce należącej do indeksu WIG20, mWIG40 lub sWIG80 dokonywany jest, przez niezależnego audytora wybranego przy udziale komitetu audytu, przegląd funkcji audytu wewnętrznego.
Kodeks Dobrych Praktyk GPW jednoznacznie odnosi się do standardów IIA jako podstawy, na której należy oprzeć funkcje audytu wewnętrznego. Wskazuje, że audytorzy wewnętrzni powinni działać zgodnie z powszechnie uznanymi międzynarodowymi standardami praktyki zawodowej audytu wewnętrznego, co oznacza, że standardy IIA są kluczowym elementem w realizacji skutecznego audytu wewnętrznego zgodnie z DPSN2021. Zgodność z tymi standardami podkreśla istotność i wiarygodność audytu wewnętrznego, wzmacniając jego rolę w zapewnieniu ładu korporacyjnego i zaufania na rynku kapitałowym.
Zarys i ewolucja zmian
Ewolucja międzynarodowych standardów audytu wewnętrznego od 2017 do 2024 roku była wynikiem wsłuchania się w głos profesji oraz rynku. Zmiany te są odpowiedzią na zmieniającą się rzeczywistość, nowe wyzwania i regulacje. Nowe Global Internal Audit Standards™ zostały opracowane, aby lepiej odpowiadać na potrzeby współczesnych organizacji oraz sprostać rosnącym wymaganiom interesariuszy.
Global Internal Audit Standards integrują treści z pięciu obowiązkowych elementów IPPF z 2017 roku (Misja Audytu Wewnętrznego, Definicja Audytu Wewnętrznego, Zasady Podstawowe dla Praktyki Zawodowej Audytu Wewnętrznego, Kodeks Etyki i Standardy), jak również z jednego z zalecanych (nieobowiązkowych) elementów, jakim są Wytyczne Wdrożeniowe. Te elementy nie istnieją już jako odrębne byty.
Dodane zostaną nowe Wymagania Tematyczne jako obowiązkowy element IPPF, mające na celu zwiększenie spójności i jakości usług audytu wewnętrznego związanych z konkretnymi obszarami ryzyka. Globalne Wytyczne nadal pozostaną zalecanym elementem nowego IPPF, dostarczając szczegółowych informacji na temat różnych praktyk i tematów związanych z audytem wewnętrznym.
Zmiany te obejmują szereg kluczowych obszarów, które są istotne dla współczesnych organizacji:
- ESG (Environmental, Social, Governance): Nowe standardy uwzględniają rosnące znaczenie czynników ESG, które stają się kluczowe dla długoterminowego sukcesu i zrównoważonego rozwoju organizacji.
- Cyberbezpieczeństwo: W odpowiedzi na coraz większe zagrożenia związane z cyberatakami, nowe standardy kładą większy nacisk na zabezpieczenie danych i systemów informatycznych.
- Odporność organizacji: Zdolność organizacji do przetrwania i adaptacji w obliczu zakłóceń jest kluczowa. Nowe standardy promują praktyki, które zwiększają odporność na kryzysy i niespodziewane wydarzenia.
- Łańcuchy dostaw: Efektywne zarządzanie łańcuchami dostaw jest niezbędne dla stabilności operacyjnej. Nowe wytyczne pomagają w identyfikacji i zarządzaniu ryzykami w tym obszarze.
Zmiany te mają również ogromne znaczenie z punktu widzenia giełdy i rynku kapitałowego, gdzie budowanie zaufania do organizacji jest kluczowe. Sprawnie działający audyt wewnętrzny może znacząco przyczynić się do wzrostu tego zaufania. Dodatkowo, kwestie związane z ryzykiem nadużyć są również bardziej szczegółowo uwzględnione w nowych standardach, co ma na celu lepsze wykrywanie i zapobieganie wszelkim formom oszustw i korupcji.
Ewolucja IPPF i wprowadzenie nowych standardów są odpowiedzią na rosnące wymagania wobec audytu wewnętrznego oraz potrzebę dostosowania się do dynamicznie zmieniających się warunków rynkowych i regulacyjnych. Nowe standardy mają na celu nie tylko poprawę jakości audytów, ale także zapewnienie, że audyt wewnętrzny będzie skutecznie wspierał organizacje w zarządzaniu ryzykiem i osiąganiu ich celów strategicznych.
Perspektywa compliance audytu wewnętrznego
Audyt wewnętrzny i compliance są kluczowymi funkcjami w organizacji, które mają różne, ale komplementarne role. Zrozumienie różnic i ram współpracy między tymi funkcjami jest niezbędne dla efektywnego zarządzania ryzykiem i zapewnienia zgodności z regulacjami.
Misja i cel
- Audyt wewnętrzny:
– Misją audytu wewnętrznego jest zwiększanie i ochrona wartości organizacji poprzez dostarczanie niezależnej, obiektywnej oceny, porad i informacji zarządowi oraz organom nadzoru w zakresie osiągania strategicznych i operacyjnych celów organizacji.
– Audyt wewnętrzny monitoruje i ocenia adekwatność, efektywność i skuteczność środowiska kontroli wewnętrznej.
- Compliance:
– Misją compliance jest wspieranie kultury zgodności i etyki w organizacji, zapewniając, że działalność biznesowa jest prowadzona zgodnie z najwyższymi standardami uczciwości i zgodności z obowiązującymi przepisami prawa, regulacjami, kodeksami etycznymi oraz politykami i procedurami wewnętrznymi.
– Compliance monitoruje, czy organizacja przestrzega wszystkich obowiązujących przepisów prawa, reguł, regulacji, a także wewnętrznych kodeksów postępowania, polityk i procedur.
Zakres działalności
- Audyt wewnętrzny:
– Przeprowadza audyty finansowe, operacyjne, IT, audyty zgodności oraz inne projekty.
– Świadczy usługi doradcze na żądanie zarządu.
– Uczestniczy w komitetach wdrożeniowych, zespołach ds. procesów biznesowych.
– Bada przypadki oszustw i innych nieprawidłowości.
– Monitoruje realizację zaleceń z wcześniejszych audytów.
- Compliance:
– Wspiera obszary wysokiego ryzyka w rozwoju i utrzymaniu programów zgodności.
– Identyfikuje obszary wysokiego ryzyka i komunikuje status monitorowania, szkolenia i raportowania do zarządu.
– Organizuje szkolenia zgodności.
– Bada przypadki niezgodności z politykami i procedurami.
Kluczowe różnice
- Audyt wewnętrzny:
– Zapewnia niezależną, obiektywną ocenę zarządzania ryzykiem na poziomie organizacyjnym, w tym ryzykiem zgodności.
– Oferuje zapewnienie dotyczące rzetelności i integralności informacji finansowych i operacyjnych, bezpieczeństwa aktywów oraz osiągania celów strategicznych i operacyjnych.
- Compliance:
– Wspiera i zapewnia, że zarząd adresuje kluczowe obszary ryzyka zgodności z przepisami prawa, regulacjami oraz wewnętrznymi politykami.
– Zapewnia, że mechanizmy zarządzania ryzykiem zgodności skutecznie minimalizują potencjalne ryzyka związane z niezgodnością.
Ramy współpracy
Audyt wewnętrzny i compliance muszą współpracować w ramach modelu Trzech Linii, aby zapewnić skuteczne zarządzanie ryzykiem i zgodność:
– Pierwsza linia (Zarządzanie operacyjne): Odpowiedzialna za codzienne zarządzanie ryzykiem i zgodność, w tym przestrzeganie przepisów i regulacji.
– Druga linia (Funkcje nadzorcze): Compliance zapewnia wsparcie, doradztwo oraz nadzór nad zarządzaniem ryzykiem zgodności, monitorowanie i testowanie przestrzegania przepisów.
– Trzecia linia (Audyt wewnętrzny): Zapewnia niezależne i obiektywne zapewnienie zarządu i radzie nadzorczej, dotyczące adekwatności i skuteczności działań zarządzania ryzykiem i zgodności.
Praktyczna współpraca między audytem wewnętrznym a compliance jest kluczowa dla osiągnięcia skutecznego nadzoru i zarządzania ryzykiem. Regularna komunikacja, koordynacja działań oraz wymiana informacji między tymi funkcjami pozwala na lepsze zrozumienie i zarządzanie ryzykami, minimalizując nakładanie się obowiązków i luk w kontroli.
Omówienie kluczowych zmian z perspektywy compliance
a) Strategia audytu wewnętrznego
Strategia audytu wewnętrznego jest kluczowym elementem efektywnego funkcjonowania audytu wewnętrznego w organizacji. Nowe standardy z 2024 roku wprowadzają wyraźny wymóg, aby główny audytor wewnętrzny (CAE) opracował strategię dla funkcji audytu wewnętrznego z określonymi cechami.
Strategia audytu wewnętrznego musi zawierać wizję, cele strategiczne oraz inicjatywy wspierające funkcję audytu wewnętrznego. Wizja opisuje pożądany przyszły stan funkcji audytu wewnętrznego — na przykład w ciągu najbliższych trzech do pięciu lat — i wyznacza kierunek, który pomoże funkcji spełnić jej mandat. Wizja ma również na celu inspirowanie audytorów wewnętrznych do ciągłego doskonalenia.
Cele strategiczne definiują osiągalne cele, które umożliwiają realizację wizji. Inicjatywy wspierające strategię obejmują bardziej szczegółowe taktyki i kroki do osiągnięcia każdego z celów strategicznych.
Inicjatywy wspierające strategię powinny obejmować:
- Możliwości pomagające audytorom wewnętrznym rozwijać ich kompetencje.
- Wprowadzenie i zastosowanie technologii, kiedy poprawia to efektywność i skuteczność funkcji audytu wewnętrznego.
- Możliwości doskonalenia funkcji audytu wewnętrznego.
CAE musi okresowo przeglądać strategię audytu wewnętrznego z zarządem i radą, aby upewnić się, że strategia jest aktualna i zgodna z celami organizacji. Strategia audytu wewnętrznego to plan działań zaprojektowany w celu osiągnięcia długoterminowego lub ogólnego celu, który kieruje funkcją audytu wewnętrznego i pomaga jej w spełnianiu jej mandatu.
b) Rola rady nadzorczej oraz zarządu
Nowe standardy audytu wewnętrznego z 2024 roku wprowadzają istotne zmiany dotyczące roli kierującego audytem (CAE) w zakresie komunikacji między radą nadzorczą, zarządem a funkcją audytu wewnętrznego.
CAE musi koordynować komunikację z radą nadzorczą oraz najwyższym kierownictwem, aby wspierać zdolność rady do wypełniania jej obowiązków. Kluczowe warunki dla efektywnego działania w tym zakresie to:
- Rada nadzorcza: Rada nadzorcza powinna promować funkcję audytu wewnętrznego, aby umożliwić jej realizację celu audytu wewnętrznego oraz dążenie do strategii i celów audytu.
- Zarząd: Zarząd powinien wspierać uznanie funkcji audytu wewnętrznego w całej organizacji, co jest niezbędne do skutecznego funkcjonowania audytu wewnętrznego.
W standardach z 2017 roku nie uwzględniono szczegółów dotyczących roli CAE w funkcjonowaniu komunikacji między radą nadzorczą, najwyższym kierownictwem (zarządem) a funkcją audytu wewnętrznego, ani o znaczeniu promowania przez radę i zarząd zdolności funkcji audytu do realizacji jej celu.
CAE powinien informować najwyższe kierownictwo o dyskusjach z radą nadzorczą w odpowiedni sposób oraz potwierdzać zrozumienie raportowania przez obie strony, aby zapewnić jasność i brak redundancji. Taka koordynacja jest kluczowa dla skutecznej współpracy i zarządzania funkcją audytu wewnętrznego, co przekłada się na lepszą realizację celów organizacji.
c) Koordynacja usług zapewniających
W ramach nowych standardów audytu wewnętrznego z 2024 roku wzmocniono wymagania dotyczące koordynacji działań CAE z innymi dostawcami usług zapewniających. W standardach z 2017 roku zalecano, aby CAE dzielił się informacjami, koordynował działania i rozważał poleganie na pracy innych dostawców usług zapewniających.
Nowe standardy z 2024 roku podnoszą te oczekiwania, wprowadzając wymóg, że CAE musi koordynować działania z innymi dostawcami usług zapewniających. Element dotyczący polegania na pracy innych dostawców pozostaje jednak w formie zalecenia „rozważa poleganie na…”.
Wprowadzono również nowy wymóg dotyczący opracowania i stosowania metodologii eskalacji, która ma być używana w przypadku braku osiągnięcia odpowiedniego poziomu koordynacji. Jeśli CAE nie jest w stanie osiągnąć odpowiedniego poziomu koordynacji, musi zgłosić wszelkie obawy najwyższemu kierownictwu (zarządowi), a jeśli to konieczne, również radzie nadzorczej.
Regularne rozmowy dotyczące adekwatności wysiłków koordynacyjnych dostawców usług zapewniających (wewnętrznych i zewnętrznych) powinny odbywać się z CAE, najwyższym kierownictwem oraz radą nadzorczą. Takie podejście zapewnia, że wszelkie problemy związane z koordynacją są szybko identyfikowane i rozwiązywane, co przyczynia się do lepszej efektywności i skuteczności audytu wewnętrznego oraz innych działań zapewniających.
d) Interes publiczny
W nowych standardach audytu wewnętrznego z 2024 roku wprowadzono również koncepcję interesu publicznego, która wcześniej nie była uwzględniona we wcześniejszej wersji. Ta zmiana może być postrzegana jako nawiązanie do rosnącego znaczenia kwestii związanych z ESG (Environmental, Social, Governance).
Włączenie pojęcia interesu publicznego do standardów audytu wewnętrznego jest istotnym krokiem naprzód. Audyt wewnętrzny powinien nie tylko służyć organizacji, ale również brać pod uwagę szersze dobro publiczne, zwłaszcza w kontekście rosnących wymagań dotyczących odpowiedzialności środowiskowej, społecznej i ładu korporacyjnego. Zwiększenie nacisku na kwestie ESG ma na celu zapewnienie, że organizacje działają w sposób odpowiedzialny i zrównoważony, co jest kluczowe dla budowania zaufania wśród interesariuszy oraz społeczeństwa.
Podsumowanie
Nowe standardy audytu wewnętrznego z 2024 roku wprowadzają szereg istotnych zmian mających na celu dostosowanie funkcji audytu do współczesnych wyzwań biznesowych i regulacyjnych. Kluczowe elementy obejmują wzmocnienie roli CAE w zakresie strategii audytu, komunikacji z radą nadzorczą i zarządem, koordynacji z innymi dostawcami usług zapewniających oraz uwzględnienia interesu publicznego.
Standardy IIA są powszechnie uznawane jako fundament skutecznego audytu wewnętrznego, a ich zgodność z Kodeksem Dobrych Praktyk GPW podkreśla ich znaczenie dla ładu korporacyjnego. Ewolucja IPPF i nowe standardy są odpowiedzią na rosnące wymagania wobec audytu wewnętrznego oraz potrzebę dostosowania się do dynamicznie zmieniających się warunków rynkowych i regulacyjnych.
Członkowie zarządów, rad nadzorczych oraz specjaliści ds. compliance powinni być świadomi tych zmian i ich implikacji dla funkcji audytu wewnętrznego w swoich organizacjach. Skuteczny audyt wewnętrzny, oparty na nowych standardach, może znacząco przyczynić się do osiągnięcia strategicznych celów organizacji, zarządzania ryzykiem oraz budowania zaufania wśród interesariuszy.
Przydatne linki (dostępy 20 czerwca 2024 roku):
- Globalne Standardy Audytu Wewnętrznego (strona organizacji amerykańskiej): https://www.theiia.org/en/standards/2024-standards/global-internal-audit-standards/
- Globalne Standardy Audytu Wewnętrznego (wersja polska): https://www.iia.org.pl/o-nas/standardy
- Kodeks Dobrych Praktyk GPW: https://www.gpw.pl/dobre-praktyki2021
- Rekomendacja H: /https://www.knf.gov.pl/knf/pl/komponenty/img/knf_170534_Rekomendacja_H_2017_50303.pdf
- Konsultacje Wymagań Tematycznych:
https://www.theiia.org/globalassets/site/standards/editable-versions/cybersecurity-topical-requirement-english.pdf - Model trzech linii IIA: https://www.theiia.org/globalassets/documents/resources/the-iias-three-lines-model-an-update-of-the-three-lines-of-defense-july-2020/three-lines-model-updated-polish.pdf