Audyt zgodności często traktowany jest jako formalność — coś, co trzeba zaliczyć przed wizytą organu nadzoru. Takie podejście kończy się źle, co pokazuje przypadek spółki dystrybucyjnej z Poznania, gdzie kontrola wewnętrzna nie obejmowała dokumentacji podwykonawców. Urząd odkrył lukę podczas rutynowej inspekcji — kara wyniosła ponad 180 tys. zł.
Trzy scenariusze, jeden wzorzec
Poniższe zestawienie porównuje trzy przypadki nieudanych audytów pod kątem przyczyny, momentu wykrycia i konsekwencji finansowych:
- Firma logistyczna — brak aktualizacji polityki przetwarzania danych (RODO), wykrycie przez zewnętrzny organ, grzywna administracyjna
- Producent spożywczy — niezgodność etykiet z rozporządzeniem UE 1169/2011, wykrycie podczas kontroli sanepidu, wycofanie partii towaru
- Pośrednik finansowy — niespójność procedur KYC z wytycznymi KNF, wykrycie w audycie EBA, zawieszenie licencji na 3 miesiące
Każdy z tych przypadków miał coś wspólnego: audyt był przeprowadzany, ale nie obejmował obszarów, w których faktycznie istniało ryzyko.
Wzorzec jest prosty — zakres audytu definiowano na podstawie poprzednich kontroli, a nie bieżącej analizy ryzyka. To podstawowy błąd metodyczny, który organizacje powielają latami. Wniosek nie jest abstrakcyjny: audyt bez mapowania ryzyka to tylko sprawdzanie listy z poprzedniego roku.