Umowa o przeprowadzenie audytu
UMOWA O PRZEPROWADZENIE AUDYTU
zawarta na podstawie art. 750 w zw. z art. 734 Kodeksu cywilnego (umowa o świadczenie usług)
Zawarta w [Miejsce Data] pomiędzy:
Strony
[Zleceniodawca Nazwa], [Zleceniodawca Dane], zwanym dalej „Zleceniodawcą”,
a
[Audytor Nazwa], [Audytor Dane], zwanym dalej „Audytorem”.
Przedmiot umowy
§ 1. Przedmiot umowy
1. Audytor zobowiązuje się przeprowadzić na rzecz Zleceniodawcy audyt o następującym rodzaju i zakresie: [Rodzaj Audytu].
2. Termin przeprowadzenia czynności audytorskich i dostarczenia raportu końcowego: [Termin Audytu].
3. Umowa jest umową o świadczenie usług, do której zgodnie z art. 750 Kodeksu cywilnego (ustawa z dnia 23 kwietnia 1964 r., Dz.U. 1964 nr 16 poz. 93 ze zm.) stosuje się odpowiednio przepisy o zleceniu (art. 734 i n.). Audytor świadczy usługi z należytą starannością ocenianą z uwzględnieniem zawodowego charakteru działalności (art. 355 § 2 KC).
Dostęp do dokumentów i współpraca
§ 2. Dostęp do dokumentów i systemów
4. Zleceniodawca zobowiązuje się zapewnić Audytorowi dostęp do dokumentów, systemów i pracowników na następujących zasadach: [Dostep Dokumentow].
5. Zleceniodawca zapewnia pełną współpracę osób upoważnionych i odpowiada za kompletność udostępnionych informacji. Brak wymaganego dostępu lub niekompletność udostępnionych dokumentów może wpłynąć na zakres i wyniki audytu, o czym Audytor informuje Zleceniodawcę na piśmie.
Wynagrodzenie
§ 3. Wynagrodzenie i płatność
6. Za przeprowadzenie audytu Zleceniodawca zapłaci Audytorowi wynagrodzenie: [Wynagrodzenie].
7. Do wynagrodzenia netto dolicza się podatek od towarów i usług według stawki 23% zgodnie z ustawą z dnia 11 marca 2004 r. o podatku od towarów i usług.
8. W razie opóźnienia w zapłacie Audytorowi przysługują odsetki ustawowe za opóźnienie (art. 481 KC) oraz rekompensata z ustawy z dnia 8 marca 2013 r. o przeciwdziałaniu nadmiernym opóźnieniom w transakcjach handlowych.
Raport audytowy i poufność
§ 4. Raport końcowy i poufność wyników
9. Format raportu i zasady poufności wyników audytu: [Raport Poufnosc].
10. Audytor zobowiązuje się do zachowania w poufności wszelkich informacji uzyskanych w toku audytu, stanowiących tajemnicę przedsiębiorstwa Zleceniodawcy, na podstawie ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji — przez czas trwania umowy i przez 3 lata po jej zakończeniu.
11. Obowiązek poufności nie dotyczy informacji, których ujawnienie jest wymagane przez prawo, w tym przez organy nadzoru takie jak Komisja Nadzoru Finansowego (KNF) lub Prezes Urzędu Ochrony Danych Osobowych (PUODO).
Ochrona danych osobowych
§ 5. Ochrona danych osobowych
12. Jeżeli w toku przeprowadzania audytu Audytor uzyskuje dostęp do danych osobowych przetwarzanych przez Zleceniodawcę, strony zawierają odrębną umowę powierzenia przetwarzania danych osobowych zgodnie z art. 28 rozporządzenia (UE) 2016/679 (RODO), lub potwierdzają inną podstawę prawną dostępu Audytora do tych danych.
Postanowienia końcowe
§ 6. Postanowienia końcowe
13. W sprawach nieuregulowanych stosuje się przepisy Kodeksu cywilnego o zleceniu (art. 734 i n.) stosowane odpowiednio na podstawie art. 750.
14. Wszelkie zmiany umowy wymagają formy pisemnej pod rygorem nieważności.
15. Spory rozstrzyga sąd właściwy dla siedziby Zleceniodawcy. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach.
Podpisy
_______________________________ _______________________________
Zleceniodawca Audytor
Zleceniodawca
________________
Signature
Audytor
________________
Signature
Czym jest Umowa o przeprowadzenie audytu?
Umowa o przeprowadzenie audytu w Polsce to umowa o świadczenie usług, do której zgodnie z art. 750 Kodeksu cywilnego (ustawa z dnia 23 kwietnia 1964 r., Dz.U. 1964 nr 16 poz. 93 ze zm.) stosuje się odpowiednio przepisy o zleceniu (art. 734 i następne). Na jej podstawie audytor lub firma audytorska zobowiązuje się przeprowadzić systematyczne badanie wybranego obszaru działalności zleceniodawcy i dostarczyć raport z ustaleniami i rekomendacjami, a zleceniodawca zobowiązuje się zapłacić wynagrodzenie i zapewnić dostęp do niezbędnych dokumentów oraz systemów. Jest to umowa starannego działania — audytor odpowiada za rzetelne przeprowadzenie badania z należytą starannością wymaganą od profesjonalisty (art. 355 § 2 KC).
Audyty w obrocie biznesowym obejmują szerokie spektrum dziedzin. Audyt finansowy (badanie sprawozdań finansowych) przeprowadzany jest przez biegłych rewidentów wpisanych na listę Polskiej Izby Biegłych Rewidentów (PIBR) na podstawie ustawy z dnia 11 maja 2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym. Audyt RODO to weryfikacja zgodności przetwarzania danych osobowych z rozporządzeniem (UE) 2016/679 (RODO) i ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych, nadzorowanymi przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Audyt IT obejmuje bezpieczeństwo systemów informatycznych, sieci i infrastruktury cyfrowej. Audyt ISO weryfikuje zgodność procesów z normami ISO (9001, 27001, 14001) wydawanymi przez Polskie Centrum Akredytacji (PCA). Audyt wewnętrzny bada efektywność kontroli wewnętrznych i procesów zarządzania ryzykiem. Audyt due diligence poprzedza transakcje M&A — fuzje i przejęcia spółek wpisanych do Krajowego Rejestru Sądowego (KRS).
Kluczowym elementem umowy o audyt jest uregulowanie dostępu audytora do dokumentów i systemów. Audytor musi mieć zapewniony dostęp do niezbędnych dokumentów, danych, systemów informatycznych i pracowników, aby rzetelnie przeprowadzić badanie. Brak dostępu lub niekompletność udostępnionych informacji wpływa na zakres i wartość audytu i powinien być wyraźnie udokumentowany przez audytora w raporcie.
Poufność wyników audytu ma kluczowe znaczenie — raport audytowy zawiera wrażliwe informacje o słabościach i zagrożeniach w organizacji zleceniodawcy. Audytor jest zobowiązany do zachowania w tajemnicy wszelkich informacji uzyskanych w toku audytu, stanowiących tajemnicę przedsiębiorstwa chronioną ustawą z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji. Ujawnienie wyników audytu bez zgody zleceniodawcy stanowi czyn nieuczciwej konkurencji i może rodzić odpowiedzialność cywilną.
Audyt RODO wymaga szczególnej uwagi — audytor uzyskuje dostęp do danych osobowych przetwarzanych przez zleceniodawcę. Dostęp ten wymaga odpowiedniej podstawy prawnej, a jeżeli audytor przetwarza dane w imieniu zleceniodawcy, konieczne jest zawarcie umowy powierzenia przetwarzania danych zgodnie z art. 28 RODO. Nadzór nad przestrzeganiem RODO sprawuje Prezes Urzędu Ochrony Danych Osobowych (PUODO).
Wynagrodzenie za przeprowadzenie audytu może być ustalane jako stawka ryczałtowa za cały zakres badania lub stawka godzinowa. Do wynagrodzenia netto dolicza się VAT 23%, jeżeli audytor jest czynnym podatnikiem, zgodnie z ustawą z dnia 11 marca 2004 r. o podatku od towarów i usług. Warto ustalić harmonogram płatności — zaliczkę przy podpisaniu umowy i płatność końcową po dostarczeniu raportu — co motywuje terminowe zakończenie prac.
Kiedy potrzebujesz Umowa o przeprowadzenie audytu?
Umowa o przeprowadzenie audytu w Polsce jest potrzebna zawsze, gdy zlecasz zewnętrznemu podmiotowi badanie wybranego obszaru działalności.
Audyt RODO i ochrony danych osobowych. Firmy chcące zweryfikować zgodność z rozporządzeniem (UE) 2016/679 (RODO) przed kontrolą Prezesa Urzędu Ochrony Danych Osobowych (PUODO) lub po wdrożeniu nowych procesów przetwarzania danych zawierają umowę o audyt RODO, regulującą zakres przeglądu polityk, rejestrów i umów powierzenia.
Audyt finansowy i badanie sprawozdań. Spółki zobowiązane do badania sprawozdań finansowych (spółki akcyjne, duże spółki z o.o. przekraczające progi z ustawy o rachunkowości) zawierają umowę z firmą audytorską wpisaną do rejestru PIBR. Umowa reguluje zakres badania, wynagrodzenie i termin dostarczenia opinii biegłego rewidenta.
Audyt IT i cyberbezpieczeństwa. Firmy zamawiające zewnętrzny przegląd bezpieczeństwa systemów informatycznych, testy penetracyjne (pen-testy) lub audyt infrastruktury sieciowej zawierają umowę o audyt IT z klauzulami o poufności wyników i zakazie ujawniania wykrytych podatności.
Audyt zgodności ISO. Organizacje przygotowujące się do certyfikacji lub recertyfikacji norm ISO (9001, 27001, 14001, 22301) zamawiają wewnętrzny lub zewnętrzny audyt zgodności, regulowany umową określającą zakres normy, formę raportu i harmonogram działań korygujących.
Audyt due diligence przy M&A. Podmioty planujące nabycie spółki lub aktywów zamawiają audyt due diligence (finansowy, prawny, podatkowy) przed podpisaniem umowy sprzedaży udziałów. Umowa o audyt reguluje zakres badania, dostęp do wirtualnego data room i poufność wyników.
Audyt wewnętrzny i compliance. Spółki wdrażające systemy kontroli wewnętrznej i zarządzania ryzykiem zlecają audyty zgodności z politykami wewnętrznymi, procedurami i przepisami prawa.
Audyt energetyczny. Przedsiębiorcy zobowiązani do audytu energetycznego na podstawie ustawy z dnia 20 maja 2016 r. o efektywności energetycznej zawierają umowę z audytorem energetycznym posiadającym odpowiednie uprawnienia.
Co powinien zawierać Umowa o przeprowadzenie audytu
Umowa o przeprowadzenie audytu w Polsce powinna zawierać następujące kluczowe elementy, chroniące zarówno zleceniodawcę, jak i audytora.
Oznaczenie stron. Pełne dane zleceniodawcy i audytora: firma, adres, NIP, KRS lub CEIDG. Przy audycie finansowym wskaż numer wpisu firmy audytorskiej i biegłego rewidenta w rejestrze Polskiej Izby Biegłych Rewidentów (PIBR). Zweryfikuj dane w Krajowym Rejestrze Sądowym (KRS).
Rodzaj i zakres audytu. Szczegółowy opis rodzaju audytu (RODO, IT, finansowy, ISO, due diligence), obszarów objętych badaniem i wyłączeń z zakresu. Precyzja zakresu chroni zleceniodawcę przed autem poruszonym poza ustalony obszar i audytora przed roszczeniami o niezbadane obszary.
Termin przeprowadzenia i dostarczenia raportu. Data lub okres czynności audytorskich (praca w siedzibie zleceniodawcy lub zdalnie) i termin dostarczenia raportu końcowego z ustaleniami i rekomendacjami. Warto ustalić też termin prezentacji wyników.
Dostęp do dokumentów i systemów. Wykaz dokumentów, systemów informatycznych i pracowników udostępnianych audytorowi, forma przekazania informacji i zasady bezpieczeństwa (szyfrowanie, VPN). Obowiązek zleceniodawcy do zapewnienia pełnej współpracy. forms-legal.com zaleca wskazanie kontaktu po stronie zleceniodawcy koordynującego dostęp.
Wynagrodzenie i harmonogram płatności. Kwota netto, VAT 23%, harmonogram płatności (zaliczka i płatność końcowa po raporcie), termin i forma płatności. Przy przekroczeniu zakresu — stawka za dodatkowe godziny lub aneks do umowy.
Format raportu i poufność wyników. Format raportu końcowego (PDF, prezentacja), liczba egzemplarzy, zasady dystrybucji wewnątrz organizacji zleceniodawcy, zakaz ujawniania wyników osobom trzecim bez zgody zleceniodawcy. Klauzula poufności oparta na art. 11 ustawy o zwalczaniu nieuczciwej konkurencji.
Ochrona danych osobowych. Jeżeli audytor uzyskuje dostęp do danych osobowych, konieczna jest umowa powierzenia przetwarzania (art. 28 RODO) lub inny mechanizm zapewnienia podstawy prawnej dostępu. Klauzula zgodności z rozporządzeniem (UE) 2016/679 (RODO) i ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych.
Odpowiedzialność audytora. Zakres odpowiedzialności za nienależyte przeprowadzenie badania i ewentualny limit odszkodowania. Kara umowna za naruszenie poufności (art. 483 KC jako zobowiązanie niepieniężne).
Jak wypełnić Umowa o przeprowadzenie audytu
Umowa o przeprowadzenie audytu w Polsce wypełniana jest krok po kroku, aby uregulować badanie zgodnie z art. 750 Kodeksu cywilnego.
Krok 1 — oznacz strony. Wpisz pełne dane zleceniodawcy i audytora: firmę, adres, NIP, KRS. Przy audycie finansowym wskaż numer wpisu w rejestrze Polskiej Izby Biegłych Rewidentów (PIBR). Zweryfikuj dane spółek w Krajowym Rejestrze Sądowym (KRS).
Krok 2 — opisz rodzaj i zakres audytu. Szczegółowo opisz rodzaj audytu i obszary objęte badaniem — dokumenty, systemy, procesy. Wskaż wyraźnie wyłączenia z zakresu, aby uniknąć sporów o obszary niezbadane. Przy audycie RODO wskaż przepisy, których zgodność jest badana (art. 28, 32, 35 RODO).
Krok 3 — wpisz terminy. Wskaż daty czynności audytorskich (praca w siedzibie lub zdalnie) i ostateczny termin dostarczenia raportu końcowego. Ustal, czy wymagana jest prezentacja wyników i kiedy.
Krok 4 — ureguluj dostęp do dokumentów. Opisz dokumenty, systemy i osoby udostępniane audytorowi. Wskaż formę przekazania informacji (bezpieczna chmura, VPN, fizyczny dostęp) i osobę koordynującą dostęp po stronie zleceniodawcy. Zastrzeż, że brak dostępu może ograniczyć zakres audytu.
Krok 5 — wpisz wynagrodzenie. Podaj kwotę netto i VAT 23%, harmonogram płatności (zaliczka przy podpisaniu, reszta po raporcie), termin płatności i numer konta. Ustal stawkę za dodatkowe prace poza pierwotnym zakresem.
Krok 6 — ureguluj raport i poufność. Wskaż format i liczbę egzemplarzy raportu, osoby uprawnione do jego otrzymania i zakaz ujawniania wyników bez zgody. Dodaj klauzulę poufności opartą na ustawie o zwalczaniu nieuczciwej konkurencji.
Krok 7 — dodaj RODO. Jeżeli audytor uzyska dostęp do danych osobowych, zawrzyj umowę powierzenia (art. 28 RODO) lub potwierdź inną podstawę prawną. Zastrzeż obowiązek Audytora do zachowania zasad bezpieczeństwa (art. 32 RODO).
Krok 8 — podpisz umowę. Wpisz miejscowość i datę, sprawdź poprawność danych i podpisz w dwóch egzemplarzach. Dla spółek podpis osoby uprawnionej według KRS.
Wymogi prawne dla Umowa o przeprowadzenie audytu
Umowa o przeprowadzenie audytu w Polsce podlega przepisom Kodeksu cywilnego o zleceniu (stosowanym przez art. 750 KC) oraz przepisom regulującym poszczególne rodzaje audytów.
Umowa o świadczenie usług — art. 750 KC. Audytor jest zobowiązany do starannego działania z uwzględnieniem zawodowego charakteru działalności (art. 355 § 2 KC). Odpowiada za rzetelne przeprowadzenie badania i rzetelny raport, nie za konkretny wynik audytu. Przy nienależytym wykonaniu audytu (wadliwy raport, pominięcie istotnych ustaleń) odpowiada na zasadach z art. 471 KC.
Audyt finansowy — ustawa o biegłych rewidentach. Badanie ustawowe sprawozdań finansowych mogą przeprowadzać wyłącznie firmy audytorskie wpisane do rejestru Polskiej Izby Biegłych Rewidentów (PIBR), a badanie przeprowadza biegły rewident. Obowiązek badania dotyczy spółek akcyjnych, spółek komandytowo-akcyjnych i spółek z o.o. przekraczających ustawowe progi (aktywa > 2,5 mln euro, przychody > 5 mln euro, zatrudnienie > 50 osób — dwa z trzech warunków). Podstawa: ustawa z dnia 11 maja 2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym. Nadzór nad firmami audytorskimi sprawuje Polska Agencja Nadzoru Audytowego (PANA).
Audyt RODO — rozporządzenie (UE) 2016/679. Audyt RODO bada zgodność z rozporządzeniem i ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych. Audytor uzyskujący dostęp do danych osobowych musi działać na odpowiedniej podstawie prawnej (art. 6 RODO). Jeżeli przetwarza dane w imieniu zleceniodawcy, konieczna jest umowa powierzenia (art. 28 RODO). Organy nadzorcze: Prezes Urzędu Ochrony Danych Osobowych (PUODO).
Audyt finansowy i compliance. Spółki notowane na Giełdzie Papierów Wartościowych w Warszawie lub objęte nadzorem Komisji Nadzoru Finansowego (KNF) podlegają dodatkowym wymaganiom audytowym. KNF może żądać wyników audytu wewnętrznego lub zewnętrznego.
Poufność wyników audytu. Informacje uzyskane przez audytora są tajemnicą przedsiębiorstwa zleceniodawcy chronioną art. 11 ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji. Wyjątki od poufności to nakaz prawny i obowiązkowe ujawnienie organom nadzoru (PUODO, KNF, Urząd Ochrony Konkurencji i Konsumentów — UOKiK).
Audyt energetyczny. Duże przedsiębiorstwa (powyżej 250 pracowników lub 50 mln euro obrotu) są zobowiązane do audytu energetycznego co 4 lata na podstawie ustawy z dnia 20 maja 2016 r. o efektywności energetycznej (Dz.U. 2016 poz. 831). Audyt przeprowadza audytor energetyczny z odpowiednimi uprawnieniami, a wyniki przekazywane są do Prezesa Urzędu Regulacji Energetyki (URE).
Najczęstsze błędy w Umowa o przeprowadzenie audytu
Umowa o przeprowadzenie audytu w Polsce bywa wadliwa z powodu typowych błędów, które można wyeliminować przy starannym jej sporządzeniu.
Błąd 1 — zbyt ogólny zakres audytu. Opis „audyt RODO” bez wskazania konkretnych obszarów (polityki, rejestry, umowy powierzenia, środki bezpieczeństwa) prowadzi do sporów o to, co audyt obejmuje. Zalecenie: szczegółowo opisz zakres badania i wyraźnie wskaż wyłączenia.
Błąd 2 — brak uregulowania dostępu do dokumentów. Pominięcie obowiązku zapewnienia dostępu przez zleceniodawcę i konsekwencji jego braku naraża audytora na niemożność przeprowadzenia rzetelnego badania. Zalecenie: wskaż wykaz dokumentów i systemów udostępnianych, osobę koordynującą dostęp i konsekwencje braku dostępu dla zakresu raportu.
Błąd 3 — brak umowy powierzenia RODO. Audyt RODO bez umowy powierzenia przetwarzania danych (art. 28 RODO) naraża zleceniodawcę na sankcje Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Zalecenie: zawrzyj umowę powierzenia równolegle z umową o audyt lub jako jej załącznik.
Błąd 4 — brak poufności wyników. Pominięcie klauzuli poufności powoduje, że audytor może ujawnić wyniki badania (w tym wykryte słabości) osobom trzecim. Zalecenie: wyraźnie zastrzeż poufność raportu i ograniczenie dystrybucji do wskazanych osób u zleceniodawcy.
Błąd 5 — brak harmonogramu płatności. Jednorazowa płatność po dostarczeniu raportu bez zaliczki naraża audytora na ryzyko braku zapłaty. Zalecenie: ustal zaliczkę (50%) przy podpisaniu i płatność końcową po dostarczeniu raportu.
Błąd 6 — mylenie audytu ustawowego z badaniem dobrowolnym. Spółki zobowiązane do badania ustawowego (spółki akcyjne, duże spółki z o.o.) często mylą audyt ustawowy przeprowadzany przez biegłego rewidenta z PIBR z dobrowolnym audytem wewnętrznym lub audytem RODO. Zalecenie: sprawdź, czy spółka podlega ustawowemu obowiązkowi badania i czy wybrany audytor ma odpowiednie uprawnienia PIBR.
Cytuj tę stronę
Powołaj się na ten darmowy szablon w artykule, programie zajęć lub notatce badawczej:
Forms Legal. (2026). Umowa o przeprowadzenie audytu (Polska) [Legal document template]. Forms Legal. https://forms-legal.com/pl/polska/business/contracts/umowa-o-audyt
"Umowa o przeprowadzenie audytu (Polska)." Forms Legal, 2026, https://forms-legal.com/pl/polska/business/contracts/umowa-o-audyt.
@misc{formslegal-umowa-o-audyt,
author = {{Forms Legal}},
title = {Umowa o przeprowadzenie audytu (Polska)},
year = {2026},
howpublished = {\url{https://forms-legal.com/pl/polska/business/contracts/umowa-o-audyt}},
note = {Free legal document template}
}Najczęściej zadawane pytania
Badanie ustawowe sprawozdań finansowych, czyli audyt finansowy wymagany przez przepisy prawa, mogą przeprowadzać wyłącznie firmy audytorskie wpisane do rejestru firm audytorskich prowadzonego przez Polską Izbę Biegłych Rewidentów (PIBR), a samo badanie przeprowadza biegły rewident posiadający aktywny status. Podstawę prawną stanowi ustawa z dnia 11 maja 2017 r. o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym. Nadzór nad firmami audytorskimi sprawuje Polska Agencja Nadzoru Audytowego (PANA). Obowiązek badania ustawowego dotyczy spółek akcyjnych, spółek komandytowo-akcyjnych oraz spółek z o.o., jeżeli w roku poprzednim spełniły dwa z trzech warunków: suma aktywów bilansu powyżej 2,5 mln euro, przychody netto ze sprzedaży powyżej 5 mln euro lub średnioroczne zatrudnienie powyżej 50 osób. Inne audyty — RODO, IT, ISO, wewnętrzny, energetyczny — mogą być przeprowadzane przez firmy lub ekspertów bez tytułu biegłego rewidenta, lecz z odpowiednimi kwalifikacjami w danej dziedzinie. Przy zlecaniu audytu warto sprawdzić doświadczenie i referencje audytora, a przy audycie finansowym koniecznie zweryfikować wpis do rejestru PIBR.
Tak, wyniki audytu mają z natury charakter poufny — raport audytowy zawiera wrażliwe informacje o słabościach, niezgodnościach i zagrożeniach w organizacji zleceniodawcy. Audytor jest zobowiązany do zachowania poufności informacji uzyskanych w toku badania na podstawie art. 11 ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji — tajemnica przedsiębiorstwa zleceniodawcy objęta jest ochroną prawną. Ujawnienie wyników audytu bez zgody zleceniodawcy stanowi czyn nieuczciwej konkurencji i może skutkować odpowiedzialnością cywilną i odszkodowawczą. Jednak poufność ma pewne wyjątki: organy nadzoru (Komisja Nadzoru Finansowego, KNF; Prezes Urzędu Ochrony Danych Osobowych, PUODO; Urząd Ochrony Konkurencji i Konsumentów, UOKiK) mogą żądać dostępu do wyników audytu w ramach swoich uprawnień kontrolnych. Biegły rewident przeprowadzający badanie ustawowe ma obowiązek zaraportowania pewnych informacji (na przykład podejrzenia przestępstwa) właściwym organom. Umowa o audyt powinna wyraźnie określać zakres poufności, wyjątki i zasady dystrybucji raportu wewnątrz organizacji zleceniodawcy.
Rozporządzenie (UE) 2016/679 (RODO) nie nakłada wprost obowiązku przeprowadzenia zewnętrznego audytu RODO na wszystkie organizacje. Jednak RODO zobowiązuje administratorów danych do wdrożenia środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania (art. 32 RODO) oraz do oceny skutków przetwarzania (DPIA) w przypadku operacji wysokiego ryzyka (art. 35 RODO). W praktyce audyt RODO jest de facto niezbędny dla organizacji przetwarzających duże ilości danych osobowych lub danych szczególnej kategorii, które chcą wykazać zgodność z RODO (zasada rozliczalności z art. 5 ust. 2 RODO). Inspektor Ochrony Danych (IOD/DPO), tam gdzie jest wymagany (art. 37 RODO) — miedzy innymi w organach publicznych, podmiotach przetwarzających dane na dużą skalę lub dane szczególnej kategorii — jest zobowiązany do monitorowania przestrzegania RODO i może realizować funkcję audytową wewnętrznie. Prezes Urzędu Ochrony Danych Osobowych (PUODO) może prowadzić kontrole i nakładać administracyjne kary pieniężne do 20 mln euro lub 4% rocznego obrotu. Wewnętrzny lub zewnętrzny audyt RODO przed kontrolą PUODO jest skutecznym narzędziem identyfikacji i naprawy niezgodności.
Gdy audytor RODO uzyskuje dostęp do danych osobowych przetwarzanych przez zleceniodawcę i przetwarza te dane w imieniu i na polecenie zleceniodawcy jako administratora, konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych zgodnie z art. 28 rozporządzenia (UE) 2016/679 (RODO). Umowa powierzenia musi określać: przedmiot i czas przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych i kategorie osób, których dane dotyczą, obowiązki i prawa administratora (zleceniodawcy) oraz zobowiązania procesora (audytora) — w tym do zachowania poufności, wdrożenia środków bezpieczeństwa (art. 32 RODO), udzielania pomocy przy realizacji praw osób i zgłaszaniu naruszeń, podpowierzenia, usunięcia lub zwrotu danych po zakończeniu audytu. Umowa powierzenia może stanowić odrębny dokument lub być aneksem do umowy o audyt. Jej brak naraża zleceniodawcę na odpowiedzialność jako administratora danych wobec Prezesa Urzędu Ochrony Danych Osobowych (PUODO) — to administrator odpowiada za zapewnienie, że procesor (audytor) gwarantuje wystarczające zabezpieczenia. Warto pamiętać, że audytor przez krótki czas ma dostęp do bardzo dużej ilości danych — umowa powierzenia jest więc niezbędna niezależnie od zakresu audytu.
Odpowiedzialność audytora za wadliwy raport (pominięcie istotnych niezgodności, błędne rekomendacje, nieprawidłowa ocena ryzyka) opiera się na zasadach ogólnych z art. 471 Kodeksu cywilnego — nienależyte wykonanie umowy o świadczenie usług. Aby dochodzić odszkodowania, zleceniodawca musi wykazać nienależyte wykonanie umowy przez audytora (naruszenie standardów należytej staranności), poniesioną szkodę i adekwatny związek przyczynowy między wadliwym raportem a szkodą. W umowie o audyt warto uregulować kilka kwestii: limit odpowiedzialności audytora — zazwyczaj do wysokości wynagrodzenia za audyt lub ustalonej kwoty; wyłączenie odpowiedzialności za decyzje biznesowe podjęte przez zleceniodawcę na podstawie rekomendacji audytora (decyzje podejmuje zleceniodawca, nie audytor); obowiązek audytora do niezwłocznego informowania zleceniodawcy o stwierdzeniu ograniczeń zakresu (na przykład braku dostępu do dokumentów); karę umowną za naruszenie poufności wyników audytu (art. 483 KC). Biegli rewidenci podlegają ponadto odpowiedzialności zawodowej przed Polską Agencją Nadzoru Audytowego (PANA) i obowiązkowi posiadania ubezpieczenia OC z tytułu prowadzonej działalności, co stanowi dodatkowe zabezpieczenie dla zleceniodawcy.
Audyt wewnętrzny przeprowadzany jest przez pracowników organizacji (dział audytu wewnętrznego) lub osoby podlegające organizacji zleceniodawcy — na przykład audytorów zatrudnionych na etacie. Audyt wewnętrzny ma charakter ciągły, służy bieżącemu monitorowaniu procesów, kontroli wewnętrznej i zarządzaniu ryzykiem. Audytorzy wewnętrzni często posiadają certyfikaty Certified Internal Auditor (CIA) wydawane przez Institute of Internal Auditors (IIA). Audyt zewnętrzny przeprowadzany jest przez niezależny podmiot zewnętrzny — firmę audytorską, konsultanta lub biegłego rewidenta — który nie ma zależności organizacyjnej ani finansowej od zleceniodawcy. Niezależność audytora zewnętrznego jest kluczowa dla wiarygodności wyników badania. W przypadku audytu ustawowego sprawozdań finansowych przepisy wprost wymagają niezależności biegłego rewidenta i zakazują świadczenia niektórych usług niebadaniowych na rzecz badanych podmiotów (Polska Agencja Nadzoru Audytowego, PANA, nadzoruje przestrzeganie tych wymogów). Umowa o audyt zewnętrzny zabezpiecza relację między zleceniodawcą a niezależnym audytorem, regulując zakres badania, wynagrodzenie, dostęp do dokumentów i poufność wyników. Wiele organizacji łączy oba rodzaje audytu: audyt wewnętrzny jako bieżące narzędzie zarządzania i audyt zewnętrzny jako potwierdzenie wyników dla organów zewnętrznych, interesariuszy i rady nadzorczej.
Czas trwania audytu zależy od jego rodzaju, zakresu i wielkości organizacji. Audyt RODO dla małej lub średniej firmy trwa zazwyczaj 1-3 dni czynności audytorskich plus czas na przygotowanie raportu (łącznie 2-6 tygodni). Audyt finansowy dużej spółki może trwać kilka tygodni. Audyt IT z testami penetracyjnymi — od kilku dni do kilku tygodni, zależnie od zakresu. Audyt due diligence przy M&A — od tygodnia do kilku miesięcy przy złożonych transakcjach. Czas audytu można skrócić przez: zapewnienie pełnego i sprawnego dostępu do dokumentów i systemów od pierwszego dnia badania, przygotowanie wewnętrznego koordynatora audytu po stronie zleceniodawcy, wcześniejsze zebranie wymaganej dokumentacji w jednym miejscu (wirtualny data room). Skrócenie audytu nie może odbywać się kosztem jego jakości — audytor ma prawo odmówić skrócenia zakresu, jeżeli uzna, że uniemożliwia to rzetelne badanie. Przy skróconym trybie audytu warto ustalić wyraźnie w umowie, że audytor informuje zleceniodawcę o wszelkich ograniczeniach zakresu wynikających ze zbyt krótkich terminów, co zostanie odnotowane w raporcie końcowym.
Niniejszy szablon ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. Przepisy różnią się w zależności od jurysdykcji i zmieniają się z czasem. W sprawie porady dostosowanej do Twojej sytuacji skonsultuj się z wykwalifikowanym prawnikiem.Pełne zastrzeżenie prawne
Znalazłeś błąd? Daj nam znaćRelated Documents
You may also find these documents useful:
Umowa konsultingowa
Wzór umowy konsultingowej w Polsce — doradztwo strategiczne, finansowe, IT, marketingowe i prawne. Reguluje zakres doradztwa, wynagrodzenie ryczałtowe lub godzinowe z VAT 23%, poufność tajemnicy przedsiębiorstwa, zakaz konkurencji i zasady raportowania. Podstawa: art. 750 KC.
Umowa powierzenia przetwarzania danych osobowych
Wzór umowy powierzenia przetwarzania danych osobowych (DPA) zgodnej z art. 28 RODO dla firm w Polsce. Określa obowiązki procesora, środki bezpieczeństwa (art. 32 RODO), zasady podpowierzenia, naruszenia i audyty.
Umowa o zachowaniu poufności (NDA)
Wzór umowy o zachowaniu poufności (NDA) między stronami w Polsce. Reguluje definicję informacji poufnych, cel ujawnienia, okres ochrony oraz karę umowną. Podstawa prawna: art. 11 ustawy o zwalczaniu nieuczciwej konkurencji oraz art. 353¹ i 483 Kodeksu cywilnego.
Umowa o świadczenie usług
Wzór umowy o świadczenie usług między przedsiębiorcami lub z osobą fizyczną w Polsce. Reguluje zakres usług, wynagrodzenie z VAT 23%, fakturowanie, wykonanie osobiste, poufność i wypowiedzenie. Podstawa prawna: art. 750 w zw. z art. 734 Kodeksu cywilnego.