Dziennik resortowy

Dz.Urz.MF.2013.15

| Akt utracił moc
Wersja od: 24 czerwca 2013 r.

KOMUNIKAT Nr 2
MINISTRA FINANSÓW
z dnia 17 czerwca 2013 r.
w sprawie standardów audytu wewnętrznego dla jednostek sektora finansów publicznych

Na podstawie art. 273 ust. 1 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. Nr 157, poz. 1240, z późn. zm.1)) ogłasza się co następuje:
§  1. Określa się "Międzynarodowe standardy praktyki zawodowej audytu wewnętrznego", opracowane przez The Institute of Internal Auditors, jako standardy audytu wewnętrznego dla jednostek sektora finansów publicznych.
§  2. "Międzynarodowe standardy praktyki zawodowej audytu wewnętrznego" stanowią załącznik do komunikatu2).
______

1) Zmiany tekstu wymienionej ustawy zostały ogłoszone w Dz. U. z 2010 r. Nr 28, poz. 146, Nr 96, poz. 620, Nr 123, poz. 835, Nr 152, poz. 1020, Nr 238, poz. 1578 i Nr 257, poz. 1726, z 2011 r. Nr 185, poz. 1092, Nr 201, poz. 1183, Nr 291, poz. 1707, Nr 234, poz. 1386, Nr 185, poz. 1092 i Nr 240, poz. 1429 oraz z 2012 r. poz. 1456, 1530, 1548.

2) Niniejszy komunikat był poprzedzony komunikatem Nr 4 Ministra Finansów z dnia 20 maja 2011 r. w sprawie standardów audytu wewnętrznego dla jednostek sektora finansów publicznych (Dz. Urz. Min. Fin. Nr 5, poz. 23).

ZAŁĄCZNIK

Międzynarodowe standardy

praktyki zawodowej audytu wewnętrznego

Tłumaczenie na język polski

Polish language translation

THE INSTITUTE OF INTERNAL AUDITORS

247 Maitland Avenue

Altamonte Springs, Florida 32701-4201 USA

Copyright © 2009 by The Institute of Internal Auditors Reserch Fundation (IIARF), 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA. All rights reserved.

Permission has been obtained from the copyright holder, The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA, to publish this translation, which is the same as the original in all material respects.

No part of this document may be reproduced, stored in any retrieval system, or transmitted in any form, or by any means electronic, mechanical, photocopying, recording, or otherwise, without prior written permission of the IIA or Stowarzyszenia Audytorów Wewnętrznych IIA Polska, ul. Ogrodowa 28/30 lok. 106, 00-896 Warsaw, Poland.

Zgodę na wydanie tego tłumaczenia, będącego wiernym odzwierciedleniem oryginału, wydał właściciel praw autorskich, The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA.

Żadna część tego dokumentu nie może być reprodukowana, przechowywana w jakimkolwiek systemie przechowywania danych, ani przekazywana w jakiejkolwiek formie, metodą mechaniczną, kserograficzną, poprzez nagrywanie, drogą elektroniczną ani w żaden inny sposób, bez uprzedniego uzyskania pisemnej zgody IIA Global lub Stowarzyszenia Audytorów Wewnętrznych IIA Polska.

Aby uzyskać zgodę na tłumaczenie, adaptację lub odtwarzanie jakiejkolwiek części niniejszego dokumentu prosimy o skontaktowanie się z:

The Institute of Internal Auditors

247 Maitland Avenue

Altamonte Springs, Florida 32701-4201 USA

Phone: +1-407-937-1362

Fax: +1-407-937-1101

ISBN 978-0-89413-639-9

lub

Stowarzyszenie Audytorów Wewnętrznych IIA Polska

Al. Jerozolimskie 44 pok. 530

Warszawa, 00-024

Tel. +48 22 3933950

E-mail: office@iia.org.pl

Data publikacji: październik 2012

Data tłumaczenia: grudzień 2012

Międzynarodowe standardy praktyki zawodowej audytu wewnętrznego

Wprowadzenie do międzynarodowych Standardów

Audyt wewnętrzny jest prowadzony w różnorodnym otoczeniu prawnym i kulturowym, w organizacjach różniących się między sobą celami, wielkością, złożonością oraz strukturą. Audyt wewnętrzny wykonują zarówno osoby z organizacji, jak i spoza niej. Chociaż wyżej wymienione różnice mogą wpływać na praktykę audytu w różnych środowiskach, stosowanie Międzynarodowych standardów praktyki zawodowej audytu wewnętrznego (zwanych dalej Standardami) jest zasadniczym warunkiem wypełniania obowiązków przez audytora wewnętrznego i audyt wewnętrzny.

Jeśli przepisy lub inne regulacje uniemożliwiają audytorom wewnętrznym lub audytowi wewnętrznemu stosowanie części Standardów, konieczne jest odpowiednie ujawnienie tego faktu i stosowanie Standardów w pozostałym zakresie.

Jeżeli Standardy są stosowane równocześnie ze standardami przygotowanymi przez inne uprawnione instytucje, wówczas przy przekazywaniu wyników audytu wewnętrznego można również odwołać się do innego - wykorzystanego w badaniu - zbioru standardów. W takim wypadku, jeżeli występują różnice między stosowanymi zbiorami standardów, audytorzy wewnętrzni i audyt wewnętrzny muszą działać zgodnie ze Standardami IIA. Stosowanie innych standardów jest możliwe, jeśli mają one bardziej restrykcyjny charakter.

Celem Standardów jest:

1. Określenie podstawowych zasad praktyki audytu wewnętrznego.

2. Wyznaczenie ramowych zasad wykonywania i upowszechniania szerokiego zakresu audytu wewnętrznego, przysparzającego organizacji wartości dodanej.

3. Stworzenie podstaw oceny działalności audytu wewnętrznego.

4. Przyczynienie się do usprawniania procesów i działalności operacyjnej organizacji.

Standardy są obowiązkowymi zasadami, składającymi się:

* ze stwierdzeń, określających podstawowe wymogi wobec praktyki zawodowej audytu wewnętrznego i oceny skuteczności działań. Wymogi te stosowane są na całym świecie, na poziomie organizacyjnym i indywidualnym;

* z interpretacji, wyjaśniających terminy lub pojęcia użyte w tych stwierdzeniach.

W Standardach pojawiają się terminy, które zostały wyjaśnione w słowniku znajdującym się na końcu tekstu. W szczególności, w Standardach użyto słów: "musi", aby opisać bezwarunkowy obowiązek oraz "powinien" w sytuacjach, w których oczekiwane jest przestrzeganie danego wymagania, chyba że profesjonalna ocena okoliczności uzasadnia odstępstwo.

Aby w pełni zrozumieć i prawidłowo stosować Standardy, konieczne jest uwzględnianie zarówno stwierdzeń, jak i ich interpretacji oraz znaczeń poszczególnych słów, opisanych w słowniku.

Standardy dzielą się na standardy atrybutów i standardy działania. Standardy atrybutów określają cechy organizacji i osób zajmujących się audytem wewnętrznym. Standardy działania opisują charakter działań audytu wewnętrznego oraz określają kryteria jakościowe służące ich ocenie. Standardy atrybutów i działania dotyczą wszystkich usług audytu wewnętrznego.

Rozwinięciem standardów atrybutów i działania są standardy wdrożenia, które opisują wymagania dotyczące działań zapewniających (A) lub doradczych (C).

Usługi zapewniające obejmują obiektywną ocenę dowodów, dokonywaną przez audytorów wewnętrznych w celu dostarczenia niezależnej opinii lub wniosków na temat jednostki, operacji, funkcji, procesu, systemu lub innego zagadnienia. Charakter zadania zapewniającego oraz jego zakres ustalane są przez audytora wewnętrznego. W usługi te zaangażowane są zwykle trzy strony: (1) osoba lub grupa osób bezpośrednio związanych z jednostką, operacją, funkcją, procesem, systemem lub innym zagadnieniem - właściciel procesu, (2) osoba lub grupa osób, które dokonują oceny - audytor wewnętrzny oraz (3) osoba lub grupa osób, które korzystają z oceny - użytkownik.

Usługi doradcze, ze względu na swój charakter, wykonywane są zwykle w odpowiedzi na konkretne zapotrzebowanie zleceniodawcy. Charakter i zakres zadania doradczego są przedmiotem umowy ze zleceniodawcą. Usługi doradcze zwykle angażują dwie strony: (1) osobę lub grupę osób oferujących doradztwo - audytora wewnętrznego oraz (2) osobę lub grupę osób poszukujących i uzyskujących poradę - zleceniodawcę. Podczas świadczenia usług doradczych audytor wewnętrzny zobowiązany jest zachować obiektywizm i nie przejmować obowiązków kierownictwa.

Standardy dotyczą audytorów wewnętrznych i działań audytu wewnętrznego. Wszyscy audytorzy wewnętrzni zobowiązani są do przestrzegania standardów dotyczących obiektywizmu, biegłości i należytej staranności zawodowej. Dodatkowo, audytorzy wewnętrzni zobowiązani są do przestrzegania standardów, które dotyczą wykonywanych przez nich obowiązków zawodowych. Zarządzający audytem wewnętrznym zobowiązani są do przestrzegania wszystkich standardów.

Przegląd i rozwój Standardów jest procesem ciągłym. Rada ds. Międzynarodowych Standardów Audytu Wewnętrznego prowadzi szeroko zakrojone konsultacje oraz dyskusje przed wydaniem Standardów. Działania te obejmują prezentację projektu na całym świecie i publiczną dyskusję. Wszystkie prezentowane projekty są udostępniane na stronie internetowej IIA i przekazywane do wszystkich instytutów IIA.

Sugestie i komentarze dotyczące standardów można przesyłać do:

The Institute of Internal Auditors

Standards and Guidance

247 Maitland Avenue

Altamonte Springs, FL 32701-4201, USA

E-mail: guidance@theiia.org

Web: http://www.theiia.org

lub do:

Stowarzyszenie Audytorów Wewnętrznych IIA Polska

Al. Jerozolimskie 44 pok. 530

Warszawa, 00-024

Tel. +48 22 3933950

E mail: office@iia.org.pl

Strona internetowa: www.iia.org.pl

STANDARDY ATRYBUTÓW

1000 - Cel, uprawnienia i odpowiedzialność

Cel, uprawnienia i odpowiedzialność audytu wewnętrznego muszą być zgodne z Definicją audytu wewnętrznego, Kodeksem etyki i Standardami oraz formalnie określone w karcie audytu wewnętrznego. Zarządzający audytem wewnętrznym musi okresowo przeglądać i w razie potrzeby aktualizować kartę audytu wewnętrznego. Musi też przedstawiać ją do zatwierdzenia kierownictwu wyższego szczebla i radzie.

Interpretacja:

Karta audytu wewnętrznego to oficjalny dokument określający cel, uprawnienia i odpowiedzialność audytu wewnętrznego. Karta audytu ustala pozycję audytu wewnętrznego w strukturze organizacji, w tym charakter podległości funkcjonalnej między zarządzającym audytem wewnętrznym a radą, uprawnia do dostępu do danych, personelu i majątku rzeczowego w zakresie wymaganym do wykonywania zadań audytowych oraz określa zakres działania audytu wewnętrznego. Karta audytu wewnętrznego jest ostatecznie zatwierdzana przez radę.

1000.A1 - Charakter usług zapewniających świadczonych organizacji musi być określony w karcie audytu wewnętrznego. W przypadku świadczenia usług zapewniających jednostkom spoza organizacji, charakter tych usług również musi być określony w karcie audytu wewnętrznego.

1000.C1 - Charakter usług doradczych musi być określony w karcie audytu wewnętrznego.

1010 - Uznawanie Definicji audytu wewnętrznego, Kodeksu etyki i Standardów w karcie audytu wewnętrznego

Obowiązek stosowania Definicji audytu wewnętrznego, Kodeksu etyki i Standardów musi być uznany w karcie audytu wewnętrznego. Zarządzający audytem wewnętrznym powinien omówić Definicję audytu wewnętrznego, Kodeks etyki i Standardy z kierownictwem wyższego szczebla i radą.

1100 - Niezależność i obiektywizm

Audyt wewnętrzny musi być niezależny, a audytorzy wewnętrzni obiektywni.

Interpretacja:

Niezależność to brak okoliczności, które zagrażają bezstronnemu wykonywaniu obowiązków przez audyt wewnętrzny. W celu osiągnięcia poziomu niezależności niezbędnego do skutecznego wykonywania obowiązków audytu wewnętrznego, zarządzający audytem wewnętrznym ma bezpośredni i nieograniczony dostęp do kierownictwa wyższego szczebla i rady. Można to osiągnąć przez system podwójnego raportowania. Problemy dotyczące niezależności muszą być rozpatrywane i rozwiązywane na szczeblu audytora, zadania, działalności audytu wewnętrznego i jego pozycji w strukturze organizacji.

Obiektywizm to bezstronna postawa intelektualna, pozwalająca audytorom wewnętrznym na przeprowadzanie zadań z wiarą w efekty ich pracy oraz unikaniem jakichkolwiek ustępstw co do jakości. Obiektywizm wymaga, by audytorzy wewnętrzni nie podporządkowywali swoich osądów w sprawach audytu opiniom innych osób. Problemy dotyczące obiektywizmu muszą być rozpatrywane i rozwiązywane na szczeblu audytora, zadania, działalności audytu wewnętrznego i jego pozycji w strukturze organizacji.

1110 - Niezależność organizacyjna

Zarządzający audytem wewnętrznym musi podlegać takiemu szczeblowi zarządzania w organizacji, który pozwoli audytowi wewnętrznemu wypełniać jego obowiązki. Zarządzający audytem wewnętrznym musi, co najmniej raz na rok, potwierdzać radzie organizacyjną niezależność audytu wewnętrznego.

Interpretacja:

Audyt wewnętrzny jest niezależny organizacyjnie wtedy, gdy zarządzający audytem wewnętrznym podlega funkcjonalnie radzie. Podległość funkcjonalna radzie oznacza na przykład, że rada:

* zatwierdza kartę audytu wewnętrznego,

* zatwierdza plan audytu wewnętrznego, oparty na analizie ryzyka,

* zatwierdza budżet i plan zasobów audytu wewnętrznego,

* otrzymuje od zarządzającego audytem wewnętrznym informacje na temat działań audytu wewnętrznego w odniesieniu do planu i innych spraw,

* zatwierdza decyzje w sprawie powołania i odwołania zarządzającego audytem wewnętrznym,

* zatwierdza wynagrodzenie zarządzającego audytem wewnętrznym,

* zadaje pytania kierownictwu i zarządzającemu audytem wewnętrznym, żeby ustalić, czy występują niepożądane ograniczenia zakresu lub zasobów.

1110.A1 - Audyt wewnętrzny nie może być narażony na jakiekolwiek próby narzucenia zakresu audytu, wpływania na sposób wykonywania pracy i informowania o jej wynikach.

1111 - Bezpośrednia współpraca z radą

Zarządzający audytem wewnętrznym musi komunikować się i współpracować bezpośrednio z radą.

1120 - Indywidualny obiektywizm

Audytorzy wewnętrzni muszą być bezstronni i wolni od uprzedzeń. Muszą również unikać konfliktów interesów.

Interpretacja:

Konflikt interesów to sytuacja, gdy audytor wewnętrzny, jako osoba obdarzona zaufaniem, ma sprzeczne interesy zawodowe lub osobiste. Takie sprzeczne interesy mogą utrudniać audytorowi wykonywanie obowiązków w bezstronny sposób. Konflikt interesów istnieje nawet wtedy, gdy nie dochodzi do żadnych nieetycznych lub niewłaściwych działań. Może tworzyć wrażenie niestosownego zachowania, podważając zaufanie do audytora wewnętrznego, działalności audytu wewnętrznego i całego zawodu. Konflikt interesów poddaje w wątpliwość zdolność audytora do wykonywania zadań i obowiązków w obiektywny sposób.

1130 - Naruszenie niezależności lub obiektywizmu

W przypadku rzeczywistego lub domniemanego naruszenia niezależności lub obiektywizmu, szczegóły tego naruszenia muszą zostać ujawnione odpowiednim osobom. Sposób ich ujawnienia zależy od charakteru naruszenia.

Interpretacja:

Naruszenia niezależności organizacyjnej lub indywidualnego obiektywizmu mogą wystąpić m.in. w postaci konfliktu interesów o charakterze osobistym, ograniczenia zakresu badania, ograniczenia w dostępie do danych, personelu i majątku, jak również ograniczenia zasobów, np. finansowania.

Określenie osób, którym należy ujawnić szczegóły naruszenia niezależności lub obiektywizmu zależy od charakteru naruszenia oraz od opisanych w karcie audytu oczekiwań wobec audytu wewnętrznego i obowiązków zarządzającego audytem wewnętrznym względem kierownictwa wyższego szczebla i rady.

1130.A1 - Audytorzy wewnętrzni muszą powstrzymać się od oceny działalności operacyjnej, za którą byli uprzednio odpowiedzialni. Ograniczenie obiektywizmu ma miejsce wtedy, gdy audytor wewnętrzny świadczy usługi zapewniające dotyczące działań, za które był odpowiedzialny w ciągu roku poprzedzającego badanie.

1130.A2 - Zadania zapewniające dotyczące obszarów, za które odpowiada zarządzający audytem wewnętrznym muszą być nadzorowane przez osobę spoza audytu wewnętrznego.

1130.C1 - Audytorzy wewnętrzni mogą świadczyć usługi doradcze także w zakresie działań operacyjnych, za które byli uprzednio odpowiedzialni.

1130.C2 - Jeżeli z związku z wykonaniem proponowanej usługi doradczej może nastąpić ograniczenie niezależności lub obiektywizmu audytorów wewnętrznych, informacja ta musi zostać ujawniona zleceniodawcy przed podjęciem się zadania.

1200 - Biegłość i należyta staranność zawodowa

Zadania muszą być wykonywane z biegłością i należytą starannością zawodową.

1210 - Biegłość

Audytorzy wewnętrzni muszą posiadać wiedzę, umiejętności i inne kompetencje potrzebne do wykonywania ich indywidualnych obowiązków. Audyt wewnętrzny jako zespół musi posiadać lub zdobyć wiedzę, umiejętności i inne kompetencje niezbędne do wykonywania jego obowiązków.

Interpretacja:

Wiedza, umiejętności i inne kompetencje to ogólne określenie odnoszące się do zawodowej biegłości wymaganej od audytorów wewnętrznych, aby mogli skutecznie wykonywać swoje obowiązki. Zachęca się audytorów wewnętrznych do potwierdzenia biegłości poprzez zdobywanie odpowiednich dyplomów zawodowych i innych potwierdzeń kwalifikacji, takich jak tytuł Dyplomowanego Audytora Wewnętrznego (CIA) i inne tytuły oferowane przez Instytut Audytorów Wewnętrznych oraz inne odpowiednie organizacje zawodowe.

1210.A1 - Jeżeli audytorom wewnętrznym brakuje wiedzy, umiejętności lub innych kompetencji niezbędnych do wykonania całości lub części zadania, zarządzający audytem wewnętrznym musi pozyskać odpowiednią pomoc i wsparcie merytoryczne.

1210.A2 - Audytorzy wewnętrzni muszą mieć wystarczającą wiedzę pozwalającą na oszacowanie ryzyka oszustwa oraz ocenę sposobu zarządzania tym ryzykiem w organizacji, ale nie oczekuje się od nich posiadania wiedzy specjalistycznej wymaganej od osób, których podstawowym obowiązkiem jest wykrywanie i prowadzenie dochodzeń w sprawie oszustw.

1210.A3 - Audytorzy wewnętrzni muszą posiadać wiedzę o podstawowych ryzykach i mechanizmach kontrolnych związanych z wykorzystaniem informatyki oraz znać dostępne wspomagane komputerowo techniki audytu. Jednakże nie od wszystkich audytorów wewnętrznych oczekuje się wiedzy specjalistycznej, takiej jak od audytorów, których podstawowym obowiązkiem jest audyt informatyczny.

1210.C1 - Jeżeli audytorom wewnętrznym brakuje wiedzy, umiejętności lub innych kompetencji niezbędnych do wykonania całości lub części zadania doradczego, zarządzający audytem wewnętrznym musi odmówić realizacji takiego zadania lub pozyskać odpowiednią pomoc i wsparcie merytoryczne.

1220 - Należyta staranność zawodowa

Audytorzy wewnętrzni muszą wykazywać się starannością i umiejętnościami, jakich oczekuje się od odpowiednio rozważnego i kompetentnego audytora wewnętrznego. Należyta staranność zawodowa nie oznacza nieomylności.

1220.A1 - Audytorzy wewnętrzni muszą działać z należytą starannością zawodową, uwzględniając:

* zakres pracy niezbędny do osiągnięcia celów zadania;

* względną złożoność, istotność oraz znaczenie spraw, do których stosowane są procedury zapewniające;

* adekwatność i skuteczność procesów: kształtujących ład organizacyjny, zarządzania ryzykiem i kontroli;

* prawdopodobieństwo wystąpienia istotnych błędów, oszustw lub niezgodności;

* koszt realizacji zadania zapewniającego w porównaniu z potencjalnymi korzyściami.

1220.A2 - Działając z należytą starannością zawodową audytorzy wewnętrzni muszą rozważyć możliwość użycia technik audytowych wykorzystujących technologie informatyczne oraz innych technik analizy danych.

1220.A3 - Audytorzy wewnętrzni muszą być wyczuleni na znaczące ryzyka, które mogą wpływać na cele, działalność operacyjną i zasoby organizacji. Jednakże same procedury zapewniające, nawet przeprowadzane z należytą starannością zawodową nie gwarantują, że wszystkie znaczące ryzyka zostaną zidentyfikowane.

1220.C1 - Realizując zadanie doradcze audytorzy wewnętrzni muszą postępować z należytą starannością zawodową, uwzględniając:

* potrzeby i oczekiwania zleceniodawców, przede wszystkim co do charakteru zadania, terminu wykonania i sposobu informowania o wynikach;

* względną złożoność i zakres prac niezbędnych do osiągnięcia celów zadania;

* koszt realizacji zadania doradczego w porównaniu z potencjalnymi korzyściami.

1230 - Ciągły rozwój zawodowy

Audytorzy wewnętrzni muszą poszerzać swoją wiedzę, umiejętności i inne kompetencje poprzez ciągły rozwój zawodowy.

1300 - Program zapewnienia i poprawy jakości

Zarządzający audytem wewnętrznym musi opracować i realizować program zapewnienia i poprawy jakości, obejmujący wszystkie aspekty działalności audytu wewnętrznego.

Interpretacja:

Celem programu zapewnienia i poprawy jakości jest umożliwienie dokonania oceny, czy działalność audytu wewnętrznego jest zgodna z Definicją audytu wewnętrznego i ze Standardami oraz czy audytorzy wewnętrzni stosują Kodeks etyki. Program służy także do oceny wydajności i skuteczności audytu wewnętrznego oraz do identyfikacji możliwości poprawy.

1310 - Wymagania dotyczące programu zapewnienia i poprawy jakości

Program zapewnienia i poprawy jakości musi uwzględniać zarówno oceny wewnętrzne, jak i zewnętrzne.

1311 - Oceny wewnętrzne

Oceny wewnętrzne muszą obejmować:

* bieżące monitorowanie działalności audytu wewnętrznego;

* okresowe samooceny lub oceny przeprowadzane przez inne osoby - w ramach organizacji - posiadające wystarczającą znajomość praktyki audytu wewnętrznego.

Interpretacja:

Bieżące monitorowanie jest integralną częścią codziennego nadzoru, przeglądu i pomiaru działalności audytu wewnętrznego. Jest też nieodłączną częścią codziennych zasad i praktyki zarządzania audytem wewnętrznym. Wykorzystuje procesy, narzędzia i informacje konieczne do oceny zgodności z Definicją audytu wewnętrznego, Kodeksem etyki i Standardami.

Okresowe oceny służą do oceny zgodności z Definicją audytu wewnętrznego, Kodeksem etyki i Standardami.

Wystarczająca znajomość praktyki audytu wewnętrznego wymaga co najmniej zrozumienia wszystkich elementów Międzynarodowych ramowych zasad praktyki zawodowej.

1312 - Oceny zewnętrzne

Oceny zewnętrzne muszą być przeprowadzane co najmniej raz na pięć lat przez wykwalifikowaną, niezależną osobę lub zespół spoza organizacji. Zarządzający audytem wewnętrznym musi omówić z radą:

* formę i częstotliwość oceny zewnętrznej;

* kwalifikacje i niezależność osoby lub zespołu oceniającego, w tym wszelkie potencjalne konflikty interesów.

Interpretacja:

Oceny zewnętrzne mogą być przeprowadzane w formie pełnej zewnętrznej oceny lub samooceny z niezależną walidacją.

Wykwalifikowana osoba lub zespół oceniający posiadają kompetencje w dwóch obszarach: praktyce audytu wewnętrznego i procesie oceny zewnętrznej. Kompetencje mogą wynikać z połączenia doświadczenia i wiedzy teoretycznej. Doświadczenie zdobyte w organizacjach podobnych pod względem wielkości, złożoności, specyfiki i sektora lub branży jest cenniejsze niż doświadczenie zdobyte w innych organizacjach. W przypadku zespołu oceniającego nie każdy członek musi posiadać wszystkie kompetencje; wykwalifikowany jest zespół jako całość. Oceniając, czy dana osoba lub zespół posiadają wystarczające kompetencje by uznać ich za wykwalifikowanych, zarządzający audytem wewnętrznym posługuje się zawodowym osądem.

Niezależność osoby lub zespołu oceniającego oznacza, że nie występuje rzeczywisty lub domniemany konflikt interesów i osoby te nie są częścią, ani nie pozostają pod kontrolą organizacji, której audyt wewnętrzny jest oceniany.

1320 - Sprawozdawczość dotycząca programu zapewnienia i poprawy jakości

Zarządzający audytem wewnętrznym musi przekazać kierownictwu wyższego szczebla i radzie wyniki programu zapewnienia i poprawy jakości.

Interpretacja:

Forma, zawartość i częstotliwość informowania o wynikach programu zapewnienia i poprawy jakości są ustalane w drodze dyskusji z kierownictwem wyższego szczebla i radą. Uwzględniają opisane w karcie audytu obowiązki audytu wewnętrznego i zarządzającego audytem wewnętrznym. W celu poinformowania kierownictwa wyższego szczebla i rady o zgodności z Definicją audytu wewnętrznego, Kodeksem etyki i Standardami, wyniki zewnętrznej oraz okresowej wewnętrznej oceny są przekazywane po zakończeniu procesu oceny, natomiast wyniki bieżącego monitorowania - co najmniej raz na rok. Wyniki zawierają ocenę stopnia zgodności wydaną przez osobę lub zespół oceniający.

1321 - Użycie formuły "zgodny z Międzynarodowymi standardami praktyki zawodowej audytu wewnętrznego"

Zarządzający audytem wewnętrznym może stwierdzić, że audyt wewnętrzny funkcjonuje zgodnie z Międzynarodowymi standardami praktyki zawodowej audytu wewnętrznego tylko wtedy, gdy wyniki programu zapewnienia i poprawy jakości potwierdzają ten stan.

Interpretacja:

Audyt wewnętrzny funkcjonuje zgodnie ze Standardami wtedy, gdy osiąga rezultaty opisane w Definicji audytu wewnętrznego, Kodeksie etyki i Standardach. Wyniki programu zapewnienia i poprawy jakości obejmują zarówno oceny wewnętrzne, jak i zewnętrzne. Wszystkie działania audytu wewnętrznego będą objęte wynikami ocen wewnętrznych. Działania audytu wewnętrznego wykonywane od co najmniej pięciu lat będą objęte także wynikami ocen zewnętrznych.

1322 - Ujawnienie braku zgodności

W sytuacji, gdy wystąpiła niezgodność z Definicją audytu wewnętrznego, Kodeksem etyki lub Standardami, która ma wpływ na ogólny zakres działalności audytu wewnętrznego, zarządzający audytem wewnętrznym musi ujawnić tę niezgodność i jej skutki kierownictwu wyższego szczebla i radzie.

STANDARDY DZIAŁANIA

2000 - Zarządzanie audytem wewnętrznym

Zarządzający audytem wewnętrznym musi skutecznie zarządzać audytem wewnętrznym, tak aby zapewnić przysporzenie organizacji wartości dodanej.

Interpretacja:

Zarządzanie audytem wewnętrznym jest skuteczne, gdy:

* wyniki pracy audytu wewnętrznego wskazują na osiągnięcie celów i wypełnienie obowiązków określonych w karcie audytu wewnętrznego;

* działalność audytu wewnętrznego jest zgodna z Definicją audytu wewnętrznego i ze Standardami;

* pracownicy audytu wewnętrznego przestrzegają Kodeksu etyki i Standardów.

Audyt wewnętrzny przysparza wartości organizacji (i jej interesariuszom), kiedy dostarcza obiektywnego zapewnienia w istotnych kwestiach oraz przyczynia się do skuteczności i wydajności procesów: ładu organizacyjnego, zarządzania ryzykiem i kontroli.

2010 - Planowanie

Zarządzający audytem wewnętrznym musi opracować plan oparty na analizie ryzyka, określający priorytety działań audytu wewnętrznego zgodne z celami organizacji.

Interpretacja:

Zarządzający audytem wewnętrznym jest odpowiedzialny za stworzenie planu opartego na analizie ryzyka. Korzysta przy tym z istniejącego systemu zarządzania ryzykiem w organizacji, w tym informacji o poziomach apetytu na ryzyko, ustalonych przez kierownictwo dla różnych działań lub części organizacji. Jeśli taki system nie istnieje, zarządzający audytem wewnętrznym dokonuje oceny ryzyka po rozważeniu informacji otrzymanych od kierownictwa wyższego szczebla i rady. Zarządzający audytem wewnętrznym musi w razie potrzeby przejrzeć i dostosować plan do zmian zachodzących w organizacji, ryzykach, operacjach, programach, systemach i kontrolach.

2010.A1 - Plan zadań audytu wewnętrznego musi opierać się na udokumentowanej ocenie ryzyka, przeprowadzanej co najmniej raz w roku. W procesie planowania musi być uwzględniony wkład wyższego kierownictwa i rady.

2010.A2 - Przed sformułowaniem przez audyt wewnętrzny opinii i innych wniosków, zarządzający audytem wewnętrznym musi poznać i rozważyć oczekiwania kierownictwa wyższego szczebla, rady i innych interesariuszy.

2010.C1 - Rozważając przyjęcie proponowanych zadań doradczych, zarządzający audytem wewnętrznym powinien wziąć pod uwagę, w jakim stopniu możliwe będzie usprawnienie zarządzania ryzykiem, przysporzenie wartości oraz usprawnienie działalności operacyjnej organizacji. Przyjęte zadania muszą być uwzględnione w planie zadań.

2020 - Informowanie i zatwierdzanie

Zarządzający audytem wewnętrznym musi informować kierownictwo wyższego szczebla i radę o planach audytu wewnętrznego, zasobach niezbędnych do ich realizacji oraz o pojawiających się znaczących zmianach w tym zakresie. Kierownictwo wyższego szczebla i rada przeglądają i zatwierdzają te plany, zasoby i zmiany. Zarządzający audytem wewnętrznym musi także informować o skutkach ograniczeń w zasobach.

2030 - Zarządzanie zasobami

Zarządzający audytem wewnętrznym musi zapewnić zasoby odpowiednie i wystarczające do realizacji zatwierdzonego planu, jak również zadbać o ich efektywne wykorzystanie.

Interpretacja:

"Odpowiednie" odnosi się do wiedzy, umiejętności i innych kompetencji niezbędnych do realizacji planu. "Wystarczające" odnosi się do ilości zasobów niezbędnych do wykonania planu. "Efektywnie wykorzystane" oznacza, że zasoby są używane w sposób optymalizujący realizację zatwierdzonego planu.

2040 - Zasady i procedury

Zarządzający audytem wewnętrznym musi ustalić zasady i procedury służące kierowaniu audytem wewnętrznym.

Interpretacja:

Forma i zawartość zasad i procedur zależą od wielkości i struktury audytu wewnętrznego oraz złożoności jego pracy.

2050 - Koordynowanie

W celu zapewnienia odpowiedniego zakresu audytu i minimalizacji powielania wysiłków, zarządzający audytem wewnętrznym powinien wymieniać informacje i koordynować działania zarówno z wewnętrznymi, jak i zewnętrznymi wykonawcami usług zapewniających i doradczych.

2060 - Składanie sprawozdań kierownictwu wyższego szczebla i radzie

Zarządzający audytem wewnętrznym musi składać kierownictwu wyższego szczebla i radzie okresowe sprawozdania na temat celu działania audytu wewnętrznego, uprawnień, odpowiedzialności oraz stopnia wykonania planu. Sprawozdania muszą również obejmować zagadnienia dotyczące systemu kontroli, ładu organizacyjnego, znaczącego ryzyka, na jakie narażona jest organizacja (w tym ryzyka oszustwa) oraz inne, których omówienia wymaga lub oczekuje kierownictwo wyższego szczebla i rada.

Interpretacja:

Częstotliwość składania i zawartość sprawozdań są ustalane w drodze dyskusji z kierownictwem wyższego szczebla i radą; zależy od istotności przekazywanych informacji oraz pilności związanych z nimi działań, które ma podjąć kierownictwo wyższego szczebla lub rada.

2070 - Usługodawca zewnętrzny a odpowiedzialność organizacji za audyt wewnętrzny

Jeśli audyt wewnętrzny jest prowadzony przez zewnętrznego usługodawcę, musi on poinformować organizację o jej odpowiedzialności za posiadanie skutecznego audytu wewnętrznego.

Interpretacja:

Organizacja wykazuje tę odpowiedzialność realizując program zapewnienia i poprawy jakości, który ocenia zgodność audytu z Definicją audytu wewnętrznego, Kodeksem etyki i Standardami.

2100 - Charakter pracy

Stosując systematyczne i uporządkowane podejście, audyt wewnętrzny musi dokonywać oceny i przyczyniać się do usprawniania procesów: ładu organizacyjnego, zarządzania ryzykiem i kontroli.

2110 - Ład organizacyjny

Audyt wewnętrzny musi oceniać procesy kształtujące ład organizacyjny i przedstawiać stosowne zalecenia usprawnienia tych procesów, tak by osiągane były następujące cele:

* promowanie odpowiednich zasad etyki i wartości w organizacji;

* zapewnianie skutecznego zarządzania efektywnością działań organizacji i odpowiedzialności za wyniki;

* przekazywanie informacji o ryzykach i kontroli do odpowiednich obszarów organizacji;

* koordynowanie działań i przekazywanie informacji pomiędzy radą, audytorami zewnętrznymi i wewnętrznymi oraz kierownictwem.

2110.A1 - Audyt wewnętrzny musi oceniać cele, a także sposób zaprojektowania i wdrożenia oraz skuteczność programów i działań organizacji w zakresie etyki.

2110.A2 - Audyt wewnętrzny musi oceniać, czy zarządzanie technologią informatyczną wspiera osiąganie celów i realizację strategii organizacji.

2120 - Zarządzanie ryzykiem

Audyt wewnętrzny musi oceniać skuteczność i przyczyniać się do usprawnienia procesów zarządzania ryzykiem.

Interpretacja:

Audytor wewnętrzny uważa procesy zarządzania ryzykiem za skuteczne, jeśli z jego oceny wynika, że:

* cele organizacji wspierają misję organizacji i są z nią zgodne;

* istotne ryzyka zostały zidentyfikowane i ocenione;

* wybrano odpowiedni sposób reakcji na ryzyko, zgodny z apetytem organizacji na dane ryzyko;

* istotne informacje o ryzyku są zbierane i na czas przekazywane wewnątrz organizacji, umożliwiając pracownikom, kierownictwu i radzie wykonywanie obowiązków.

Audyt wewnętrzny może w trakcie różnych zadań zbierać informacje potrzebne do wyrażenia powyższej oceny. Wyniki tych zadań, zebrane razem, dadzą obraz procesów zarządzania ryzykiem w organizacji i ich skuteczności.

Procesy zarządzania ryzykiem są monitorowane w ramach bieżącego zarządzania, odrębnych ocen lub na oba te sposoby.

2120.A1 - Audyt wewnętrzny musi oceniać, w jakim stopniu ład organizacyjny, działalność operacyjna i systemy informatyczne organizacji są narażone na ryzyko związane z:

* osiągnięciem celów strategicznych organizacji,

* wiarygodnością i rzetelnością informacji finansowych i operacyjnych;

* skutecznością i wydajnością działalności operacyjnej i programów,

* ochroną aktywów;

* zgodnością z prawem, przepisami, zasadami, procedurami i umowami.

2120.A2 - Audyt wewnętrzny musi oceniać możliwość wystąpienia oszustwa i sposób zarządzania ryzykiem oszustwa w organizacji.

2120.C1 - W trakcie wykonywania zadań doradczych audytorzy wewnętrzni muszą odnieść się do ryzyk powiązanych z celami zadania. Muszą być także wyczuleni na możliwość istnienia innych znaczących ryzyk.

2120.C2 - Audytorzy wewnętrzni muszą wykorzystywać wiedzę o ryzykach uzyskaną w trakcie wykonywania zadań doradczych do oceny procesów zarządzania ryzykiem w organizacji.

2120.C3 - Pomagając kierownictwu w tworzeniu lub usprawnianiu procesów zarządzania ryzykiem, audytorzy wewnętrzni muszą powstrzymać się od przejmowania jakichkolwiek obowiązków kierownictwa i faktycznego zarządzania ryzykami.

2130 - Kontrola

Audyt wewnętrzny musi wspierać organizację w utrzymaniu skutecznych mechanizmów kontrolnych poprzez ocenę ich skuteczności i wydajności oraz promowanie ciągłego usprawniania.

2130.A1 - Audyt wewnętrzny musi oceniać, czy mechanizmy kontrolne odpowiednio i skutecznie reagują na ryzyka dotyczące ładu organizacyjnego, działalności operacyjnej i systemów informatycznych w zakresie:

* osiągnięcia celów strategicznych organizacji,

* wiarygodności i rzetelności informacji finansowych i operacyjnych,

* skuteczności i wydajności działalności operacyjnej i programów,

* ochrony aktywów,

* zgodności z prawem, przepisami, zasadami procedurami i umowami.

2130.C1 - Audytorzy wewnętrzni muszą wykorzystywać wiedzę o mechanizmach kontrolnych uzyskaną w trakcie wykonywania zadań doradczych do oceny procesów kontroli w organizacji.

2200 - Planowanie zadania

Audytorzy wewnętrzni muszą opracować i udokumentować plan (program) każdego zadania, obejmujący cele i zakres zadania, czas potrzebny do jego realizacji oraz niezbędne zasoby.

2201 - Aspekty planowania

Planując zadanie audytorzy wewnętrzni muszą rozważyć:

* cele badanej działalności i środki, za pomocą których kontroluje się wyniki tej działalności;

* istotne ryzyka dotyczące danej działalności, jej celów, zasobów i operacji, jak również środki, za pomocą których potencjalny wpływ ryzyka jest utrzymywany na akceptowalnym poziomie;

* adekwatność i skuteczność procesów: ładu organizacyjnego, zarządzania ryzykiem i kontroli danej działalności w porównaniu z odpowiednimi koncepcjami ramowymi lub modelami;

* możliwości wprowadzenia istotnych usprawnień procesów: ładu organizacyjnego, zarządzania ryzykiem i kontroli danej działalności.

2201.A1 - Jeżeli planowane jest zadanie dla jednostek spoza organizacji, audytorzy wewnętrzni muszą pisemnie uzgodnić z nimi cele, zakres, podział obowiązków oraz inne oczekiwania, łącznie z ograniczeniami dotyczącymi rozpowszechniania wyników i dostępu do dokumentacji zadania.

2201.C1 - Audytorzy wewnętrzni muszą uzgodnić ze zleceniodawcami zadań doradczych cele, zakres, podział obowiązków oraz inne oczekiwania. W przypadku znaczących zadań takie uzgodnienia muszą być udokumentowane.

2210 - Cele zadania

Cele muszą zostać ustalone dla każdego zadania.

2210.A1 - Audytorzy wewnętrzni muszą przeprowadzić wstępną ocenę ryzyk związanych z badaną działalnością. Wyniki tej oceny muszą być odzwierciedlone w celach zadania.

2210.A2 - Ustalając cele zadania audytorzy wewnętrzni muszą rozważyć prawdopodobieństwo wystąpienia istotnych błędów, oszustw, niezgodności i innych zagrożeń.

2210.A3 - Do oceny ładu organizacyjnego, zarządzania ryzykiem i mechanizmów kontrolnych niezbędne są odpowiednie kryteria. Audytorzy wewnętrzni muszą ustalić, w jakim stopniu przyjęte przez kierownictwo i/lub radę kryteria oceny realizacji celów i zadań są właściwe (odpowiednie). Jeżeli kryteria są właściwe, audytorzy wewnętrzni muszą wykorzystywać je w swoich ocenach. Jeżeli kryteria są nieodpowiednie, audytorzy wewnętrzni muszą wspólnie z kierownictwem i/lub radą wypracować właściwe kryteria oceny.

2210.C1 - Cele zadań doradczych muszą odnosić się do procesów: ładu organizacyjnego, zarządzania ryzykiem i kontroli w zakresie uzgodnionym ze zleceniodawcą.

2210.C2 - Cele zadań doradczych muszą być zgodne z wartościami, strategiami i celami organizacji.

2220 - Zakres zadania

Ustalony zakres zadania musi być wystarczający do realizacji celów zadania.

2220.A1 - Zakres zadania musi uwzględniać związane z celami zadania systemy, dokumentację, personel i majątek rzeczowy, łącznie z tymi, które znajdują się pod kontrolą osób trzecich.

2220.A2 - Jeżeli w trakcie realizacji zadania zapewniającego pojawią się istotne możliwości świadczenia usług doradczych, należy zawrzeć odrębne pisemne porozumienie ustalające cele, zakres, podział obowiązków oraz inne oczekiwania, a wyniki zadania doradczego należy przedstawić zgodnie ze standardami dla zadań doradczych.

2220.C1 - Wykonując zadania doradcze audytorzy wewnętrzni muszą zapewnić, że zakres zadania jest wystarczający, by objąć nim uzgodnione wcześniej cele. Jeśli w trakcie wykonywania zadania audytorzy wewnętrzni mieliby jakieś zastrzeżenia do zakresu, to muszą omówić je ze zleceniodawcą, który zdecyduje, czy zadanie będzie kontynuowane.

2220.C2 - W trakcie wykonywania zadań doradczych audytorzy wewnętrzni muszą odnieść się do mechanizmów kontrolnych wchodzących w zakres danego zadania (powiązanych z jego celami). Muszą też zwracać uwagę na istotne kwestie związane z systemem kontroli wewnętrznej.

2230 - Przydział zasobów

Audytorzy wewnętrzni muszą określić zasoby, które będą odpowiednie i wystarczające do osiągnięcia celów zadania. Określenie to opiera się na ocenie charakteru i złożoności każdego zadania, ograniczeniach czasowych oraz dostępnych zasobach.

2240 - Program zadania

Audytorzy wewnętrzni muszą opracować i udokumentować program zadania pozwalający na osiągnięcie celów zadania.

2240.A1 - Programy zadań muszą zawierać procedury identyfikacji, analizy, oceny i dokumentowania informacji w toku realizacji zadania. Program musi zostać zatwierdzony przed jego zastosowaniem (rozpoczęciem prac), a wszelkie zmiany muszą być niezwłocznie akceptowane.

2240.C1 - Programy zadań doradczych mogą mieć różną formę i treść, zależnie od charakteru zadania.

2300 - Wykonywanie zadania

Audytorzy wewnętrzni muszą zbierać, analizować, oceniać i dokumentować informacje wystarczające do osiągnięcia celów zadania.

2310 - Zbieranie informacji

Audytorzy wewnętrzni muszą zebrać informacje, które dotyczą zadania, są wystarczające, wiarygodne i przydatne do osiągnięcia jego celów.

Interpretacja:

Informacja wystarczająca jest rzeczowa, odpowiednia i przekonująca, tak że rozważna, dobrze poinformowana osoba doszłaby na jej podstawie do tych samych wniosków co audytor. Informacja wiarygodna to najlepsza informacja możliwa do uzyskania przy pomocy odpowiednich technik audytu. Informacja dotyczy zadania, jeśli stanowi podstawę ustaleń i zaleceń oraz jest zgodna z celami zadania. Informacja przydatna pomaga organizacji osiągnąć cele.

2320 - Analiza i ocena

Audytorzy wewnętrzni muszą opierać wnioski i wyniki zadania na odpowiednich analizach i ocenach.

2330 - Dokumentowanie informacji

Audytorzy wewnętrzni muszą dokumentować informacje dotyczące zadania, stanowiące podstawę wniosków i wyników.

2330.A1 - Zarządzający audytem wewnętrznym musi kontrolować dostęp do dokumentacji zadania. Przed udostępnieniem takiej dokumentacji osobom z zewnątrz zarządzający audytem, w zależności od sytuacji, musi uzyskać zgodę kierownictwa wyższego szczebla i/lub opinię prawną.

2330.A2 - Zarządzający audytem wewnętrznym musi opracować wymagania dotyczące archiwizacji dokumentacji zadań, niezależnie od nośnika, na którym jest ona zapisana. Wymagania te muszą być zgodne z wytycznymi organizacji oraz innymi obowiązującymi przepisami i wymogami.

2330.C1 - Zarządzający audytem wewnętrznym musi opracować zasady archiwizacji i sprawowania pieczy nad dokumentacją zadań doradczych oraz zasady jej udostępnienia, w tym także osobom spoza organizacji. Zasady te muszą być zgodne z wytycznymi organizacji oraz innymi obowiązującymi przepisami i wymogami.

2340 - Nadzorowanie zadania

Zadania muszą być odpowiednio nadzorowane, by zapewnić osiągnięcie celów, odpowiednią jakość prac i rozwój personelu.

Interpretacja:

Zakres wymaganego nadzoru zależy od biegłości i doświadczenia audytorów wewnętrznych oraz złożoności zadania. Zarządzający audytem wewnętrznym ponosi ogólną odpowiedzialność za nadzór nad zadaniem, zarówno wykonywanym przez, jak i na rzecz audytu wewnętrznego, ale może delegować odpowiednio doświadczonych członków zespołu audytowego do dokonywania przeglądu. Nadzór należy odpowiednio udokumentować, a dokumentację przechowywać.

2400 - Informowanie o wynikach

Audytorzy wewnętrzni muszą informować o wynikach zadań.

2410 - Kryteria informowania

Informacja musi obejmować cele i zakres zadania oraz odpowiednie wnioski, zalecenia i plany działań.

2410.A1 - Tam gdzie to uzasadnione, ostateczna informacja o wynikach zadania musi zawierać opinię i/lub wnioski audytora wewnętrznego. Opinia lub wnioski muszą uwzględniać oczekiwania kierownictwa wyższego szczebla, rady i innych interesariuszy i muszą być poparte wystarczającymi, rzetelnymi, przydatnymi i dotyczącymi zadania informacjami.

Interpretacja:

Opinie w zadaniach mogą przybierać formę ocen, wniosków lub innych opisów wyników. Zadania, w których wyrażenie opinii jest uzasadnione, mogą dotyczyć mechanizmów kontrolnych w konkretnym procesie lub jednostce organizacyjnej, lub odpowiadających na konkretne ryzyko. Do sformułowania opinii konieczne jest rozważenie wyników zadania i ich znaczenia.

2410.A2 - Zachęca się audytorów wewnętrznych do przekazywania informacji o dobrej pracy audytowanego.

2410.A3 - Kiedy wyniki zadania są udostępniane osobom spoza organizacji, osoby te muszą być poinformowane o ograniczeniu rozpowszechniania i wykorzystania wyników.

2410.C1 - Informacja o postępach i wynikach zadań doradczych będzie miała różną formę i treść, zależnie od charakteru zadania i potrzeb zleceniodawcy.

2420 - Jakość informacji

Przekazywane informacje muszą być dokładne, obiektywne, jasne, zwięzłe, konstruktywne, kompletne oraz dostarczone na czas.

Interpretacja:

Dokładne informacje są wolne od błędów i zniekształceń, wiernie odzwierciedlają fakty. Obiektywne informacje są rzetelne i bezstronne; wynikają z wyważonej i dokonanej bez uprzedzeń oceny wszystkich związanych z zadaniem faktów i okoliczności. Jasne informacje są logiczne i łatwe do zrozumienia; unikają niepotrzebnego języka technicznego (żargonu zawodowego) i zawierają wszystkie ważne informacje dotyczące zadania. Zwięzłe informacje dotyczą przedmiotu zadania, nie zawierają niepotrzebnych wywodów, nadmiernych szczegółów, powtórzeń i rozwlekłości. Konstruktywne informacje są przydatne audytowanemu i organizacji, i w razie potrzeby prowadzą do usprawnień. Kompletnym informacjom nie brakuje niczego, co jest niezbędne dla odbiorców; zawierają one wszelkie znaczące i dotyczące zadania elementy i ustalenia, będące podstawą wniosków i zaleceń. Informacje "na czas" są przygotowane i przekazane w odpowiednim terminie, w zależności od istotności zagadnienia, tak by umożliwić kierownictwu podjęcie odpowiednich działań korygujących.

2421 - Błędy i pominięcia

Jeśli ostateczna informacja o wynikach zawiera znaczące błędy lub pominięcia, zarządzający audytem wewnętrznym musi przekazać poprawioną informację wszystkim, którzy otrzymali pierwotną wersję.

2430 - Użycie formuły "przeprowadzono zgodnie z Międzynarodowymi standardami profesjonalnej praktyki zawodowej audytu wewnętrznego"

Audytorzy wewnętrzni mogą użyć stwierdzenia, że zadania zostały przeprowadzone zgodnie z Międzynarodowymi standardami praktyki zawodowej audytu wewnętrznego tylko wtedy, gdy wyniki programu zapewnienia i poprawy jakości potwierdzają ten stan.

2431 - Ujawnienie nieprzestrzegania

Jeśli nieprzestrzeganie Definicji audytu wewnętrznego, Kodeksu etyki lub Standardów wpływa na dane zadanie, to informacja o wynikach musi ujawniać:

* które zasady ogólne lub postępowania w Kodeksie etyki lub Standard(y) nie były w pełni przestrzegane;

* przyczynę(y) ich nieprzestrzegania;

* wpływ nieprzestrzegania na zadanie i na przekazane wyniki.

2440 - Przekazywanie wyników

Zarządzający audytem wewnętrznym musi przekazać wyniki właściwym osobom.

Interpretacja:

Zarządzający audytem wewnętrznym jest odpowiedzialny za przejrzenie i zatwierdzenie ostatecznej informacji z zadania przed jej udostępnieniem oraz decyzję, komu i w jaki sposób będzie ona przekazana. Jeśli zarządzający audytem wewnętrznym deleguje te obowiązki, nadal ponosi ogólną odpowiedzialność.

2440.A1 - Zarządzający audytem wewnętrznym jest odpowiedzialny za przekazanie ostatecznych wyników osobom, które mogą zapewnić poświęcenie im odpowiedniej uwagi.

2440.A2 - O ile wymogi prawne, statutowe lub regulaminowe nie stanowią inaczej, przed udostępnieniem wyników osobom spoza organizacji, zarządzający audytem wewnętrznym musi:

* ocenić potencjalne ryzyko dla organizacji;

* skonsultować się odpowiednio z kierownictwem wyższego szczebla i/lub radcą prawnym;

* kontrolować rozpowszechnianie wyników, ograniczając możliwości ich wykorzystania.

2440.C1 - Zarządzający audytem wewnętrznym jest odpowiedzialny za przekazanie zleceniodawcom ostatecznych wyników zadania.

2440.C2 - W trakcie wykonywania zadań doradczych mogą pojawić się kwestie związane z ładem organizacyjnym, zarządzaniem ryzykiem i kontrolą. Zawsze, gdy kwestie te są istotne dla organizacji, muszą być przekazane kierownictwu wyższego szczebla i radzie.

2450 - Ogólne opinie

Jeśli wydawana jest ogólna opinia, musi uwzględniać oczekiwania kierownictwa wyższego szczebla, rady i innych interesariuszy, i musi być poparta wystarczającymi, rzetelnymi, przydatnymi i dotyczącymi zadania informacjami.

Interpretacja:

Informacja będzie obejmowała:

* zakres, w tym okres którego opinia dotyczy;

* ograniczenia zakresu;

* wszystkie powiązane projekty, w tym te, w których polegano na zapewnieniach udzielonych przez innych usługodawców;

* zasady ramowe ryzyka lub kontroli, lub inne kryteria użyte jako podstawa ogólnej opinii;

* ogólną opinię, ocenę lub wnioski.

Informacja musi zawierać powody wydania niekorzystnej ogólnej opinii.

2500 - Monitorowanie postępów

Zarządzający audytem wewnętrznym musi stworzyć i zapewnić działanie systemu monitorowania wyników audytu przekazanych kierownictwu.

2500.A1 - Zarządzający audytem wewnętrznym musi ustanowić proces monitorowania realizacji zaleceń i upewnić się, że decyzje kierownictwa zostały skutecznie wdrożone lub też kierownictwo wyższego szczebla zaakceptowało ryzyko niepodejmowania działań.

2500.C1 - Audyt wewnętrzny musi monitorować wyniki zadań doradczych w zakresie uzgodnionym ze zleceniodawcą.

2600 - Informowanie o akceptacji ryzyka

Jeżeli zdaniem zarządzającego audytem wewnętrznym kierownictwo przyjęło poziom ryzyka, który może być nie do zaakceptowania dla organizacji, musi omówić te kwestie z kierownictwem wyższego szczebla. Jeżeli zarządzający audytem wewnętrznym stwierdzi, że decyzja nie została zmieniona, musi przekazać sprawę radzie.

Interpretacja:

Identyfikacja ryzyka akceptowalnego dla kierownictwa może nastąpić w wyniku usług zapewniających lub doradczych, monitorowania postępu działań podjętych przez kierownictwo w odpowiedzi na poprzednie zadania lub innych prac. Decyzja co do rozwiązań dotyczących ryzyka nie należy do obowiązków zarządzającego audytem wewnętrznym.

Słownik

Apetyt na ryzyko

Poziom ryzyka, który organizacja jest skłonna zaakceptować.

Audyt wewnętrzny

Departament, wydział, zespół konsultantów lub innych ekspertów świadczący usługi zapewniające i doradcze, działający niezależnie i obiektywnie w celu przysporzenia wartości i usprawnienia działalności operacyjnej organizacji. Audyt wewnętrzny systematycznie, w uporządkowany sposób ocenia procesy: ładu organizacyjnego, zarządzania ryzykiem i kontroli i przyczynia się do poprawy ich działania, tym samym pomagając organizacji osiągnąć cele.

Cele zadania

Ogólne określenie przez audytorów wewnętrznych, co zamierzają osiągnąć, wykonując dane zadanie.

Informatyczne mechanizmy kontrolne

Mechanizmy kontrolne wspierające ład organizacyjny i zarządzanie organizacją. Mechanizmy te zapewniają ogólną i techniczną kontrolę nad infrastrukturą informatyczną: oprogramowaniem, informacją, sprzętem i ludźmi.

Istotność

Względna ważność danej kwestii w kontekście, w jakim jest rozpatrywana, z uwzględnieniem czynników ilościowych i jakościowych, takich jak wielkość, charakter, efekt, związek z tematem i skutek. Przy ocenie istotności danej kwestii w kontekście badanych celów audytorzy wewnętrzni posługują się zawodowym osądem.

Karta

Karta audytu wewnętrznego to oficjalny dokument określający cel, uprawnienia i odpowiedzialność audytu wewnętrznego. Karta ustala pozycję audytu wewnętrznego w strukturze organizacji; upoważnia do dostępu do danych, personelu i majątku rzeczowego w zakresie wymaganym do wykonywania zadań audytowych; określa zakres działania audytu wewnętrznego.

Kodeks etyki

Kodeks etyki Instytutu Audytorów Wewnętrznych (IIA) jest zbiorem zasad ogólnych dotyczących zawodu i praktyki audytu wewnętrznego oraz zasad postępowania określających zachowania oczekiwane od audytorów wewnętrznych. Kodeks etyki ma zastosowanie zarówno do osób, jak i organizacji świadczących usługi audytu wewnętrznego. Celem Kodeksu etyki jest promowanie zasad etycznych wykonywania zawodu audytora wewnętrznego na całym świecie.

Konflikt interesów

Każdego typu relacja, która nie jest lub wydaje się nie być w najlepszym interesie organizacji. Konflikt interesów poddaje w wątpliwość zdolność audytora do wykonywania zadań i obowiązków w obiektywny sposób.

Kontrola

Każde działanie podejmowane przez kierownictwo, radę i inne osoby w celu zarządzenia ryzykiem i zwiększenia prawdopodobieństwa osiągnięcia ustalonych celów. Kierownictwo planuje i organizuje działania wystarczające do uzyskania racjonalnego zapewnienia, że ogólne i szczegółowe cele organizacji zostaną zrealizowane. Kierownictwo kieruje też wykonaniem tych działań.

Ład informatyczny (ang. IT governance)

Obejmuje osoby zarządzające, struktury organizacyjne i procesy zapewniające, że wykorzystanie informatyki w organizacji wspiera osiąganie celów organizacji i realizację jej strategii.

Ład organizacyjny (ang. governance)

Procesy i struktury wprowadzone przez radę w celu informowania, kierowania, zarządzania i monitorowania działań organizacji, prowadzących do osiągnięcia jej celów.

Międzynarodowe ramowe zasady praktyki zawodowej

Koncepcja ramowa porządkująca wytyczne Instytutu Audytorów Wewnętrznych (IIA). Istnieją dwie kategorie wytycznych IIA: (1) obowiązkowe i (2) szczególnie zalecane.

Musi

Słowa "musi" użyto w Standardach, aby opisać bezwarunkowy obowiązek.

Naruszenia

Naruszenia niezależności organizacyjnej lub indywidualnego obiektywizmu mogą wystąpić w postaci konfliktu interesów o charakterze osobistym, ograniczenia zakresu badania, ograniczenia w dostępie do danych, personelu i majątku, jak również ograniczenia zasobów (finansowania).

Niezależność

Brak okoliczności, które zagrażają bezstronnemu wykonywaniu obowiązków przez audyt wewnętrzny.

Obiektywizm

Bezstronna postawa intelektualna, pozwalająca audytorom wewnętrznym na przeprowadzanie zadań z pełną wiarą w efekty ich pracy oraz unikaniem jakichkolwiek ustępstw co do jakości. Obiektywizm wymaga, by audytorzy wewnętrzni nie podporządkowywali swoich osądów w sprawach audytu opiniom innych osób.

Odpowiednia kontrola

Ma miejsce wówczas, gdy kierownictwo zaplanowało i zorganizowało kontrolę w sposób dający racjonalne zapewnienie, że organizacja skutecznie zarządza ryzykiem, a jej ogólne i szczegółowe cele zostaną sprawnie i ekonomicznie zrealizowane.

Ogólna opinia

Ocena, wniosek i/lub inny opis wyników przedstawione przez zarządzającego audytem wewnętrznym i dotyczące szeroko pojętych procesów ładu organizacyjnego, zarządzania ryzykiem i/lub kontroli w organizacji. Ogólna opinia jest formułowana zgodnie z zawodowym osądem zarządzającego audytem na podstawie wyników poszczególnych zadań i innych działań wykonanych w danym okresie.

Opinia z zadania

Ocena, wniosek i/lub inny opis wyników konkretnego zadania audytowego, odnoszące się do zagadnień związanych z celami i zakresem tego zadania.

Oszustwo

Każdy bezprawny czyn charakteryzujący się celowym wprowadzeniem w błąd, zatajeniem prawdy lub nadużyciem zaufania. Czyny te nie są dokonane pod wpływem przemocy ani groźby użycia siły. Oszustwa są popełniane przez osoby i organizacje w celu zdobycia pieniędzy, majątku lub świadczeń, w celu uniknięcia płatności lub utraty świadczeń, a także w celu uzyskania korzyści osobistych lub biznesowych.

Powinien

Słowa "powinien" użyto w Standardach w sytuacjach, w których oczekiwane jest przestrzeganie danego wymagania, chyba że profesjonalna ocena okoliczności uzasadnia odstępstwo.

Procesy kontroli

Zasady, procedury (ręczne i automatyczne) oraz działania będące częścią ramowej koncepcji kontroli zaprojektowane i funkcjonujące w taki sposób, by zapewnić, że ryzyka mieszczą się w granicach akceptowalnych dla organizacji.

Program zadania

Dokument zawierający listę procedur, które mają być wykonane w trakcie zadania i które prowadzą do osiągnięcia celów zadania.

Przysparzać wartości

Audyt wewnętrzny przysparza wartości organizacji (i jej interesariuszom), kiedy dostarcza obiektywnego zapewnienia w istotnych kwestiach oraz przyczynia się do skuteczności i wydajności procesów: ładu organizacyjnego, zarządzania ryzykiem i kontroli.

Rada

Najwyższy organ zarządzający, do obowiązków którego należy kierowanie działaniami i kierownictwem organizacji i/lub nadzór nad nimi. Zazwyczaj w skład rady wchodzi niezależna grupa dyrektorów (np. rada dyrektorów, rada nadzorcza, zarządzająca lub powiernicza). Jeśli taka grupa nie istnieje, "radą" może być kierujący organizacją. Za "radę" można uznać komitet audytu, któremu organ zarządzający przekazał określone obowiązki.

Ryzyko

Możliwość zaistnienia zdarzenia, które będzie miało wpływ na realizację założonych celów. Ryzyko jest mierzone wpływem (skutkami) i prawdopodobieństwem wystąpienia.

Standard

Wymagania dotyczące wykonywania szerokiego zakresu działań audytowych i oceny działalności audytu wewnętrznego, opublikowane przez Radę ds. standardów audytu wewnętrznego IIA.

Środowisko kontroli

Postawa oraz działania rady i kierownictwa w odniesieniu do znaczenia kontroli w organizacji. Środowisko kontroli zapewnia dyscyplinę i strukturę niezbędne do osiągnięcia podstawowych celów systemu kontroli wewnętrznej. Na środowisko kontroli składają się następujące elementy:

* uczciwość i wartości etyczne;

* filozofia i styl działania kierownictwa;

* struktura organizacyjna;

* delegowanie uprawnień i obowiązków;

* zasady i praktyka zarządzania zasobami ludzkimi;

* kompetencje pracowników.

Techniki audytu wykorzystujące technologię informatyczną

Wszelkie zautomatyzowane narzędzia audytu, takie jak ogólne oprogramowanie audytowe, generatory danych testowych, skomputeryzowane programy audytowe, specjalne narzędzia audytowe i techniki audytu wspierane komputerowo (ang. CAATs).

Usługi doradcze

Doradztwo i pokrewne usługi na rzecz klienta. Charakter i zakres tych usług są uzgodnione z klientem. Celem usług doradczych jest przysporzenie wartości i usprawnienie procesów ładu organizacyjnego, zarządzania ryzykiem i kontroli z zachowaniem zasady, że audytor wewnętrzny nie przejmuje obowiązków kierownictwa. Przykładami takich usług są: konsultacja, doradztwo, facylitacja oraz szkolenie.

Usługi zapewniające

Obiektywne badanie dowodów w celu dostarczenia niezależnej oceny procesów ładu organizacyjnego, zarządzania ryzykiem i kontroli. Przykładem takich usług są audyty finansowe, działalności, zgodności, bezpieczeństwa systemów oraz przeglądy typu due diligence.

Usługodawca zewnętrzny

Osoba lub firma spoza organizacji, która posiada szczególną wiedzę, umiejętności i doświadczenie w określonej dziedzinie.

Zadanie

Konkretne zadanie, przedsięwzięcie lub przegląd, na przykład audyt wewnętrzny, przegląd samooceny kontroli, badanie oszustwa lub doradztwo. Zadanie może obejmować wiele czynności lub działań zaprojektowanych tak, by osiągnąć określone, powiązane ze sobą cele.

Zarządzający audytem wewnętrznym

Zarządzający audytem wewnętrznym to osoba zajmująca stanowisko kierownicze, odpowiedzialna za skuteczne zarządzanie audytem wewnętrznym zgodnie z kartą audytu oraz Definicją audytu wewnętrznego, Kodeksem etyki i Standardami. Zarządzający audytem wewnętrznym i osoby mu podległe posiadają odpowiednie kwalifikacje i dyplomy zawodowe. Nazwa stanowiska zarządzającego audytem wewnętrznym może być różna w różnych organizacjach.

Zarządzanie ryzykiem

Proces identyfikacji, oceny, zarządzania i kontroli potencjalnych zdarzeń lub sytuacji, dostarczający racjonalnego zapewnienia, że cele organizacji zostaną zrealizowane.

Zgodność

Przestrzeganie zasad, planów, procedur, przepisów prawa, regulacji, umów lub innych wymogów.