Standardy audytu wewnętrznego dla jednostek sektora finansów publicznych.

247 Maitland Avenue

Altamonte Springs, Florida 32701-4201 USA

Copyright © 2016 by The Institute of Internal Auditors Reserch Fundation (IIARF), 247 Maitland Avenue, Altamonte Springs, Florida 32701 - 4201, USA. All rights reserved.

Permission has been obtained from the copyright holder, The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701 - 4201, USA, to publish this translation, which is the same as the original in all material respects.

No part of this document may be reproduced, stored in any retrieval system, or transmitted in any form, or by any means electronic, mechanical, photocopying, recording, or otherwise, without prior written permission of the IIA or Instytut Audytorów Wewnętrznych IIA Polska, ul. Świętokrzyska 20 (pokój 508), 00-002 Warszawa.

Zgodę na wydanie tego tłumaczenia, będącego wiernym odzwierciedleniem oryginału, wydał właściciel praw autorskich, The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701 - 4201, USA.

Żadna część tego dokumentu nie może być reprodukowana, przechowywana w jakimkolwiek systemie przechowywania danych, ani przekazywana w jakiejkolwiek formie, metodą mechaniczną, kserograficzną, poprzez nagrywanie, drogą elektroniczną ani w żaden inny sposób, bez uprzedniego uzyskania pisemnej zgody IIA Global lub Instytutu Audytorów Wewnętrznych IIA Polska.

Aby uzyskać zgodę na tłumaczenie, adaptację lub odtwarzanie jakiejkolwiek cześci niniejszego dokumentu prosimy o skontaktowanie się z:

The Institute of Internal Auditors

247 Maitland Avenue

Altamonte Springs, Florida 32701-4201 USA

Phone: +1-407-937-1362

Fax: +1-407-937-1101

ISBN 978-0-89413-639-9

Data publikacji: październik 2016

Data tłumaczenia: wrzesień 2016

Międzynarodowe standardy praktyki zawodowej audytu wewnętrznego

Wprowadzenie do Standardów

Audyt wewnętrzny jest prowadzony w różnorodnym otoczeniu prawnym i kulturowym, na rzecz organizacji różniących się między sobą celami, wielkością, złożonością oraz strukturą. Audyt wewnętrzny wykonują zarówno osoby z organizacji, jak i spoza niej. Chociaż wyżej wymienione różnice mogą wpływać na praktykę audytu w różnych środowiskach, stosowanie Międzynarodowych standardów praktyki zawodowej audytu wewnętrznego (zwanych dalej Standardami) jest zasadniczym warunkiem wypełniania obowiązków przez audytora wewnętrznego i audyt wewnętrzny.

Celem Standardów jest:

1. Dostarczenie wskazówek, jak przestrzegać obowiązkowych elementów Międzynarodowych ramowych zasad praktyki zawodowej.

2. Wyznaczenie ramowych zasad wykonywania i upowszechniania szerokiego zakresu usług audytu wewnętrznego, przysparzających organizacji wartości dodanej.

3. Stworzenie podstaw oceny działalności audytu wewnętrznego.

4. Przyczynienie się do usprawniania procesów i działalności operacyjnej organizacji.

Standardy są zestawem obowiązkowych zasad, składającym się:

* ze stwierdzeń, określających podstawowe wymogi wobec praktyki zawodowej audytu wewnętrznego i oceny skuteczności działań. Wymogi te stosowane są na całym świecie, na poziomie organizacyjnym i indywidualnym;

* z interpretacji, wyjaśniających terminy lub pojęcia użyte w Standardach.

Standardy razem z Kodeksem etyki zawierają wszystkie obowiązkowe elementy Międzynarodowych ramowych zasad praktyki zawodowej (ang. IPPF). Oznacza to, że zgodność ze Standardami i Kodeksem etyki świadczy o przestrzeganiu obowiązkowych elementów IPPF.

W Standardach pojawiają się terminy zdefiniowane w słowniku znajdującym się na końcu tekstu. Aby w pełni zrozumieć i prawidłowo stosować Standardy, konieczne jest uwzględnienie znaczeń poszczególnych słów opisanych w słowniku. Co więcej, w Standardach użyto słów: "musi", aby opisać bezwarunkowy obowiązek oraz "powinien" w sytuacjach, w których oczekiwane jest przestrzeganie danego wymagania, chyba że profesjonalna ocena okoliczności uzasadnia odstępstwo.

Standardy składają się z dwóch głównych kategorii: standardów atrybutów i standardów działania. Standardy atrybutów określają cechy organizacji i osób zajmujących się audytem wewnętrznym. Standardy działania opisują charakter działań audytu wewnętrznego oraz określają kryteria jakościowe służące ich ocenie. Standardy atrybutów i działania dotyczą wszystkich usług audytu wewnętrznego.

Rozwinięciem standardów atrybutów i działania są standardy wdrożenia, które opisują wymagania dotyczące usług zapewniających (.A) lub doradczych (.C).

Usługi zapewniające obejmują obiektywną ocenę dowodów, dokonywaną przez audytorów wewnętrznych w celu dostarczenia opinii lub wniosków na temat jednostki, operacji, funkcji, procesu, systemu lub innych zagadnień. Charakter zadania zapewniającego oraz jego zakres ustalane są przez audytora wewnętrznego. Uczestnikami usług zapewniających są zwykle trzy strony: (1) osoba lub grupa osób bezpośrednio związanych z jednostką, operacją, funkcją, procesem, systemem lub innym zagadnieniem - właściciel procesu, (2) osoba lub grupa osób, które dokonują oceny - audytor wewnętrzny oraz (3) osoba lub grupa osób, które korzystają z oceny - użytkownik.

Usługi doradcze, ze względu na swój charakter, wykonywane są zwykle w odpowiedzi na konkretne zapotrzebowanie zleceniodawcy. Charakter i zakres zadania doradczego są przedmiotem umowy ze zleceniodawcą. Usługi doradcze zwykle angażują dwie strony: (1) osobę lub grupę osób oferujących doradztwo - audytora wewnętrznego oraz (2) osobę lub grupę osób poszukujących i uzyskujących poradę - zleceniodawcę. Podczas świadczenia usług doradczych audytor wewnętrzny zobowiązany jest zachować obiektywizm i nie przejmować obowiązków kierownictwa.

Standardy dotyczą audytorów wewnętrznych i audytu wewnętrznego. Wszyscy audytorzy wewnętrzni zobowiązani są do przestrzegania standardów dotyczących obiektywizmu, biegłości i należytej staranności zawodowej oraz standardów, które dotyczą wykonywanych przez nich obowiązków zawodowych. Dodatkowo, zarządzający audytem wewnętrznym odpowiadają za ogólną zgodność audytu wewnętrznego ze Standardami.

Jeśli przepisy lub inne regulacje uniemożliwiają audytorom wewnętrznym lub audytowi wewnętrznemu stosowanie części Standardów, konieczne jest odpowiednie ujawnienie tego faktu i stosowanie Standardów w pozostałym zakresie.

Jeżeli Standardy są stosowane równocześnie z wymogami przygotowanymi przez inne uprawnione instytucje, wówczas przy przekazywaniu wyników audytu wewnętrznego można również odwołać się do tych innych - wykorzystanych w badaniu - wymogów. W takim wypadku, jeżeli działania audytu wewnętrznego wskazują na zgodność ze Standardami, ale występują różnice między Standardami a innymi wymogami, wówczas audytorzy wewnętrzni i audyt wewnętrzny muszą działać zgodnie ze Standardami. Stosowanie innych wymogów jest możliwe, jeśli mają one bardziej restrykcyjny charakter.

Przegląd i rozwój Standardów jest procesem ciągłym. Rada ds. standardów audytu wewnętrznego prowadzi szeroko zakrojone konsultacje oraz dyskusje przed wydaniem Standardów. Działania te obejmują prezentację projektu na całym świecie i publiczną dyskusję. Wszystkie prezentowane projekty są udostępnianie na stronie internetowej IIA i przekazywane do wszystkich instytutów IIA.

Sugestie i komentarze dotyczące Standardów można przesyłać do:

The Institute of Internal Auditors

Standards and Guidance

247 Maitland Avenue

Altamonte Springs, FL 32701 - 4201, USA

E-mail: guidance@theiia.org

Web: http://www.theiia.org

STANDARDY ATRYBUTÓW

1000 - Cel, uprawnienia i odpowiedzialność

Cel, uprawnienia i odpowiedzialność audytu wewnętrznego muszą być formalnie określone w karcie audytu wewnętrznego oraz zgodne z Misją audytu wewnętrznego i obowiązkowymi elementami Międzynarodowych ramowych zasad praktyki zawodowej (Podstawowymi zasadami praktyki zawodowej audytu wewnętrznego, Kodeksem etyki, Standardami i Definicją audytu wewnętrznego). Zarządzający audytem wewnętrznym musi okresowo przeglądać i w razie potrzeby aktualizować kartę audytu wewnętrznego. Musi też przedstawiać ją do zatwierdzenia kierownictwu wyższego szczebla i radzie.

Interpretacja:

Karta audytu wewnętrznego to oficjalny dokument określający cel, uprawnienia i odpowiedzialność audytu wewnętrznego. Karta audytu ustala pozycję audytu wewnętrznego w strukturze organizacji, w tym charakter podległości funkcjonalnej między zarządzającym audytem wewnętrznym a radą, uprawnia do dostępu do danych, personelu i majątku rzeczowego w zakresie wymaganym do wykonywania zadań audytowych oraz określa zakres działania audytu wewnętrznego. Karta audytu wewnętrznego jest ostatecznie zatwierdzana przez radę.

1000.A1 - Charakter usług zapewniających świadczonych organizacji musi być określony w karcie audytu wewnętrznego. W przypadku świadczenia usług zapewniających jednostkom spoza organizacji, charakter tych usług również musi być określony w karcie audytu wewnętrznego.

1000.C1 - Charakter usług doradczych musi być określony w karcie audytu wewnętrznego.

1010 - Uznawanie obowiązkowych wytycznych w karcie audytu wewnętrznego

Obowiązek stosowania Podstawowych zasad praktyki zawodowej audytu wewnętrznego, Kodeksu etyki, Standardów i Definicji audytu wewnętrznego musi być uznany w karcie audytu wewnętrznego. Zarządzający audytem wewnętrznym powinien omówić Misję audytu wewnętrznego oraz obowiązkowe elementy Międzynarodowych ramowych zasad praktyki zawodowej z kierownictwem wyższego szczebla i radą.

1100 - Niezależność i obiektywizm

Audyt wewnętrzny musi być niezależny, a audytorzy wewnętrzni obiektywni.

Interpretacja:

Niezależność to brak okoliczności, które zagrażają bezstronnemu wykonywaniu obowiązków przez audyt wewnętrzny. W celu osiągnięcia poziomu niezależności niezbędnego do skutecznego wykonywania obowiązków audytu wewnętrznego, zarządzający audytem wewnętrznym ma bezpośredni i nieograniczony dostęp do kierownictwa wyższego szczebla i rady. Można to osiągnąć przez system podwójnego raportowania. Problemy dotyczące niezależności muszą być rozpatrywane i rozwiązywane na szczeblu audytora, zadania, działalności audytu wewnętrznego i jego pozycji w strukturze organizacji.

Obiektywizm to bezstronna postawa intelektualna, pozwalająca audytorom wewnętrznym na przeprowadzanie zadań z wiarą w efekty ich pracy oraz unikaniem jakichkolwiek ustępstw co do jakości. Obiektywizm wymaga, by audytorzy wewnętrzni nie podporządkowywali swoich osądów w sprawach audytu opiniom innych osób. Problemy dotyczące obiektywizmu muszą być rozpatrywane i rozwiązywane na szczeblu audytora, zadania, działalności audytu wewnętrznego i jego pozycji w strukturze organizacji.

1110 - Niezależność organizacyjna

Zarządzający audytem wewnętrznym musi podlegać takiemu szczeblowi zarządzania w organizacji, który pozwoli audytowi wewnętrznemu wypełniać jego obowiązki. Zarządzający audytem wewnętrznym musi, co najmniej raz na rok, potwierdzać radzie organizacyjną niezależność audytu wewnętrznego.

Interpretacja:

Audyt wewnętrzny jest niezależny organizacyjnie wtedy, gdy zarządzający audytem wewnętrznym podlega funkcjonalnie radzie. Podległość funkcjonalna radzie oznacza na przykład, że rada:

* zatwierdza kartę audytu wewnętrznego,

* zatwierdza plan audytu wewnętrznego, oparty na analizie ryzyka,

* zatwierdza budżet i plan zasobów audytu wewnętrznego,

* otrzymuje od zarządzającego audytem wewnętrznym informacje na temat działań audytu wewnętrznego w odniesieniu do planu i innych spraw,

* zatwierdza decyzje w sprawie powołania i odwołania zarządzającego audytem wewnętrznym,

* zatwierdza wynagrodzenie zarządzającego audytem wewnętrznym,

* zadaje pytania kierownictwu i zarządzającemu audytem wewnętrznym, żeby ustalić, czy występują niepożądane ograniczenia zakresu lub zasobów.

1110.A1 - Audyt wewnętrzny nie może być narażony na jakiekolwiek próby narzucenia zakresu audytu, wpływania na sposób wykonywania pracy i informowania o jej wynikach. Zarządzający audytem wewnętrznym musi ujawnić radzie takie próby oraz omówić z nią możliwe implikacje.

1111 - Bezpośrednia współpraca z radą

Zarządzający audytem wewnętrznym musi komunikować się i współpracować bezpośrednio z radą.

1112 - Role zarządzającego audytem wewnętrznym wykraczające poza audyt wewnętrzny

W przypadku gdy zarządzający audytem wewnętrznym pełni role i/lub wykonuje obowiązki wykraczające poza audyt wewnętrzny bądź oczekuje się tego od niego, wówczas w celu ograniczenia naruszeń niezależności i obiektywizmu muszą zostać wprowadzone odpowiednie zabezpieczenia.

Interpretacja

Zarządzający audytem wewnętrznym może zostać poproszony o przyjęcie dodatkowych ról i obowiązków wykraczających poza audyt wewnętrzny, takich jak działania związane ze zgodnością czy zarządzaniem ryzykiem. Te role i obowiązki mogą lub mogą sprawiać wrażenie naruszenia niezależności organizacyjnej audytu wewnętrznego lub indywidualnego obiektywizmu audytora wewnętrznego. Zabezpieczeniami są działania nadzorcze, często prowadzone przez radę, podejmowane w celu poradzenia sobie z tymi potencjalnymi naruszeniami. Mogą one polegać na okresowej ocenie podległości i obowiązków sprawozdawczych, a także na stworzeniu alternatywnych procesów pozwalających uzyskać zapewnienie co do obszarów objętych dodatkowymi obowiązkami.

1120 - Indywidualny obiektywizm

Audytorzy wewnętrzni muszą być bezstronni i wolni od uprzedzeń. Muszą również unikać konfliktów interesów.

Interpretacja:

Konflikt interesów to sytuacja, gdy audytor wewnętrzny, jako osoba obdarzona zaufaniem, ma sprzeczne interesy zawodowe lub osobiste. Takie sprzeczne interesy mogą utrudniać audytorowi wykonywanie obowiązków w bezstronny sposób. Konflikt interesów istnieje nawet wtedy, gdy nie dochodzi do żadnych nieetycznych lub niewłaściwych działań. Może tworzyć wrażenie niestosownego zachowania, podważając zaufanie do audytora wewnętrznego, działalności audytu wewnętrznego i całego zawodu. Konflikt interesów poddaje w wątpliwość zdolność audytora do wykonywania zadań i obowiązków w obiektywny sposób.

1130 - Naruszenie niezależności lub obiektywizmu

W przypadku rzeczywistego lub domniemanego naruszenia niezależności lub obiektywizmu, szczegóły tego naruszenia muszą zostać ujawnione odpowiednim osobom. Sposób ich ujawnienia zależy od charakteru naruszenia.

Interpretacja:

Naruszenia niezależności organizacyjnej lub indywidualnego obiektywizmu mogą wystąpić m.in. w postaci konfliktu interesów o charakterze osobistym, ograniczenia zakresu badania, ograniczenia w dostępie do danych, personelu i majątku, jak również ograniczenia zasobów, np. finansowania.

Określenie osób, którym należy ujawnić szczegóły naruszenia niezależności lub obiektywizmu zależy od charakteru naruszenia oraz od opisanych w karcie audytu oczekiwań wobec audytu wewnętrznego i obowiązków zarządzającego audytem wewnętrznym względem kierownictwa wyższego szczebla i rady.

1130.A1 - Audytorzy wewnętrzni muszą powstrzymać się od oceny działalności operacyjnej, za którą byli uprzednio odpowiedzialni. Ograniczenie obiektywizmu ma miejsce wtedy, gdy audytor wewnętrzny świadczy usługi zapewniające dotyczące działań, za które był odpowiedzialny w ciągu roku poprzedzającego badanie.

1130.A2 - Zadania zapewniające dotyczące obszarów, za które odpowiada zarządzający audytem wewnętrznym muszą być nadzorowane przez osobę spoza audytu wewnętrznego.

1130.A3 - Audyt wewnętrzny może świadczyć usługi zapewniające w obszarach, w których świadczył usługi doradcze pod warunkiem, że charakter doradztwa nie naruszał obiektywizmu, a na etapie przydzielania audytorów do zadania zapewniono indywidualny obiektywizm.

1130.C1 - Audytorzy wewnętrzni mogą świadczyć usługi doradcze także w zakresie działań operacyjnych, za które byli uprzednio odpowiedzialni.

1130.C2 - Jeżeli z związku z wykonaniem proponowanej usługi doradczej może nastąpić ograniczenie niezależności lub obiektywizmu audytorów wewnętrznych, informacja ta musi zostać ujawniona zleceniodawcy przed podjęciem się zadania.

1200 - Biegłość i należyta staranność zawodowa

Zadania muszą być wykonywane z biegłością i należytą starannością zawodową.

1210 - Biegłość

Audytorzy wewnętrzni muszą posiadać wiedzę, umiejętności i inne kompetencje potrzebne do wykonywania ich indywidualnych obowiązków. Audyt wewnętrzny jako zespół musi posiadać lub zdobyć wiedzę, umiejętności i inne kompetencje niezbędne do wykonywania jego obowiązków.

Interpretacja:

Biegłość to ogólne określenie odnoszące się do wiedzy, umiejętności i innych kompetencji wymaganych od audytorów wewnętrznych, aby mogli skutecznie wykonywać swoje obowiązki. Oznacza m.in. znajomość obecnych działań, trendów, pojawiających się zagadnień, co jest konieczne, by służyć radą i przedstawiać dobre zalecenia. Zachęca się audytorów wewnętrznych do potwierdzenia biegłości poprzez zdobywanie odpowiednich dyplomów zawodowych i innych potwierdzeń kwalifikacji, takich jak tytuł Dyplomowanego Audytora Wewnętrznego (CIA) i inne tytuły oferowane przez Instytut Audytorów Wewnętrznych oraz inne odpowiednie organizacje zawodowe.

1210.A1 - Jeżeli audytorom wewnętrznym brakuje wiedzy, umiejętności lub innych kompetencji niezbędnych do wykonania całości lub części zadania, zarządzający audytem wewnętrznym musi pozyskać odpowiednią pomoc i wsparcie merytoryczne.

1210.A2 - Audytorzy wewnętrzni muszą mieć wystarczającą wiedzę pozwalającą na oszacowanie ryzyka oszustwa oraz ocenę sposobu zarządzania tym ryzykiem w organizacji, ale nie oczekuje się od nich posiadania wiedzy specjalistycznej wymaganej od osób, których podstawowym obowiązkiem jest wykrywanie i prowadzenie dochodzeń w sprawie oszustw.

1210.A3 - Audytorzy wewnętrzni muszą posiadać wiedzę o podstawowych ryzykach i mechanizmach kontrolnych związanych z wykorzystaniem informatyki oraz znać dostępne wspomagane komputerowo techniki audytu. Jednakże nie od wszystkich audytorów wewnętrznych oczekuje się wiedzy specjalistycznej, takiej jak od audytorów, których podstawowym obowiązkiem jest audyt informatyczny.

1210.C1 - Jeżeli audytorom wewnętrznym brakuje wiedzy, umiejętności lub innych kompetencji niezbędnych do wykonania całości lub części zadania doradczego, zarządzający audytem wewnętrznym musi odmówić realizacji takiego zadania lub pozyskać odpowiednią pomoc i wsparcie merytoryczne.

1220 - Należyta staranność zawodowa

Audytorzy wewnętrzni muszą wykazywać się starannością i umiejętnościami, jakich oczekuje się od odpowiednio rozważnego i kompetentnego audytora wewnętrznego. Należyta staranność zawodowa nie oznacza nieomylności.

1220.A1 - Audytorzy wewnętrzni muszą działać z należytą starannością zawodową, uwzględniając:

* zakres pracy niezbędny do osiągnięcia celów zadania;

* względną złożoność, istotność oraz znaczenie spraw, do których stosowane są procedury zapewniające;

* adekwatność i skuteczność procesów: kształtujących ład organizacyjny, zarządzania ryzykiem i kontroli;

* prawdopodobieństwo wystąpienia istotnych błędów, oszustw lub niezgodności;

* koszt realizacji zadania zapewniającego w porównaniu z potencjalnymi korzyściami.

1220.A2 - Działając z należytą starannością zawodową audytorzy wewnętrzni muszą rozważyć możliwość użycia technik audytowych wykorzystujących technologie informatyczne oraz innych technik analizy danych.

1220.A3 - Audytorzy wewnętrzni muszą być wyczuleni na znaczące ryzyka, które mogą wpływać na cele, działalność operacyjną i zasoby organizacji. Jednakże same procedury zapewniające, nawet przeprowadzane z należytą starannością zawodową nie gwarantują, że wszystkie znaczące ryzyka zostaną zidentyfikowane.

1220.C1 - Realizując zadanie doradcze audytorzy wewnętrzni muszą postępować z należytą starannością zawodową, uwzględniając:

* potrzeby i oczekiwania zleceniodawców, przede wszystkim co do charakteru zadania, terminu wykonania i sposobu informowania o wynikach;

* względną złożoność i zakres prac niezbędnych do osiągnięcia celów zadania;

* koszt realizacji zadania doradczego w porównaniu z potencjalnymi korzyściami.

1230 - Ciągły rozwój zawodowy

Audytorzy wewnętrzni muszą poszerzać swoją wiedzę, umiejętności i inne kompetencje poprzez ciągły rozwój zawodowy.

1300 - Program zapewnienia i poprawy jakości

Zarządzający audytem wewnętrznym musi opracować i realizować program zapewnienia i poprawy jakości, obejmujący wszystkie aspekty działalności audytu wewnętrznego.

Interpretacja:

Celem programu zapewnienia i poprawy jakości jest umożliwienie dokonania oceny, czy działalność audytu wewnętrznego jest zgodna ze Standardami oraz czy audytorzy wewnętrzni stosują Kodeks etyki. Program służy także do oceny wydajności i skuteczności audytu wewnętrznego oraz do identyfikacji możliwości poprawy. Zarządzający audytem wewnętrznym powinien zachęcać radę do nadzorowania programu zapewnienia i poprawy jakości.

1310 - Wymagania dotyczące programu zapewnienia i poprawy jakości

Program zapewnienia i poprawy jakości musi uwzględniać zarówno oceny wewnętrzne, jak i zewnętrzne.

1311 - Oceny wewnętrzne

Oceny wewnętrzne muszą obejmować:

* bieżące monitorowanie działalności audytu wewnętrznego;

* okresowe samooceny lub oceny przeprowadzane przez inne osoby - w ramach organizacji - posiadające wystarczającą znajomość praktyki audytu wewnętrznego.

Interpretacja:

Bieżące monitorowanie jest integralną częścią codziennego nadzoru, przeglądu i pomiaru działalności audytu wewnętrznego. Jest też nieodłączną częścią codziennych zasad i praktyki zarządzania audytem wewnętrznym. Wykorzystuje procesy, narzędzia i informacje konieczne do oceny zgodności z Kodeksem etyki i Standardami.

Okresowe oceny służą do oceny zgodności z Kodeksem etyki i Standardami.

Wystarczająca znajomość praktyki audytu wewnętrznego wymaga co najmniej zrozumienia wszystkich elementów Międzynarodowych ramowych zasad praktyki zawodowej.

1312 - Oceny zewnętrzne

Oceny zewnętrzne muszą być przeprowadzane co najmniej raz na pięć lat przez wykwalifikowaną, niezależną osobę lub zespół spoza organizacji. Zarządzający audytem wewnętrznym musi omówić z radą:

* formę i częstotliwość oceny zewnętrznej;

* kwalifikacje i niezależność osoby lub zespołu oceniającego, w tym wszelkie potencjalne konflikty interesów.

Interpretacja:

Oceny zewnętrzne mogą być przeprowadzane w formie pełnej zewnętrznej oceny lub samooceny z niezależną walidacją. Osoba przeprowadzająca ocenę zewnętrzną musi przedstawić wnioski co do zgodności z Kodeksem etyki i ze Standardami; może także wyrazić swoje uwagi dotyczące kwestii operacyjnych i strategicznych.

Wykwalifikowana osoba lub zespół oceniający posiadają kompetencje w dwóch obszarach: praktyce audytu wewnętrznego i procesie oceny zewnętrznej. Kompetencje mogą wynikać z połączenia doświadczenia i wiedzy teoretycznej. Doświadczenie zdobyte w organizacjach podobnych pod względem wielkości, złożoności, specyfiki i sektora lub branży jest cenniejsze niż doświadczenie zdobyte w innych organizacjach. W przypadku zespołu oceniającego nie każdy członek musi posiadać wszystkie kompetencje; wykwalifikowany jest zespół jako całość. Oceniając, czy dana osoba lub zespół posiadają wystarczające kompetencje by uznać ich za wykwalifikowanych, zarządzający audytem wewnętrznym posługuje się zawodowym osądem.

Niezależność osoby lub zespołu oceniającego oznacza, że nie występuje rzeczywisty lub domniemany konflikt interesów i osoby te nie są częścią, ani nie pozostają pod kontrolą organizacji, której audyt wewnętrzny jest oceniany. W celu ograniczenia rzeczywistego lub domniemanego konfliktu interesów, zarządzający audytem wewnętrznym powinien zachęcać radę do nadzorowania oceny zewnętrznej.

1320 - Sprawozdawczość dotycząca programu zapewnienia i poprawy jakości

Zarządzający audytem wewnętrznym musi przekazać kierownictwu wyższego szczebla i radzie wyniki programu zapewnienia i poprawy jakości. Ujawnieniu powinny podlegać:

* zakres i częstotliwość ocen zewnętrznych i wewnętrznych;

* kwalifikacje i niezależność osoby lub zespołu oceniającego, włączając w to potencjalny konflikt interesów;

* wnioski osób dokonujących oceny;

* plany działań naprawczych.

Interpretacja:

Forma, zawartość i częstotliwość informowania o wynikach programu zapewnienia i poprawy jakości są ustalane w drodze dyskusji z kierownictwem wyższego szczebla i radą. Uwzględniają opisane w karcie audytu obowiązki audytu wewnętrznego i zarządzającego audytem wewnętrznym. W celu poinformowania kierownictwa wyższego szczebla i rady o zgodności z Kodeksem etyki i Standardami, wyniki zewnętrznej oraz okresowej wewnętrznej oceny są przekazywane po zakończeniu procesu oceny, natomiast wyniki bieżącego monitorowania - co najmniej raz na rok. Wyniki zawierają ocenę stopnia zgodności wydaną przez osobę lub zespół oceniający.

1321 - Użycie formuły "zgodny z Międzynarodowymi standardami praktyki zawodowej audytu wewnętrznego"

Stwierdzenie, że audyt wewnętrzny funkcjonuje zgodnie z Międzynarodowymi standardami praktyki zawodowej audytu wewnętrznego jest uzasadnione tylko wtedy, gdy wyniki programu zapewnienia i poprawy jakości potwierdzają ten stan.

Interpretacja:

Audyt wewnętrzny funkcjonuje zgodnie z Kodeksem etyki i ze Standardami wtedy, gdy osiąga rezultaty w nich opisane. Wyniki programu zapewnienia i poprawy jakości obejmują zarówno oceny wewnętrzne, jak i zewnętrzne. Wszystkie działania audytu wewnętrznego będą objęte wynikami ocen wewnętrznych. Działania audytu wewnętrznego wykonywane od co najmniej pięciu lat będą objęte także wynikami ocen zewnętrznych.

1322 - Ujawnienie braku zgodności

W sytuacji, gdy wystąpiła niezgodność z Kodeksem etyki lub Standardami, która ma wpływ na ogólny zakres działalności audytu wewnętrznego, zarządzający audytem wewnętrznym musi ujawnić tę niezgodność i jej skutki kierownictwu wyższego szczebla i radzie.

STANDARDY DZIAŁANIA

2000 - Zarządzanie audytem wewnętrznym

Zarządzający audytem wewnętrznym musi skutecznie zarządzać audytem wewnętrznym, tak aby zapewnić przysporzenie organizacji wartości dodanej.

Interpretacja:

Zarządzanie audytem wewnętrznym jest skuteczne, gdy:

* osiąga on cele i wypełnia obowiązki określone w karcie audytu wewnętrznego;

* działa zgodnie z Definicją audytu wewnętrznego i Standardami;

* pracownicy audytu wewnętrznego przestrzegają Kodeksu etyki i Standardów;

* bierze pod uwagę trendy i pojawiające się zagadnienia, które mogłyby wpływać na organizację.

Audyt wewnętrzny przysparza wartości organizacji i jej interesariuszom, kiedy bierze pod uwagę strategie, cele i ryzyka; stara się proponować sposoby wzmocnienia procesów: ładu organizacyjnego, zarządzania ryzykiem i kontroli oraz obiektywnie zapewnia o badanych kwestiach.

2010 - Planowanie

Zarządzający audytem wewnętrznym musi opracować plan oparty na analizie ryzyka, określający priorytety działań audytu wewnętrznego zgodne z celami organizacji.

Interpretacja:

Żeby przygotować plan oparty na analizie ryzyka, zarządzający audytem wewnętrznym konsultuje się z kierownictwem wyższego szczebla i radą oraz uzyskuje zrozumienie strategii organizacji, kluczowych celów biznesowych, powiązanych ryzyk i procesów zarządzania ryzykiem. Zarządzający audytem wewnętrznym musi w razie potrzeby przejrzeć i dostosować plan do zmian zachodzących w organizacji, ryzykach, operacjach, programach, systemach i kontrolach.

2010.A1 - Plan zadań audytu wewnętrznego musi opierać się na udokumentowanej ocenie ryzyka, przeprowadzanej co najmniej raz w roku. W procesie planowania musi być uwzględniony wkład wyższego kierownictwa i rady.

2010.A2 - Przed sformułowaniem przez audyt wewnętrzny opinii i innych wniosków, zarządzający audytem wewnętrznym musi poznać i rozważyć oczekiwania kierownictwa wyższego szczebla, rady i innych interesariuszy.

2010.C1 - Rozważając przyjęcie proponowanych zadań doradczych, zarządzający audytem wewnętrznym powinien wziąć pod uwagę, w jakim stopniu możliwe będzie usprawnienie zarządzania ryzykiem, przysporzenie wartości oraz usprawnienie działalności operacyjnej organizacji. Przyjęte zadania muszą być uwzględnione w planie zadań.

2020 - Informowanie i zatwierdzanie

Zarządzający audytem wewnętrznym musi informować kierownictwo wyższego szczebla i radę o planach audytu wewnętrznego, zasobach niezbędnych do ich realizacji oraz o pojawiających się znaczących zmianach w tym zakresie. Kierownictwo wyższego szczebla i rada przeglądają i zatwierdzają te plany, zasoby i zmiany. Zarządzający audytem wewnętrznym musi także informować o skutkach ograniczeń w zasobach.

2030 - Zarządzanie zasobami

Zarządzający audytem wewnętrznym musi zapewnić zasoby odpowiednie i wystarczające do realizacji zatwierdzonego planu, jak również zadbać o ich efektywne wykorzystanie.

Interpretacja:

"Odpowiednie" odnosi się do wiedzy, umiejętności i innych kompetencji niezbędnych do realizacji planu. " Wystarczające" odnosi się do ilości zasobów niezbędnych do wykonania planu. "Efektywnie wykorzystane" oznacza, że zasoby są używane w sposób optymalizujący realizację zatwierdzonego planu.

2040 - Zasady i procedury

Zarządzający audytem wewnętrznym musi ustalić zasady i procedury służące kierowaniu audytem wewnętrznym.

Interpretacja:

Forma i zawartość zasad i procedur zależą od wielkości i struktury audytu wewnętrznego oraz złożoności jego pracy.

2050 - Koordynowanie i zaufanie

W celu zapewnienia odpowiedniego zakresu audytu i minimalizacji powielania wysiłków, zarządzający audytem wewnętrznym powinien wymieniać informacje, koordynować działania i brać pod uwagę możliwość polegania na pracy innych zarówno wewnętrznych, jak i zewnętrznych wykonawców usług zapewniających i doradczych.

Interpretacja:

Koordynując działania, zarządzający audytem wewnętrznym może polegać na pracach innych wykonawców usług zapewniających i doradczych. Należy stworzyć spójny proces korzystania z takich prac, a zarządzający audytem wewnętrznym powinien brać pod uwagę kompetencje, obiektywizm i należytą staranność zawodową wykonawców usług zapewniających i doradczych. Zarządzający audytem wewnętrznym powinien mieć także jasność co do zakresu, celów i wyników prac zrealizowanych przez innych wykonawców usług zapewniających i doradczych. Nawet jeśli polega się na pracach innych, zarządzający audytem wewnętrznym pozostaje odpowiedzialny za zapewnienie, że wnioski i opinie, do jakich doszedł audyt wewnętrzny są odpowiednio uzasadnione.

2060 - Składanie sprawozdań kierownictwu wyższego szczebla i radzie

Zarządzający audytem wewnętrznym musi składać kierownictwu wyższego szczebla i radzie okresowe sprawozdania na temat celu działania audytu wewnętrznego, uprawnień, odpowiedzialności, stopnia wykonania planu oraz zgodności z Kodeksem etyki i Standardami. Sprawozdania muszą również obejmować zagadnienia dotyczące systemu kontroli, ładu organizacyjnego, znaczącego ryzyka, na jakie narażona jest organizacja (w tym ryzyka oszustwa) oraz inne, które wymagają uwagi kierownictwa wyższego szczebla i/lub rady.

Interpretacja:

Częstotliwość składania i zawartość sprawozdań są ustalane wspólnie przez zarządzającego audytem wewnętrznym, kierownictwo wyższego szczebla i radę. Częstotliwość składania i zawartość sprawozdań zależą od istotności przekazywanych informacji oraz pilności związanych z nimi działań, które ma podjąć kierownictwo wyższego szczebla i/lub rada.

Sprawozdania i inne informacje przekazywane przez zarządzającego audytem wewnętrznym kierownictwu wyższego szczebla i radzie muszą zawierać informacje dotyczące:

* karty audytu;

* niezależności audytu wewnętrznego;

* planu audytu i postępów w jego realizacji;

* wymagań co do zasobów;

* wyników działań audytu;

* zgodności z Kodeksem etyki i ze Standardami oraz planowanych działań dotyczących znaczących problemów w tym zakresie.

* odpowiedzi kierownictwa na ryzyko, które w ocenie zarządzającego audytem wewnętrznym może być nie do zaakceptowania dla organizacji.

Powyższe i inne wymagania dotyczące informacji przekazywanych przez zarządzającego audytem wewnętrznym odnoszą się do treści Standardów.

2070 - Usługodawca zewnętrzny a odpowiedzialność organizacji za audyt wewnętrzny

Jeśli audyt wewnętrzny jest prowadzony przez zewnętrznego usługodawcę, musi on poinformować organizację o jej odpowiedzialności za posiadanie skutecznego audytu wewnętrznego.

Interpretacja:

Organizacja wykazuje tę odpowiedzialność realizując program zapewnienia i poprawy jakości, który ocenia zgodność audytu z Kodeksem etyki i Standardami.

2100 - Charakter pracy

Stosując systematyczne, uporządkowane i oparte na ryzyku podejście, audyt wewnętrzny musi dokonywać oceny i przyczyniać się do usprawniania procesów: ładu organizacyjnego, zarządzania ryzykiem i kontroli w organizacji. Wiarygodność i wartość audytu wewnętrznego są wzmocnione, jeśli audytorzy działają proaktywnie, a ich oceny dostarczają nowego spojrzenia i uwzględniają konsekwencje, jakie mogą wystąpić w przyszłości.

2110 - Ład organizacyjny

Audyt wewnętrzny musi oceniać procesy kształtujące ład organizacyjny i przedstawiać stosowne zalecenia usprawnienia tych procesów w zakresie:

* podejmowania decyzji strategicznych i operacyjnych;

* nadzorowania zarządzania ryzykiem i kontroli;

* promowania odpowiednich zasad etyki i wartości w organizacji;

* zapewniania skutecznego zarządzania efektywnością działań organizacji i odpowiedzialności za wyniki;

* przekazywania informacji o ryzykach i kontroli do odpowiednich obszarów organizacji;

* koordynowania działań i przekazywania informacji pomiędzy radą, audytorami zewnętrznymi i wewnętrznymi, innymi wykonawcami usług zapewniających oraz kierownictwem.

2110.A1 - Audyt wewnętrzny musi oceniać cele, a także sposób zaprojektowania i wdrożenia oraz skuteczność programów i działań organizacji w zakresie etyki.

2110.A2 - Audyt wewnętrzny musi oceniać, czy zarządzanie technologią informatyczną wspiera osiąganie celów i realizację strategii organizacji.

2120 - Zarządzanie ryzykiem

Audyt wewnętrzny musi oceniać skuteczność i przyczyniać się do usprawnienia procesów zarządzania ryzykiem.

Interpretacja:

Audytor wewnętrzny uważa procesy zarządzania ryzykiem za skuteczne, jeśli z jego oceny wynika, że:

* cele organizacji wspierają misję organizacji i są z nią zgodne;

* istotne ryzyka zostały zidentyfikowane i ocenione;

* wybrano odpowiedni sposób reakcji na ryzyko, zgodny z apetytem organizacji na dane ryzyko;

* istotne informacje o ryzyku są zbierane i na czas przekazywane wewnątrz organizacji, umożliwiając pracownikom, kierownictwu i radzie wykonywanie obowiązków.

Audyt wewnętrzny może w trakcie różnych zadań zbierać informacje potrzebne do wyrażenia powyższej oceny. Wyniki tych zadań, zebrane razem, dadzą obraz procesów zarządzania ryzykiem w organizacji i ich skuteczności.

Procesy zarządzania ryzykiem są monitorowane w ramach bieżącego zarządzania, odrębnych ocen lub na oba te sposoby.

2120.A1 - Audyt wewnętrzny musi oceniać, w jakim stopniu ład organizacyjny, działalność operacyjna i systemy informatyczne organizacji są narażone na ryzyko związane z:

* osiągnięciem celów strategicznych organizacji,

* wiarygodnością i rzetelnością informacji finansowych i operacyjnych;

* skutecznością i wydajnością działalności operacyjnej i programów,

* ochroną aktywów;

* zgodnością z prawem, przepisami, zasadami, procedurami i umowami.

2120.A2 - Audyt wewnętrzny musi oceniać możliwość wystąpienia oszustwa i sposób zarządzania ryzykiem oszustwa w organizacji.

2120.C1 - W trakcie wykonywania zadań doradczych audytorzy wewnętrzni muszą odnieść się do ryzyk powiązanych z celami zadania. Muszą być także wyczuleni na możliwość istnienia innych znaczących ryzyk.

2120.C2 - Audytorzy wewnętrzni muszą wykorzystywać wiedzę o ryzykach uzyskaną w trakcie wykonywania zadań doradczych do oceny procesów zarządzania ryzykiem w organizacji.

2120.C3 - Pomagając kierownictwu w tworzeniu lub usprawnianiu procesów zarządzania ryzykiem, audytorzy wewnętrzni muszą powstrzymać się od przejmowania jakichkolwiek obowiązków kierownictwa i faktycznego zarządzania ryzykami.

2130 - Kontrola

Audyt wewnętrzny musi wspierać organizację w utrzymaniu skutecznych mechanizmów kontrolnych poprzez ocenę ich skuteczności i wydajności oraz promowanie ciągłego usprawniania.

2130.A1 - Audyt wewnętrzny musi oceniać, czy mechanizmy kontrolne odpowiednio i skutecznie reagują na ryzyka dotyczące ładu organizacyjnego, działalności operacyjnej i systemów informatycznych w zakresie:

* osiągnięcia celów strategicznych organizacji,

* wiarygodności i rzetelności informacji finansowych i operacyjnych,

* skuteczności i wydajności działalności operacyjnej i programów,

* ochrony aktywów,

* zgodności z prawem, przepisami, zasadami, procedurami i umowami.

2130.C1 - Audytorzy wewnętrzni muszą wykorzystywać wiedzę o mechanizmach kontrolnych uzyskaną w trakcie wykonywania zadań doradczych do oceny procesów kontroli w organizacji.

2200 - Planowanie zadania

Audytorzy wewnętrzni muszą opracować i udokumentować plan (program) każdego zadania, obejmujący cele i zakres zadania, czas potrzebny do jego realizacji oraz niezbędne zasoby. Program musi brać pod uwagę strategie, cele i ryzyka organizacji, odnoszące się do danego zadania.

2201 - Aspekty planowania

Planując zadanie audytorzy wewnętrzni muszą rozważyć:

* strategie i cele badanej działalności i środki, za pomocą których kontroluje się wyniki tej działalności;

* istotne ryzyka dotyczące celów, zasobów i operacji badanej działalności, jak również środki, za pomocą których potencjalny wpływ ryzyka jest utrzymywany na akceptowalnym poziomie;

* adekwatność i skuteczność procesów: ładu organizacyjnego, zarządzania ryzykiem i kontroli danej działalności w porównaniu z odpowiednimi koncepcjami ramowymi lub modelami;

* możliwości wprowadzenia istotnych usprawnień procesów: ładu organizacyjnego, zarządzania ryzykiem i kontroli danej działalności.

2201.A1 - Jeżeli planowane jest zadanie dla jednostek spoza organizacji, audytorzy wewnętrzni muszą pisemnie uzgodnić z nimi cele, zakres, podział obowiązków oraz inne oczekiwania, łącznie z ograniczeniami dotyczącymi rozpowszechniania wyników i dostępu do dokumentacji zadania.

2201.C1 - Audytorzy wewnętrzni muszą uzgodnić ze zleceniodawcami zadań doradczych cele, zakres, podział obowiązków oraz inne oczekiwania. W przypadku znaczących zadań takie uzgodnienia muszą być udokumentowane.

2210 - Cele zadania

Cele muszą zostać ustalone dla każdego zadania.

2210.A1 - Audytorzy wewnętrzni muszą przeprowadzić wstępną ocenę ryzyk związanych z badaną działalnością. Wyniki tej oceny muszą być odzwierciedlone w celach zadania.

2210.A2 - Ustalając cele zadania audytorzy wewnętrzni muszą rozważyć prawdopodobieństwo wystąpienia istotnych błędów, oszustw, niezgodności i innych zagrożeń.

2210.A3 - Do oceny ładu organizacyjnego, zarządzania ryzykiem i mechanizmów kontrolnych niezbędne są odpowiednie kryteria. Audytorzy wewnętrzni muszą ustalić, w jakim stopniu przyjęte przez kierownictwo i/lub radę kryteria oceny realizacji celów i zadań są właściwe (odpowiednie). Jeżeli kryteria są właściwe, audytorzy wewnętrzni muszą wykorzystywać je w swoich ocenach. Jeżeli kryteria są nieodpowiednie, audytorzy wewnętrzni muszą ustalić odpowiednie kryteria oceny w drodze dyskusji z kierownictwem i/lub radą.

Interpretacja:

Kryteria można podzielić na:

* wewnętrzne (np. zasady i procedury organizacji);

* zewnętrzne (np. prawo i przepisy nałożone przez organy statutowe);

* wiodące praktyki (np. wytyczne branżowe i zawodowe).

2210.C1 - Cele zadań doradczych muszą odnosić się do procesów: ładu organizacyjnego, zarządzania ryzykiem i kontroli w zakresie uzgodnionym ze zleceniodawcą.

2210.C2 - Cele zadań doradczych muszą być zgodne z wartościami, strategiami i celami organizacji.

2220 - Zakres zadania

Ustalony zakres zadania musi być wystarczający do realizacji celów zadania.

2220.A1 - Zakres zadania musi uwzględniać związane z celami zadania systemy, dokumentację, personel i majątek rzeczowy, łącznie z tymi, które znajdują się pod kontrolą osób trzecich.

2220.A2 - Jeżeli w trakcie realizacji zadania zapewniającego pojawią się istotne możliwości świadczenia usług doradczych, należy zawrzeć odrębne pisemne porozumienie ustalające cele, zakres, podział obowiązków oraz inne oczekiwania, a wyniki zadania doradczego należy przedstawić zgodnie ze standardami dla zadań doradczych.

2220.C1 - Wykonując zadania doradcze audytorzy wewnętrzni muszą zapewnić, że zakres zadania jest wystarczający, by objąć nim uzgodnione wcześniej cele. Jeśli w trakcie wykonywania zadania audytorzy wewnętrzni mieliby jakieś zastrzeżenia do zakresu, to muszą omówić je ze zleceniodawcą, który zdecyduje, czy zadanie będzie kontynuowane.

2220.C2 - W trakcie wykonywania zadań doradczych audytorzy wewnętrzni muszą odnieść się do mechanizmów kontrolnych wchodzących w zakres danego zadania (powiązanych z jego celami). Muszą też zwracać uwagę na istotne kwestie związane z systemem kontroli wewnętrznej.

2230 - Przydział zasobów

Audytorzy wewnętrzni muszą określić zasoby, które będą odpowiednie i wystarczające do osiągnięcia celów zadania. Określenie to opiera się na ocenie charakteru i złożoności każdego zadania, ograniczeniach czasowych oraz dostępnych zasobach.

Interpretacja:

"Odpowiednie " odnosi się do wiedzy, umiejętności i innych kompetencji niezbędnych do wykonania zadania. " Wystarczające " odnosi się do ilości zasobów niezbędnych do realizacji zadania z należytą starannością zawodową.

2240 - Program zadania

Audytorzy wewnętrzni muszą opracować i udokumentować program zadania pozwalający na osiągnięcie celów zadania.

2240.A1 - Programy zadań muszą zawierać procedury identyfikacji, analizy, oceny i dokumentowania informacji w toku realizacji zadania. Program musi zostać zatwierdzony przed jego zastosowaniem (rozpoczęciem prac), a wszelkie zmiany muszą być niezwłocznie akceptowane.

2240.C1 - Programy zadań doradczych mogą mieć różną formę i treść, zależnie od charakteru zadania.

2300 - Wykonywanie zadania

Audytorzy wewnętrzni muszą zbierać, analizować, oceniać i dokumentować informacje wystarczające do osiągnięcia celów zadania.

2310 - Zbieranie informacji

Audytorzy wewnętrzni muszą zebrać informacje, które dotyczą zadania, są wystarczające, wiarygodne i przydatne do osiągnięcia jego celów.

Interpretacja:

Informacja wystarczająca jest rzeczowa, odpowiednia i przekonująca, tak że rozważna, dobrze poinformowana osoba doszłaby na jej podstawie do tych samych wniosków co audytor. Informacja wiarygodna to najlepsza informacja możliwa do uzyskania przy pomocy odpowiednich technik audytu. Informacja dotyczy zadania, jeśli stanowi podstawę ustaleń i zaleceń oraz jest zgodna z celami zadania. Informacja przydatna pomaga organizacji osiągnąć cele.

2320 - Analiza i ocena

Audytorzy wewnętrzni muszą opierać wnioski i wyniki zadania na odpowiednich analizach i ocenach.

2330 - Dokumentowanie informacji

Audytorzy wewnętrzni muszą dokumentować wystarczające, wiarygodne, przydatne i dotyczące zadania informacje, stanowiące podstawę wyników i wniosków.

2330.A1 - Zarządzający audytem wewnętrznym musi kontrolować dostęp do dokumentacji zadania. Przed udostępnieniem takiej dokumentacji osobom z zewnątrz zarządzający audytem, w zależności od sytuacji, musi uzyskać zgodę kierownictwa wyższego szczebla i/lub opinię prawną.

2330.A2 - Zarządzający audytem wewnętrznym musi opracować wymagania dotyczące archiwizacji dokumentacji zadań, niezależnie od nośnika, na którym jest ona zapisana. Wymagania te muszą być zgodne z wytycznymi organizacji oraz innymi obowiązującymi przepisami i wymogami.

2330.C1 - Zarządzający audytem wewnętrznym musi opracować zasady archiwizacji i sprawowania pieczy nad dokumentacją zadań doradczych oraz zasady jej udostępnienia, w tym także osobom spoza organizacji. Zasady te muszą być zgodne z wytycznymi organizacji oraz innymi obowiązującymi przepisami i wymogami.

2340 - Nadzorowanie zadania

Zadania muszą być odpowiednio nadzorowane, by zapewnić osiągnięcie celów, odpowiednią jakość prac i rozwój personelu.

Interpretacja:

Zakres wymaganego nadzoru zależy od biegłości i doświadczenia audytorów wewnętrznych oraz złożoności zadania. Zarządzający audytem wewnętrznym ponosi ogólną odpowiedzialność za nadzór nad zadaniem, zarówno wykonywanym przez, jak i na rzecz audytu wewnętrznego, ale może delegować odpowiednio doświadczonych członków zespołu audytowego do dokonywania przeglądu. Nadzór należy odpowiednio udokumentować, a dokumentację przechowywać.

2400 - Informowanie o wynikach

Audytorzy wewnętrzni muszą informować o wynikach zadań.

2410 - Kryteria informowania

Informacja musi obejmować cele, zakres i wyniki zadania.

2410.A1 - Ostateczna informacja o wynikach zadania musi zawierać odpowiednie wnioski, a także zalecenia i/lub plany działań. Tam gdzie to uzasadnione, audytorzy wewnętrzni powinni przedstawić opinię. Opinia musi uwzględniać oczekiwania kierownictwa wyższego szczebla, rady i innych interesariuszy i musi być poparta wystarczającymi, rzetelnymi, przydatnymi i dotyczącymi zadania informacjami.

Interpretacja:

Opinie w zadaniach mogą przybierać formę ocen, wniosków lub innych opisów wyników. Zadania, w których wyrażenie opinii jest uzasadnione, mogą dotyczyć mechanizmów kontrolnych w konkretnym procesie lub jednostce organizacyjnej, lub odpowiadających na konkretne ryzyko. Do sformułowania opinii konieczne jest rozważenie wyników zadania i ich znaczenia.

2410.A2 - Zachęca się audytorów wewnętrznych do przekazywania informacji o dobrej pracy audytowanego.

2410.A3 - Kiedy wyniki zadania są udostępniane osobom spoza organizacji, osoby te muszą być poinformowane o ograniczeniu rozpowszechniania i wykorzystania wyników.

2410.C1 - Informacja o postępach i wynikach zadań doradczych będzie miała różną formę i treść, zależnie od charakteru zadania i potrzeb zleceniodawcy.

2420 - Jakość informacji

Przekazywane informacje muszą być dokładne, obiektywne, jasne, zwięzłe, konstruktywne, kompletne oraz dostarczone na czas.

Interpretacja:

Dokładne informacje są wolne od błędów i zniekształceń, wiernie odzwierciedlają fakty. Obiektywne informacje są rzetelne i bezstronne; wynikają z wyważonej i dokonanej bez uprzedzeń oceny wszystkich związanych z zadaniem faktów i okoliczności. Jasne informacje są logiczne i łatwe do zrozumienia; unikają niepotrzebnego języka technicznego (żargonu zawodowego) i zawierają wszystkie ważne informacje dotyczące zadania. Zwięzłe informacje dotyczą przedmiotu zadania, nie zawierają niepotrzebnych wywodów, nadmiernych szczegółów, powtórzeń i rozwlekłości. Konstruktywne informacje są przydatne audytowanemu i organizacji, i w razie potrzeby prowadzą do usprawnień. Kompletnym informacjom nie brakuje niczego, co jest niezbędne dla odbiorców; zawierają one wszelkie znaczące i dotyczące zadania elementy i ustalenia, będące podstawą wniosków i zaleceń. Informacje " na czas " są przygotowane i przekazane w odpowiednim terminie, w zależności od istotności zagadnienia, tak by umożliwić kierownictwu podjęcie odpowiednich działań korygujących.

2421 - Błędy i pominięcia

Jeśli ostateczna informacja o wynikach zawiera znaczące błędy lub pominięcia, zarządzający audytem wewnętrznym musi przekazać poprawioną informację wszystkim, którzy otrzymali pierwotną wersję.

2430 - Użycie formuły "przeprowadzono zgodnie z Międzynarodowymi standardami profesjonalnej praktyki zawodowej audytu wewnętrznego"

Stwierdzenie, że zadania zostały przeprowadzone zgodnie z Międzynarodowymi standardami praktyki zawodowej audytu wewnętrznego jest uzasadnione tylko wtedy, gdy wyniki programu zapewnienia i poprawy jakości potwierdzają ten stan.

2431 - Ujawnienie nieprzestrzegania

Jeśli nieprzestrzeganie Kodeksu etyki lub Standardów wpływa na dane zadanie, to informacja o wynikach musi ujawniać:

* które zasady ogólne lub reguły postępowania w Kodeksie etyki lub też Standard(y) nie były w pełni przestrzegane;

* przyczynę(y) ich nieprzestrzegania;

* wpływ nieprzestrzegania na zadanie i na przekazane wyniki.

2440 - Przekazywanie wyników

Zarządzający audytem wewnętrznym musi przekazać wyniki właściwym osobom.

Interpretacja:

Zarządzający audytem wewnętrznym jest odpowiedzialny za przejrzenie i zatwierdzenie ostatecznej informacji z zadania przed jej udostępnieniem oraz decyzję, komu i w jaki sposób będzie ona przekazana. Jeśli zarządzający audytem wewnętrznym deleguje te obowiązki, nadal ponosi ogólną odpowiedzialność.

2440.A1 - Zarządzający audytem wewnętrznym jest odpowiedzialny za przekazanie ostatecznych wyników osobom, które mogą zapewnić poświęcenie im odpowiedniej uwagi.

2440.A2 - O ile wymogi prawne, statutowe lub regulaminowe nie stanowią inaczej, przed udostępnieniem wyników osobom spoza organizacji, zarządzający audytem wewnętrznym musi:

* ocenić potencjalne ryzyko dla organizacji;

* skonsultować się odpowiednio z kierownictwem wyższego szczebla i/lub radcą prawnym;

* kontrolować rozpowszechnianie wyników, ograniczając możliwości ich wykorzystania.

2440.C1 - Zarządzający audytem wewnętrznym jest odpowiedzialny za przekazanie zleceniodawcom ostatecznych wyników zadania.

2440.C2 - W trakcie wykonywania zadań doradczych mogą pojawić się kwestie związane z ładem organizacyjnym, zarządzaniem ryzykiem i kontrolą. Zawsze, gdy kwestie te są istotne dla organizacji, muszą być przekazane kierownictwu wyższego szczebla i radzie.

2450 - Ogólne opinie

Jeśli wydawana jest ogólna opinia, musi uwzględniać strategie, cele i ryzyka organizacji oraz oczekiwania kierownictwa wyższego szczebla, rady i innych interesariuszy. Ogólna opinia musi być poparta wystarczającymi, rzetelnymi, przydatnymi i dotyczącymi zadania informacjami.

Interpretacja:

Informacja będzie obejmowała:

* zakres, w tym okres którego opinia dotyczy;

* ograniczenia zakresu;

* wszystkie powiązane projekty, w tym te, w których polegano na zapewnieniach udzielonych przez innych usługodawców;

* podsumowanie informacji uzasadniających opinię;

* zasady ramowe ryzyka lub kontroli, lub inne kryteria użyte jako podstawa ogólnej opinii;

* ogólną opinię, ocenę lub wnioski.

Informacja musi zawierać powody wydania niekorzystnej ogólnej opinii.

2500 - Monitorowanie postępów

Zarządzający audytem wewnętrznym musi stworzyć i zapewnić działanie systemu monitorowania wyników audytu przekazanych kierownictwu.

2500.A1 - Zarządzający audytem wewnętrznym musi ustanowić proces monitorowania realizacji zaleceń i upewnić się, że decyzje kierownictwa zostały skutecznie wdrożone lub też kierownictwo wyższego szczebla zaakceptowało ryzyko niepodejmowania działań.

2500.C1 - Audyt wewnętrzny musi monitorować wyniki zadań doradczych w zakresie uzgodnionym ze zleceniodawcą.

2600 - Informowanie o akceptacji ryzyka

Jeżeli zdaniem zarządzającego audytem wewnętrznym kierownictwo przyjęło poziom ryzyka, który może być nie do zaakceptowania dla organizacji, musi omówić te kwestie z kierownictwem wyższego szczebla. Jeżeli zarządzający audytem wewnętrznym stwierdzi, że decyzja nie została zmieniona, musi przekazać sprawę radzie.

Interpretacja:

Identyfikacja ryzyka akceptowalnego dla kierownictwa może nastąpić w wyniku usług zapewniających lub doradczych, monitorowania postępu działań podjętych przez kierownictwo w odpowiedzi na poprzednie zadania lub innych prac. Decyzja co do rozwiązań dotyczących ryzyka nie należy do obowiązków zarządzającego audytem wewnętrznym.