Standardy audytu wewnętrznego w jednostkach sektora finansów publicznych.

POLISH LANGUAGE TRANSLATION

THE INSTITUTE OF INTERNAL AUDITORS

247 Maitland Avenue

Altamonte Springs, Florida 32701-4201

Copyright (c) 2001 by The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA. Ali rights reserved.

Permission has been obtained from the copyright holder, The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, U.S.A., to publish this translation, which is the same in all material respects, as the original, unless approved as changed. No part of this document may be reproduced, stored in any retrieval system, or transmitted in any form, or by any means electronic, mechanical, photocopying, recording, or otherwise, without prior written permission of IIA, Inc. or Stowarzyszenia Audytorów Wewnętrznych IIA-Polska, Chapter of the IIA, Inc., ul. Świętokrzyska 12, 00-916 Warsaw, Poland

Zgodę na wydanie tego tłumaczenia, będącego wiernym odzwierciedleniem oryginału, wydał właściciel praw autorskich, The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA.

Żadna część tego dokumentu nie może być reprodukowana, przechowywana w jakimkolwiek systemie przechowywania danych, ani przekazywana w jakiejkolwiek formie, metodą mechaniczną, kserograficzną, poprzez nagrywanie, drogą elektroniczną ani w żaden inny sposób, bez uprzedniego uzyskania pisemnej zgody IIA, Inc. lub Stowarzyszenia Audytorów Wewnętrznych IIA-Polska będącego oddziałem IIA, Inc. w Polsce.

Aby uzyskać zgodę na tłumaczenie, adaptację lub odtwarzanie jakiejkolwiek części niniejszego dokumentu prosimy o skontaktowanie się z:

The Institute of Internal Auditors

IIA Global Practices Center, Professional Practices 247 Maitland Avenue

Altamonte Springs, Florida 32701-4201

Phone: +1-407-937-1362

Fax: +1-407-937-1101

ISBN 0-89413-454-X

lub

Stowarzyszenie Audytorów Wewnętrznych IIA - Polska,

Skrytka pocztowa 34

00-950 Warszawa 1

E-mail: office@iia.org.pl

Wprowadzenie

Audyt wewnętrzny jest działalnością niezależną, obiektywnie zapewniającą i doradczą, której celem jest przysporzenie wartości i usprawnienie działalności operacyjnej organizacji. Pomaga on organizacji w osiąganiu jej celów poprzez systematyczne i zdyscyplinowane podejście do oceny i doskonalenia skuteczności procesów zarządzania ryzykiem, kontroli i governance¹⁾.

Działania audytu wewnętrznego realizowane są w różnym otoczeniu prawnym i kulturowym, w organizacjach różniących się między sobą celami, wielkością, złożonością oraz strukturą, przez osoby będące zarówno pracownikami organizacji jak i z zewnątrz. Ponieważ różnice te mogą w każdym przypadku wpływać na praktykę audytu wewnętrznego, stosowanie Międzynarodowych Standardów Profesjonalnej Praktyki Audytu Wewnętrznego jest kwestią zasadniczą dla właściwego pełnienia roli audytora wewnętrznego. Jeśli przepisy lub regulacje uniemożliwiają audytorom wewnętrznym stosowanie części Standardów, powinni oni stosować Standardy w pozostałym zakresie, a przypadek niestosowanych Standardów ujawnić we właściwy sposób.

Usługi zapewniające (poświadczające) obejmują obiektywną ocenę dowodów, dokonywaną przez audytorów wewnętrznych w celu dostarczenia niezależnej opinii oraz wniosków w odniesieniu do procesu, systemu lub innego zagadnienia. Charakter zadania zapewniającego oraz jego zakres są ustalane przez audytora wewnętrznego. W usługi te zaangażowane są zwykle trzy strony: (1) osoba lub grupa osób bezpośrednio zaangażowanych w proces, system lub inne zagadnienie - właściciel procesu, (2) osoba lub grupa osób, które dokonują oceny - audytor wewnętrzny oraz (3) osoba lub grupa odbiorców wykorzystująca oceny - użytkownik.

Usługi doradcze, ze względu na swój charakter, wykonywane są zwykle w odpowiedzi na konkretne zapotrzebowanie zleceniodawcy. Charakter oraz zakres zadania doradczego jest przedmiotem umowy ze zleceniodawcą. Usługi doradcze zwykle angażują dwie strony: (1) osobę lub grupę osób oferującą doradztwo - audytor wewnętrzny, (2) osobę lub grupę osób poszukujących i uzyskujących poradę - zleceniodawca. Podczas świadczenia usług doradczych, audytor wewnętrzny jest zobowiązany zachować obiektywizm i nie przejmować odpowiedzialności (roli) kierownictwa.

Celem Standardów jest:

* Określenie podstawowych zasad właściwej praktyki audytu wewnętrznego.

* Dostarczenie ramowych zasad wykonywania i upowszechniania szerokiego zakresu działań audytu wewnętrznego przysparzających organizacji wartości dodanej.

* Stworzenie podstaw oceny działalności audytu wewnętrznego.

* Troska o lepsze procesy i działania w organizacji.

Standardy obejmują Standardy Atrybutów, Standardy Działania oraz Standardy Wdrożenia. Standardy Atrybutów określają cechy organizacji oraz osób wykonujących działania audytu wewnętrznego. Standardy Działania opisują charakter działań audytu wewnętrznego oraz określają kryteria jakościowe służące ich ocenie. Standardy Atrybutów oraz Standardy Działania dotyczą wszystkich usług audytu wewnętrznego, natomiast Standardy Wdrożenia odnoszą się do określonych rodzajów zadań.

Standardy Atrybutów i Standardy Działania istnieją w jednym zestawie. Odpowiada im kilka zestawów Standardów Wdrożenia: po jednym dla każdego z głównych typów działań audytu wewnętrznego. Standardy Wdrożenia zostały stworzone dla działań zapewniających (A) oraz doradczych (C).

Standardy są częścią Ramowych Zasad Praktyki Zawodowej. Ramowe Zasady Praktyki Zawodowej obejmują Definicję Audytu Wewnętrznego, Kodeks Etyki, Standardy oraz dalsze wskazówki. Wyjaśnienia jak można stosować Standardy są zamieszczone w Poradnikach, wydanych przez Komitet ds. Zawodowych.

W Standardach stosowane są zwroty, których szczególne znaczenie wyjaśnione jest w Glosariuszu.

Opracowywanie i wydawanie Standardów jest procesem ciągłym. Rada ds. Standardów Audytu Wewnętrznego prowadzi szeroko zakrojone konsultacje oraz dyskusje przed wydaniem kolejnych standardów. Działania te obejmują proces prezentacji projektu standardu i poddanie go pod publiczną dyskusję.

Wszystkie prezentowane projekty są udostępniane na stronie internetowej IIA, jak również są przekazywane do oddziałów IIA na całym świecie. Sugestie i komentarze dotyczące standardów mogą być przesyłane do:

The Institute of Internat Auditors

Global Practices Center, Professional Practices Group 247 Maitland Avenue

Altamonte Springs, FL 32701-4201,

USA E-mail: standards@theiia.org

Web: http: llwww. theiia. org

Najnowsze uzupełnienia i zmiany do Standardów zostały wydane w grudniu 2003 r. i wchodzą w życie z dniem 1 stycznia 2004 r.

______

¹⁾ Governance.

STANDARDY ATRYBUTÓW

1000 - Cel, uprawnienia i odpowiedzialność

Cel, uprawnienia i zakres odpowiedzialności działania audytu wewnętrznego powinny być formalnie określone w karcie audytu, odpowiadać Standardom oraz powinny być zatwierdzone przez radę.

1000. A1 - Rodzaj usług zapewniających świadczonych organizacji powinien być określony w karcie audytu. W przypadku świadczenia usług zapewniających jednostkom spoza organizacji, charakter tych usług powinien być również określony w karcie.

1000. C1 - Rodzaj usług doradczych powinien być określony w karcie audytu.

1100 - Niezależność i obiektywizm

Działanie audytu wewnętrznego powinno być niezależne, a audytorzy wewnętrzni powinni zachowywać obiektywizm podczas wykonywania swej pracy.

1110 - Niezależność organizacyjna

Zarządzający audytem wewnętrznym powinien podlegać takiemu szczeblowi zarządzania w ramach organizacji, który pozwoli audytowi wewnętrznemu wypełnić jego obowiązki.

1110. A1 - Działanie audytu wewnętrznego nie powinno być narażone na jakiekolwiek próby narzucenia zakresu audytu, wpływania na sposób wykonywania pracy i informowania o jej rezultatach.

1120 - Indywidualny obiektywizm

Audytorzy wewnętrzni powinni być bezstronni, wolni od uprzedzeń oraz powinni unikać konfliktu interesów.

1130 - Naruszenie niezależności lub obiektywizmu

W przypadku rzeczywistego lub domniemanego naruszenia niezależności lub obiektywizmu, szczegóły tego naruszenia powinny zostać ujawnione odpowiednim stronom. Sposób ich ujawnienia zależy od charakteru naruszenia.

1130. A1 - Audytorzy wewnętrzni powinni powstrzymać się od oceny działalności operacyjnej, za którą byli uprzednio odpowiedzialni. Ograniczenie obiektywizmu następuje, jeżeli audytor wewnętrzny bada obszar działań, za który był odpowiedzialny w ciągu roku poprzedzającego.

1130. A2 - Zadania zapewniające dotyczące działań, za które odpowiada zarządzający audytem wewnętrznym, powinny podlegać nadzorowi jednostki spoza audytu wewnętrznego.

1130. C1 - Audytorzy wewnętrzni mogą świadczyć usługi doradcze także w zakresie działań operacyjnych, za które byli uprzednio odpowiedzialni.

1130. C2 - Jeżeli w związku z wykonaniem proponowanej usługi doradczej może nastąpić ograniczenie niezależności lub obiektywizmu audytorów wewnętrznych, fakt ten powinien zostać ujawniony zleceniodawcy przed zaakceptowaniem zadania.

1200 - Biegłość oraz należyta staranność zawodowa

Zadania audytorskie powinny być wykonywane z biegłością oraz z należytą starannością zawodową.

1210 - Biegłość

Audytorzy wewnętrzni powinni posiadać wiedzę, umiejętności oraz kwalifikacje potrzebne do wykonywania ich indywidualnych obowiązków. Personel audytu wewnętrznego powinien kolektywnie posiadać lub zdobyć wiedzę, umiejętności oraz kwalifikacje niezbędne do wykonywania obowiązków audytu wewnętrznego.

1210. A1 - Jeżeli wśród personelu audytu wewnętrznego brakuje wiedzy, umiejętności lub innych kompetencji niezbędnych do wykonania całości lub części zadania, to zarządzający audytem wewnętrznym powinien pozyskać odpowiednią pomoc oraz wsparcie merytoryczne.

1210. A2 - Audytor wewnętrzny powinien mieć odpowiednią wiedzę pozwalającą mu rozpoznać znamiona oszustwa, ale nie oczekuje się od niego posiadania wiedzy specjalistycznej wymaganej od osoby właściwej do wykrywania i prowadzenia dochodzeń w sprawie oszustw.

1210. A3 - Audytorzy wewnętrzni powinni posiadać wiedzę o podstawowych ryzykach oraz kontrolach technologii informatycznych jak również powinni znać dostępne techniki audytu wykorzystujące technologie informatyczne. Jednakże nie od wszystkich audytorów wewnętrznych oczekuje się wiedzy specjalistycznej takiej jak od audytorów, których szczególnym obowiązkiem jest audyt informatyczny.

1210. C1 - Jeżeli wśród personelu audytu wewnętrznego brakuje wiedzy, umiejętności lub kwalifikacji niezbędnych do wykonania całości lub części zadania doradczego, zarządzający audytem wewnętrznym powinien odmówić realizacji takiego zadania lub pozyskać odpowiednią pomoc oraz wsparcie merytoryczne.

1220 - Należyta staranność zawodowa

Audytorzy wewnętrzni powinni wykazywać staranność i umiejętność oczekiwane od odpowiednio rozważnego i kompetentnego audytora wewnętrznego. Należyta staranność zawodowa nie oznacza nieomylności.

1220. A1 - Audytor wewnętrzny powinien działać z należytą starannością zawodową, uwzględniając:

* Zakres pracy niezbędny do osiągnięcia celów wyznaczonych dla danego zadania.

* Złożoność, istotność oraz znaczenie spraw, do których stosowane są procedury badania.

* Odpowiedniość i skuteczność procesów zarządzania ryzykiem, kontroli oraz governance.

* Prawdopodobieństwo wystąpienia istotnych błędów, nieprawidłowości lub niezgodności z przepisami.

* Koszt badania w zestawieniu z potencjalnymi korzyściami.

1220. A2 - Działając z należytą starannością zawodową audytor wewnętrzny powinien rozważyć możliwość użycia informatycznych narzędzi audytu oraz innych technik analizy danych.

1220. A3 - Audytor wewnętrzny powinien być wyczulonym na znaczące ryzyka, które mogą negatywnie wpłynąć na realizację celów organizacji, jej operacje oraz zasoby. Jednakże same procedury zapewniające, nawet przeprowadzane z należytą starannością zawodową, nie gwarantują, że wszystkie znaczące ryzyka zostaną rozpoznane.

1220. C1 - Realizując zadanie doradcze audytor wewnętrzny powinien postępować z należytą starannością zawodową, uwzględniając:

* Potrzeby i oczekiwania zleceniodawców, co do rodzaju zadania, terminu wykonania i sposobu przekazania jego wyników.

* Względną złożoność oraz zakres prac niezbędnych do osiągnięcia celów zadania.

* Koszt zadania doradczego w zestawieniu z potencjalnymi korzyściami.

1230 - Ciągły rozwój zawodowy

Audytorzy wewnętrzni powinni poszerzać swoją wiedzę, umiejętności oraz kwalifikacje drogą stałego doskonalenia zawodowego.

1300 - Program zapewnienia i poprawy jakości

Zarządzający audytem wewnętrznym powinien opracować i realizować program zapewnienia i poprawy jakości, który obejmuje wszystkie aspekty działania audytu wewnętrznego oraz monitoruje w sposób ciągły jego efektywność. Program ten obejmuje okresowe wewnętrzne i zewnętrzne oceny jakości pracy oraz bieżący wewnętrzny monitoring. Każda z części programu powinna być opracowana w taki sposób, by wspomagała działanie audytu wewnętrznego, zmierzające do przysporzenia wartości organizacji i usprawnienia jej działalności operacyjnej, jak również zapewniała zgodność działania audytu wewnętrznego ze Standardami oraz Kodeksem Etyki.

1310 - Ocena programu jakości

Audyt wewnętrzny do swoich działań powinien wprowadzić proces monitorowania i oceny skuteczności programu jakości. Proces ten powinien uwzględniać zarówno oceny wewnętrzne jak i zewnętrzne.

1311 - Oceny wewnętrzne

Ocena wewnętrzna powinna obejmować:

* Bieżącą ocenę działalności audytu wewnętrznego oraz

* Okresowe przeglądy przeprowadzane drogą samooceny lub przez inną osobę - w ramach organizacji - posiadającą znajomość praktyki audytu wewnętrznego i Standardów.

1312 - Oceny zewnętrzne

Oceny zewnętrzne, takie jak przegląd systemu zapewnienia jakości, powinny być przeprowadzane przynajmniej raz na pięć lat przez wykwalifikowaną osobę lub zespół spoza organizacji.

1320 - Sprawozdawczość dotycząca programu jakości

Zarządzający audytem wewnętrznym powinien przekazać radzie wyniki oceny zewnętrznej.

1330 - Użycie formuły "Przeprowadzony zgodnie ze standardami"

Zachęca się audytorów wewnętrznych do używania w swoich sprawozdaniach formuły: czynności zostały "przeprowadzone zgodnie ze Standardami Profesjonalnej Praktyki Audytu Wewnętrznego". Audytorzy wewnętrzni mogą jednak stosować taką formułę wyłącznie wtedy, gdy ocena programu poprawy jakości wskazuje, że działalność audytu wewnętrznego jest zgodna ze Standardami.

1340 - Ujawnienie braku zgodności

Pomimo, że działanie audytu wewnętrznego powinno być w pełni zgodne ze Standardami, a postępowanie audytorów wewnętrznych zgodne z Kodeksem Etyki, mogą wystąpić przypadki, kiedy to pełna zgodność nie zostanie osiągnięta. Jeśli wpływa to na całkowity obszar działania lub pracę audytu wewnętrznego, wówczas fakt taki powinien być ujawniony kierownictwu wyższego szczebla oraz radzie.

STANDARDY DZIAŁANIA

2000 - Zarządzanie działaniem audytu wewnętrznego

Zarządzający audytem wewnętrznym powinien skutecznie zarządzać działaniem audytu wewnętrznego tak, aby zapewnić przysporzenie organizacji wartości dodanej.

2010 - Planowanie

Zarządzający audytem wewnętrznym powinien opracowywać plany oparte na analizie ryzyka, określające zgodne z celami organizacji priorytety dla działań audytu wewnętrznego.

2010. A1 - Plan działania audytu wewnętrznego powinien bazować na ocenie ryzyka przeprowadzanej, co najmniej corocznie. Udział kierownictwa wyższego szczebla oraz rady powinien być uwzględniony w tym procesie.

2010. C1 - Zarządzający audytem wewnętrznym powinien rozważyć przyjęcie proponowanych zadań doradczych, które mogą wpłynąć na udoskonalenie zarządzania ryzykiem, przysporzenie wartości oraz udoskonalenie działalności operacyjnej organizacji. Przyjęte zadania powinny być uwzględnione w planie pracy.

2020 - Informowanie i zatwierdzanie

Zarządzający audytem wewnętrznym powinien powiadamiać kierownictwo wyższego szczebla oraz radę o planach działania audytu wewnętrznego oraz zasobach niezbędnych do ich wykonania celem ich przeglądu i zatwierdzenia, w tym o znaczących zmianach w realizowanym planie. Zarządzający audytem wewnętrznym powinien także informować o skutkach ograniczeń w zasobach.

2030 - Zarządzanie zasobami

Zarządzający audytem wewnętrznym powinien dla realizacji zatwierdzonego planu audytu zapewnić odpowiednie i wystarczające zasoby, jak również zadbać o ich efektywne wykorzystanie.

2040 - Zasady i procedury

Zarządzający audytem wewnętrznym powinien ustalić zasady oraz procedury służące kierowaniu działaniem audytu wewnętrznego.

2050 - Koordynowanie

Zarządzający audytem wewnętrznym powinien wymieniać informacje i koordynować działania zarówno z wewnętrznymi jak i zewnętrznymi wykonawcami usług zapewniających i doradczych, aby zapewnić odpowiedni zakres audytu oraz zminimalizować dublowanie wysiłków.

2060 - Składanie sprawozdań radzie i kierownictwu wyższego szczebla

Zarządzający audytem wewnętrznym powinien składać okresowe sprawozdania kierownictwu wyższego szczebla na temat celu działania audytu wewnętrznego, uprawnień, odpowiedzialności oraz stopnia wykonania planu. Sprawozdania powinny również obejmować zagadnienia dotyczące znaczących zagrożeń ryzykiem, systemu kontroli, governance oraz inne zagadnienia, których omówienia wymaga lub oczekuje kierownictwo wyższego szczebla oraz rada.

2100 - Charakter pracy

Audyt wewnętrzny w swoich działaniach dokonuje oceny i przyczynia się do usprawnienia procesów zarządzania ryzykiem, procesów kontroli oraz governance stosując systematyczne i konsekwentne podejście.

2110 - Zarządzanie ryzykiem

Działanie audytu wewnętrznego powinno wspierać organizację poprzez rozpoznanie i ocenę znaczących zagrożeń ryzykiem i przyczyniać się do usprawnienia systemów zarządzania ryzykiem i kontroli.

2110. A1 - Działanie audytu wewnętrznego powinno monitorować i oceniać skuteczność systemu zarządzania ryzykiem w danej organizacji.

2110. A2 - Działanie audytu wewnętrznego powinno oceniać zagrożenie ryzykiem związane z governance, działalnością operacyjną oraz systemami informatycznymi w organizacji biorąc pod uwagę:

* Wiarygodność i rzetelność informacji finansowych i operacyjnych.

* Skuteczność i efektywność działań operacyjnych.

* Ochronę aktywów.

* Zgodność z prawem, przepisami i umowami.

2110. C1 - Podczas zadań doradczych audytorzy wewnętrzni powinni podejść do ryzyka zgodnie z celami zadania i powinni zwracać uwagę na możliwość istnienia innych znaczących ryzyk.

2110. C2 - Audytorzy wewnętrzni powinni wykorzystać wiedzę o ryzykach uzyskaną podczas wykonywania zadań doradczych do rozpoznania i oceny znaczących zagrożeń danej organizacji ryzykiem.

2120 - Kontrola

Działanie audytu wewnętrznego powinno wspierać organizację w utrzymaniu skutecznej kontroli poprzez ocenę jej skuteczności i efektywności oraz promowanie ciągłego usprawniania.

2120. A1 - Na podstawie wyników oceny ryzyka audytorzy wewnętrzni powinni oceniać odpowiedniość i skuteczność środków kontroli w organizacji obejmujących governance, działalność operacyjną i systemy informatyczne. Ocena ta powinna obejmować:

* Wiarygodność i rzetelność informacji finansowych i operacyjnych.

* Skuteczność i efektywność działań operacyjnych.

* Ochronę aktywów.

* Zgodność z prawem, przepisami i umowami.

2120. A2 - Audytorzy wewnętrzni powinni ustalać, czy określono cele i zadania dla działań operacyjnych i programów i czy są one zgodne z celami i zadaniami organizacji.

2120. A3 - Audytorzy wewnętrzni powinni dokonywać przeglądu działań operacyjnych i programów, aby ustalić stopień, w jakim wykonanie jest zgodne z wytyczonymi celami i zadaniami oraz określić, czy działania operacyjne i programy zostały wdrożone i są wykonywane zgodnie z zamierzeniami.

2120. A4 - Do oceny środków kontroli niezbędne są odpowiednie kryteria. Audytorzy wewnętrzni powinni ustalić, w jakim stopniu przyjęte przez kierownictwo kryteria do oceny realizacji celów i zadań są właściwe (odpowiednie). Jeżeli kryteria są właściwe, audytorzy wewnętrzni powinni wykorzystywać je do swoich ocen. Jeżeli kryteria są niewłaściwe, audytorzy wewnętrzni powinni wspólnie z kierownictwem wypracować właściwe kryteria oceny.

2120. C1 - Podczas wykonywania zadań doradczych audytorzy wewnętrzni powinni zająć się środkami kontroli w zakresie celów zadania, zwracając uwagę na możliwość istnienia znaczących słabości kontroli.

2120. C2 - Audytorzy wewnętrzni powinni wykorzystywać wiedzę o środkach kontroli uzyskaną podczas wykonywania zadań doradczych do rozpoznania i oceny znaczących zagrożeń danej organizacji ryzykiem.

2130 - Governance

Audyt wewnętrzny w swoich działaniach powinien oceniać i przedstawiać stosowne zalecenia dla usprawnienia procesu governance tak, aby osiągane były następujące cele tego procesu:

* Promowanie właściwych zasad etyki i wartości wewnątrz organizacji.

* Zapewnianie skutecznego zarządzania efektywnością pracy i rozliczaniem z odpowiedzialności w organizacji.

* Skuteczne przekazywanie informacji o ryzykach i kontroli do odpowiednich obszarów organizacji.

* Skuteczne koordynowanie działań i przekazywanie informacji pomiędzy radą, audytorami zewnętrznymi i wewnętrznymi oraz kierownictwem.

2130. A1 - Audyt wewnętrzny w swoich działaniach powinien oceniać formę, sposób wdrożenia oraz skuteczność celów, programów i działań organizacji w zakresie etyki.

2130. C1 - Cele zadań doradczych powinny być zgodne z całością wartości i celów danej organizacji.

2200 - Planowanie zadań

Audytorzy wewnętrzni powinni opracować oraz zapisać plan dla każdego zadania uwzględniając zakres, cele, czas oraz przydział zasobów.

2201 - Elementy uwzględniane przy planowaniu

Planując zadania audytorzy wewnętrzni powinni uwzględnić:

* Cele działalności, która będzie podlegać przeglądowi oraz środki, za pomocą których dokonuje się kontroli ich wykonania.

* Istotne ryzyka zagrażające danej działalności, jej celom, zasobom oraz operacjom, jak również środki, za pomocą których potencjalny negatywny wpływ ryzyka jest utrzymywany na możliwym do przyjęcia poziomie.

* Prawidłowość i skuteczność systemów zarządzania ryzykiem i kontroli danej działalności w porównaniu z właściwymi systemami i modelami kontroli.

* Możliwości istotnych udoskonaleń systemu zarządzania ryzykiem i kontroli danej działalności.

2201. A1 - W przypadku planowania zadania dla jednostek (audytorów) z zewnątrz organizacji, audytorzy wewnętrzni powinni z nimi zawrzeć pisemne porozumienie dotyczące celów i zakresu działania, odpowiedzialności stron oraz innych oczekiwań, włącznie z zastrzeżeniem przekazywania wyników zadania oraz dostępu do dokumentacji zadania.

2201. C1 - Audytorzy wewnętrzni powinni uzgodnić ze zleceniodawcami zadań doradczych cele, zakres, wzajemną odpowiedzialność oraz inne oczekiwania zleceniodawcy. Dla znaczących zadań, takie uzgodnienie powinno mieć formę pisemną.

2210 - Cele zadania

Cele powinny zostać ustalone dla każdego zadania.

2210. A1 - Audytorzy wewnętrzni powinni przeprowadzić wstępną ocenę ryzyk istotnych dla rodzaju działalności podlegającej przeglądowi. Wyniki tej oceny powinny być odzwierciedlone w celach zadania.

2210. A2 - Audytor wewnętrzny powinien ustalając cele zadania rozważyć prawdopodobieństwo wystąpienia istotnych błędów, nieprawidłowości lub przypadków niezgodności z prawem i innych zagrożeń.

2210. C1 - Celem zadań doradczych powinno być ryzyko, działania kontrolne i procesy governance organizacji w zakresie uzgodnionym ze zleceniodawcą.

2220 - Zakres zadania

Ustalony zakres zadania powinien być wystarczający dla realizacji celów zadania.

2220. A1 - Zakres zadania powinien uwzględniać znaczące systemy, dokumentację, personel oraz majątek rzeczowy, w tym również znajdujący się pod kontrolą osób trzecich.

2220. A2 - Jeżeli pojawią się istotne możliwości świadczenia usług doradczych podczas realizacji zadania zapewniającego (audytu), powinno zostać opracowane i spisane szczególne porozumienie ustalające cele, zakres, odpowiedzialności stron oraz inne oczekiwania, a wyniki zadania doradczego powinny zostać przedstawione zgodnie ze standardami doradztwa.

2220. C1 - Wykonując zadania doradcze, audytorzy wewnętrzni powinni zapewnić, że zakres zadania jest wystarczający, aby objąć nim wszystkie uzgodnione cele. Jeśli audytorzy wewnętrzni, podczas wykonywania zadania mieliby jakieś zastrzeżenia, co do jego zakresu, to zastrzeżenia takie powinny być omówione ze zleceniodawcą, aby zadecydować czy zadanie będzie kontynuowane.

2230 - Przydział zasobów do realizacji zadania

Audytorzy wewnętrzni powinni oszacować wielkość zasobów odpowiednią do osiągnięcia celów zadania. Dobór personelu powinien opierać się na ocenie rodzaju oraz stopnia złożoności poszczególnych zadań, ograniczeń czasowych oraz dostępnych zasobów.

2240 - Program pracy dla zadania

Audytorzy wewnętrzni powinni opracować programy pracy pozwalające na osiągnięcie celów zadania. Programy pracy powinny być zapisane.

2240. A1 - Programy pracy powinny określać procedury służące rozpoznaniu, analizie, ocenie oraz sporządzaniu dokumentacji w realizowanym zadaniu. Program powinien zostać zatwierdzony przed jego zastosowaniem (rozpoczęciem prac), a wszelkie jego zmiany powinny być niezwłocznie akceptowane.

2240. C1 - Programy pracy dla zadań doradczych mogą się różnić formą i zawartością, zależnie od rodzaju danego zadania.

2300 - Wykonywanie zadania

Audytorzy wewnętrzni powinni zidentyfikować informacje wystarczające do osiągnięcia celów zadania, dokonać ich analizy, oceny oraz ich udokumentowania.

2310 - Identyfikacja informacji

Audytorzy wewnętrzni powinni zidentyfikować informacje, które są wystarczające, wiarygodne, istotne oraz przydatne do osiągnięcia celów zadania.

2320 - Analiza i ocena

Audytorzy wewnętrzni powinni opierać wnioski oraz wyniki realizacji zadania na właściwych analizach i ocenach.

2330 - Dokumentowanie informacji

Audytorzy wewnętrzni powinni dokumentować istotne informacje dla poparcia wniosków oraz wyników realizacji zadań.

2330. A1 - Zarządzający audytem wewnętrznym powinien kontrolować dostęp do dokumentacji zadania. W zależności od sytuacji powinien on uzyskać zgodę kierownictwa wyższego szczebla oraz/lub opinię radcy prawnego, przed udostępnieniem - w razie potrzeby - takiej dokumentacji osobom z zewnątrz.

2330. A2 - Zarządzający audytem wewnętrznym powinien opracować wymagania dotyczące archiwizacji dokumentacji zadań. Wymogi te powinny być zgodne z wytycznymi organizacji oraz wszelkimi obowiązującymi wymogami prawa i innymi.

2330. C1 - Zarządzający audytem wewnętrznym powinien opracować zasady dotyczące archiwizacji i opieki nad dokumentacją zadań, jak i jej udostępnienia osobom z wewnątrz i zewnątrz. Zasady te powinny być zgodne z wytycznymi organizacji oraz wszelkimi obowiązującymi wymogami prawa i innymi.

2340 - Nadzorowanie zadań

Zadania powinny być odpowiednio nadzorowane tak, aby zapewnić osiągnięcie celów, odpowiednią jakość prac i rozwój personelu.

2400 - Informowanie o wynikach

Audytorzy wewnętrzni powinni informować o wynikach realizowanych zadań.

2410 - Kryteria informowania

Informacja powinna obejmować cele i zakres zadania oraz odpowiednie wnioski, zalecenia oraz plany działań.

2410. A1 - Tam gdzie to uzasadnione, sprawozdanie końcowe z zadania powinno zawierać ogólną opinię oraz (lub) ogólne wnioski audytora wewnętrznego.

2410. A2 - Zachęca się audytorów wewnętrznych do odnotowywania w sprawozdaniach satysfakcjonującego działania audytowanego.

2410. A3 - Kiedy wyniki zadania są przekazywane osobom z zewnątrz organizacji, dokumentacja powinna zawierać informację o ograniczeniu ich udostępniania oraz wykorzystania wyników.

2410. C1 - Informacja o postępie i wynikach zadań doradczych będzie się różniła, co do formy i zawartości, zależnie od rodzaju zadania i potrzeb zleceniodawcy.

2420 - Jakość informacji

Sprawozdanie powinno być dokładne, obiektywne, jasne, zwięzłe, konstruktywne, kompletne oraz dostarczone na czas.

2421 - Błędy i pominięcia

Jeśli sprawozdanie końcowe zawiera znaczące błędy lub pominięcia, wówczas zarządzający audytem wewnętrznym powinien przekazać poprawione sprawozdanie wszystkim stronom, które otrzymały jego pierwotną wersję.

2430 - Ujawnienie niezgodności ze Standardami

Jeśli niezgodność ze Standardami wpływa na dane zadanie, to sprawozdanie powinno wskazywać:

* Standard(y), które nie został(y) w pełni zachowany(e).

* Przyczynę(y) ich niezachowania.

* Wpływ niezgodności na zadanie.

2440 - Przekazywanie wyników

Zarządzający audytem wewnętrznym powinien przekazać wyniki właściwym stronom.

2440. A1 - Zarządzający audytem wewnętrznym jest odpowiedzialny za przekazanie końcowych wyników stronom, które mogą zapewnić poświęcenie wynikom odpowiedniej uwagi.

2440. A2 - O ile przepisy prawne, statutowe i regulaminowe nie precyzują szczególnych wymogów, przed udostępnieniem wyników osobom z zewnątrz organizacji, zarządzający audytem wewnętrznym powinien:

* Ocenić potencjalne ryzyko dla organizacji.

* Skonsultować tę decyzję z kierownictwem wyższego szczebla i/lub radcą prawnym.

* Kontrolować rozpowszechnianie wyników poprzez zastrzeżenie dokumentu (do ograniczonego użytku).

2440. C1 - Zarządzający audytem wewnętrznym jest odpowiedzialny za poinformowanie zleceniodawców o ostatecznych wynikach wykonania zadania.

2440. C2 - Podczas zadań doradczych mogą zostać rozpoznane kwestie związane z zarządzaniem ryzykiem, kontrolą oraz governance. W przypadku, gdy kwestie te są znaczące dla organizacji, powinny one być zakomunikowane wyższemu kierownictwu oraz radzie.

2500 - Monitorowanie postępów

Zarządzający audytem wewnętrznym powinien stworzyć i zapewnić działanie systemu monitorowania wyników audytu przekazanych kierownictwu.

2500. A1 - Zarządzający audytem wewnętrznym powinien ustanowić zasady monitorowania realizacji zaleceń w celu upewnienia się, że stosowne decyzje kierownictwa zostały skutecznie wdrożone lub też, że kierownictwo wyższego szczebla zaakceptowało ryzyko niepodejmowania działań.

2500. C1 - Audyt wewnętrzny w swoich działaniach powinien monitorować zastosowanie wyników zadań doradczych w zakresie uzgodnionym ze zleceniodawcą.

2600 - Decyzja w sprawie akceptacji ryzyka przez kierownictwo

Jeżeli zdaniem zarządzającego audytem wewnętrznym kierownictwo wyższego szczebla przyjęto poziom ryzyka rezydualnego, który może być nie do zaakceptowania przez organizację, wtedy powinien on omówić te kwestie z kierownictwem wyższego szczebla. Jeżeli decyzja dotycząca ryzyka rezydualnego nie zostanie zmieniona, zarządzający audytem wewnętrznym i kierownictwo wyższego szczebla powinni przekazać sprawę do decyzji rady.

Glosariusz

Cele zadania - ogólne założenie opracowane przez audytorów wewnętrznych określające zamierzone dokonanie zadania.

Działanie audytu wewnętrznego (audyt wewnętrzny) - departament, pion, zespół konsultantów lub innych ekspertów świadczących wewnątrz organizacji w sposób niezależny usługi, obiektywnie zapewniające i doradcze, celem przysporzenia wartości oraz usprawnienia działalności operacyjnej organizacji. Działanie audytu wewnętrznego pomaga organizacji w osiąganiu jej celów poprzez systematyczne i konsekwentne podejście do oceny i doskonalenia skuteczności procesów zarządzania ryzykiem, kontroli i governance.

Governance (ład organizacyjny) - kombinacja procesów oraz struktur wprowadzonych przez radę dla uzyskania przepływu informacji, zarządzania, kierowania oraz monitorowania działań w organizacji nakierowanych na realizację celów tej organizacji.

Kodeks Etyki - Kodeks Etyki Instytutu Audytorów Wewnętrznych (IIA) jest zbiorem zasad dotyczących zawodu i praktyki audytu wewnętrznego oraz reguł postępowania określających pożądany sposób zachowania audytorów wewnętrznych. Kodeks Etyki odnosi się do jednostek i organizacji świadczących usługi audytu wewnętrznego. Celem Kodeksu Etyki jest promowanie kultury etycznej w wykonywaniu zawodu audytora wewnętrznego na całym świecie.

Konflikt interesów - każdego typu relacja osobowa, która nie jest lub wydaje się nie być w dobrym interesie organizacji. Konflikt interesów mógłby stanowić przeszkodę uniemożliwiającą danej osobie wykonanie zadań i obowiązków w sposób obiektywny.

Kontrola - każde działanie podejmowane przez kierownictwo, radę lub inne jednostki w celu zarządzania ryzykiem i zwiększenia prawdopodobieństwa zrealizowania ustalonych celów i zadań. Kierownictwo planuje, organizuje i kieruje wykonaniem właściwych działań dając racjonalne zapewnienie, że cele i zadania zostaną zrealizowane.

Oszustwo - każdy nielegalny czyn charakteryzujący się celowym wprowadzeniem w błąd, ukrywaniem prawdy lub naruszeniem zaufania. Czyny te nie są powodowane powstałym zagrożeniem użycia siły czy przymusu fizycznego. Oszustwa są popełniane przez osoby i organizacje w celu uzyskania pieniędzy, majątku lub świadczenia, w celu uniknięcia płatności lub uniknięcia utraty świadczenia, lub w celu zapewnienia korzyści osobistych lub interesu przedsiębiorstwa.

Naruszenia - naruszenia indywidualnego obiektywizmu lub niezależności organizacyjnej mogą wystąpić w postaci konfliktu interesów, ograniczenia zakresu badania, ograniczenia w dostępie do danych, personelu, majątku jak również ograniczenia zasobów (finansowania).

Niezależność - wolność od warunków, które zagrażają obiektywizmowi lub domniemaniu obiektywizmu. Zarządzanie zagrożeniami obiektywizmu musi się odbywać na poziomie każdego audytora i zadania jak również na poziomie funkcjonalnym i organizacyjnym.

Obiektywizm - to niezależna postawa intelektualna, która wymaga od audytorów wewnętrznych przeprowadzania zadań z pełną wiarą w efekty swej pracy oraz przekonania o unikaniu znaczących kompromisów co do jakości. Obiektywizm wymaga od audytorów wewnętrznych nie podporządkowywania swoich rozstrzygnięć w sprawach audytu opiniom innych osób.

Powinien - używane sformułowanie "powinien" w niniejszych Standardach oznacza wymóg obligatory (Powinien oznacza Musi).

Procesy kontroli - zasady, procedury oraz czynności będące częścią ramowej koncepcji kontroli, opracowane celem zapewnienia, że ryzyka zmieszczą się w akceptowalnych granicach ustalonych w procesie zarządzania ryzykiem.

Program pracy zadania - dokument, który opisuje procedury zastosowane w trakcie zadania, prowadzące do osiągnięcia zaplanowanych celów zadania.

Przysparzać wartości (dodawać wartości) - Wartość tworzona jest poprzez polepszenie możliwości realizacji celów organizacji, poprzez identyfikowanie usprawnień działań operacyjnych i/lub ograniczanie ekspozycji na ryzyka w wyniku zarówno usług zapewnienia oraz doradczych.

Rada - Rada jest organem zarządzającym (nadzorującym) organizacji, jak np. rada dyrektorów, rada nadzorcza, kierujący agencją czy jednostką legislacyjną, rada zarządzająca lub powiernicza w organizacjach non profit, lub też inna dedykowana jednostka organizacyjna - również komitet ds. audytu, któremu funkcjonalnie podlega osoba zarządzająca audytem wewnętrznym.

Karta (statut) - karta działania audytu wewnętrznego to oficjalny, sporządzony na piśmie dokument określający cel, uprawnienia i odpowiedzialność odnoszące się do działania audytu wewnętrznego. Karta powinna: a) ustalać pozycję audytu wewnętrznego w strukturze organizacji; b) upoważniać do dostępu do akt, personelu i obiektów fizycznych w zakresie wymaganym do wykonania zadania audytowego; c) określać zakres działania audytu wewnętrznego.

Ryzyko - możliwość zaistnienia zdarzenia, które będzie miało wpływ na realizację założonych celów. Ryzyko jest mierzone wpływem (siłą oddziaływania) oraz prawdopodobieństwem jego wystąpienia.

Ryzyko rezydualne - ryzyko jakie pozostaje po przeprowadzeniu przez kierownictwo działań zmierzających do zminimalizowania wpływu (skutków) oraz prawdopodobieństwa wystąpienia niepomyślnych zdarzeń, włączając działania kontrolne podjęte w odpowiedzi na ryzyko.

Standard - zawodowa wykładnia ogłoszona przez Radę ds. Standardów Audytu Wewnętrznego, która określa wymogi dotyczące wykonywania szerokiego zakresu działań audytu wewnętrznego jak również do oceny efektywności audytu wewnętrznego.

Środowisko kontroli - postawa oraz rzeczywiste działania rady i kierownictwa w odniesieniu do znaczenia kontroli w organizacji. Środowisko kontroli zapewnia warunki i strukturę niezbędne do osiągnięcia podstawowych celów systemu kontroli wewnętrznej. Na środowisko kontroli składają się następujące elementy:

* Uczciwość i wartości etyczne.

* Filozofia i styl działania kierownictwa.

* Struktura organizacyjna.

* Delegowanie uprawnień i obowiązków (odpowiedzialności).

* Polityka i praktyka w zakresie zarządzania zasobami ludzkimi.

* Kwalifikacje pracowników.

Usługi doradcze - doradztwo i pokrewne działania usługowe dla klienta, których charakter i zakres są uzgodnione z klientem i których zamierzeniem jest przysporzenie wartości oraz usprawnienie procesów governance, zarządzania ryzykiem i kontroli z zachowaniem zasady, że audytor wewnętrzny nie przejmuje na siebie odpowiedzialności kierownictwa. Przykładami takich usług są konsultacja, doradztwo, usprawnienie (udogodnienie) oraz szkolenie.

Usługi zapewniające - obiektywne badanie dowodów w celu dostarczenia niezależnej oceny procesów zarządzania ryzykiem, kontroli oraz governance. Przykładowo usługi te mogą obejmować zadania w zakresie finansów, działalności operacyjnej, zgodności, bezpieczeństwa systemów oraz przegląd typu due diligence.

Usługodawca zewnętrzny - Osoba lub firma z zewnątrz organizacji, która posiada szczególną wiedzę, umiejętności oraz doświadczenie w zakresie wybranej dziedziny.

Właściwa kontrola (prawidłowa, odpowiednia) - ma miejsce wówczas, gdy kierownictwo zaplanowało i zorganizowało kontrolę w sposób racjonalnie zapewniający, że ryzyka są skutecznie zarządzane a cele i zadania organizacji zostaną skutecznie i ekonomicznie zrealizowane.

Zadanie - przegląd lub inne wyznaczone do wykonania czynności audytu wewnętrznego określane m.in. jako: audyt wewnętrzny, przegląd procesu samooceny kontroli, badanie w sprawie oszustwa lub doradztwo. Zadanie może obejmować wiele czynności lub działań opracowanych, aby osiągnąć szczególne powiązane ze sobą cele.

Zarządzający audytem wewnętrznym - najwyższe stanowisko zajmowane przez osobę odpowiedzialną za działanie audytu wewnętrznego w ramach instytucji. Zwykle jest to dyrektor departamentu audytu wewnętrznego. Jeżeli działania audytu wewnętrznego wykonywane są przez zewnętrznych usługodawców, wówczas jest to osoba odpowiedzialna za nadzorowanie kontraktu oraz całościowe zapewnienie jakości wykonywanych działań, sprawozdawczość dotyczącą audytu wewnętrznego dla kierownictwa wyższego szczebla oraz rady, monitorowanie działań podjętych w odpowiedzi na rezultaty zadania. Stanowisko to obejmuje również takie tytuły jak: Audytor Generalny, Główny Audytor Wewnętrzny oraz Inspektor Generalny.

Zarządzanie ryzykiem - Proces identyfikacji, oceny, zarządzania i kontroli potencjalnych zdarzeń lub sytuacji zmierzający do dostarczenia racjonalnego zapewnienia, że cele organizacji zostaną zrealizowane.

Zgodność - wierność przyjętym zasadom i spójność z polityką, planami, procedurami, przepisami prawa, regulacjami, umowami lub innymi wymaganiami.