Standardy audytu wewnętrznego w jednostkach sektora finansów publicznych.

POLISH LANGUAGE TRANSLATION

THE INSTITUTE OF INTERNAL AUDITORS

247 Maitland Avenue

Altamonte Springs, Florida 32701-4201 USA

Copyright © 2009 by The Institute of Internal Auditors Reserch Fundation (HARF), 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA. All rights reserved.

Permission has been obtained from the copyright holder, The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA, to publish this translation, which is the same as the original in all material respects. No part of this document may be reproduced, stored in any retrieval system, or transmitted in any form, or by any means electronic, mechanical, photocopying, recording, or otherwise, without prior written permission of the IIA or Stowarzyszenia Audytorów Wewnętrznych IIA Polska, ul. Ogrodowa 28/30 lok. 106, 00-896 Warsaw, Poland.

Data tłumaczenia: listopad 2009 Translation date: November 2009 2

Zgodę na wydanie tego tłumaczenia, będącego wiernym odzwierciedleniem oryginału, wydał właściciel praw autorskich, The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA.

Żadna część tego dokumentu nie może być reprodukowana, przechowywana w jakimkolwiek systemie przechowywania danych, ani przekazywana w jakiejkolwiek formie, metodą mechaniczną, kserograficzną, poprzez nagrywanie, drogą elektroniczną ani w żaden inny sposób, bez uprzedniego uzyskania pisemnej zgody IIA Global lub Stowarzyszenia Audytorów Wewnętrznych IIA Polska.

Aby uzyskać zgodę na tłumaczenie, adaptację lub odtwarzanie jakiejkolwiek części niniejszego dokumentu prosimy o skontaktowanie się z:

The Institute of Internal Auditors

247 Maitland Avenue

Altamonte Springs, Florida 32701-4201 USA

Phone: +1-407-937-1362

Fax: +1-407-937-1101

ISBN 978-0-89413-639-9

lub

Stowarzyszenie Audytorów Wewnętrznych IIA Polska

ul. Ogrodowa 28/30 lok. 106, Warszawa, 00-896

Tel. +48 22 3933950; E-mail: office@iia.org.pl

Wprowadzenie do Standardów

Audyt wewnętrzny jest prowadzony w różnorodnym otoczeniu prawnym i kulturowym, w organizacjach różniących się między sobą celami, wielkością, złożonością oraz strukturą. Audyt wewnętrzny wykonują zarówno osoby z organizacji, jak i spoza niej. Chociaż wyżej wymienione różnice mogą wpływać na praktykę audytu w różnych środowiskach, stosowanie Międzynarodowych standardów praktyki zawodowej audytu wewnętrznego (zwanych dalej Standardami) jest zasadniczym warunkiem wypełniania obowiązków przez audytora wewnętrznego i audyt wewnętrzny.

Jeśli przepisy lub inne regulacje uniemożliwiają audytorom wewnętrznym lub audytowi wewnętrznemu stosowanie części Standardów, konieczne jest odpowiednie ujawnienie tego faktu i stosowanie Standardów w pozostałym zakresie. Jeżeli Standardy są stosowane równocześnie ze standardami przygotowanymi przez inne uprawnione instytucje, wówczas przy przekazywaniu wyników audytu można również odwołać się do innego - wykorzystanego w badaniu - zbioru standardów. W takim wypadku, jeżeli występują różnice między stosowanymi zbiorami standardów, audytorzy wewnętrzni i audyt wewnętrzny muszą działać zgodnie ze Standardami IIA. Stosowanie innych standardów jest możliwe, jeśli mają one bardziej restrykcyjny charakter.

Celem Standardów jest:

1. Określenie podstawowych zasad praktyki audytu wewnętrznego.

2. Wyznaczenie ramowych zasad wykonywania i upowszechniania szerokiego zakresu audytu wewnętrznego, przysparzającego organizacji wartości dodanej.

3. Stworzenie podstaw oceny działalności audytu wewnętrznego.

4. Przyczynienie się do usprawniania procesów i działalności operacyjnej organizacji.

Standardy są obowiązkowymi zasadami, składającymi się:

* ze stwierdzeń, określających podstawowe wymogi wobec praktyki zawodowej audytu wewnętrznego i oceny skuteczności działań. Wymogi te stosowane są na całym świecie, na poziomie organizacyjnym i indywidualnym;

* z interpretacji, wyjaśniających terminy lub pojęcia użyte w tych stwierdzeniach.

W Standardach pojawiają się terminy, które zostały wyjaśnione w słowniku znajdującym się na końcu tekstu. W szczególności, w Standardach użyto słów: "musi", aby opisać bezwarunkowy obowiązek oraz "powinien" w sytuacjach, w których oczekiwane jest przestrzeganie danego wymagania, chyba że profesjonalna ocena okoliczności uzasadnia odstępstwo.

Aby w pełni zrozumieć i prawidłowo stosować Standardy, konieczne jest uwzględnianie zarówno stwierdzeń, jak i ich interpretacji oraz znaczeń poszczególnych słów, opisanych w słowniku.

Standardy obejmują standardy atrybutów, działania oraz wdrożenia. Standardy atrybutów określają cechy organizacji i osób świadczących usługi audytu wewnętrznego. Standardy działania opisują charakter działań audytu wewnętrznego oraz określają kryteria jakościowe służące ich ocenie. Standardy atrybutów i działania dotyczą wszystkich usług audytu wewnętrznego. Ich rozwinięciem są standardy wdrożenia, które opisują wymagania dotyczące działań zapewniających (A) lub doradczych (C).

Usługi zapewniające obejmują obiektywną ocenę dowodów, dokonywaną przez audytorów wewnętrznych w celu dostarczenia niezależnej opinii lub wniosków na temat jednostki, operacji, funkcji, procesu, systemu lub innego zagadnienia. Charakter zadania zapewniającego oraz jego zakres ustalane są przez audytora wewnętrznego. W usługi te zaangażowane są zwykle trzy strony: (1) osoba lub grupa osób bezpośrednio związanych z jednostką, operacją, funkcją, procesem, systemem lub innym zagadnieniem - właściciel procesu, (2) osoba lub grupa osób, które dokonują oceny - audytor wewnętrzny oraz (3) osoba lub grupa osób, które korzystają z oceny - użytkownik.

Usługi doradcze, ze względu na swój charakter, wykonywane są zwykle w odpowiedzi na konkretne zapotrzebowanie zleceniodawcy. Charakter i zakres zadania doradczego są przedmiotem umowy ze zleceniodawcą. Usługi doradcze zwykle angażują dwie strony: (1) osobę lub grupę osób oferujących doradztwo - audytora wewnętrznego oraz (2) osobę lub grupę osób poszukujących i uzyskujących poradę - zleceniodawcę. Podczas świadczenia usług doradczych audytor wewnętrzny zobowiązany jest zachować obiektywizm i nie przejmować obowiązków kierownictwa.

Przegląd i rozwój Standardów jest procesem ciągłym. Rada ds. standardów audytu wewnętrznego prowadzi szeroko zakrojone konsultacje oraz dyskusje przed wydaniem Standardów. Działania te obejmują prezentację projektu na całym świecie i publiczną dyskusję. Wszystkie prezentowane projekty są udostępnianie na stronie internetowej IIA i przekazywane do wszystkich instytutów IIA.

STANDARDY ATRYBUTÓW

1000 - Cel, uprawnienia i odpowiedzialność

Cel, uprawnienia i odpowiedzialność audytu wewnętrznego muszą być zgodne z Definicją audytu wewnętrznego, Kodeksem etyki i Standardami oraz formalnie określone w karcie audytu wewnętrznego. Zarządzający audytem wewnętrznym musi okresowo przeglądać i w razie potrzeby aktualizować kartę audytu wewnętrznego. Musi też przedstawiać ją do zatwierdzenia kierownictwu wyższego szczebla i radzie.

Interpretacja:

Karta audytu wewnętrznego to oficjalny dokument określający cel, uprawnienia i odpowiedzialność audytu wewnętrznego. Karta audytu ustala pozycję audytu wewnętrznego w strukturze organizacji, uprawnia do dostępu do danych, personelu i majątku rzeczowego w zakresie wymaganym do wykonywania zadań audytowych oraz określa zakres działania audytu wewnętrznego. Karta audytu wewnętrznego jest ostatecznie zatwierdzana przez radę.

1000.A1 - Charakter usług zapewniających świadczonych organizacji musi być określony w karcie audytu wewnętrznego. W przypadku świadczenia usług zapewniających jednostkom spoza organizacji, charakter tych usług również musi być określony w karcie audytu wewnętrznego.

1000.C1 - Charakter usług doradczych musi być określony w karcie audytu wewnętrznego.

1010 - Uznawanie Definicji audytu wewnętrznego, Kodeksu etyki i Standardów w karcie audytu wewnętrznego

Obowiązek stosowania Definicji audytu wewnętrznego, Kodeksu etyki i Standardów musi być uznany w karcie audytu wewnętrznego. Zarządzający audytem wewnętrznym powinien omówić Definicję audytu wewnętrznego, Kodeks etyki i Standardy z kierownictwem wyższego szczebla i radą.

1100 - Niezależność i obiektywizm

Audyt wewnętrzny musi być niezależny, a audytorzy wewnętrzni obiektywni.

Interpretacja:

Niezależność to brak okoliczności, które zagrażają bezstronnemu wykonywaniu obowiązków przez audyt wewnętrzny lub zarządzającego audytem wewnętrznym. W celu osiągnięcia poziomu niezależności niezbędnego do skutecznego wykonywania obowiązków audytu wewnętrznego, zarządzający audytem wewnętrznym ma bezpośredni i nieograniczony dostęp do kierownictwa wyższego szczebla i rady. Można to osiągnąć przez system podwójnego raportowania. Problemy dotyczące niezależności muszą być rozpatrywane i rozwiązywane na szczeblu audytora, zadania, działalności audytu wewnętrznego i jego pozycji w strukturze organizacji.

Obiektywizm to bezstronna postawa intelektualna, pozwalająca audytorom wewnętrznym na przeprowadzanie zadań z wiarą w efekty ich pracy oraz unikaniem jakichkolwiek ustępstw co do jakości. Obiektywizm wymaga, by audytorzy wewnętrzni nie podporządkowywali swoich osądów w sprawach audytu opiniom innych osób. Problemy dotyczące obiektywizmu muszą być rozpatrywane i rozwiązywane na szczeblu audytora, zadania, działalności audytu wewnętrznego i jego pozycji w strukturze organizacji.

1110 - Niezależność organizacyjna

Zarządzający audytem wewnętrznym musi podlegać takiemu szczeblowi zarządzania w organizacji, który pozwoli audytowi wewnętrznemu wypełniać jego obowiązki. Zarządzający audytem wewnętrznym musi, co najmniej raz na rok, potwierdzać radzie organizacyjną niezależność audytu wewnętrznego.

1110.A1 - Audyt wewnętrzny nie może być narażony na jakiekolwiek próby narzucenia zakresu audytu, wpływania na sposób wykonywania pracy i informowania o jej wynikach.

1111 - Bezpośrednia współpraca z radą

Zarządzający audytem wewnętrznym musi komunikować się i współpracować bezpośrednio z radą.

1120 - Indywidualny obiektywizm

Audytorzy wewnętrzni muszą być bezstronni i wolni od uprzedzeń. Muszą również unikać konfliktów interesów.

Interpretacja:

Konflikt interesów to sytuacja, gdy audytor wewnętrzny, jako osoba obdarzona zaufaniem, ma sprzeczne interesy zawodowe lub osobiste. Takie sprzeczne interesy mogą utrudniać audytorowi wykonywanie obowiązków w bezstronny sposób. Konflikt interesów istnieje nawet wtedy, gdy nie dochodzi do żadnych nieetycznych lub niewłaściwych działań. Może tworzyć wrażenie niestosownego zachowania, podważając zaufanie do audytora wewnętrznego, działalności audytu wewnętrznego i całego zawodu. Konflikt interesów poddaje w wątpliwość zdolność audytora do wykonywania zadań i obowiązków w obiektywny sposób.

1130 - Naruszenie niezależności lub obiektywizmu

W przypadku rzeczywistego lub domniemanego naruszenia niezależności lub obiektywizmu, szczegóły tego naruszenia muszą zostać ujawnione odpowiednim osobom. Sposób ich ujawnienia zależy od charakteru naruszenia.

Interpretacja:

Naruszenia niezależności organizacyjnej lub indywidualnego obiektywizmu mogą wystąpić m.in. w postaci konfliktu interesów o charakterze osobistym, ograniczenia zakresu badania, ograniczenia w dostępie do danych, personelu i majątku, jak również ograniczenia zasobów, np. finansowania. Określenie osób, którym należy ujawnić szczegóły naruszenia niezależności lub obiektywizmu zależy od charakteru naruszenia oraz od opisanych w karcie audytu oczekiwań wobec audytu wewnętrznego i obowiązków zarządzającego audytem wewnętrznym względem kierownictwa wyższego szczebla i rady.

1130.A1 - Audytorzy wewnętrzni muszą powstrzymać się od oceny działalności operacyjnej, za którą byli uprzednio odpowiedzialni. Ograniczenie obiektywizmu ma miejsce wtedy, gdy audytor wewnętrzny świadczy usługi zapewniające dotyczące działań, za które był odpowiedzialny w ciągu roku poprzedzającego badanie.

1130.A2 - Zadania zapewniające dotyczące obszarów, za które odpowiada zarządzający audytem wewnętrznym muszą być nadzorowane przez osobę spoza audytu wewnętrznego.

1130.C1 - Audytorzy wewnętrzni mogą świadczyć usługi doradcze także w zakresie działań operacyjnych, za które byli uprzednio odpowiedzialni.

1130.C2 - Jeżeli z związku z wykonaniem proponowanej usługi doradczej może nastąpić ograniczenie niezależności lub obiektywizmu audytorów wewnętrznych, informacja ta musi zostać ujawniona zleceniodawcy przed podjęciem się zadania.

1200 - Biegłość i należyta staranność zawodowa

Zadania muszą być wykonywane z biegłością i należytą starannością zawodową.

1210 - Biegłość

Audytorzy wewnętrzni muszą posiadać wiedzę, umiejętności i inne kompetencje potrzebne do wykonywania ich indywidualnych obowiązków. Audyt wewnętrzny jako zespół musi posiadać lub zdobyć wiedzę, umiejętności i inne kompetencje niezbędne do wykonywania jego obowiązków.

Interpretacja:

Wiedza, umiejętności i inne kompetencje to ogólne określenie odnoszące się do zawodowej biegłości wymaganej od audytora wewnętrznego, aby mógł skutecznie wykonywać swoje obowiązki. Zachęca się audytorów wewnętrznych do potwierdzenia biegłości poprzez zdobywanie odpowiednich dyplomów zawodowych i innych potwierdzeń kwalifikacji, takich jak tytuł Dyplomowanego Audytora Wewnętrznego (CIA) i inne tytuły oferowane przez Instytut Audytorów Wewnętrznych oraz inne odpowiednie organizacje zawodowe.

1210.A1 - Jeżeli audytorom wewnętrznym brakuje wiedzy, umiejętności lub innych kompetencji niezbędnych do wykonania całości lub części zadania, zarządzający audytem wewnętrznym musi pozyskać odpowiednią pomoc i wsparcie merytoryczne.

1210.A2 - Audytorzy wewnętrzni muszą mieć wystarczającą wiedzę pozwalającą na oszacowanie ryzyka oszustwa oraz ocenę sposobu zarządzania tym ryzykiem w organizacji, ale nie oczekuje się od nich posiadania wiedzy specjalistycznej wymaganej od osób, których podstawowym obowiązkiem jest wykrywanie i prowadzenie dochodzeń w sprawie oszustw.

1210.A3 - Audytorzy wewnętrzni muszą posiadać wiedzę o podstawowych ryzykach i mechanizmach kontrolnych związanych z wykorzystaniem informatyki oraz znać dostępne wspomagane komputerowo techniki audytu. Jednakże nie od wszystkich audytorów wewnętrznych oczekuje się wiedzy specjalistycznej, takiej jak od audytorów, których podstawowym obowiązkiem jest audyt informatyczny.

1210.C1 - Jeżeli audytorom wewnętrznym brakuje wiedzy, umiejętności lub innych kompetencji niezbędnych do wykonania całości lub części zadania doradczego, zarządzający audytem wewnętrznym musi odmówić realizacji takiego zadania lub pozyskać odpowiednią pomoc i wsparcie merytoryczne.

1220 - Należyta staranność zawodowa

Audytorzy wewnętrzni muszą wykazywać się starannością i umiejętnościami, jakich oczekuje się od odpowiednio rozważnego i kompetentnego audytora wewnętrznego. Należyta staranność zawodowa nie oznacza nieomylności.

1220.A1 - Audytorzy wewnętrzni muszą działać z należytą starannością zawodową, uwzględniając:

* zakres pracy niezbędny do osiągnięcia celów zadania;

* względną złożoność, istotność oraz znaczenie spraw, do których stosowane są procedury zapewniające;

* adekwatność i skuteczność procesów: kształtujących ład organizacyjny, zarządzania ryzykiem i kontroli;

* prawdopodobieństwo wystąpienia istotnych błędów, oszustw lub niezgodności;

* koszt realizacji zadania zapewniającego w porównaniu z potencjalnymi korzyściami.

1220.A2 - Działając z należytą starannością zawodową audytorzy wewnętrzni muszą rozważyć możliwość użycia technik audytowych wykorzystujących technologie informatyczne oraz innych technik analizy danych.

1220.A3 - Audytorzy wewnętrzni muszą być wyczuleni na znaczące ryzyka, które mogą wpływać na cele, działalność operacyjną i zasoby organizacji. Jednakże same procedury zapewniające, nawet przeprowadzane z należytą starannością zawodową nie gwarantują, że wszystkie znaczące ryzyka zostaną zidentyfikowane.

1220.C1 - Realizując zadanie doradcze audytorzy wewnętrzni muszą postępować z należytą starannością zawodową, uwzględniając:

* potrzeby i oczekiwania zleceniodawców, przede wszystkim co do charakteru zadania, terminu wykonania i sposobu informowania o wynikach;

* względną złożoność i zakres prac niezbędnych do osiągnięcia celów zadania;

* koszt realizacji zadania doradczego w porównaniu z potencjalnymi korzyściami.

1230 - Ciągły rozwój zawodowy

Audytorzy wewnętrzni muszą poszerzać swoją wiedzę, umiejętności i inne kompetencje poprzez ciągły rozwój zawodowy.

1300 - Program zapewnienia i poprawy jakości

Zarządzający audytem wewnętrznym musi opracować i realizować program zapewnienia i poprawy jakości, obejmujący wszystkie aspekty działalności audytu wewnętrznego.

Interpretacja:

Celem programu zapewnienia i poprawy jakości jest umożliwienie dokonania oceny, czy działalność audytu wewnętrznego jest zgodna z Definicją audytu wewnętrznego i ze Standardami oraz czy audytorzy wewnętrzni stosują Kodeks etyki. Program służy także do oceny wydajności i skuteczności audytu wewnętrznego oraz do identyfikacji możliwości poprawy.

1310 - Wymagania dotyczące programu zapewnienia i poprawy jakości

Program zapewnienia i poprawy jakości musi uwzględniać zarówno oceny wewnętrzne, jak i zewnętrzne.

1311 - Oceny wewnętrzne

Oceny wewnętrzne muszą obejmować:

* bieżące monitorowanie działalności audytu wewnętrznego;

* okresowe przeglądy przeprowadzane drogą samooceny lub przez inną osobę - w ramach organizacji - posiadającą wystarczającą znajomość praktyki audytu wewnętrznego.

Interpretacja:

Bieżące monitorowanie jest integralną częścią codziennego nadzoru, przeglądu i pomiaru działalności audytu wewnętrznego. Jest też nieodłączną częścią codziennych zasad i praktyki zarządzania audytem wewnętrznym. Wykorzystuje procesy, narzędzia i informacje konieczne do oceny zgodności z Definicją audytu wewnętrznego i Standardami oraz do oceny stosowania Kodeksu etyki. Okresowe przeglądy służą do oceny zgodności z Definicją audytu wewnętrznego i Standardami oraz do oceny stosowania Kodeksu etyki. Wystarczająca znajomość praktyki audytu wewnętrznego wymaga zrozumienia wszystkich elementów Międzynarodowych ramowych zasad praktyki zawodowej.

1312 - Oceny zewnętrzne

Oceny zewnętrzne muszą być przeprowadzane co najmniej raz na pięć lat przez wykwalifikowaną, niezależną osobę lub zespół spoza organizacji. Zarządzający audytem wewnętrznym musi omówić z radą:

* potrzebę częstszych ocen zewnętrznych;

* kwalifikacje i niezależność osoby lub zespołu oceniającego, w tym wszelkie potencjalne konflikty interesów.

Interpretacja:

Wykwalifikowana osoba lub zespół oceniający posiadają kompetencje w zakresie praktyki zawodowej audytu wewnętrznego i procesu zewnętrznej oceny. Ocena kompetencji tych osób dotyczy doświadczenia w audycie wewnętrznym i dotychczasowych dokonań zawodowych. Ocena kwalifikacji uwzględnia wielkość i złożoność organizacji, z którymi osoby te były w przeszłości związane w porównaniu z organizacją, której audyt wewnętrzny jest oceniany, a także wymaganą wiedzę techniczną lub znajomość danego sektora lub branży. Niezależność osoby lub zespołu oceniającego oznacza, że nie występuje rzeczywisty lub domniemany konflikt interesów i osoby te nie są częścią, ani nie pozostają pod kontrolą organizacji, której audyt wewnętrzny jest oceniany.

1320 - Sprawozdawczość dotycząca programu zapewnienia i poprawy jakości

Zarządzający audytem wewnętrznym musi przekazać kierownictwu wyższego szczebla i radzie wyniki programu zapewnienia i poprawy jakości.

Interpretacja:

Forma, zawartość i częstotliwość informowania o wynikach programu zapewnienia i poprawy jakości są ustalane w drodze dyskusji z kierownictwem wyższego szczebla i radą. Uwzględniają opisane w karcie audytu obowiązki audytu wewnętrznego i zarządzającego audytem wewnętrznym. W celu poinformowania kierownictwa wyższego szczebla i rady o zgodności z Definicją audytu wewnętrznego, Kodeksem etyki i Standardami, wyniki zewnętrznej oraz okresowej wewnętrznej oceny są przekazywane po zakończeniu procesu oceny, natomiast wyniki bieżącego monitorowania - co najmniej raz na rok. Wyniki zawierają ocenę stopnia zgodności wydaną przez osobę lub zespół oceniający.

1321 - Użycie formuły "zgodny z Międzynarodowymi standardami praktyki zawodowej audytu wewnętrznego"

Zarządzający audytem wewnętrznym może stwierdzić, że audyt wewnętrzny funkcjonuje zgodnie z Międzynarodowymi standardami praktyki zawodowej audytu wewnętrznego tylko wtedy, gdy wyniki programu zapewnienia i poprawy jakości potwierdzają ten stan.

1322 - Ujawnienie braku zgodności

W sytuacji, gdy wystąpiła niezgodność z Definicją audytu wewnętrznego, Kodeksem etyki lub Standardami, która ma wpływ na ogólny zakres działalności audytu wewnętrznego, zarządzający audytem wewnętrznym musi ujawnić tę niezgodność i jej skutki kierownictwu wyższego szczebla i radzie.

STANDARDY DZIAŁANIA

2000 - Zarządzanie audytem wewnętrznym

Zarządzający audytem wewnętrznym musi skutecznie zarządzać audytem wewnętrznym, tak aby zapewnić przysporzenie organizacji wartości dodanej.

Interpretacja:

Zarządzanie audytem wewnętrznym jest skuteczne, gdy:

* wyniki pracy audytu wewnętrznego wskazują na osiągnięcie celów i wypełnienie obowiązków określonych w karcie audytu wewnętrznego;

* działalność audytu wewnętrznego jest zgodna z Definicją audytu wewnętrznego i ze Standardami;

* pracownicy audytu wewnętrznego przestrzegają Kodeksu etyki i Standardów.

2010 - Planowanie

Zarządzający audytem wewnętrznym musi opracowywać plany oparte na analizie ryzyka, określające priorytety działań audytu wewnętrznego zgodne z celami organizacji.

Interpretacja:

Zarządzający audytem wewnętrznym jest odpowiedzialny za stworzenie planu opartego na analizie ryzyka. Korzysta przy tym z istniejącego systemu zarządzania ryzykiem w organizacji, w tym informacji o poziomach apetytu na ryzyko, ustalonych przez kierownictwo dla różnych działań lub części organizacji. Jeśli taki system nie istnieje, zarządzający audytem wewnętrznym dokonuje oceny ryzyka po konsultacjach z kierownictwem wyższego szczebla i radą.

2010.A1 - Plan zadań audytu wewnętrznego musi opierać się na udokumentowanej ocenie ryzyka, przeprowadzanej co najmniej raz w roku. W procesie planowania musi być uwzględniony wkład wyższego kierownictwa i rady.

2010.C1 - Rozważając przyjęcie proponowanych zadań doradczych, zarządzający audytem wewnętrznym powinien wziąć pod uwagę, w jakim stopniu możliwe będzie usprawnienie zarządzania ryzykiem, przysporzenie wartości oraz usprawnienie działalności operacyjnej organizacji. Przyjęte zadania muszą być uwzględnione w planie zadań.

2020 - Informowanie i zatwierdzanie

Zarządzający audytem wewnętrznym musi informować kierownictwo wyższego szczebla i radę o planach audytu wewnętrznego, zasobach niezbędnych do ich realizacji oraz o pojawiających się znaczących zmianach w tym zakresie. Kierownictwo wyższego szczebla i rada przeglądają i zatwierdzają te plany, zasoby i zmiany. Zarządzający audytem wewnętrznym musi także informować o skutkach ograniczeń w zasobach.

2030 - Zarządzanie zasobami

Zarządzający audytem wewnętrznym musi zapewnić zasoby odpowiednie i wystarczające do realizacji zatwierdzonego planu, jak również zadbać o ich efektywne wykorzystanie.

Interpretacja:

"Odpowiednie" odnosi się do wiedzy, umiejętności i innych kompetencji niezbędnych do realizacji planu. "Wystarczające" odnosi się do ilości zasobów niezbędnych do wykonania planu. "Efektywnie wykorzystane" oznacza, że zasoby są używane w sposób optymalizujący realizację zatwierdzonego planu.

2040 - Zasady i procedury

Zarządzający audytem wewnętrznym musi ustalić zasady i procedury służące kierowaniu audytem wewnętrznym.

Interpretacja:

Forma i zawartość zasad i procedur zależą od wielkości i struktury audytu wewnętrznego oraz złożoności jego pracy.

2050 - Koordynowanie

W celu zapewnienia odpowiedniego zakresu audytu i minimalizacji powielania wysiłków, zarządzający audytem wewnętrznym powinien wymieniać informacje i koordynować działania zarówno z wewnętrznymi, jak i zewnętrznymi wykonawcami usług zapewniających i doradczych.

2060 - Składanie sprawozdań kierownictwu wyższego szczebla i radzie

Zarządzający audytem wewnętrznym musi składać kierownictwu wyższego szczebla i radzie okresowe sprawozdania na temat celu działania audytu wewnętrznego, uprawnień, odpowiedzialności oraz stopnia wykonania planu. Sprawozdania muszą również obejmować zagadnienia dotyczące systemu kontroli, ładu organizacyjnego, znaczącego ryzyka, na jakie narażona jest organizacja (w tym ryzyka oszustwa) oraz inne, których omówienia wymaga lub oczekuje kierownictwo wyższego szczebla i rada.

Interpretacja:

Częstotliwość składania i zawartość sprawozdań jest ustalana w drodze dyskusji z kierownictwem wyższego szczebla i radą; zależy od istotności przekazywanych informacji oraz pilności związanych z nimi działań, które ma podjąć kierownictwo wyższego szczebla lub rada.

2100 - Charakter pracy

Stosując systematyczne i uporządkowane podejście, audyt wewnętrzny musi dokonywać oceny i przyczyniać się do usprawniania procesów: ładu organizacyjnego, zarządzania ryzykiem i kontroli.

Interpretacja:

Systematyczne i uporządkowane podejście wynika z opartej na standardach profesji audytu. Podejście to wyznacza ogólne ramy i metodologię, które w przypadku rygorystycznego stosowania dają wiarygodne rezultaty.

2110 - Ład organizacyjny

Audyt wewnętrzny musi oceniać procesy kształtujące ład organizacyjny i przedstawiać stosowne zalecenia usprawnienia tych procesów, tak by osiągane były następujące cele:

* promowanie odpowiednich zasad etyki i wartości w organizacji;

* zapewnianie skutecznego zarządzania efektywnością działań organizacji i odpowiedzialności za wyniki;

* przekazywanie informacji o ryzykach i kontroli do odpowiednich obszarów organizacji;

* koordynowanie działań i przekazywanie informacji pomiędzy radą, audytorami zewnętrznymi i wewnętrznymi oraz kierownictwem.

2110.A1 - Audyt wewnętrzny musi oceniać cele, a także sposób zaprojektowania i wdrożenia oraz skuteczność programów i działań organizacji w zakresie etyki.

2110.A2 - Audyt wewnętrzny musi oceniać, czy zarządzanie technologią informatyczną wspiera osiąganie celów i realizację strategii organizacji.

2110.C1 - Cele zadań doradczych muszą być zgodne z ogólnymi wartościami i celami organizacji.

2120 - Zarządzanie ryzykiem

Audyt wewnętrzny musi oceniać skuteczność i przyczyniać się do usprawnienia procesów zarządzania ryzykiem.

Interpretacja:

Audytor wewnętrzny uważa procesy zarządzania ryzykiem za skuteczne, jeśli z jego oceny wynika, że:

* cele organizacji wspierają misję organizacji i są z nią zgodne;

* istotne ryzyka zostały zidentyfikowane i ocenione;

* wybrano odpowiedni sposób reakcji na ryzyko, zgodny z apetytem organizacji na dane ryzyko;

* istotne informacje o ryzyku są zbierane i na czas przekazywane wewnątrz organizacji, umożliwiając pracownikom, kierownictwu i radzie wykonywanie obowiązków.

2120.A1 - Audyt wewnętrzny musi oceniać, w jakim stopniu ład organizacyjny, działalność operacyjna i systemy informatyczne organizacji są narażone na ryzyko związane z:

* wiarygodnością i rzetelnością informacji finansowych i operacyjnych;

* skutecznością i wydajnością działalności operacyjnej;

* ochroną aktywów;

* zgodnością z prawem, przepisami i umowami.

2120.A2 - Audyt wewnętrzny musi oceniać możliwość wystąpienia oszustwa i sposób zarządzania ryzykiem oszustwa w organizacji.

2120.C1 - W trakcie wykonywania zadań doradczych audytorzy wewnętrzni muszą odnieść się do ryzyk powiązanych z celami zadania. Muszą być także wyczuleni na możliwość istnienia innych znaczących ryzyk.

2120.C2 - Audytorzy wewnętrzni muszą wykorzystywać wiedzę o ryzykach uzyskaną w trakcie wykonywania zadań doradczych do oceny procesów zarządzania ryzykiem w organizacji.

2120.C3 - Pomagając kierownictwu w tworzeniu lub usprawnianiu procesów zarządzania ryzykiem, audytorzy wewnętrzni muszą powstrzymać się od przejmowania jakichkolwiek obowiązków kierownictwa i faktycznego zarządzania ryzykami.

2130 - Kontrola

Audyt wewnętrzny musi wspierać organizację w utrzymaniu skutecznych mechanizmów kontrolnych poprzez ocenę ich skuteczności i wydajności oraz promowanie ciągłego usprawniania.

Interpretacja:

Mechanizmy kontrolne są skuteczne, gdy reakcje na ryzyko odpowiadają apetytowi organizacji na to ryzyko oraz gdy wdrożone zasady i procedury zapewniają, że reakcje te są zgodne z zamierzeniami. Mechanizmy kontrolne są wydajne, gdy prawidłowo uwzględniają koszty i korzyści.

2130.A1 - Audyt wewnętrzny musi oceniać, czy mechanizmy kontrolne odpowiednio i skutecznie reagują na ryzyka dotyczące ładu organizacyjnego, działalności operacyjnej i systemów informatycznych w zakresie:

* wiarygodności i rzetelności informacji finansowych i operacyjnych;

* skuteczności i wydajności działalności operacyjnej;

* ochrony aktywów;

* zgodności z prawem, przepisami i umowami.

2130.A2 - Audytorzy wewnętrzni powinni ustalać, w jakim stopniu cele i zadania działań operacyjnych i programów zostały określone i uzgodnione z celami i zadaniami organizacji.

2130.A3 - Audytorzy wewnętrzni powinni dokonywać przeglądu działalności operacyjnej i programów, aby ustalić, w jakim stopniu wyniki są zgodne z określonymi wcześniej celami i zadaniami. Pozwoli to stwierdzić, czy działalność operacyjna i programy są wdrażane lub wykonywane zgodnie z zamierzeniami.

2130.C1 - W trakcie wykonywania zadań doradczych audytorzy wewnętrzni muszą odnieść się do mechanizmów kontrolnych wchodzących w zakres danego zadania (powiązanych z jego celami). Muszą też zwracać uwagę na istotne kwestie związane z systemem kontroli wewnętrznej.

2130.C2 - Audytorzy wewnętrzni muszą wykorzystywać wiedzę o mechanizmach kontrolnych uzyskaną w trakcie wykonywania zadań doradczych do oceny procesów kontroli w organizacji.

2200 - Planowanie zadania

Audytorzy wewnętrzni muszą opracować i udokumentować plan (program) każdego zadania, obejmujący cele i zakres zadania, czas potrzebny do jego realizacji oraz niezbędne zasoby.

2201 - Aspekty planowania

Planując zadanie audytorzy wewnętrzni muszą rozważyć:

* cele badanej działalności i środki, za pomocą których kontroluje się wyniki tej działalności;

* istotne ryzyka dotyczące danej działalności, jej celów, zasobów i operacji, jak również środki, za pomocą których potencjalny wpływ ryzyka jest utrzymywany na akceptowalnym poziomie;

* adekwatność i skuteczność procesów zarządzania ryzykiem i kontroli danej działalności w porównaniu z odpowiednimi koncepcjami ramowymi lub modelami;

* możliwości wprowadzenia istotnych usprawnień procesów zarządzania ryzykiem i kontroli danej działalności.

Interpretacja:

Procesy zarządzania ryzykiem i kontroli są odpowiednie i skuteczne, gdy identyfikują istotne potencjalne zdarzenia, mogące mieć wpływ na daną działalność, a następnie zarządzają ryzykiem ich wystąpienia zgodnie z apetytem organizacji na ryzyko.

2201.A1 - Jeżeli planowane jest zadanie dla jednostek spoza organizacji, audytorzy wewnętrzni muszą pisemnie uzgodnić z nimi cele, zakres, podział obowiązków oraz inne oczekiwania, łącznie z ograniczeniami dotyczącymi rozpowszechniania wyników i dostępu do dokumentacji zadania.

2201.C1 - Audytorzy wewnętrzni muszą uzgodnić ze zleceniodawcami zadań doradczych cele, zakres, podział obowiązków oraz inne oczekiwania. W przypadku znaczących zadań takie uzgodnienia muszą być udokumentowane.

2210 - Cele zadania

Cele muszą zostać ustalone dla każdego zadania.

2210.A1 - Audytorzy wewnętrzni muszą przeprowadzić wstępną ocenę ryzyk związanych z badaną działalnością. Wyniki tej oceny muszą być odzwierciedlone w celach zadania.

2210.A2 - Ustalając cele zadania audytorzy wewnętrzni muszą rozważyć prawdopodobieństwo wystąpienia istotnych błędów, oszustw, niezgodności i innych zagrożeń.

2210.A3 - Do oceny mechanizmów kontrolnych niezbędne są odpowiednie kryteria. Audytorzy wewnętrzni muszą ustalić, w jakim stopniu przyjęte przez kierownictwo kryteria oceny realizacji celów i zadań są właściwe (odpowiednie). Jeżeli kryteria są właściwe, audytorzy wewnętrzni muszą wykorzystywać je w swoich ocenach. Jeżeli kryteria są nieodpowiednie, audytorzy wewnętrzni muszą wspólnie z kierownictwem wypracować właściwe kryteria oceny.

2210.C1 - Cele zadań doradczych muszą odnosić się do procesów: ładu organizacyjnego, zarządzania ryzykiem i kontroli w zakresie uzgodnionym ze zleceniodawcą.

2220 - Zakres zadania

Ustalony zakres zadania musi być wystarczający do realizacji celów zadania.

2220.A1 - Zakres zadania musi uwzględniać związane z celami zadania systemy, dokumentację, personel i majątek rzeczowy, łącznie z tymi, które znajdują się pod kontrolą osób trzecich.

2220.A2 - Jeżeli w trakcie realizacji zadania zapewniającego pojawią się istotne możliwości świadczenia usług doradczych, należy zawrzeć odrębne pisemne porozumienie ustalające cele, zakres, podział obowiązków oraz inne oczekiwania, a wyniki zadania doradczego należy przedstawić zgodnie ze standardami dla zadań doradczych.

2220.C1 - Wykonując zadania doradcze audytorzy wewnętrzni muszą zapewnić, że zakres zadania jest wystarczający, by objąć nim uzgodnione wcześniej cele. Jeśli w trakcie wykonywania zadania audytorzy wewnętrzni mieliby jakieś zastrzeżenia do zakresu, to muszą omówić je ze zleceniodawcą, który zdecyduje, czy zadanie będzie kontynuowane.

2230 - Przydział zasobów

Audytorzy wewnętrzni muszą określić zasoby, które będą odpowiednie i wystarczające do osiągnięcia celów zadania. Określenie to opiera się na ocenie charakteru i złożoności każdego zadania, ograniczeniach czasowych oraz dostępnych zasobach.

2240 - Program zadania

Audytorzy wewnętrzni muszą opracować i udokumentować program zadania pozwalający na osiągnięcie celów zadania.

2240.A1 - Programy zadań muszą zawierać procedury identyfikacji, analizy, oceny i dokumentowania informacji w toku realizacji zadania. Program musi zostać zatwierdzony przed jego zastosowaniem (rozpoczęciem prac), a wszelkie zmiany muszą być niezwłocznie akceptowane.

2240.C1 - Programy zadań doradczych mogą mieć różną formę i treść, zależnie od charakteru zadania.

2300 - Wykonywanie zadania

Audytorzy wewnętrzni muszą zbierać, analizować, oceniać i dokumentować informacje wystarczające do osiągnięcia celów zadania.

2310 - Zbieranie informacji

Audytorzy wewnętrzni muszą zebrać informacje, które dotyczą zadania, są wystarczające, wiarygodne i przydatne do osiągnięcia jego celów.

Interpretacja:

Informacja wystarczająca jest rzeczowa, odpowiednia i przekonująca, także rozważna, dobrze poinformowana osoba doszłaby na jej podstawie do tych samych wniosków co audytor. Informacja wiarygodna to najlepsza informacja możliwa do uzyskania przy pomocy odpowiednich technik audytu. Informacja dotyczy zadania, jeśli stanowi podstawę ustaleń i zaleceń oraz jest zgodna z celami zadania. Informacja przydatna pomaga organizacji osiągnąć cele.

2320 - Analiza i ocena

Audytorzy wewnętrzni muszą opierać wnioski i wyniki zadania na odpowiednich analizach i ocenach.

2330 - Dokumentowanie informacji

Audytorzy wewnętrzni muszą dokumentować informacje dotyczące zadania, stanowiące podstawę wniosków i wyników.

2330.A1 - Zarządzający audytem wewnętrznym musi kontrolować dostęp do dokumentacji zadania. Przed udostępnieniem takiej dokumentacji osobom z zewnątrz zarządzający audytem, w zależności od sytuacji, musi uzyskać zgodę kierownictwa wyższego szczebla i/lub opinię prawną.

2330.A2 - Zarządzający audytem wewnętrznym musi opracować wymagania dotyczące archiwizacji dokumentacji zadań, niezależnie od nośnika, na którym jest ona zapisana. Wymagania te muszą być zgodne z wytycznymi organizacji oraz innymi obowiązującymi przepisami i wymogami.

2330.C1 - Zarządzający audytem wewnętrznym musi opracować zasady archiwizacji i sprawowania pieczy nad dokumentacją zadań doradczych oraz zasady jej udostępnienia, w tym także osobom spoza organizacji. Zasady te muszą być zgodne z wytycznymi organizacji oraz innymi obowiązującymi przepisami i wymogami.

2340 - Nadzorowanie zadania

Zadania muszą być odpowiednio nadzorowane, by zapewnić osiągnięcie celów, odpowiednią jakość prac i rozwój personelu.

Interpretacja:

Zakres wymaganego nadzoru zależy od biegłości i doświadczenia audytorów wewnętrznych oraz złożoności zadania. Zarządzający audytem wewnętrznym ponosi ogólną odpowiedzialność za nadzór nad zadaniem, zarówno wykonywanym przez, jak i na rzecz audytu wewnętrznego, ale może delegować odpowiednio doświadczonych członków zespołu audytowego do dokonywania przeglądu. Nadzór należy odpowiednio udokumentować, a dokumentację przechowywać.

2400 - Informowanie o wynikach

Audytorzy wewnętrzni muszą informować o wynikach realizowanych zadań.

2410 - Kryteria informowania

Informacja musi obejmować cele i zakres zadania oraz odpowiednie wnioski, zalecenia i plany działań.

2410.A1 - Tam gdzie to uzasadnione, ostateczna informacja o wynikach zadania musi zawierać ogólną opinię i/lub wnioski audytora wewnętrznego.

2410.A2 - Zachęca się audytorów wewnętrznych do przekazywania informacji o dobrej pracy audytowanego.

2410.A3 - Kiedy wyniki zadania są udostępniane osobom spoza organizacji, osoby te muszą być poinformowane o ograniczeniu rozpowszechniania i wykorzystania wyników.

2410.C1 - Informacja o postępach i wynikach zadań doradczych będzie miała różną formę i treść, zależnie od charakteru zadania i potrzeb zleceniodawcy.

2420 - Jakość informacji

Przekazywane informacje muszą być dokładne, obiektywne, jasne, zwięzłe, konstruktywne, kompletne oraz dostarczone na czas.

Interpretacja:

Dokładne informacje są wolne od błędów i zniekształceń, wiernie odzwierciedlają fakty. Obiektywne informacje są rzetelne i bezstronne; wynikają z wyważonej i dokonanej bez uprzedzeń oceny wszystkich związanych z zadaniem faktów i okoliczności. Jasne informacje są logiczne i łatwe do zrozumienia; unikają niepotrzebnego języka technicznego (żargonu zawodowego) i zawierają wszystkie ważne informacje dotyczące zadania. Zwięzłe informacje dotyczą przedmiotu zadania, nie zawierają niepotrzebnych wywodów, nadmiernych szczegółów, powtórzeń i rozwlekłości. Konstruktywne informacje są przydatne audytowanemu i organizacji, i w razie potrzeby prowadzą do usprawnień. Kompletnym informacjom nie brakuje niczego, co jest niezbędne dla odbiorców; zawierają one wszelkie znaczące i dotyczące zadania elementy i ustalenia, będące podstawą wniosków i zaleceń. Informacje "na czas" są przygotowane i przekazane w odpowiednim terminie, w zależności od istotności zagadnienia, tak by umożliwić kierownictwu podjęcie odpowiednich działań korygujących.

2421 - Błędy i pominięcia

Jeśli ostateczna informacja o wynikach zawiera znaczące błędy lub pominięcia, zarządzający audytem wewnętrznym musi przekazać poprawioną informację wszystkim, którzy otrzymali pierwotną wersję.

2430 - Użycie formuły "Przeprowadzono zgodnie z Międzynarodowymi standardami profesjonalnej praktyki audytu wewnętrznego"

Audytorzy wewnętrzni mogą użyć stwierdzenia, że zadania zostały przeprowadzone zgodnie z Międzynarodowymi standardami praktyki zawodowej audytu wewnętrznego tylko wtedy, gdy wyniki programu zapewnienia i poprawy jakości potwierdzają ten stan.

2430 - Ujawnienie nieprzestrzegania Kodeksu etyki lub Standardów

Jeśli niezgodność z Kodeksem etyki lub ze Standardami wpływa na dane zadanie, to informacja o wynikach musi ujawniać:

* które zasady ogólne lub postępowania w Kodeksie etyki lub Standard(y) nie były w pełni przestrzegane;

* przyczynę(y) ich nieprzestrzegania;

* wpływ nieprzestrzegania na zadanie i na przekazane wyniki.

2440 - Przekazywanie wyników

Zarządzający audytem wewnętrznym musi przekazać wyniki właściwym osobom.

Interpretacja:

Zarządzający audytem wewnętrznym lub osoba przez niego wskazana przegląda i zatwierdza ostateczną informację z zadania przed jej udostępnieniem i decyduje, komu i w jaki sposób będzie ona przekazana.

2440.A1 - Zarządzający audytem wewnętrznym jest odpowiedzialny za przekazanie ostatecznych wyników osobom, które mogą zapewnić poświęcenie im odpowiedniej uwagi.

2440.A2 - O ile wymogi prawne, statutowe lub regulaminowe nie stanowią inaczej, przed udostępnieniem wyników osobom spoza organizacji, zarządzający audytem wewnętrznym musi:

* ocenić potencjalne ryzyko dla organizacji;

* skonsultować się odpowiednio z kierownictwem wyższego szczebla i/lub radcą prawnym;

* kontrolować rozpowszechnianie wyników, ograniczając możliwości ich wykorzystania.

2440.C1 - Zarządzający audytem wewnętrznym jest odpowiedzialny za przekazanie zleceniodawcom ostatecznych wyników zadania.

2440.C2 - W trakcie wykonywania zadań doradczych mogą pojawić się kwestie związane z ładem organizacyjnym, zarządzaniem ryzykiem i kontrolą. Zawsze, gdy kwestie te są istotne dla organizacji, muszą być przekazane kierownictwu wyższego szczebla i radzie.

2500 - Monitorowanie postępów

Zarządzający audytem wewnętrznym musi stworzyć i zapewnić działanie systemu monitorowania wyników audytu przekazanych kierownictwu.

2500.A1 - Zarządzający audytem wewnętrznym musi ustanowić proces monitorowania realizacji zaleceń i upewnić się, że decyzje kierownictwa zostały skutecznie wdrożone lub też kierownictwo wyższego szczebla zaakceptowało ryzyko niepodejmowania działań.

2500.C1 - Audyt wewnętrzny musi monitorować wyniki zadań doradczych w zakresie uzgodnionym ze zleceniodawcą.

2600 - Decyzja w sprawie akceptacji ryzyka przez kierownictwo

Jeżeli zdaniem zarządzającego audytem wewnętrznym kierownictwo wyższego szczebla przyjęło poziom ryzyka rezydualnego, który może być nie do zaakceptowania dla organizacji, musi omówić te kwestie z kierownictwem wyższego szczebla. Jeżeli decyzja dotycząca ryzyka rezydualnego nie zostanie zmieniona, zarządzający audytem wewnętrznym musi przekazać sprawę do decyzji rady.

Interpretacja:

Poziom ryzyka rezydualnego w organizacji jest nieakceptowalny, gdy ryzyko rezydualne przekracza apetyt na ryzyko.

SŁOWNIK

Apetyt na ryzyko

Poziom ryzyka, który organizacja jest skłonna zaakceptować.

Działanie audytu wewnętrznego (audyt wewnętrzny)

Departament, wydział, zespół konsultantów lub innych ekspertów świadczący usługi zapewniające i doradcze, działający niezależnie i obiektywnie w celu przysporzenia wartości i usprawnienia działalności operacyjnej organizacji. Audyt wewnętrzny systematycznie, w uporządkowany sposób ocenia procesy zarządzania ryzykiem, kontroli i ładu organizacyjnego, i przyczynia się do poprawy ich działania, tym samym pomagając organizacji osiągnąć cele.

Cele zadania

Ogólne określenie przez audytorów wewnętrznych, co zamierzają osiągnąć, wykonując dane zadanie.

Informatyczne mechanizmy kontrolne

Mechanizmy kontrolne wspierające ład organizacyjny i zarządzanie organizacją. Mechanizmy te zapewniają ogólną i techniczną kontrolę nad infrastrukturą informatyczną: oprogramowaniem, informacją, sprzętem i ludźmi.

Istotność

Względna ważność danej kwestii w kontekście, w jakim jest rozpatrywana, z uwzględnieniem czynników ilościowych i jakościowych, takich jak wielkość, charakter, efekt, związek z tematem i skutek. Przy ocenie istotności danej kwestii w kontekście badanych celów audytorzy wewnętrzni posługują się zawodowym osądem.

Karta

Karta audytu wewnętrznego to oficjalny, sporządzony na piśmie dokument określający cel, uprawnienia i odpowiedzialność audytu wewnętrznego. Karta powinna: (a) ustalać pozycję audytu wewnętrznego w strukturze organizacji; (b) upoważniać do dostępu do danych, personelu i majątku rzeczowego w zakresie wymaganym do wykonywania zadań audytowych; (c) określać zakres działania audytu wewnętrznego.

Kodeks etyki

Kodeks etyki Instytutu Audytorów Wewnętrznych (IIA) jest zbiorem zasad ogólnych dotyczących zawodu i praktyki audytu wewnętrznego oraz zasad postępowania określających zachowania oczekiwane od audytorów wewnętrznych. Kodeks etyki ma zastosowanie zarówno do osób, jak i organizacji świadczących usługi audytu wewnętrznego. Celem Kodeksu etyki jest promowanie zasad etycznych wykonywania zawodu audytora wewnętrznego na całym świecie.

Konflikt interesów

Każdego typu relacja, która nie jest lub wydaje się nie być w najlepszym interesie organizacji. Konflikt interesów poddaje w wątpliwość zdolność audytora do wykonywania zadań i obowiązków w obiektywny sposób.

Kontrola

Każde działanie podejmowane przez kierownictwo, radę i inne osoby w celu zarządzenia ryzykiem i zwiększenia prawdopodobieństwa osiągnięcia ustalonych celów. Kierownictwo planuje i organizuje działania wystarczające do uzyskania racjonalnego zapewnienia, że ogólne i szczegółowe cele organizacji zostaną zrealizowane. Kierownictwo kieruje też wykonaniem tych działań.

Ład informatyczny (ang. IT governance)

Obejmuje osoby zarządzające, struktury organizacyjne i procesy zapewniające, że wykorzystanie informatyki w organizacji wspiera osiąganie celów organizacji i realizację jej strategii.

Ład organizacyjny (ang. governance)

Procesy i struktury wprowadzone przez radę w celu informowania, kierowania, zarządzania i monitorowania działań organizacji, prowadzących do osiągnięcia jej celów.

Międzynarodowe ramowe zasady praktyki zawodowej

Koncepcja ramowa porządkująca wytyczne Instytutu Audytorów Wewnętrznych (IIA). Istnieją dwie kategorie wytycznych IIA: (1) obowiązkowe i (2) aprobowane i szczególnie zalecane.

Musi

Słowa "musi" użyto w Standardach, aby opisać bezwarunkowy obowiązek.

Naruszenia

Naruszenia niezależności organizacyjnej lub indywidualnego obiektywizmu mogą wystąpić w postaci konfliktu interesów o charakterze osobistym, ograniczenia zakresu badania, ograniczenia w dostępie do danych, personelu i majątku, jak również ograniczenia zasobów (finansowania).

Niezależność

Brak okoliczności, które zagrażają lub mogłyby poddać w wątpliwość obiektywizm. Problemy dotyczące obiektywizmu muszą być rozpatrywane i rozwiązywane na szczeblu audytora, zadania, działalności audytu wewnętrznego i jego pozycji w strukturze organizacji.

Obiektywizm

To bezstronna postawa intelektualna, pozwalająca audytorom wewnętrznym na przeprowadzanie zadań z pełną wiarą w efekty ich pracy oraz unikaniem znaczących ustępstw co do jakości. Obiektywizm wymaga, by audytorzy wewnętrzni nie podporządkowywali swoich osądów w sprawach audytu opiniom innych osób.

Odpowiednia kontrola

Ma miejsce wówczas, gdy kierownictwo zaplanowało i zorganizowało kontrolę w sposób dający racjonalne zapewnienie, że organizacja skutecznie zarządza ryzykiem, a jej ogólne i szczegółowe cele zostaną sprawnie i ekonomicznie zrealizowane.

Oszustwo

Każdy bezprawny czyn charakteryzujący się celowym wprowadzeniem w błąd, zatajeniem prawdy lub nadużyciem zaufania. Czyny te nie są dokonane pod wpływem przemocy ani groźby użycia siły. Oszustwa są popełniane przez osoby i organizacje w celu zdobycia pieniędzy, majątku lub świadczeń, w celu uniknięcia płatności lub utraty świadczeń, a także w celu uzyskania korzyści osobistych lub biznesowych.

Powinien

Słowa "powinien" użyto w Standardach w sytuacjach, w których oczekiwane jest przestrzeganie danego wymagania, chyba że profesjonalna ocena okoliczności uzasadnia odstępstwo.

Procesy kontroli

Zasady, procedury i działania będące częścią ramowej koncepcji kontroli zaprojektowane w taki sposób, by zapewnić, że ryzyka mieszczą się w akceptowalnych granicach ustalonych w procesie zarządzania ryzykiem.

Program zadania

Dokument zawierający listę procedur, które mają być wykonane w trakcie zadania i które prowadzą do osiągnięcia celów zadania.

Przysparzać wartości

Wartość dodana usług zapewniających i doradczych polega na zwiększeniu szans organizacji na osiągnięcie celów, wskazaniu możliwości usprawnienia działalności operacyjnej i/lub zmniejszeniu ryzyka.

Rada

Rada jest organem zarządzającym organizacji, jak np. rada dyrektorów, rada nadzorcza, kierujący jednostką. Za radę można uznać także organ stanowiący, radę zarządzającą lub powierniczą w organizacjach non profit. Radą może też być inna dedykowana jednostka organizacyjna, w tym komitet audytu, któremu funkcjonalnie może podlegać zarządzający audytem wewnętrznym.

Ryzyko

Możliwość zaistnienia zdarzenia, które będzie miało wpływ na realizację założonych celów. Ryzyko jest mierzone wpływem (skutkami) i prawdopodobieństwem wystąpienia.

Ryzyko rezydualne

Ryzyko jakie pozostaje po przeprowadzeniu przez kierownictwo działań zmierzających do zmniejszenia wpływu (skutków) i prawdopodobieństwa wystąpienia niepomyślnych zdarzeń, w tym działań kontrolnych podjętych w odpowiedzi na ryzyko.

Standard

Wymagania dotyczące wykonywania szerokiego zakresu działań audytowych i oceny działalności audytu wewnętrznego, opublikowane przez Radę ds. standardów audytu wewnętrznego IIA.

Środowisko kontroli

Postawa oraz działania rady i kierownictwa w odniesieniu do znaczenia kontroli w organizacji. Środowisko kontroli zapewnia dyscyplinę i strukturę niezbędne do osiągnięcia podstawowych celów systemu kontroli wewnętrznej. Na środowisko kontroli składają się następujące elementy:

* uczciwość i wartości etyczne;

* filozofia i styl działania kierownictwa;

* struktura organizacyjna;

* delegowanie uprawnień i obowiązków;

* zasady i praktyka zarządzania zasobami ludzkimi;

* kompetencje pracowników.

Techniki audytu wykorzystujące technologię informatyczną

Wszelkie zautomatyzowane narzędzia audytu, takie jak ogólne oprogramowanie audytowe, generatory danych testowych, skomputeryzowane programy audytowe oraz specjalne narzędzia audytowe. Znane również jako techniki audytu wspierane komputerowo (ang. CAATs).

Usługi doradcze

Doradztwo i pokrewne usługi na rzecz klienta. Charakter i zakres tych usług są uzgodnione z klientem. Celem usług doradczych jest przysporzenie wartości i usprawnienie procesów ładu organizacyjnego, zarządzania ryzykiem i kontroli z zachowaniem zasady, że audytor wewnętrzny nie przejmuje obowiązków kierownictwa. Przykładami takich usług są: konsultacja, doradztwo, facylitacja oraz szkolenie.

Usługi zapewniające

Obiektywne badanie dowodów w celu dostarczenia niezależnej oceny procesów zarządzania ryzykiem, kontroli i ładu organizacyjnego. Przykładem takich usług są audyty finansowe, działalności, zgodności, bezpieczeństwa systemów oraz przeglądy typu due diligence.

Usługodawca zewnętrzny

Osoba lub firma spoza organizacji, która posiada szczególną wiedzę, umiejętności i doświadczenie w określonej dziedzinie.

Zadanie

Konkretne zadanie, przedsięwzięcie lub przegląd, na przykład audyt wewnętrzny, przegląd samooceny kontroli, badanie oszustwa lub doradztwo. Zadanie może obejmować wiele czynności lub działań zaprojektowanych tak, by osiągnąć określone, powiązane ze sobą cele.

Zarządzający audytem wewnętrznym

Stanowisko wyższego szczebla w organizacji zajmowane przez osobę odpowiedzialną za działalność audytu wewnętrznego. Zwykle jest to dyrektor audytu wewnętrznego. Jeżeli audyt wewnętrzny jest wykonywany przez zewnętrznych usługodawców, wówczas jest to osoba odpowiedzialna za nadzorowanie kontraktu oraz całościowe zapewnienie jakości wykonywanych działań, sprawozdawczość dotyczącą audytu wewnętrznego dla kierownictwa wyższego szczebla i rady oraz monitorowanie wyników zadań. Stanowisko to obejmuje również takie tytuły jak: audytor generalny, szef audytu wewnętrznego, główny audytor wewnętrzny oraz inspektor generalny.

Zarządzanie ryzykiem

Proces identyfikacji, oceny, zarządzania i kontroli potencjalnych zdarzeń lub sytuacji, dostarczający racjonalnego zapewnienia, że cele organizacji zostaną zrealizowane.

Zgodność

Przestrzeganie zasad, planów, procedur, przepisów prawa, regulacji, umów lub innych wymogów.