Ustalenie Księgi Procedur Audytu Wewnętrznego w Głównym Inspektoracie Transportu Drogowego.
Dz.Urz.GITD.2021.34
Akt jednorazowyZARZĄDZENIE Nr 34/2021
GŁÓWNEGO INSPEKTORA TRANSPORTU DROGOWEGO
z dnia 29 października 2021 r.
w sprawie ustalenia Księgi Procedur Audytu Wewnętrznego w Głównym Inspektoracie Transportu Drogowego
ZAŁĄCZNIK
KSIĘGA PROCEDUR AUDYTU WEWNĘTRZNEGO W GŁÓWNYM INSPEKTORACIE TRANSPORTU DROGOWEGO
KSIĘGA PROCEDUR AUDYTU WEWNĘTRZNEGO W GŁÓWNYM INSPEKTORACIE TRANSPORTU DROGOWEGO
Rozdział 1
Postanowienia ogólne
Postanowienia ogólne
Rozdział 2
Kodeks etyki audytora wewnętrznego
Kodeks etyki audytora wewnętrznego
Rozdział 3
Karta audytu wewnętrznego
Karta audytu wewnętrznego
Rozdział 4
Procedury audytu wewnętrznego
Procedury audytu wewnętrznego
- czynniki te wykorzystuje się do określenia priorytetów zadań audytu wewnętrznego.
- następnie ustala się w osobodniach czas przeznaczony na przeprowadzenie zadań zapewniających, monitorowanie realizacji zaleceń, przeprowadzenie czynności sprawdzających oraz czynności doradczych.
Załącznik nr 1 - Metodyka analizy ryzyka do planu audytu na rok
Załącznik nr 2 - Wzór imiennego upoważnienia
Załącznik nr 3 - Wzór programu zadania zapewniającego
Załącznik nr 4 - Zawiadomienie o przeprowadzeniu czynności sprawdzających
Załącznik nr 5 - Wzór sprawozdania z zadania zapewniającego
Załącznik nr 6 - Wzór notatki informacyjnej z czynności sprawdzających
Załącznik nr 7 - Wzór notatki informacyjnej z czynności doradczych
Załącznik Nr 1
METODYKA ANALIZY RYZYKA
METODYKA ANALIZY RYZYKA
Analiza ryzyka
Współczynnik ryzyka
Bazowym wzorem opisującym wartość ryzyka jest formuła wykorzystująca wartości punktowe prawdopodobieństwa i następstw ryzyka:
W = PR x W
Gdzie:
W - Współczynnik ryzyka
PR - Prawdopodobieństwo wystąpienia ryzyka
W - Wpływ wystąpienia ryzyka
- Współczynnik Ryzyka określa poziom ryzyka występującego po uwzględnieniu działań Właścicieli Ryzyka w kierunku wpłynięcia na prawdopodobieństwo wystąpienia ryzyka lub na jego wpływ (stosowanych mechanizmów kontroli modyfikujących ryzyko, a dla ryzyk nieakceptowalnych również planów postępowania z ryzykiem). Przy dokonywaniu oceny prawdopodobieństwa i skutków należy więc wziąć pod uwagę stosowane na dzień oceny mechanizmy kontroli dla danego ryzyka.
UWAGA
Wszelkie opisy przyporządkowane do poszczególnych wartości na przyjętych w metodyce skalach oceny mają charakter pomocniczy. Dla oceny ryzyka kluczowym jest wybór odpowiedniej wartości na skali, która dla danego ryzyka nie zawsze będzie korespondować z opisem pomocniczym.
Lp. | Nazwa obszaru/procesu | Właściciel odpowiedzialny za obszar | Priorytety* (wysoki, średni, niski) | Czas od wykonania ostatniego zadania (w latach**) | Czynniki ryzyka z określeniem ich wag (w skali punktowej 1-4) | Ocena ryzyka po uwzględnieniu wszystkich czynników (w %) | Poziom ryzyka (niskie, średnie, wysokie) | ||||
Wpływ finansowy (materialność) | Jakość kontroli wewnętrznej | Stabilność lub poziom zmian | Stopień złożoności | Uśredniony poziom ryzyka wg rejestrów ryzyk | |||||||
0,25 | 0,25 | 0,15 | 0,20 | 0,15 | |||||||
Wyniki analizy ryzyka
* Ministra właściwego ds. transportu, Ministra ds. finansów, Kierownictwa GITD. Wysoki - 1; średni - 0,5, niski - 0,0.
** Powyżej 5 lat - 1; 4 lata - 0,8; 3 lata - 0,6; 2 lata - 0,4; rok - 0,2
Wyznaczenie poziomu prawdopodobieństwa wystąpienia ryzyka
Pierwszym kryterium analizy każdego z ryzyk jest prawdopodobieństwo wystąpienia ryzyka na dzień przeprowadzenia analizy po zastosowaniu działań określonych jako mechanizmy kontroli ryzyka. Przyjęte skale prawdopodobieństwa wystąpienia ryzyka wskazane zostały poniżej.
Prawdopodobieństwo | Opis | |
1 | Prawie niemożliwe | 0-10%; Ryzyko raczej nie wystąpi lub możliwość jego wystąpienia jest znikoma (bliska zera). Ryzyko nie materializowało się w dalekiej i bliskiej przeszłości. |
2 | Możliwe | 11-30%; Ryzyko może wystąpić sporadycznie. Materializowało się sporadycznie w dalekiej przeszłości (w ciągu ostatnich 3 lat). |
3 | Prawdopodobne | 31-50%; Wystąpienie ryzyka jest realne. Materializowało się sporadycznie w bliższej przeszłości (w ciągu ostatnich 2 lat). |
4 | Bardzo prawdopodobne | 51-70%; Istnieją racjonalne przesłanki by oceniać, że ryzyko raczej się zmaterializuje. Ryzyko materializowało się w przeciągu ostatniego roku. |
5 | Prawie pewne | Powyżej 70%; Istnieją racjonalne przesłanki by oceniać, że ryzyko zmaterializuje się w najbliższym czasie. Ryzyko materializowało się często w przeciągu ostatniego roku. |
Wyznaczenie poziomu wpływu wystąpienia ryzyka
Wpływ wystąpienia każdego z ryzyk oceniany jest z wykorzystaniem 5-cio stopniowej skali oceny.
Ocena następstw wystąpienia ryzyka dokonywana jest w kilku kategoriach finanse, reputacja, realizacja celów i zadań. Podczas dokonywania oceny atrybutów należy ocenić każdy rodzaj wpływu, a następnie wybrać odpowiednią liczbę punktów. W sytuacji, gdy wpływ wystąpienia ryzyka osiąga różne poziomy w zależności od kategorii, należy wybrać liczbę punktów odpowiadającą kategorii o maksymalnym wpływie (najgorszym dla jednostki skutkom).
Wpływ na finanse mierzony jest kosztem zmaterializowania się ryzyka (koszty utraconych korzyści, koszt odtworzenia działalności, koszt podjętych w efekcie zmaterializowania się ryzyka działań).
Dokonując analizy możliwych następstw danego ryzyka należy brać pod uwagę najbardziej prawdopodobne konsekwencje spowodowane zmaterializowaniem się ryzyka z uwzględnieniem stosowanych działań określonych w mechanizmach kontroli.
Przyjęte skale oceny wpływu materializacji ryzyka wskazane zostały poniżej.
Wpływ | Opis | |
1 | Nieznaczący | Zdarzenie objęte ryzykiem nie powoduje zakłóceń lub opóźnień w realizacji celów i zadań, nie ma wpływu na finanse jednostki, nie wywołuje negatywnych informacji w mediach, nie ma wpływu na zgodność z przepisami prawa |
2 | Niewielki | Zdarzenie objęte ryzykiem powoduje niewielkie zakłócenia lub opóźnienia w realizacji celów i zadań, ma nieznaczny wpływ na finanse jednostki, wywołuje krótkoterminowe negatywne informacje w mediach lokalnych i regionalnych, niewielka niezgodność z procedurami i regulacjami wewnętrznymi |
3 | Istotny | Zdarzenie objęte ryzykiem powoduje umiarkowane zakłócenia lub opóźnienia w realizacji celów i zadań, ma umiarkowany wpływ na finanse jednostki, wywołuje długoterminowe negatywne informacje w mediach lokalnych i regionalnych, może powodować problemy z wywiązaniem się z obowiązków nałożonych prawem, niezgodność z zapisami umów lub poważna niezgodność z wewnętrznymi procedurami |
4 | Duży | Zdarzenie objęte ryzykiem powoduje istotne zakłócenia lub opóźnienia w realizacji kluczowych celów i zadań, ma znaczący wpływ na finanse jednostki, wywołuje krótkoterminowe negatywne informacje medialne w mediach ogólnokrajowych, kwalifikowane jako naruszenie prawa zagrożone karą lub poważną niezgodność z zapisami umów |
5 | Bardzo duży | Zdarzenie objęte ryzykiem uniemożliwia realizację kluczowych celów i zadań, może spowodować znaczny niedobór środków finansowych jednostki, wywołuje długoterminowe negatywne informacje medialne w mediach ogólnokrajowych, wywołuje rażącą niezgodność z przepisami prawa, w tym zagrożone karą |
Skuteczność mechanizmów kontroli
Przez mechanizmy kontroli ryzyka należy rozumieć polityki, procedury, techniczne środki zabezpieczeń oraz inne zaprojektowane rozwiązania, jak również rzeczywiste praktyki stosowane w celu prewencji zdarzeń i/lub redukcji skutków w przypadku zmaterializowania się ryzyka. Skala oceny skuteczności wdrożonych mechanizmów kontroli ryzyka pozwala na ocenę działań zarządczych wdrożonych względem zidentyfikowanych ryzyk.
Skuteczność mechanizmów kontroli (wszystkich razem) jest oceniana według poniższej skali.
Skuteczność mechanizmów kontroli ryzyka | ||
1 | Bardzo słaba | Mechanizmy kontroli funkcjonują nieformalnie, nie są stosowane, bardzo wysoki potencjał do poprawy |
2 | Słaba | Mechanizmy kontroli wprowadzono formalnie, stwierdzono znaczące uchybienia w stosowaniu, wysoki potencjał do poprawy |
3 | Średnia | Mechanizmy kontroli wprowadzono formalnie, stwierdzono nieznaczne uchybienia w stosowaniu, średni potencjał do poprawy |
4 | Dobra | Mechanizmy kontroli wprowadzono formalnie, nie stwierdzono uchybień w stosowaniu, umiarkowany potencjał do poprawy |
5 | Bardzo dobra | Mechanizmy kontroli wprowadzono formalnie, nie stwierdzono uchybień w stosowaniu, a mechanizmy są adekwatne i optymalne do stawianych przed nimi zadań |
Wyznaczenie ryzyk nieakceptowalnych
Poziom akceptowalności ryzyka wyznaczony jest przy wykorzystaniu macierzy ryzyka. Ustalono następujące poziomy ryzyka:
Po dokonaniu analizy listy ryzyk wskazanych jako nieakceptowalne, pracownik zatrudniony na stanowisku do spraw kontroli wewnętrznej może wskazać dodatkowe kryteria, za pomocą których lista ryzyk nieakceptowalnych będzie uzupełniana lub zawężana do ryzyk najbardziej kluczowych w danym przedziale czasu.