Wprowadzenie książki procedur audytu wewnętrznego w Centralnym Biurze Antykorupcyjnym.
Dz.Urz.CBA.2011.2.73
Akt utracił mocDECYZJA Nr 275/11
SZEFA CENTRALNEGO BIURA ANTYKORUPCYJNEGO
z dnia 12 grudnia 2011 r.
w sprawie wprowadzenia książki procedur audytu wewnętrznego w Centralnym Biurze Antykorupcyjnym
ZAŁĄCZNIK
Książka Procedur
Książka Procedur
Spis treści
ROZDZIAŁ I Wstęp
1. Cel wprowadzenia książki procedur
2. Podstawy prawne funkcjonowania audytu
3. Definicja audytu wewnętrznego
4. Odwołanie się do standardów
5. Cele i zakres zadań audytu wewnętrznego
6. Zasady etyki zawodowej
ROZDZIAŁ II Zadania i Organizacja Audytu Wewnętrznego w Centralnym Biurze Antykorupcyjnym
1. Usytuowanie audytu wewnętrznego w Centralnym Biurze Antykorupcyjnym
2. Cele działania audytu wewnętrznego w Centralnym Biurze Antykorupcyjnym
3. Zakres działania audytu wewnętrznego w Centralnym Biurze Antykorupcyjnym
4. Zadania audytu wewnętrznego w Centralnym Biurze Antykorupcyjnym
ROZDZIAŁ III Metodologia Audytu Wewnętrznego
1. Plan strategiczny audytu
2. Plan roczny audytu wewnętrznego
3. Analiza potrzeb audytu
4. Analiza ryzyka
4.1. Cele analizy ryzyka w audycie wewnętrznym
4.2. Metody prowadzenia analizy ryzyka
5. Zadanie audytowe
5.1. Faza wstępna
Faza planowania
5.2.1. Przygotowanie programu zadania audytowego
5.2.2. Udzielenie przez Szefa CBA imiennego upoważnienia do przeprowadzenia zadania audytowego
5.2.3. Założenie bieżących akt zadania audytowego
5.3. Pisemne powiadomienie jednostki audytowanej o przedmiocie i czasie trwania zadania audytowego
5.4. Faza wykonania czynności audytowych
5.4.1. Realizacja zadania audytowego
5.4.2. Techniki przeprowadzania zadania audytowego
5.4.3. Testy audytowe
5.4.3.1. Techniki wykorzystywane w trakcie testów
5.5. Sporządzenie sprawozdania wstępnego
5.5.1. Cechy ustaleń audytu
5.6. Rozpatrzenie otrzymanych z jednostki audytowanej dodatkowych wyjaśnień lub umotywowanych zastrzeżeń
5.7. Sprawozdanie końcowe
5.8. Dokumentowanie czynności audytorskich
5.8.1. Dokumenty robocze audytu
5.8.2. Cechy dokumentu roboczego
5.8.3. Numery identyfikacyjne dokumentów roboczych
5.8.4. Dowody potwierdzające ustalenia audytu
5.8.4.1. Porównanie wartości dowodów
5.8.4.2. Źródła dowodów
5.8.5. Rodzaje oraz sposoby pozyskiwania dowodów
5.9. Faza sprawozdawczości
5.9.1. Sprawozdanie wstępne
5.9.2. Sprawozdanie końcowe
5.10. Faza sprawdzenia wdrożenia rekomendacji
6. Akta audytu
6.1. Akta stałe
6.2. Akta bieżące
7. Ewidencja
ROZDZIAŁ IV Przegląd i Nowelizacja Książki Procedur Audytu Wewnętrznego
ROZDZIAŁ V Załączniki
ROZDZIAŁ I
Wstęp
Wstęp
W dniu 27 sierpnia 2009 r. została uchwalona nowa ustawa o finansach publicznych (Dz. U. Nr 157, poz. 1240, z późn. zm.), obowiązująca od 1 stycznia 2010 r., zwaną dalej "ustawą".
Wprowadzono definicję audytu, jako działalność niezależną i obiektywną, której celem jest wspieranie kierownika jednostki w realizacji celów i zadań przez systematyczną ocenę kontroli zarządczej oraz czynności doradcze. Ocena ma dotyczyć adekwatności, skuteczności i efektywności kontroli zarządczej w jednostce.
Definicja ta znalazła odzwierciedlenie w zarządzeniu nr 32/10 Szefa Centralnego Biura Antykorupcyjnego z dnia 22 października 2010 r. w sprawie regulaminu organizacyjnego Zespołu Audytu Wewnętrznego Centralnego Biura Antykorupcyjnego (Dz. Urz. CBA Nr 2, poz. 59), gdzie określono jako jedno z zadań Zespołu podejmowanie niezależnych i obiektywnych działań, których celem jest wspieranie Szefa CBA w realizacji celów i zadań przez systematyczną ocenę kontroli zarządczej w zakresie adekwatności, skuteczności i efektywności kontroli zarządczej w CBA oraz czynności doradcze.
Audyt wewnętrzny jest dyscypliną ukierunkowaną na wspomaganie prawidłowego zarządzania daną jednostką organizacyjną. Jego główną misją jest służenie organizacji poprzez wykonywanie audytu w sposób profesjonalny i niezależny. Podstawą, na której opiera się praca audytora wewnętrznego jest zaufanie do przeprowadzanej przez niego oceny procesów zarządzania ryzykiem, systemu kontroli wewnętrznej i zarządzania jednostką sektora finansów publicznych.
Audyt wewnętrzny wspiera jednostkę szczególnie poprzez rozpoznawanie i ocenę znaczącego ryzyka w obszarze realizacji celów jednostki i przyczynia się do usprawnienia systemu zarządzania ryzykiem poprzez ocenę tego systemu i doradztwo w tym zakresie. Audyt wewnętrzny przyczynia się także do utrzymania w jednostce skutecznych mechanizmów kontroli poprzez ocenę ich skuteczności i efektywności oraz do ich ciągłego doskonalenia, poprzez identyfikowanie słabości kontroli w obszarze zarządzania jednostką, działalności operacyjnej i systemu informacyjnego. W konsekwencji audyt wewnętrzny wnosi swój wkład do ogólnego systemu zarządzania jednostką poprzez ocenę oraz usprawnienie procesów, za pomocą których ustalane i komunikowane są cele i wartości, monitorowane jest osiąganie ustalonych celów, zapewnia się przypisanie odpowiedzialności oraz ochronę zasobów.
Należy pamiętać, iż efektywność audytu wewnętrznego jest uzależniona nie tylko od profesjonalizmu realizujących zadań audytorów, ale też i świadomości kierowników jednostek organizacyjnych w zakresie znaczenia kontroli zarządczej i audytu wewnętrznego dla prawidłowego funkcjonowania jednostki.
1.
Cel wprowadzenia książki procedur
Cel wprowadzenia książki procedur
Zawiera ona usystematyzowaną metodykę stosowaną w audycie wewnętrznym, zapewniającą wykonywanie zadań zgodnie z przyjętymi standardami i przy wykorzystaniu jednolitych wzorów dokumentów.
Powyższa metodyka audytu wewnętrznego, stanowi swoistą podstawę do przeprowadzania audytu wewnętrznego. W toku wykonywanych prac audytowych może być wzbogacana o nowe metody służące do realizacji celów stawianych przed audytem.
Książka procedur została opracowana w oparciu o obowiązujące regulacje prawne.
2.
Podstawy prawne funkcjonowania audytu
Podstawy prawne funkcjonowania audytu
1) ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. Nr 157, poz. 1240, z późn. zm.);
2) ustawa z dnia 27 sierpnia 2009 r. - przepisy wprowadzające ustawę o finansach publicznych (Dz. U. Nr 157, poz. 1241, z późn. zm.);
3) rozporządzenie Ministra Finansów z 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego (Dz. U. Nr 21, poz. 108),
4) komunikat nr 4 Ministra Finansów z 20 maja 2011 r. w sprawie standardów audytu wewnętrznego dla jednostek sektora finansów publicznych (Dz. Urz. M.F. 2011 r. Nr 5 poz. 23).
Inne regulacje:
1) kodeks etyki audytora wewnętrznego i Karta audytu wewnętrznego w jednostkach sektora finansów publicznych - ogłoszone Komunikatem Nr 16/2006 Ministra Finansów z dnia 18 lipca 2006 r. w sprawie ogłoszenia "Kodeksu etyki audytora wewnętrznego w jednostkach sektora finansów publicznych" i "Karty audytu wewnętrznego w jednostkach sektora finansów publicznych" (Dz. Urz. M.F. Nr 9, poz. 70);
2) zarządzenie nr 32 Szefa Centralnego Biura Antykorupcyjnego z dnia 22 października 2010 r. w sprawie regulaminu organizacyjnego Zespołu Audytu Wewnętrznego Centralnego Biura Antykorupcyjnego (Dz. Urz. CBA Nr 2, poz. 59);
3) decyzja nr 275/11 Szefa Centralnego Biura Antykorupcyjnego z dnia 12 grudnia 2011 r. w sprawie wprowadzenia ksiązki procedur audytu wewnętrznego w Centralnym Biurze Antykorupcyjnym;
4) decyzja nr 274/11 Szefa Centralnego Biura Antykorupcyjnego z dnia 12 grudnia 2011 r. w sprawie wprowadzenia karty audytu wewnętrznego w Centralnym Biurze Antykorupcyjnym.
3.
Definicja audytu wewnętrznego
Definicja audytu wewnętrznego
1) niezależne i obiektywne wspieranie ministra kierującego działem lub kierownika jednostki w realizacji celów i zadań przez systematyczną ocenę kontroli zarządczej; oraz
2) czynności doradcze.
Ocena, o której mowa w pkt 1, dotyczy ogółu działań podejmowanych dla zapewnienia realizacji celów i zadań w sposób zgodny z prawem, efektywny, oszczędny i terminowy.
Międzynarodowe Standardy Profesjonalnej Praktyki Audytu Wewnętrznego Instytutu Audytorów Wewnętrznych (IIA) definiują audyt wewnętrzny jako działalność niezależną, obiektywnie zapewniającą i doradczą, której celem jest przysporzenie wartości i usprawnienie działalności operacyjnej organizacji. Tym samym audyt wewnętrzny pomaga organizacji w osiąganiu jej celów, poprzez systematyczne i zdyscyplinowane podejście do oceny i doskonalenia skuteczności procesów zarządzania ryzykiem, kontroli oraz zarządzania organizacją.
Zadnia audytowe, realizowane są poprzez:
1) czynności zapewniające;
2) czynności doradcze.
Czynności zapewniające polegają na dostarczeniu kierownictwu racjonalnego zapewnienia, że ustanowiony system kontroli zarządczej funkcjonuje prawidłowo.
Czynności doradcze jest to doradztwo i pokrewne działania usługowe dla jednostek organizacyjnych, których charakter i zakres są uzgadniane z kierownikiem jednostki w której mają być przeprowadzane. Celem tych czynności jest przysporzenie wartości oraz usprawnienie procesów ładu organizacyjnego, zarządzania ryzykiem i kontroli z zachowaniem zasady, że audytor nie przyjmuje na siebie odpowiedzialności kierownictwa.
Realizując czynności doradcze, audytor wewnętrzny powinien pamiętać, że:
1) mogą być wykonywane jako części zadań realizowanych w trybie określonym dla niezależnego badania systemów zarządzania i kontroli lub na wniosek kierownika jednostki, w której zatrudniony jest audytor wewnętrzny;
2) forma ich wykonywania może być dowolna;
3) nie należy podejmować czynności doradczych, których wykonywanie prowadziłoby do przejęcia przez audytora zadań lub uprawnień wchodzących w zakres zarządzania jednostką;
4) efektem ich zrealizowania jest przedstawienie opinii lub zaleceń dotyczących usprawnienia funkcjonowania jednostki;
5) kierownictwo jednostki, a nie audytor wewnętrzny podejmuje decyzje, co do przyjęcia lub wdrożenia zaleceń będących rezultatem usługi doradczej audytu wewnętrznego;
6) mogą być one wykonywane zarówno na wniosek kierownika jednostki, jak również z inicjatywy audytora;
7) audytor wewnętrzny może odmówić wykonywania czynności doradczych, jeżeli uzna, że zakres lub cel tych czynności nie jest zgodny z celami audytu wewnętrznego, o czym zawiadamia Szefa CBA wskazując o przyczynach odmowy. Szef CBA może wydać pisemne polecenie wykonywania tych czynności;
8) formę i sposób dokumentacji czynności doradczych wyznacza charakter zadań podjętych przez audytora wewnętrznego w ramach czynności doradczych.
4.
Odwołanie się do standardów
Odwołanie się do standardów
Minister Finansów, biorąc pod uwagę powszechne stosowanie standardów audytu wewnętrznego opracowanych przez The Institute of Internal Auditors (IIA)1, określił "Międzynarodowe standardy profesjonalnej praktyki audytu wewnętrznego" IIA jako "Standardy audytu wewnętrznego w jednostkach sektora finansów publicznych". Ministerstwo Finansów uzyskało zgodę Zarządu Stowarzyszenia Audytorów Wewnętrznych IIA - Polska na upowszechnienie polskiego tłumaczenia Standardów w Dzienniku Urzędowym Ministra Finansów2.
Standardy audytu wewnętrznego wyznaczają wzorce praktycznego wykonywania audytu wewnętrznego w jednostkach sektora finansów publicznych. Przedstawiają wytyczne oraz pomagają w organizacji pracy i ocenie audytu wewnętrznego.
Standardy te zostały określone na takim poziomie ogólności, który zapewnia możliwość ich zastosowania we wszystkich jednostkach sektora finansów publicznych, niezależnie od różnorodności warunków prawnych, organizacyjnych, kadrowych
i finansowych, w których te jednostki funkcjonują
Celem standardów jest:
1) określenie podstawowych zasad właściwej praktyki audytu wewnętrznego;
2) dostarczenie ramowych zasad wykonywania i upowszechniania szerokiego zakresu działań audytu wewnętrznego przysparzających organizacji wartości dodanej;
3) stworzenie podstaw oceny działalności audytu wewnętrznego;
4) usprawnianie procesów i działań organizacji.
Standardy audytu wewnętrznego obejmują:
1) Standardy Atrybutów - określające cechy organizacji oraz osób wykonujących działania audytu wewnętrznego;
2) Standardy Działania - opisujące charakter działań audytu wewnętrznego oraz określające kryteria jakościowe służące ich ocenie;
3) Standardy Wdrożenia - odnoszące się do określonych rodzajów zadań.
Uzupełnieniem standardów audytu wewnętrznego jest Kodeks etyki audytora wewnętrznego, zawierający zasady i reguły zachowania oczekiwanego od audytora wewnętrznego oraz Karta audytu wewnętrznego regulująca szczegółowe zasady funkcjonowania audytu.
5.
Cele i zakres zadań audytu wewnętrznego
Cele i zakres zadań audytu wewnętrznego
1) identyfikacja i analiza ryzyka związanego z działalnością jednostki, a w szczególności ocena efektywności zarządzania ryzykiem oraz ocena systemu kontroli zarządczej;
2) wyrażenie opinii czy cele i zadania postawione przed jednostkami organizacyjnymi CBA są wykonywane;
3) dostarczenie Szefowi CBA, w oparciu o ocenę systemu kontroli wewnętrznej, racjonalnego zapewnienia, że jednostka działa prawidłowo;
4) składanie sprawozdań z poczynionych ustaleń oraz tam gdzie jest to właściwe, przedstawienie uwag i wniosków dotyczących poprawy skuteczności działania jednostki w danym obszarze.
6.
Zasady etyki zawodowej
Zasady etyki zawodowej
Celem Kodeksu jest promowanie uczciwego, rzetelnego i godnego postępowania audytora wewnętrznego przy wykonywaniu audytu wewnętrznego. Kodeks uwzględnia zarówno ogólne wymagania dotyczące pracowników zatrudnionych w administracji publicznej, jak i specyficzne wymagania związane z pracą na stanowisku audytora wewnętrznego. Kodeks stanowi zestawienie zasad odnoszących się do praktyki wykonywania audytu wewnętrznego jak również reguły postępowania stanowiące normy zachowania oczekiwanego od audytora wewnętrznego. Reguły te są pomocne w praktycznym stosowaniu zasad, a ich celem jest wskazanie wzorców etycznego postępowania audytora wewnętrznego.
Zasady, które wynikają z w/w Kodeksu a które zobligowany jest przestrzegać audytor wewnętrzny to:
1) uczciwość
Uczciwość audytora wewnętrznego powinna wzbudzać zaufanie, a przez to stanowić wiarygodną podstawę co do jego ocen.
Audytor wewnętrzny powinien:
a) wykonywać swoją pracę uczciwie, rzetelnie i odpowiedzialnie,
b) przestrzegać prawa oraz przepisów wewnętrznych obowiązujących w CBA,
c) uznawać i wspierać cele jednostki, które są zgodne z prawem i zasadami etyki,
d) przedkładać dobro publiczne nad interesy własne i swojego środowiska.
Audytor wewnętrzny ponadto, nie powinien angażować się w działania sprzeczne z prawem, które mogłyby podważyć zaufanie do zawodu audytora wewnętrznego lub działalności CBA.
2) obiektywizm
Audytor wewnętrzny powinien zachowywać obiektywizm zawodowy przy zbieraniu, ocenianiu i przekazywaniu informacji na temat badanej działalności lub procesu. Audytor wewnętrzny zobowiązany jest do wyważonej oceny, biorąc pod uwagę wszystkie istotne okoliczności związane z przeprowadzanym audytem. Przy formułowaniu ocen nie powinien kierować się własnym interesem oraz ulegać wpływom innych osób.
Audytor wewnętrzny nie powinien:
a) uczestniczyć w działaniach, które mogłyby uniemożliwić dokonanie bezstronnej oceny lub byłyby w sprzeczności z interesami jednostki,
b) uchylać się od podejmowania trudnych decyzji.
Obowiązkiem natomiast audytora jest ujawnianie wszystkich istotnych faktów, o których posiada wiedzę, a których nie ujawnienie mogłoby zniekształcić sprawozdanie z przeprowadzenia badania określonego obszaru działalności jednostek organizacyjnych CBA.
3) poufność
Audytor wewnętrzny winien szanować wartość i własność informacji, którą otrzymuje i nie ujawniać jej bez odpowiedniego upoważnienia chyba, że istnieje prawny lub zawodowy obowiązek jej ujawnienia.
Audytor wewnętrzny:
a) powinien rozważnie wykorzystywać i chronić informacje uzyskane w trakcie wykonywania swoich obowiązków,
b) nie powinien wykorzystywać informacji dla uzyskania osobistych korzyści lub w jakikolwiek inny sposób, który byłby sprzeczny z prawem lub przynosiłby szkodę celom jednostki.
4) profesjonalizm
Audytor wewnętrzny powinien wykorzystywać posiadane kwalifikacje, umiejętności i doświadczenie potrzebne do przeprowadzania audytu wewnętrznego.
Audytor wewnętrzny ponadto powinien:
a) Podejmować się przeprowadzenia tylko takich zadań audytowych, do wykonania których posiada wystarczające kwalifikacje, umiejętności i doświadczenie;
b) przeprowadzać audyt wewnętrzny zgodnie z przepisami ustawy o finansach publicznych oraz ze Standardami Audytu Wewnętrznego w jednostkach sektora finansów publicznych i Kartą audytu wewnętrznego CBA;
c) stale podwyższać swoje kwalifikacje zawodowe oraz efektywność i jakość wykonywanych zadań audytowych;
d) dążyć do pełnej znajomości aktów prawnych oraz wszystkich faktycznych i prawnych okoliczności pojawiających się w trakcie przeprowadzanych zadań audytowych.
5) postępowanie i relacje pomiędzy audytorami wewnętrznymi
Audytor wewnętrzny powinien postępować w sposób sprzyjający umacnianiu współpracy i dobrych stosunków z innymi audytorami.
Audytor wewnętrzny:
a) swoim postępowaniem i wzajemną współpracą w ramach uprawianej profesji powinien umacniać jej rangę i znaczenie;
b) w stosunkach z innymi audytorami zobowiązany jest do postępowania w sposób godny i uczciwy.
6) konflikt interesów
Audytor wewnętrzny zobligowany jest do wyłączenia się od udziału w zadaniach audytowych, których prowadzenie prowadziłoby do powstania konfliktu interesów.
Audytor wewnętrzny obowiązany jest:
a) upewnić się, że wprowadzone uwagi i wnioski poczynione w trakcie audytu wewnętrznego nie przenoszą na niego żadnych kompetencji ani odpowiedzialności w zakresie zarządzania jednostką oraz gwarantują, że funkcje tego rodzaju pozostają w całkowitej i wyłącznej kompetencji Szefa CBA,
b) dbać o ochronę swojej niezależności i unikać konfliktu interesów, odmawiając przyjmowania jakichkolwiek korzyści, które mogłyby naruszać jego całkowitą niezależność, uczciwość i obiektywizm w wykonywanej pracy lub mogłyby być postrzegane w ten sposób,
c) unikać wszelkich związków z członkami kadry kierowniczej i z pracownikami audytowanej przez siebie jednostki oraz innymi osobami, które mogą wywierać na niego naciski albo w jakikolwiek sposób umniejszać lub ograniczać zdolność do działania,
d) unikać powiązań, które mogą powodować ryzyko korupcji, lub mogących być źródłem wątpliwości co do obiektywizmu i niezależności audytora.
ROZDZIAŁ II
Zadania i Organizacja Audytu Wewnętrznego w Centralnym Biurze Antykorupcyjnym
Zadania i Organizacja Audytu Wewnętrznego w Centralnym Biurze Antykorupcyjnym
1.
Usytuowanie audytu wewnętrznego w Centralnym Biurze Antykorupcyjnym.
Usytuowanie audytu wewnętrznego w Centralnym Biurze Antykorupcyjnym.
Zgodnie z w/w regulaminem organizacyjnym, strukturę organizacyjną ZAW tworzą audytorzy wewnętrzni, spośród których Szef CBA upoważnia jednego z audytorów do koordynowania działań Zespołu.
Cechą działań audytorów wewnętrznych w CBA jest ich niezależność i obiektywizm, wyrażające się przede wszystkim w:
1) bezpośrednim nadzorze merytorycznym sprawowanym przez Szefa CBA,
2) podleganie wyłącznie przepisom prawa oraz regulacjom wewnętrznym CBA,
3) działalności zgodnej z międzynarodowymi standardami profesjonalnej praktyki audytu wewnętrznego, kodeksem etyki audytora oraz kartą audytu,
4) zakazie brania udziału w działaniach podlegających lub mogących podlegać ocenie audytorów.
2.
Cele działania audytu wewnętrznego w Centralnym Biurze Antykorupcyjnym
Cele działania audytu wewnętrznego w Centralnym Biurze Antykorupcyjnym
1) identyfikacja i analiza ryzyka związanego z działalnością jednostek organizacyjnych CBA, a w szczególności ocena efektywności zarządzania ryzykiem oraz ocena systemu kontroli zarządczej;
2) wyrażenie opinii czy cele i zadania postawione przed jednostkami organizacyjnymi CBA są wykonywane;
3) dostarczanie Szefowi CBA, w oparciu o ocenę systemu kontroli zarządczej, racjonalnego zapewnienia, że jednostki organizacyjne działają prawidłowo;
4) składanie sprawozdań z poczynionych ustaleń oraz tam gdzie jest to właściwe, przedstawienie uwag i wniosków dotyczących poprawy skuteczności działania jednostki w danym obszarze.
Audyt wewnętrzny jest narzędziem zarządzania służącym Szefowi CBA do uzyskania racjonalnego zapewnienia, że;
1) cele i zadania postawione przed CBA i podległymi jednostkami są realizowane;
2) procedury wynikające z przepisów prawa lub przepisów wewnętrznych są wdrożone i przestrzegane;
3) mechanizmy i procedury stanowiące system kontroli zarządczej są adekwatne i skuteczne dla prawidłowego działania CBA.
3.
Zakres działania audytu wewnętrznego w Centralnym Biurze Antykorupcyjnym
Zakres działania audytu wewnętrznego w Centralnym Biurze Antykorupcyjnym
Działalność audytu wewnętrznego w CBA obejmuje przede wszystkim:
1) przegląd;
2) ocenę;
3) weryfikację
- stopnia przestrzegania, stopnia efektywności oraz adekwatności mechanizmów kontroli w jednostkach organizacyjnych CBA. Audytorzy pełniący służbę/pracę w Zespole Audytu Wewnętrznego nie dysponują uprawnieniami władczymi wobec innych osób w strukturze organizacyjnej CBA tzn. nie ustanawiają, ani nie wdrażają zasad i procedur.
Audyt wewnętrzny obejmuje czynności o charakterze oceniającym, zapewniającym oraz doradczym, że jednostka działa prawidłowo. Działania o charakterze doradczym mogą być wykonywane, o ile ich charakter nie narusza zasady obiektywizmu i niezależności audytora wewnętrznego.
Obiektywizm audytora wewnętrznego nie jest naruszony, jeśli rekomenduje on pewne standardy procedur kontrolnych lub zaradczych lub też dokonuje przeglądu tych procedur zanim zostaną wdrożone. Jednakże należy pamiętać, że decyzję o wdrożeniu danej procedury podejmuje kierownik jednostki organizacyjnej CBA albo upoważniony przez niego pracownik i nie jest przy tym zobowiązany opinią audytora. Może się zdarzyć, że procedura, która uzyskała pozytywną opinię audytora wewnętrznego okaże się w praktyce nieskuteczna lub nieefektywna. Pozytywna lub negatywna opinia audytora wewnętrznego dotycząca projektowanej procedury nie zwalnia kierownika jednostki organizacyjnej CBA oraz funkcjonariusz i pracownika CBA od odpowiedzialności za zarządzanie i funkcjonowanie kontroli w danym obszarze działalności jednostki.
Zakres audytu nie może być ograniczany. Szef CBA i kierownik audytowanej jednostki powinien być niezwłocznie powiadamiany o wszelkich próbach ograniczania zakresu audytu. Audytor wewnętrzny dysponuje również pełną swobodą w zakresie identyfikacji obszarów ryzyka.
Wymienione wyżej poszczególne działania audytu wewnętrznego, swoim zakresem obejmują przede wszystkim:
1) audyt finansowy, polegający na badaniu wiarygodności sprawozdania finansowego oraz sprawozdania z wykonania budżetu, przez następcze stwierdzenia wynikające z badania dowodów księgowych oraz zapisów w księgach rachunkowych, dotyczące:
a) przestrzegania zasad rachunkowości,
b) zgodności zapisów w księgach rachunkowych z dowodami księgowymi,
c) zgodności sprawozdania finansowego oraz sprawozdania z wykonania budżetu z zapisami w księgach rachunkowych;
2) audyt systemu, polegający na ocenie systemu gromadzenia środków publicznych i dysponowania nimi oraz gospodarowania mieniem poprzez dokonanie oceny adekwatności, efektywności i skuteczności systemów kontroli, w tym przestrzegania procedur kontroli, zarządzania ryzykiem i kierowania na poszczególnych szczeblach struktury organizacyjnej CBA;
3) audyt gospodarności, polegający na ocenie efektywności i gospodarności zarządzania finansowego poprzez dokonanie oceny przestrzegania:
a) zasady celowości i oszczędności w dokonywaniu wydatków,
b) uzyskiwania możliwie najlepszych efektów w ramach posiadanych środków,
c) terminów realizacji zadań i zaciągniętych zobowiązań.
4.
Zadania audytu wewnętrznego w Centralnym Biurze Antykorupcyjnym
Zadania audytu wewnętrznego w Centralnym Biurze Antykorupcyjnym
1) opracowanie rocznego planu audytu wewnętrznego;
2) ustalenie celów oraz zakresu działań audytowych pod kątem zgodności z procedurami danej jednostki organizacyjnej CBA, funkcjonującymi przepisami oraz z międzynarodowymi standardami audytu wewnętrznego;
3) przeprowadzanie audytów wewnętrznych zgodnie z przyjętym planem;
4) dokumentowanie przebiegu audytu;
5) przygotowanie sprawozdań końcowych z przeprowadzonego audytu zawierających wykaz działań korygujących;
6) analiza poprawności i zasadności przyjętych metod przeprowadzania audytu wewnętrznego pod kątem uzyskanych efektów (osiągniętych celów);
7) sprawdzenie stopnia wykonania (usunięcia działań korygujących);
8) wykonywanie działań audytowych (poza planem) na wniosek Szefa CBA;
9) działania doradcze;
10) archiwizacja dokumentacji gromadzonej przy wykonywaniu audytów;
11) podnoszenie kwalifikacji;
12) sporządzenie według wzoru określonego przez Ministerstwo Finansów informacji o realizacji zadań z zakresu audytu wewnętrznego w danym roku;
13) sporządzenie sprawozdania z wykonania planu audytu, informujące o stopniu jego realizacji oraz istotnych ryzykach i słabościach kontroli zarządczej.
Przy wykonywaniu poszczególnych zadań audytor wewnętrzny:
1) jest niezależny w wykonywaniu swoich zadań i postępuje zgodnie z przepisami prawa, standardami audytu wewnętrznego w jednostkach sektora finansów publicznych i kodeksem etyki audytora wewnętrznego w jednostkach sektora finansów publicznych oraz uznaną praktyką audytu wewnętrznego;
2) jest uprawniony do przeprowadzania audytu wewnętrznego we wszystkich obszarach działalności jednostek;
3) ma zagwarantowane prawo dostępu do wszelkich informacji, danych, dokumentów i innych materiałów związanych z funkcjonowaniem danej jednostki, w tym zawartych na elektronicznych nośnikach informacji, jak również do wykonywania z nich kopii, odpisów, wyciągów, zestawień lub wydruków, z zachowaniem przepisów o tajemnicy ustawowo chronionej;
4) ma prawo dostępu do pomieszczeń jednostki;
5) ma prawo żądać od kierowników jednostek, funkcjonariuszy i pracowników CBA informacji oraz wyjaśnień w celu zapewnienia właściwego i efektywnego prowadzenia audytu wewnętrznego;
6) może z własnej inicjatywy składać wnioski, mające na celu usprawnienie funkcjonowania jednostek;
7) nie jest odpowiedzialny za procesy zarządzania ryzykiem i procesy kontroli zarządczej w jednostkach, ale poprzez ustalenia i zalecenia poczynione w wyniku przeprowadzenia audytu wewnętrznego, wspomaga Szefa CBA we właściwej realizacji tych procesów;
8) w przypadku gdy dostrzeże znamiona czynów, które według jego oceny kwalifikują się do wszczęcia postępowania w zakresie dyscypliny finansów publicznych, postępowania karnego, postępowania w sprawie o przestępstwo skarbowe lub o wykroczenie skarbowe, wówczas ma obowiązek o tym fakcie zawiadomić Szefa CBA za pośrednictwem Koordynatora;
9) nie może przyjmować zadań lub uprawnień, które wchodzą w zakres zarządzania jednostką;
10) nie może przez co najmniej 12 miesięcy oceniać działalności jednostki, w której pracował bądź pełnił służbę;
11) w zakresie wykonywania swoich zadań współpracuje z audytorami zewnętrznymi, a także kontrolerami Najwyższej Izby Kontroli i innymi instytucjami kontrolnymi.
ROZDZIAŁ III
Metodologia Audytu Wewnętrznego
Metodologia Audytu Wewnętrznego
1.
Plan strategiczny audytu
Plan strategiczny audytu
1) cele długo i krótkookresowe dla komórki audytu wewnętrznego;
2) opis działań komórki audytu wewnętrznego;
3) plany rozwoju funkcji audytu;
4) wszelkie planowane sfery audytu, które maja być poddane audytowi, uszeregowane według stopnia priorytetu ze względu na ocenę ryzyka;
5) częstotliwość audytów w poszczególnych sferach.
Plan strategiczny zatwierdzany jest przez Szefa CBA.
2.
Plan roczny audytu wewnętrznego
Plan roczny audytu wewnętrznego
Przygotowanie planu odbywa się w oparciu o długoterminową analizę ryzyka, poddawaną corocznej weryfikacji pod wpływem zmian czynników i obszarów ryzyka, w zakresie działania jednostek organizacyjnych CBA, biorąc pod uwagę w szczególności:
1) propozycje zgłoszone przez kierowników jednostek organizacyjnych CBA;
2) cele i zadania jednostek organizacyjnych CBA;
3) przepisy prawne dotyczące funkcjonowania jednostek organizacyjnych CBA;
4) wyniki wcześniej przeprowadzonych audytów lub kontroli;
5) wyniki wcześniej dokonywanej oceny adekwatności, efektywności i skuteczności systemów kontroli zarządczej;
6) wewnętrzne i zewnętrzne czynniki ryzyka mające wpływ na realizację celów jednostki;
7) uwagi funkcjonariuszy/pracowników jednostek organizacyjnych CBA;
8) liczbę, wielkość i rodzaj dokonywanych operacji finansowych;
9) liczbę i kwalifikacje funkcjonariuszy/pracowników CBA;
10) działania jednostek organizacyjnych CBA, które mogą wpłynąć na opinię publiczną;
11) sprawozdania finansowe oraz sprawozdania z wykonania budżetu.
Dokonany przez audytora proces analizy ryzyka powinien być udokumentowany.
Analiza ryzyka ma na celu zidentyfikowanie obszarów działania narażonych na ryzyko o dużej istotności, mających wpływ na realizację celów i zadań przez jednostki organizacyjne. W procesie analizy obszarów ryzyka należy zapewnić udział wszystkich kierowników jednostek - poprzez otrzymane od nich pisemne informacje.
Przygotowując plan audytu wewnętrznego, Koordynator ustala kolejność poddania obszarów ryzyka audytowi wewnętrznemu, biorąc pod uwagę stopień ich ważności oraz czynniki organizacyjne a w szczególności:
1) czas niezbędny dla:
a) przeprowadzenia zadań audytowych,
b) przeprowadzenia czynności organizacyjnych;
2) czas przeznaczony na szkolenie audytora wewnętrznego;
3) dostępne zasoby ludzkie i rzeczowe;
4) rezerwę czasową na przewidziane działania;
5) szacunkowe koszty przeprowadzenia audytu wewnętrznego.
Przy planowaniu rocznym uwzględniane są priorytety dla zadań audytowych wskazanych przez Szefa CBA. Roczny plan audytu powinien przedstawiać ogólny opis tego, co jednostka audytu wewnętrznego zamierza dokonać w ciągu roku. Plan audytu na rok następny opracowują audytorzy wchodzący w skład ZAW. Jest on sporządzany w porozumieniu z Szefem CBA, do końca każdego roku. Plan audytu podpisuje Szef CBA oraz Koordynator.
3.
Analiza potrzeb audytu
Analiza potrzeb audytu
Wszystkie wskazane w analizie potrzeb audytu zadania poddaje się analizie ryzyka. Celem przeprowadzenia analizy ryzyka jest stworzenie rankingu zadań (od największego do najmniejszego ryzyka). Zadania jednostek organizacyjnych CBA zagrożone największym ryzykiem będą analizowane w pierwszej kolejności czyli zostaną wpisane do tabeli w planie rocznym audytu na dany rok.
Prowadząc analizę potrzeb audytu należy wyjaśnić kilka podstawowych pojęć, które stanowią części składowe ww. dokumentu.
| POJĘCIE | DEFINICJA |
| Obszar audytu | jest to każdy obszar działania jednostek organizacyjnych CBA, w obrębie którego audytor wewnętrzny wyodrębnił obszary ryzyka do przeprowadzenia zadania audytowego |
| Obszar ryzyka | są to procesy, zjawiska lub problemy wymagające przeprowadzenia audytu wewnętrznego |
| Zadanie audytowe | są to pewne mniejsze części wyodrębnione z obszarów ryzyka, które bezpośrednio podlegają badaniu. Zadania audytowe to na ogół dane procesy, systemy lub pewne części tych systemów, procesów (np. zamówienia publiczne jako system lub przetarg nieograniczony jako część tego systemu). W ramach każdego zadania audytowego określa się: - zakres przedmiotowy (obiekt audytu), - zakres podmiotowy. |
| Zakres przedmiotowy | jest pewną mniejszą częścią wyodrębnianą w ramach zadania audytowego. W praktyce zakres przedmiotowy często określa się mianem obiektów audytu. W zadaniu audytowym wyznacza się kilka obiektów audytu na podstawie analizy ryzyka przeprowadzanej na poziomie programu zadania audytowego. W jej wyniku ze wszystkich możliwych w danym zadaniu obiektów audytor wybiera te z funkcjonowaniem których wiąże się największe ryzyko dla jednostek organizacyjnych CBA w badanym procesie. |
| Zakres podmiotowy | są to jednostki organizacyjne CBA w których przeprowadzane są czynności audytorskie. Jednostki audytowane przypisywane są na ogół do wcześniej określonych obiektów audytu. W analizie potrzeb audytu, audytor zobligowany jest rozpisać wszystkie procesy, systemy które funkcjonują w jednostkach organizacyjnych CBA. To czy dany proces będzie obszarem ryzyka, zadaniem audytowym czy obiektem audytu zależy od profesjonalnego osądu audytora w zakresie oceny ryzyka dla danej jednostki związanego z funkcjonowaniem danego procesu. |
Dla zobrazowania niektórych w/w pojęć pomocny jest niniejszy rysunek:
4.
Analiza ryzyka
Analiza ryzyka
Przygotowując roczny plan audytu należy oprzeć się na analizie obszarów ryzyka w zakresie działania jednostek organizacyjnych CBA.
Wszystkie metodologie oceny ryzyka zawierają element subiektywnej oceny na pewnym etapie procesu (np. przydział wag poszczególnym parametrom). Przy wyborze metodologii oceny ryzyk należy rozważyć przede wszystkim:
1) rodzaj informacji, którą należy zgromadzić, z uwagi na zakres audytu w CBA. Audytor korzysta wówczas zarówno ze wskaźników finansowych, jak i poza finansowych, jako miernika;
2) koszt oprogramowania lub innych licencji niezbędnych do zastosowania określonej metodologii;
3) dostępność wymaganej informacji;
4) ilość dodatkowych informacji niezbędnych do osiągnięcia wiarygodnego wyniku oceny łącznie z kosztem uzyskania tych informacji;
5) opinie innych użytkowników danej metodologii i ich zdanie na temat przydatności danej metodologii w zwiększeniu efektywności przeprowadzonych audytów;
6) gotowość kierownictwa do zaakceptowania danej metodologii, jako środka określającego sposób i zakres przeprowadzanych prac audytowych.
Praca audytora wewnętrznego na tym etapie obejmuje między innymi identyfikowanie i ocenę wystąpienia ryzyka istniejącego w procesach zidentyfikowanych w jednostkach organizacyjnych CBA.
Ryzyko oznacza prawdopodobieństwo, że jakieś zdarzenie lub czynność mogą mieć negatywny wpływ na organizację. Istnieją dwa źródła ryzyka:
1) zagrożenia bezpośrednie (zdarzenia szkodliwe) które powodują, że cele nie zostaną osiągnięte;
2) szanse (zdarzenia pozytywne), które dają możliwość skuteczniejszego osiągnięcia celów. Szanse wiążą się z ryzykami.
Efekty ryzyka mogą wiązać się z:
1) nieosiąganiem ustalonych celów i zadań dla operacji i programów;
2) niezrealizowaniem obowiązującej polityki jednostek organizacyjnych, planów i procedur lub nieprzestrzeganiem obowiązujących przepisów i regulacji;
3) błędnym rejestrowaniem danych, niewłaściwym księgowaniem, błędnymi sprawozdaniami finansowymi, stratami finansowymi;
4) niewłaściwą ochroną majątku;
5) błędną decyzją wynikającą z wykorzystania błędnych lub nierzetelnych informacji;
6) nieekonomicznym nabywaniem środków lub wykorzystaniem ich w sposób mało wydajny lub nieefektywny.
Audytor powinien zwracać uwagę na ryzyka, które mogą negatywnie wpłynąć na realizację celów jednostek organizacyjnych CBA, jego działania i zasoby. Sama procedura audytu wewnętrznego nie gwarantuje zidentyfikowania wszystkich znaczących ryzyk.
Podstawowe znaczenie w analizie ryzyka ma również pojęcie istotności. Istotność jest miarą:
1) możliwych bezpośrednich i pośrednich konsekwencji finansowych w przypadku zajścia zdarzenia (w tym kosztów działań naprawczych);
2) znaczenia poszczególnych celów realizowanych przez organizację (skutkiem zajścia zdarzenia jest niezrealizowanie tych celów - w miarę możliwości winno być wyrażone w złotych);
3) strat, które nie mają wymiaru finansowego, np. utrata dobrego imienia (reputacji).
Istotność to iloczyn prawdopodobieństwa wystąpienia danego zdarzenia oraz jego wpływu na organizację (potencjalne straty):
a) prawdopodobieństwo - wyliczone z wykorzystaniem rachunku prawdopodobieństwa lub przyjęte metoda profesjonalnego osądu prawdopodobieństwa zajścia danego zdarzenia,
b) wpływ (potencjalna strata) - wyliczony (na ogół w wartościach pieniężnych) efekt zajścia zdarzenia.
Ograniczenia ryzyka w zakresie działalności jednostek organizacyjnych CBA jest podstawowym celem audytu wewnętrznego. W procesie ryzyka można wyróżnić dwa podstawowe etapy:
1) identyfikacja obszarów ryzyka;
2) analiza ryzyka - wykonywana w celu ustalenia kolejności przeprowadzania zadań audytowych, z uwzględnieniem wagi poszczególnych obszarów ryzyka.
Do podstawowych definicji i pojęć związanych z analizą ryzyka (niewymienionych wyżej) należą:
| POJĘCIE | DEFINICJA |
| Ocena ryzyka | Identyfikacja i ocena ryzyk i ich potencjalnych skutków. |
| Czynniki ryzyka | Fakty, którym należy przyporządkować określone wagi w celu wyliczenia ryzyka i istotności w planowaniu |
| Waga ryzyka | Wpływ danego czynnika ryzyka na badany system wyrażony poprzez przypisanie temu czynnikowi relatywnej wagi. Wyrażenie względnego znaczenia danego zjawiska w kontekście organizacji jako całości. Jest sprawą profesjonalnego osądu i obejmuje rozważenie wywieranego na organizację jako całość wpływu błędów, zaniedbań, nieprawidłowości lub niedozwolonych czynów, czy działań, które mogą mieć miejsce jako rezultat słabości kontroli w ramach audytowanego obszaru. Podczas oceny wagi audytor powinien rozważyć, całkowity poziom błędów możliwy do zaakceptowania przez kierownictwo i audytora oraz zdolność do kumulowania się małych błędów i słabości (tworzenia tzw. efektu kumulatywnego) i stawania się przez to znacznymi. |
| Ryzyko audytu (RA) | Ryzyko sformułowania błędnej opinii przez audytora. RA = RK x RW x RD |
| Ryzyko kontroli (RK) | Ryzyko wystąpienia sytuacji, w której istniejący system kontroli wewnętrznej nie zapobiegnie lub nie wykryje błędu o znaczącej wadze. |
| Ryzyko wewnętrzne (RW) | Ryzyko wystąpienia błędu o znaczącej wadze przy założeniu, że system kontroli wewnętrznej nie funkcjonuje. Jest to podatność na wystąpienie istotnego błędu, który sam lub w połączeniu z innymi błędami będzie miał istotny wpływ na analizowany obszar przy braku odpowiednich kontroli wewnętrznych. |
| Ryzyko detekcji (RD) | Ryzyko, że przeprowadzone przez audytora testy, analityczne procedury nie wykryją błędów, który sam lub w połączeniu z innymi błędami będzie miał istotny wpływ na analizowany obszar. |
W analizie ryzyka dokonywanej na potrzeby planowania strategicznego i rocznego, audytor bierze pod uwagę przede wszystkim ryzyka:
1) ryzyko wewnętrzne (Inherent Risk);
2) ryzyko kontroli (Control Risk) - audytor powinien oceniać ryzyko kontroli jako wysokie dopóki odpowiednie kontrole wewnętrzne nie zostaną zidentyfikowane, ocenione jako efektywne, przetestowane i sprawdzone jako działające prawidłowo;
3) ryzyko detekcji (Detection Risk) będzie brane pod uwagę przy analizie ryzyka dokonywanej przed sporządzaniem programu audytu.
4.1.
Cele analizy ryzyka w audycie wewnętrznym
Cele analizy ryzyka w audycie wewnętrznym
1) ocena poszczególnych elementów systemu kontroli zarządczej;
2) ocena adekwatności i skuteczności systemu kontroli;
3) wspomaganie planowania długoterminowego oraz przygotowania programu zadania audytowego.
4.2.
Metody prowadzenia analizy ryzyka
Metody prowadzenia analizy ryzyka
1) matematyczną metodę analizy ryzyka;
2) szacunkowa metodę analizy ryzyka - metoda delficka (grupa ekspercka);
3) mieszaną metodę analizy ryzyka;
4) mapę ryzyka w analizie ryzyka;
5) macierz ryzyka;
6) czynniki ryzyka w analizie ryzyka;
7) kwestionariusz oceny ryzyka.
Spośród wymienionych wyżej metod, preferowanymi przez Zespół Audytu Wewnętrznego CBA podczas analizy ryzyka zarówno przy sporządzaniu rocznego planu audytu wewnętrznego jak i poszczególnych zadań audytowych będą następujące metody:
Metoda szacunkowa - grupa ekspercka (tzw. metoda delficka) oparta jest na profesjonalnym osądzie audytora. Dokonując analizy ryzyka tą metodą audytor ocenia ryzyko bezpośrednio w każdym zadaniu audytowym bez posiłkowania się kryteriami ryzyka. Metoda ta polega na tym, iż audytorzy wewnętrzni (przy założeniu składu trzyosobowego Zespołu) dokonując wyboru zadań audytowych postępują w następujący sposób:
1) zadaniom audytowym przypisuje się kolejno numery;
2) każdy audytor samodzielnie dokonuje oceny, tworząc własną "listę rankingową", według tego zadania, które powinno być zrealizowane jako pierwsze (największe ryzyko). Zadanie te otrzymuje największą liczbę punktów. Każde kolejne otrzymuje o jeden punkt mniej. Ostatnie zadanie na liście otrzymuje 1 punkt;
3) punkty otrzymane od każdego audytora są sumowane i tworzony jest ranking zadań począwszy od tego, które otrzymało najwięcej punktów;
4) aby wyrazić otrzymany wynik w "%" dzieli się ilość punktów, które otrzymało każde zadanie łącznie przez ilość punktów, którą otrzymało zadanie pierwsze na liście.
Metoda matematyczna wykonywana jest bezpośrednio przy pomocy arkusza kalkulacyjnego matrycy ryzyka3. Matryca ryzyka to swoisty arkusz kalkulacyjny przy pomocy którego dokonuje się wyliczenia funkcjonującego ryzyka w ramach poszczególnych zadań audytowych. Metoda ta, wymaga obliczeń zgodnie z właściwym algorytmem.
Zespół Audytu Wewnętrznego CBA, posługując się tą metodą będzie korzystał z wypracowanego wzoru i w miarę potrzeb go modyfikując.
Powyższa metoda pozwala m.in. na:
1) uszeregowanie zadań audytu wg ich stopnia ważności biorąc za kryterium występujące obszary ryzyka - zestawienie nr 1;
2) określenie poszczególnych kategorii ryzyk - zestawienie nr 2;
3) uszeregowanie tematów audytu wg stopnia ich ważności mając na uwadze odpowiedzialne jednostki audytowane - zestawienie nr 3.
Etapy przeprowadzania analizy ryzyka w tej metodzie to:
1) wyodrębnienie obszarów ryzyka - kolumna nr 1, zestawienia nr 1;
2) określenie tematów zadań audytowych - kolumna nr 2, zestawienia nr 1;
3) określenie kategorii ryzyka i określenie czynników wpływających na określenie czynników wpływających na ocenę wartości i wagi ryzyka. Należy pamiętać, iż suma wag ryzyka musi wynosić 1 - zestawienie nr 2;
4) obliczanie oceny końcowej - kolumna nr 10, zestawienia nr 1, stanowi suma iloczynów wartości i odpowiadającej jej wagi ryzyka dla danego zadania audytowego w poszczególnych kategoriach ryzyka, pomnożona przez 100% i podzielona przez ilość kategorii ryzyka.
Algorytm w tym przypadku będzie następujący:
Ocena końcowa Y = [(a x waga nr 1 + b x waga nr 2 + c x waga nr 3 + d x waga nr 4 + e x waga nr 5 + f x waga nr 6 + g x waga nr 7) x 100%] :7
5) ustalenie kolejności wykonywania zadania w zależności od uzyskanej oceny końcowej - kolumna 11 zestawienia nr 1 - od wartości maksymalnej do minimalnej;
6) uszeregowanie tematów audytu z uwzględnieniem jednostek audytowanych - zestawienie nr 3, można obliczyć na podstawie w/w przykładu. Sposób postępowania w tym przypadku jest analogiczny jak w przypadku zestawienia nr 1, z tym że w kolumnie nr 1 wpisuje się tematy zadań audytowych, a w kolumnie nr 2 nazwy jednostek audytowanych.
Zestawienie nr 1
| Obszar ryzyka | Temat zadania audytowego | Kategorie ryzyka | Data ostatniego audytu | Priorytety kierownictwa | Ocena końcowa | Kolejność | |||||
| Nr 1 | Nr 2 | Nr 3 | Nr 4 | Nr 5 | |||||||
| waga nr 1 | waga nr 2 | waga nr 3 | waga nr 4 | waga nr 5 | waga nr 6 | waga nr 7 | |||||
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | |
| Zadanie Nr 1 | a | b | c | d | e | f | g | X | |||
| Zadanie Nr 2 | |||||||||||
| Zadanie Nr ... | |||||||||||
Zestawienie nr 2
| WARTOŚĆ | Przykładowe kategorie ryzyka | ||||||
| Istotność pod względem finansowym | Wpływ czynników zewnętrznych | Środowisko kontroli wewnętrznej | Wpływ czynników ryzyka wrodzonego | Wpływ czynników operacyjnych | Data ostatniego audytu | Priorytety kierownictwa | |
| 1 | brak implikacji finansowych | niski wpływ | silna kontrola | niski wpływ | niski wpływ | 1 rok | zadanie nieistotne - ryzyko negatywnych konsekwencji nie prowadzenia audytu niskie |
| 2 | małe implikacje finansowe | umiarkowany wpływ | wysoka kontrola | umiarkowany | umiarkowany | 2 lata | zadanie mało istotne |
| 3 | duże implikacje finansowe | wysoki wpływ | zadowalająca kontrola | wysoki | wysoki | 3 lata | zadanie istotne |
| 4 | kluczowy system finansowy | bardzo wysoki wpływ | słaba kontrola | bardzo wysoki | bardzo wysoki | 4 lata lub w ogóle | zadanie bardzo istotne |
| Przykładowe wagi ryzyka dla poszczególnych kategorii | |||||||
| 0,20 | 0,10 | 0,15 | 0,15 | 0,10 | 0,15 | 0,15 | |
Zestawienie nr 3
| Temat zadania audytowego | Nazwa jednostki audytowanej | Kategorie ryzyka | Data ostatniego audytu | Priorytety kierownictwa | Ocena końcowa | Kolejność | |||||
| Nr 1 | Nr 2 | Nr 3 | Nr 4 | Nr 5 | |||||||
| waga nr 1 | waga nr 2 | waga nr 3 | waga nr 4 | waga nr 5 | waga nr 6 | waga nr 7 | |||||
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | |
| Zadanie Nr 1 | a | b | c | d | e | f | g | X | |||
| Zadanie Nr 2 | |||||||||||
| Zadanie Nr ... | |||||||||||
Opisane wyżej kategorie ryzyka są kategoriami przykładowymi, jednymi z wielu możliwych. W celu przypisania właściwej wartości danej kategorii ryzyka, należy uwzględnić szereg czynników ryzyka. Poniżej przedstawiono przykładowe czynniki ryzyka, które należałoby uwzględnić w wymienionych wcześniej w kategoriach:
| Kategoria i czynniki | Tendencja wpływu danego czynnika na wielkość ryzyka | ||
| 1. Istotność pod względem finansowym: | |||
| wielkość budżetu/planu finansowego: majątek własny, dochody, wydatki | wzrost wielkości wyższe ryzyko | ||
| koszty inwestycji | wzrost wielkości wyższe ryzyko | ||
| rzetelność sprawozdań finansowych: częste zmiany pracowników w księgowości, niedawne zmiany w systemie księgowania | więcej zmian wyższe ryzyko | ||
| wielkość zewnętrznych źródeł finansowania: terminowość otrzymywania środków budżetowych | wzrost wielkości, niedotrzymywanie terminów wyższe ryzyko | ||
| finansowanie jednostek zewnętrznych: dotacje, porozumienia | wzrost wielkości wyższe ryzyko | ||
| zatory płatnicze: obawa utraty płynności finansowej, problemy z pozyskiwaniem i egzekwowaniem dochodów | wzrost możliwości powstania zatoru płatniczego wyższe ryzyko | ||
| 2. Wpływ czynników zewnętrznych | |||
| presja społeczna, wizerunek społeczny jednostki | większa presja wyższe ryzyko | ||
| stabilność zaopatrzenia w środki niezbędne do prowadzenia działalności (materiały, energia, terminowe wykonywanie usług) | mniejsza stabilność wyższe ryzyko | ||
| wzrost cen: inflacja, stopy procentowe, kursy walutowe | wzrost wielkości wyższe ryzyko | ||
| siła wyższa: pożar, powódź | wzrost możliwości wystąpienia wyższe ryzyko | ||
| poziom skomplikowania i zmienność przepisów | wzrost wielkości wyższe ryzyko | ||
| uzależnienie od internetu i poczty elektronicznej | wzrost uzależnienia wyższe ryzyko | ||
| 3. Środowisko kontroli wewnętrznej | |||
| nieprzystawanie pisemnych procedur do rzeczywistości | im bardziej nieadekwatne procedury tym wyższe ryzyko, brak procedur powoduje najwyższe ryzyko | ||
| brak kryteriów oceny i wyznaczników błędów | im więcej braków tym wyższe ryzyko | ||
| brak w kontroli automatycznej autoryzacji w środowisku komputerowym | im więcej braków tym wyższe ryzyko | ||
| braki w dokumentacji, dokumenty sporządzone po terminie | większe braki i opóźnienia wyższe ryzyko | ||
| podział obowiązków w zakresie kontroli i nadzoru: istnienie podziału obowiązków, istnienie wymogu autoryzacji | większe braki w zakresie jednoznacznego przypisania obowiązków i odpowiedzialności większe ryzyko | ||
| delegowanie funkcji: brak pisemnych upoważnień, niewystarczający przepływ informacji, błędy w zawieranych umowach | im więcej braków i błędów tym większe ryzyko | ||
| 4. Wpływ czynników ryzyka wrodzonego | |||
| skala działalności | większa skala większe ryzyko | ||
| majątek trwały: wielkość i rozproszenie | większy majątek i wyższe rozproszenia większe ryzyko | ||
| liczba pracowników | wzrost wielkości wyższe ryzyko | ||
| ilość transakcji finansowych | wzrost wielkości wyższe ryzyko | ||
| rozległa sieć informatyczna | im bardziej rozbudowana sieć informatyczna tym większe ryzyko | ||
| niska rentowność, ograniczenia w możliwości dofinansowania | im niższa rentowność i większe ograniczenia tym wyższe ryzyko | ||
| 5. Wpływ czynników operacyjnych | |||
| czynniki ludzkie: doświadczenie zawodowe pracowników, polityka szkoleniowa | mniejsze doświadczenie i braki w przeszkoleniu pracowników większe ryzyko | ||
| skomplikowanie operacji | większe skomplikowanie większe ryzyko | ||
| personel: zachwianie morale, niezadowolenie, stres, częste zmiany na stanowiskach kluczowych | większe nasilenie zjawisk większe ryzyko | ||
| informacja: integralność baz danych, bezpieczeństwo IT, poufność baz danych | wyższy poziom informatyzacji wyższe ryzyko | ||
| wzrost ilości i skomplikowania spraw | wraz ze wzrostem rośnie ryzyko | ||
| prowadzone projekty: liczba, poziom skomplikowania, możliwość opóźnień, nadmiernych kosztów | wzrost wielkości wzrost ryzyka | ||
| innowacyjność: opór pracowników, brak skłonności do zmian, koszty wdrażania | wzrost wielkości większe r yzyko | ||
| 6. Data ostatniego audytu | |||
| czasokres, jaki upłynął od przeprowadzenia ostatniego audytu lub kontroli wewnętrznej lub zewnętrznej | im dawniej była kontrola tym większe ryzyko | ||
| 7. Priorytety kierownictwa | |||
| negatywne konsekwencje nieprzeprowadzenia audytu wewnętrznego | im większe są zdaniem kierownictwa negatywne konsekwencje nieprzeprowadzenia audytu wewnętrznego tym ryzyko wyższe | ||
Mapa ryzyka
Mapa ryzyka jest to klasyfikacja zidentyfikowanych ryzyk. Jeżeli audytor uzna za zasadne narzędzie to może być stosowane na etapie przedstawiania wyników audytu.
| Waga ryzyka | Opis ryzyka | Obiekt audytu | Kontrole ograniczające ryzyko |
| Bardzo poważne | |||
| Poważne | |||
| Umiarkowane | |||
| Niskie |
Skala ryzyk
1) bardzo poważne - duża istotność, największe ryzyko dla CBA, wymaga natychmiastowej reakcji Szefa CBA;
2) poważne - duża istotność, niezbędna reakcja Szefa CBA, przeciwdziałanie ryzyku uzależnione od możliwości;
3) umiarkowane - średnia istotność, wskazana reakcja Szefa CBA;
4) niskie - mała istotność, reakcja uzależniona od Szefa CBA.
5.
Zadanie audytowe
Zadanie audytowe
1) faza wstępna (wstępny przegląd wszystkich dostępnych dokumentów w zakresie objętym zakresem zadania);
2) faza planowania (zaplanowanie czynności do wykonania, stworzenie programu zadania zapewniającego i przygotowanie upoważnienia, założenie akt bieżących);
3) faza wykonania czynności audytorskich (przedstawienie kierownikom komórek audytowych informacji na temat celu, zakresu zadań, czasu trwania zadania realizacja zadania audytowego zwrócenie się do jednostki audytowanej o wyznaczenie osoby do kontaktów ponadto, techniki zadania audytowego, testy, dokumentowanie, przedstawienie kierownikom jednostek audytowanych ustaleń stanu faktycznego, dowody potwierdzające poczynione ustalenia);
4) faza sprawozdawczości (stworzenie sprawozdania wstępnego i końcowego z przeprowadzonego zadania audytowego);
5) faza sprawdzenia wdrożenia rekomendacji (sprawdzenie czy zalecenia wskazane w sprawozdaniu końcowym zostały wykonane).
5.1.
Faza wstępna
Faza wstępna
1) określeniu celu zadania oraz okresu poddanego badaniu - cele prac audytorskich powinny odnosić się do ryzyka, systemów kontroli, procesów zarządzania związanych z badaną działalnością. Należy pamiętać, aby cele były wyrażone w sposób jednoznaczny, zrozumiały i precyzyjny, tak aby możliwe było określenie, czy zostały one osiągnięte;
2) zebranie informacji dotyczących jednostki audytowanej - należy dążyć do zgromadzenia danych obrazujących najważniejsze procesy i zjawiska związane z tematem zadania, a więc dane finansowe, kadrowe, operacyjne oraz informacje na temat systemów zarządzania, organizacji i systemów kontroli, jak również:
a) przepisy zewnętrzne bezwzględnie obowiązujące, czyli takie, które obowiązują wszystkie jednostki (np. ustawa o zamówieniach publicznych, ustawa o finansach publicznych itp.),
b) przepisy względnie obowiązujące, czyli mające zastosowanie tylko do CBA,
c) przepisy wewnętrzne jednostek organizacyjnych CBA, wydane przez Szefa CBA w zakresie objętym badaniem (np. zarządzenia, regulaminy, procedury itp.),
d) różnego rodzaju zasady, standardy, literaturę itp. odnoszące się do przedmiotu badania,
e) oceny, raporty, protokoły, opinie zewnętrznych i wewnętrznych służb audytorsko-kontrolerskich;
3) analiza systemu kontroli - należy określić zasady konstrukcji systemu kontroli oraz słabe i mocne strony, w tym jej funkcjonowanie;
4) analiza wyników wcześniejszych audytów i kontroli - dostarczy danych na temat stwierdzonych wówczas uchybień, a także procesów i zjawisk generujących, czy też narażonych na ryzyka;
5) badania analityczne określonych problemów, opinie ekspertów - analizy sprawozdań finansowych oraz sprawozdań z wykonania budżetu, a także innych opracowań i studiów dokonanych w jednostce organizacyjnej CBA;
6) opracowanie założeń metodycznych - planuje się tu metody, jakimi będą uzyskiwane dane niezbędne do ustaleń, problemy, na które należy zwracać szczególną uwagę oraz dowody jakie należy zdobyć w celu dokonania zaplanowanych ustaleń, biorąc pod uwagę ich dostępność.
Na etapie zapoznawania się z zakresem działania poszczególnych jednostek/komórek organizacyjnych audytor wewnętrzny dokonuje wstępnego przeglądu którego celem jest:
1) zrozumienie badanej jednostki;
2) wyodrębnienie istotnych obszarów, wymagających szczególnej uwagi w trakcie zadania audytowego;
3) identyfikacja istniejących mechanizmów kontroli;
4) pozyskanie informacji ułatwiających przeprowadzenie zadania audytowego;
5) ustalenie, czy konieczne jest przeprowadzenie zadania audytowego w danym obszarze.
Wstępny przegląd można przeprowadzić z zastosowaniem m.in. następujących technik:
1) rozmów z pracownikami jednostki audytowanej;
2) rozmów z osobami, na które audytowana działalność wywiera wpływ, np. współpracowników i odbiorców wyników pracy jednostki audytowanej;
3) obserwacji i oględzin na miejscu;
4) analizy sprawozdań i innych dokumentów przygotowywanych dla kierownictwa jednostki;
5) procedur analitycznych;
6) schematów, wykresów;
7) testów kroczących, czyli techniki przetwarzania konkretnych mechanizmów kontroli, które umożliwiają sprawdzenie procesu obejmującego niewielką liczbę operacji od jego początku aż do końca;
8) kwestionariuszy kontroli wewnętrznej przekazywanych do wypełnienia kierownikom jednostek audytowanych.
Zebrane na tym etapie informacje stanowią dla audytora wewnętrznego podstawę do opisania procesu, który ma być poddany badaniu w trakcie zadania audytowego.
W trakcie dokumentowania wszystkich procesów zachodzących w danej organizacji oraz opisywania systemu kontroli należy posługiwać się tzw. ścieżką audytu.
Faza planowania.
Faza planowania.
Planowanie zadania audytowego związane jest z tworzeniem głównego dokumentu w tej części zadania audytowego - programu zadania audytowego. Tworzenie programu jest na ogół czynnością pracochłonną i trwa przez całą fazę planowania. Wynik czynności podjętych w ramach analizy ryzyka na poziomie zadania audytowego determinuje kolejne czynności zaplanowane w programie. Wraz z tworzeniem programu tworzy się wszelkiego rodzaju dokumenty robocze audytu przy pomocy których będzie przeprowadzane zadanie audytowe. Należy podjąć decyzję jakiego rodzaju czynności będą wykonywane i jakimi metodami. Ilość zaplanowanych czynności i dokumentów które będą te czynności dokumentować, uzależnione są głównie od rodzaju zadania audytowego i celu przed nim postawionego.
5.2.1.
Przygotowanie programu zadania audytowego
Przygotowanie programu zadania audytowego
1) cele i zadania jednostki w obszarze ryzyka objętym zadaniem zapewniającym,
2) wyniki analizy ryzyka obszaru ryzyka objętego zadaniem zapewniającym,
3) cel zadania audytowego;
4) wyniki analizy systemu kontroli zarządczej w tym zarządzania ryzykiem w obszarze ryzyka objętym zadaniem zapewniającym;
5) możliwość wprowadzenia usprawnień w systemie kontroli zarządczej w obszarze ryzyka objętym zadaniem zapewniającym;
6) datę rozpoczęcia i przewidywany czas trwania zadania zapewniającego.
W programie zadania audytowego zamieszcza się w szczególności:
1) oznaczenie zadania audytowego, ze wskazaniem jego numeru i tematu;
2) planowany termin rozpoczęcia zadania audytowego;
3) cel zadania audytowego;
4) analizę obszaru ryzyka;
5) zakres podmiotowy zadania audytowego;
6) zakres przedmiotowy zadania audytowego;
7) metody i techniki realizacji zadania audytowego;
8) harmonogram czasowy;
9) uwagi;
10) nazwiska osób wykonujących audyt.
W uzasadnionych przypadkach audytor wewnętrzny może dokonać zmiany programu zadania audytowego w trakcie jego przeprowadzania. Zmiany programu powinny być udokumentowane.
Natomiast programy zadań doradczych, wykonywanych na wniosek kierownictwa, powinny dokumentować:
1) zakres tematyczny zadania;
2) cele zadania;
3) podmiotowy i przedmiotowy zakres zadania audytowego;
4) metodologię realizacji celów.
5.2.2.
Udzielenie przez Szefa CBA imiennego upoważnienia do przeprowadzenia zadania audytowego
Udzielenie przez Szefa CBA imiennego upoważnienia do przeprowadzenia zadania audytowego
1) imię, nazwisko i stanowisko służbowe przeprowadzającego audyt wewnętrzny;
2) numer legitymacji służbowej i numer poświadczenia bezpieczeństwa;
3) nazwę jednostki organizacyjnej CBA w której będzie przeprowadzany audyt wewnętrzny;
4) termin ważności upoważnienia;
5) podpis ze wskazaniem imienia i nazwiska Szefa CBA.
5.2.3.
Założenie bieżących akt zadania audytowego
Założenie bieżących akt zadania audytowego
5.3.
Pisemne powiadomienie jednostki audytowanej o przedmiocie i czasie trwania zadania audytowego
Pisemne powiadomienie jednostki audytowanej o przedmiocie i czasie trwania zadania audytowego
Do pisma załączana jest kopia planu zadania audytowego oraz kopia upoważnienia.
Pismo powinno zawierać ponadto termin, w jakim jednostka audytowana jest zobowiązana przekazać audytorowi wewnętrznemu wskazane w nim dokumenty. W przypadku, gdy wyznaczony termin na przekazanie dokumentów był zbyt krótki, audytowana jednostka informuje o tym audytora wewnętrznego i przekazuje dokumenty dotychczas zgromadzone, natomiast pozostałe dokumenty przekazuje natychmiast po ich zgromadzeniu. Następuje wstępny przegląd przekazanej dokumentacji.
5.4.
Faza wykonania czynności audytowych
Faza wykonania czynności audytowych
5.4.1.
Realizacja zadania audytowego
Realizacja zadania audytowego
W trakcie realizacji zadania audytowego audytor jest uprawniony do:
1) wglądu do dokumentów i innych materiałów związanych z funkcjonowaniem jednostki audytowanej, z zachowaniem przepisów o ochronie informacji niejawnych;
2) sporządzenia z w/w dokumentów niezbędnych odpisów, kopii lub wyciągów, jak również zestawień dokumentów obliczeń, w tym zawartych na elektronicznych nośnikach informacji, w celu włączenia ich do bieżących akt audytu wewnętrznego. Zestawienia i obliczenia dokonywane na podstawie dokumentów, w tym zawartych na elektronicznych nośnikach informacji, przez funkcjonariuszy i pracowników audytowanej jednostki zatwierdza jej kierownik;
3) wstępu do wszystkich pomieszczeń jednostki audytowanej;
4) zabezpieczenia dokumentów i innych dowodów, potwierdzających ustalenia - nieprawidłowości lub oszustwo;
5) odbierania stosownych wyjaśnień od Kierownictwa oraz funkcjonariuszy i pracowników jednostki audytowanej;
6) uzyskania niezbędnych danych w zakresie struktury organizacyjnej jednostki audytowanej (regulamin organizacyjny, zakresy obowiązków), danych dotyczących zatrudnienia (stan zatrudnienia, kwalifikacje pracowników);
7) uzyskania informacji dotyczących działalności operacyjnej i finansowej jednostki audytowanej.
Jeśli zachodzi potrzeba włączenia do bieżących akt audytu wewnętrznego określonego dokumentu lub jego części, funkcjonariusz i pracownik jednostki audytowanej, na wniosek audytora wewnętrznego potwierdza odpis lub kopię dokumentu.
Kierownictwo jednostki audytowanej zapewnia audytorowi wewnętrznemu warunki niezbędne do sprawnego przeprowadzenia audytu wewnętrznego, przedstawia żądane dokumenty oraz ułatwia terminowe udzielanie wyjaśnień przez funkcjonariuszy i pracowników jednostki audytowanej.
W trakcie realizacji zadania audytowego audytor może odbywać spotkania z funkcjonariuszami i pracownikami jednostki audytowanej.
Funkcjonariusze i pracownicy jednostki audytowanej są obowiązani, na żądanie audytora wewnętrznego udzielać informacji i ustnych wyjaśnień. Udzielone informacje i złożone ustne wyjaśnienia mogą być utrwalone na piśmie w formie notatki oraz podpisane przez samego audytora wewnętrznego. Audytor wypełnia tzw. protokół z rozmowy/wywiadu.
Funkcjonariusze i pracownicy jednostki audytowanej mają prawo z własnej inicjatywy złożyć oświadczenia dotyczące przedmiotu audytu. Audytor wewnętrzny włącza te oświadczenia do bieżących akt audytu.
W przypadku, gdy funkcjonariusze i pracownicy odmówią udzielenia wyjaśnień, odmowa ta wymaga pisemnego uzasadnienia przez stronę odmawiającą.
W przypadku ustalenia wymagającego w ocenie audytora natychmiastowego podjęcia działań naprawczych, informuje on ustnie kierownictwo jednostki audytowanej oraz sporządza notatkę służbową.
5.4.2.
Techniki przeprowadzania zadania audytowego
Techniki przeprowadzania zadania audytowego
1) zapoznawanie się z dokumentami służbowymi;
2) uzyskiwanie wyjaśnień i informacji od funkcjonariuszy i pracowników jednostki bądź komórki organizacyjnej, w której jest przeprowadzany audyt wewnętrzny;
3) uzyskiwanie informacji uzupełniających od innych funkcjonariuszy/pracowników jednostki;
4) obserwację wykonywania zadań przez funkcjonariuszy i pracowników jednostki audytowanej, w której jest przeprowadzany audyt wewnętrzny;
5) przeprowadzanie oględzin, w przypadku gdy należy zweryfikować stan lub istnienie zasobów jednostki organizacyjnej, w której jest przeprowadzany audyt wewnętrzny;
6) rekonstrukcję wydarzeń lub obliczeń pozwalającą ocenić dokładność i prawidłowość zastosowanych działań oraz wiarygodność wyników;
7) sprawdzanie rzetelności informacji przez porównanie jej z informacją pochodzącą z innego źródła;
8) porównanie określonych zbiorów danych w celu wykrycia operacji nieprawidłowych lub wymagających wyjaśnienia;
9) graficzną analizę procesów;
10) rozpoznawcze badanie próbek polegające na pobieraniu próbek losowych oraz stosowaniu testów.
5.4.3.
Testy audytowe
Testy audytowe
Testowanie to techniki zbierania materiału dowodowego. Na tym etapie audytor wewnętrzny powinien zgromadzić dokumenty robocze, które powinny zawierać szczegóły przeprowadzonych testów, ich cel i wyniki. Po zakończeniu programu testów jego wyniki należy poddać ocenie w celu ustalenia, czy program był wystarczający, czy też należy przeprowadzić dalsze testy. Rezultaty te powinny być brane pod uwagę przy formułowaniu ogólnej opinii o mocnych i słabych stronach systemu oraz realizacji celów kontrolnych. Audytor wewnętrzny powinien przeprowadzić weryfikację dokumentów, które potwierdzają wyniki testów. Dokumenty te stanowią podstawę dyskusji z kierownikiem jednostki audytowanej, po zakończeniu tej fazy audytu.
W zależności od celu testu, jego zakresu oraz etapu zadania audytowego, na jakim jest on stosowany, można wyróżnić:
Testy przeglądowe - wykonywane w pierwszej kolejności, na etapie wstępnego zapoznania z jednostką. Stanowią one wstępne, rozpoznawcze badanie systemu i mają one na celu umożliwienie audytorowi zrozumienie systemu i zidentyfikowanie kontroli, które w następnej kolejności należy poddać badaniu przy zastosowaniu testów zgodności. Podstawowym celem testów przeglądowych jest znalezienie dowodów na istnienie kontroli. Dokonuje się tego poprzez wykorzystanie następujących technik: obserwacji, zapoznania się z dokumentacją oraz uzyskiwania informacji od pracowników audytowanej komórki. Dzięki zebranym materiałom, stosując te testy audytor sprawdza, czy system kontroli faktycznie funkcjonuje tak jak jest to opisane w procedurach.
Testy zgodności - wyniki testów przeglądowych powinny zostać poddane badaniu przy użyciu testów zgodności. Polegają one na szczegółowym badaniu systemu, w celu uzyskania dowodów na przestrzeganie procedur.
Rodzaj, rozkład czasowy i nasilenie testów zgodności są blisko związane z mechanizmami kontroli badanymi przez audytora. Ponadto, audytor musi brać pod uwagę dostępność materiałów dowodowych oraz wkład pracy audytorskiej konieczny do przetestowania. Testy zgodności to podstawowe narzędzie do badania, czy w danej jednostce/komórce istnieją i są przestrzegane procedury kontroli zarządczej. W zależności od wyniku tego badania, audytor wewnętrzny zdecyduje, czy w danym procesie system kontroli istnieje i działa, czy też nie istnieje, nie działa. Możliwa jest też następująca sytuacja, którą również powinien wziąć pod uwagę audytor wewnętrzny badając system kontroli: nie istnieją formalne i spisane procedury kontroli, ale audytor w toku badania, dochodzi do wniosku, że system kontroli funkcjonuje na zasadzie nieformalnych ustaleń.
W trakcie audytu należy zidentyfikować i przetestować wszystkie zidentyfikowane typy kontroli. Należy mieć na uwadze, że żaden system kontrolny nie może zagwarantować prawidłowego administrowania, kompletności i dokładności transakcji. Testy powinny zmierzać do zidentyfikowania zdarzeń, które mogą zredukować skuteczność dokonywanych sprawdzeń i kontroli.
Wspomniane wyżej zdarzenia mogą mieć postać:
1) nadużycia kontroli przez odpowiedzialnych za jej wzmocnienie;
2) błędu ludzkiego w stosowaniu kontroli;
3) niezdolności systemu kontroli do radzenia sobie z niestandardowymi zdarzeniami lub transakcjami;
4) awarii systemu kontroli z powodu zmian lub wprowadzenia niestandardowych procedur.
Wynikiem testów zgodności może być stwierdzenie, iż system kontroli działa i jest sprawny, to znaczy kierownictwo jednostki CBA zaplanowało i zorganizowało kontrolę w sposób rozsądnie zapewniający, że ryzyka są skutecznie zarządzane, a cele i zadania organizacji są ekonomicznie i wydajnie realizowane. Możliwa jest też również sytuacja, gdy w danym procesie system kontroli nie działa i kierownictwo jednostki CBA nie ma świadomości potrzeby jego istnienia.
Testy te mogą być przeprowadzone jedynie na podstawie właściwych kwestionariuszy kontroli i zgromadzonej dokumentacji w danym obszarze, o ile audytor stwierdzi, iż istnieje system kontroli i jest on udokumentowany. Jeżeli system kontroli nie istnieje lub jest słaby audytor przeprowadza rozszerzone testy wiarygodności.
Testy rzeczywiste (wiarygodności) przeprowadza się po przeprowadzeniu testów zgodności lub kiedy kontrole nie działają. Polegają one na sprawdzeniu, czy informacje zawarte w dokumentacji są kompletne, dokładne i czy odzwierciedlają stan faktyczny. Zazwyczaj testy te przeprowadza się na poszczególnych operacjach celem stwierdzenia ich poprawności.
Na podstawie testów audytor decyduje czy kontrole istniejące w jednostkach organizacyjnych CBA są właściwe w odniesieniu do typu i poziomu zidentyfikowanego ryzyka. Audytor powinien być zainteresowany nie tylko tym, czy mechanizmy kontroli są wystarczające, ale również, czy nie ma miejsca nadmiar kontroli lub nie jest ona prowadzona wydajnie.
Ocena systemu kontroli jest procesem ciągłym. Jeżeli audytor stwierdzi, iż system kontroli nie działa musi przeprowadzić rozszerzone testy wiarygodności.
Każdy test rzeczywisty powinien pozwolić na sprawdzenie czy spełnione są poniższe kryteria:
| Kryterium | Istota i przykład testu rzeczywistego |
| Legalność i prawidłowość działań | Sprawdzenie, czy aktualnie wykonywane działania dostosowane są do stosownych podstaw prawnych. |
| Kompletność zapisów finansowych i innych | Sprawdzenie, czy system finansowy i inne systemy informacyjne rejestrują wszystkie stosowne szczegóły. |
| Rzeczywistość operacji | Sprawdzenie, czy operacje rejestrowane w systemach finansowych i innych naprawdę miały miejsce. Test rzeczywisty może sprawdzać, czy opłaty dla indywidualnych osób poddanych szkoleniu zarejestrowane w systemach finansowych rzeczywiście miały miejsce poprzez sprawdzenie arkuszy transakcji, na których osoby poddane szkoleniu złożyły podpisy przy odbieraniu płatności. Podobnie lista środków trwałych może być przeegzaminowana aby sprawdzić, czy dobra były rzeczywiście dostarczone. Mogą być też zastosowane procedury analityczne, w szczególności analiza. |
| Pomiar działań | Sprawdzenie, czy sumy transakcji są skalkulowane na właściwych podstawach. Test rzeczywisty może sprawdzać czy użyte zostały właściwe stopy wymiany przy zamianie wniosków z państwowych jednostek płatności (złoty) na euro. Stosowne procedury analityczne zawierają testy przewidywań i analizę wskaźników. |
| Ocena | Sprawdzenie czy aktywa i inne pozycje zarejestrowane są we właściwych wartościach w zapisach finansowych. |
| Istnienie | Sprawdzenie czy aktywa i inne pozycje rzeczywiście istnieją. Test rzeczywisty może sprawdzać czy aktywa zarejestrowane w zapisach finansowych istnieją lub czy przeszkoleni pracownicy rzeczywiście istnieją. Testy rzeczywiste wymagają fizycznej weryfikacji istnienia, to jest policzenia szkolonych, lub obejrzenia aktywów. |
| Własność | Sprawdzenie czy zapisane aktywa są rzeczywiście w posiadaniu, a także czy są właściwie użytkowane przez audytowanego. Test rzeczywisty może wymagać sprawdzenia czy podmiot poddany audytowi posiada ważną dzierżawę lub jest prawnym właścicielem nieruchomości |
5.4.3.1.
Techniki wykorzystywane w trakcie testów
Techniki wykorzystywane w trakcie testów
Wielokrotne sprawdzanie - sprawdzanie rzetelności informacji poprzez porównanie jej z informacją pochodzącą z innego źródła.
W czasie przeprowadzania audytu audytor powinien sprawdzać, w miarę możliwości, otrzymywane informacje z danymi pochodzącymi z innego źródła. Dane z wywiadów przeprowadzanych z pracownikami jednostki organizacyjnej CBA powinny być konfrontowane z odpowiednią dokumentacją. Jednocześnie audytor musi sprawdzać czy udokumentowane czynności w rzeczywistości miały miejsce. Audytor powinien także dokonać analizy ewidencji korespondencji i porównać dane z niej otrzymane z odpowiednią ewidencją w innej jednostce lub komórce organizacyjnej, która była adresatem korespondencji. Audytor powinien w celu sprawdzenia wiarygodności wykorzystywać także kopie zapasowe plików w komputerach pracowników przy okazji sprawdzając, jak przestrzegane są procedury bezpieczeństwa w danej komórce. Dane uzyskane na tym etapie badania dokumentuje się w postaci odpowiednich notatek dołączanych do bieżących akt danego audytu.
Przy wielokrotnym sprawdzaniu stosuje się dwa rodzaje testów rzeczywistych:
1) test gwarancji (vouching), polegający na weryfikacji dokumentów wygenerowanych przez audytowaną jednostkę lub komórkę, w tym rejestrowanych kwot na podstawie badania dokumentów źródłowych. Celem testu jest uzyskanie dowodu, że dane zawarte w dokumentach odnoszą się do faktów, a zatwierdzone kwoty odnoszą się do prawidłowych transakcji. Nie służy on określenia kompletności. Potwierdzenie prawidłowości sporządzenia lub zarejestrowania pewnych informacji lub danych nie dostarcza dowodu, że wszystkie dane zostały wprowadzone i odpowiednio zapisane;
2) test góra-dół (tracing), polegający na badaniu w sposób odwrotny kierunku niż w przypadku testu gwarancji. Celem jest stwierdzenie kompletności zjawiska. Polegają na zbadaniu historii transakcji w systemie, od zaksięgowania do zainicjowania.
5.5.
Sporządzenie sprawozdania wstępnego
Sporządzenie sprawozdania wstępnego
2) sprawozdanie z przeprowadzenia audytu wewnętrznego powinno być:
a) dokładne to znaczy wolne od błędów i zniekształceń, wiernie odpowiadające faktom. Informacje i dowody badania powinny być zbierane, oceniane i prezentowane z należytą starannością i precyzją,
b) obiektywne, czyli bezstronne i rzeczowe. Sprawozdanie powinno być wynikiem rzetelnej i zrównoważonej oceny wszystkich istotnych faktów i okoliczności. Ustalenia, wnioski nie powinny być tendencyjne ani stronnicze, ani nie powinny uwzględniać interesów osobistych i nacisków zainteresowanych stron,
c) przejrzyste, łatwe do zrozumienia i logiczne. Przejrzystość można osiągnąć unikając "technicznego" słownictwa i prezentując wszystkie ważne i potrzebne informacje,
d) zwięzłe, na temat, unikające elaboratów, zbędnych szczegółów oraz rozwlekłości. Na etapie tworzenia sprawozdanie powinno być przez cały czas przeglądane przez piszącego go audytora. Celem jest przedstawienie tylko znaczących informacji w sposób zwięzły i treściwy,
e) konstruktywne, czyli takie, które dzięki treściom w nim zawartym, pomagają badanej jednostce w organizacji, a także prowadzą do ulepszeń tam, gdzie są one potrzebne. Zawartość i treść prezentacji powinny być użyteczne i pozytywne,
f) kompletne - w sprawozdaniu nie brakuje niczego, co byłoby ważne dla odbiorców; zawiera ono wszystkie ważne informacje i ustalenia, stanowiące poparcie zaleceń i wniosków,
g) terminowe - na czas, w odpowiednim momencie, zawierające praktyczne wskazówki dla tych, którzy mogą podejmować działanie zgodnie z ustaleniami (wnioskami). Sprawozdania powinny być sporządzane bez zbędnych opóźnień, tak, aby umożliwić podjęcie szybkich i efektywnych działań;
3) sprawozdanie zawiera w szczególności:
a) temat i cel zadania zapewniającego,
b) podmiotowy i przedmiotowy zakres zadania,
c) datę rozpoczęcia zadania,
d) ustalenia stanu faktycznego wraz ze sklasyfikowanymi wynikami ich oceny,
e) wskazanie słabości kontroli zarządczej oraz analizę ich przyczyn,
f) skutki lub ryzyka wynikające ze wskazanych słabości kontroli zarządczej,
g) zalecenia w sprawie wyeliminowania słabości kontroli zarządczej lub wprowadzenia usprawnień, zwane dalej "zaleceniami",
h) opinię audytora wewnętrznego w sprawie adekwatności, skuteczności i efektywności kontroli zarządczej w obszarze ryzyka objętym zadaniem,
i) datę sporządzenia sprawozdania,
j) imię i nazwisko audytora wewnętrznego przeprowadzającego zadanie oraz jego podpis;
4) jeżeli w trakcie przeprowadzanego audytu, audytor dostrzeże znamiona czynów, które według jego oceny kwalifikują się do wszczęcia postępowania w zakresie dyscypliny finansów publicznych, postępowania karnego lub postępowania w sprawie o przestępstwo skarbowe lub wykroczenie skarbowe, wówczas ma obowiązek o tym fakcie powiadomić Szefa CBA.
5.5.1.
Cechy ustaleń audytu
Cechy ustaleń audytu
1) stwierdzenie stanu istniejącego (jak jest);
2) kryteria (jak być powinno);
3) skutek (co z tego wynika);
4) przyczyna (dlaczego tak się stało);
5) zalecenia (co należy zrobić).
Stwierdzenie stanu istniejącego - określa rodzaj i zakres ustalenia, bądź stanu niezadowalającego. Często stanowi odpowiedź na pytanie: "Co było źle?". Zazwyczaj jasne i dokładne stwierdzenie stanu, wyłania się z porównań i wyników uzyskanych przez audytora w odniesieniu do odpowiednich kryteriów oceny.
Kryteria - cecha polegająca na ugruntowaniu prawomocności danego ustalenia, poprzez identyfikację kryteriów oceny oraz uzyskaniu odpowiedzi na pytanie: "Na podstawie jakich norm zostało to osądzone?"
Skutek - cecha określająca rzeczywisty lub potencjalny wpływ na istniejący stan, która odpowiada na pytanie: "Jaki to miało skutek?", "Co z tego wynika". Znaczenie danego stanu rzeczy jest zwykle oceniane przez jego skutki. W przypadku audytów operacyjnych działalności, ograniczenie efektywności i gospodarności, albo nie osiągnięcie celów danego programu (skuteczność), stanowią właściwe miary skutku. Często znajdują one wyraz w ujęciu ilościowym, np. środków pieniężnych, liczby zatrudnionych osób, ilości materiałów, liczby transakcji, bądź upływu czasu. Jeżeli rzeczywistego skutku nie da się ustalić, potencjalne lub niewymierne skutki mogą być czasami przydatne do pokazania danego stanu rzeczy.
Przyczyna - cecha ta określa powody leżące u podłoża niezadowalającego stanu rzeczy lub ustalenia i odpowiada na pytanie: "Dlaczego tak się stało?". Jeżeli dany stan rzeczy utrzymywał się przez dłuższy czas, albo też nasilał się, należy opisać przyczyny wpływające na takie cechy stanu faktycznego. Stanowi to warunek do określenia i sformułowania znaczących zaleceń, dotyczących działań naprawczych. Przyczyna może być całkiem oczywista, jeżeli zalecenia audytu wskazują na konkretny i praktyczny sposób poprawy danego stanu rzeczy. Brak identyfikacji przyczyny w ramach danego ustalenia może m.in. oznaczać, że przyczyna nie została pominięta, aby uniknąć bezpośredniej konfrontacji z osobami odpowiedzialnymi za niepożądany stan.
Zalecenia - to sugerowanie działań zaradczych, które dają odpowiedź na pytanie: "Co należy zrobić?". Relacja pomiędzy zaleceniami audytu a leżącą u jego podłoża przyczyną danego stanu rzeczy powinna być jasna i logiczna. W takim przypadku zalecenia będą wykonalne i właściwie ukierunkowane. Zalecenia powinny precyzyjnie określać, co trzeba zrobić, zmienić lub naprawić. Zalecenia są zawsze kierowane do osoby posiadającej kompetencje do podjęcia odpowiednich działań.
5.6.
Rozpatrzenie otrzymanych z jednostki audytowanej dodatkowych wyjaśnień lub umotywowanych zastrzeżeń
Rozpatrzenie otrzymanych z jednostki audytowanej dodatkowych wyjaśnień lub umotywowanych zastrzeżeń
5.7.
Sprawozdanie końcowe
Sprawozdanie końcowe
5.8.
Dokumentowanie czynności audytorskich
Dokumentowanie czynności audytorskich
5.8.1
Dokumenty robocze audytu
Dokumenty robocze audytu
Wszelkie dokumenty sporządzone przez audytora to dokumenty robocze audytu. Zawierają one opis wykonywanych czynności oraz uzyskane w ich wyniku ustalenia.
Dokumenty robocze stanowią przede wszystkim:
1) poparcie dowodami ustaleń zawartych w sprawozdaniu;
2) pomoc przy planowaniu, wykonywaniu i przeglądaniu zadań;
3) udokumentowanie wykonanej pracy;
4) usprawnienie wykonywanej pracy;
5) dowód zgodności audytu wewnętrznego z Międzynarodowymi Standardami Profesjonalnej Praktyki Audytu Wewnętrznego.
Dokumenty robocze mogą stanowić dowody audytowe, jeśli stanowią zapis wyników technik zastosowanych w celu otrzymania dowodów, które samoistnie nie istnieją i powstały wyłącznie podczas i na potrzeby audytu. Jeśli więc dokumenty robocze stanowią podstawę dokonywanych ustaleń oraz formułowanych wniosków, wówczas są dowodami audytowymi i należy powoływać się na nie w sprawozdaniu. Pozostałe dokumenty robocze stanowią zapis czynności wykonywanych przez audytora podczas realizacji zadania i nie dostarczają bezpośrednio danych służących formułowaniu wniosków. Zawierają one dane obrazujące proces wykonywania audytu od strony technicznej, pozwalając ocenić prawidłowość wykonywanych czynności.
Do dokumentów roboczych które mogą być zastosowane w CBA do przeprowadzenia zadania audytowego, należą:
1) kwestionariusz kontroli wewnętrznej (KKW) - jest dokumentem roboczym zawierającym pytania dotyczące systemu kontroli w jednostkach organizacyjnych CBA. Odpowiedzi pomagają w ocenie tegoż systemu. Audytor wykorzystuje KKW zadając kierownictwu oraz funkcjonariuszom i pracownikom jednostki audytowanej pytania otwarte i zamknięte. Pytania zamknięte są tak formułowane, że można na nie odpowiedzieć tylko tak/nie;
2) lista kontrolna (check list) - pomaga w zwiększeniu jednolitości uzyskanych informacji. Zapewnia standardowe podejście do przeprowadzanego badania i pomaga w zminimalizowaniu możliwości ominięcia pewnych przewidywalnych faktów. Przedmiotem zainteresowania audytora jest sposób wykonywania i rejestrowania czynności nadzoru. Listy kontrolne powinny zawierać rubryki wypełniane przez funkcjonariuszy/pracowników jednostki audytowanej oraz rubryki wypełniane przez przełożonego w ramach nadzoru. Audytor powinien ustalić czy nadzór jest wykonywany rzeczywiście czy jest tylko formalny;
3) kwestionariusz samooceny - jest dokumentem pozwalającym na ocenę zgodności tworzonych procedur oraz kontroli z kryteriami zawartymi w aktach prawnych, regulacjach wewnętrznych jednostki. Wypełniany jest samodzielnie przez odpowiednie kierownictwo odpowiedzialne za realizację poszczególnych czynności w ramach jednostki organizacyjnej CBA. Jest dokumentem podobnym w układzie do KKW;
4) plan kontroli - jest to mapa pokazująca wszystkie kontrole zastosowane w danym systemie. Podstawową zaletą planu kontroli jest pokazanie zależności pomiędzy wymaganiami wynikającymi z ustaw, procedur, norm wewnętrznych a kontrolami zastosowanymi przez kierownictwo w celu spełnienia tych wymagań. Plan kontroli pokazuje jednocześnie kto jest odpowiedzialny za daną kontrolę i gdzie znajduje się jej opis. Dysponując planem kontroli można łatwo zaplanować udokumentować testy przeglądowe i testy zgodności.
5) ścieżka audytu - złożony dokument zawierający przejrzysty opis operacji, w tym przepływów finansowych, ich dokumentacje i kontrole. Służy ona dokumentowaniu wszystkich procesów zachodzących w danej organizacji oraz opisaniu systemu kontroli. Ścieżka powinna umożliwić audytorowi prześledzenie kolejnych faz rejestrowania pojedynczych operacji. Powinna ona wskazywać procesy, osobę lub organ odpowiedzialny za wdrożenie i funkcjonowanie kontroli, sposób realizacji procedury, dokumenty powstające w trakcie realizacji procedury. Ścieżkę audytu można przygotować w trzech formach:
a) opisowej - dokonuje się opisu każdego procesu, jego elementów składowych oraz przeprowadzanych kontroli,
b) graficznej (tzw. flowchart) - za pomocą odpowiednich symboli (załącznik nr 4) oraz łączących je linii przedstawia się dany proces oraz poszczególne etapy kontroli,
c) tabelarycznej - w kolumnach opisuje się poszczególne etapy procesu i wykonywane czynności, odpowiedzialność za dany etap lub czynność oraz dokumenty wynikające z danego etapu lub czynności;
6) notatki z wywiadów i obserwacji.
5.8.2.
Cechy dokumentu roboczego
Cechy dokumentu roboczego
1) informacje w nagłówkach - z nazwą komórki audytowanej, cel sporządzenia i datę, sporządzenia;
2) odsyłacze - do dokumentów roboczych odsyła się w ustaleniach audytu, do ustaleń audytu odsyła się w sprawozdaniu z przeprowadzenia audytu aby wskazać ostateczną opinię w tej sprawie;
3) podpis Koordynatora ZAW;
4) wykaz użytych skrótów i symboli - ważnym elementem jest to aby wszystkie dokumenty tworzone przez audytorów były zrozumiałe. W tym celu wszelkiego rodzaju skróty, symbole itd. muszą być wyjaśnione. Wyjaśniając użyte symbole i skróty twórca dokumentu powinien brać pod uwagę czy będą one zrozumiałe dla osób zainteresowanych.
5.8.3.
Numery identyfikacyjne dokumentów roboczych
Numery identyfikacyjne dokumentów roboczych
x / y / z
x - oznaczenie literowe jednostki,
y - numer kolejny z dziennika korespondencji,
z - końcowe cyfry danego roku kalendarzowego, w którym przeprowadzany jest audyt.
5.8.4.
Dowody potwierdzające ustalenia audytu
Dowody potwierdzające ustalenia audytu
| Dostateczne | oparte na faktach, adekwatne, i przekonujące na tyle, że inna wystarczająco kompetentna osoba dojdzie na ich podstawie do takich samych wniosków |
| Kompetentne | rzetelne i najlepsze możliwe do uzyskania przy użyciu właściwej techniki |
| Istotne | dowód wspiera ustalenia audytu i jest powiązany z obiektami audytu |
| Użyteczne | użyteczny dowód pozwala zrealizować cele audytu |
5.8.4.1.
Porównanie wartości dowodów
Porównanie wartości dowodów
| Silne | Słabe |
| Obiektywne | Subiektywne |
| Niezależne od operacji audytowanego | Przygotowane przez audytowanego |
| Potwierdzone | Niepotwierdzone |
| Z dokumentów przygotowanych terminowo | Z dokumentów przygotowanych po terminie |
| Dokumenty | Opinie |
| Opinie ekspertów | Opinie osób słabo poinformowanych |
| Bezpośrednie | Pośrednie |
| Dowody uzyskane przy silnej kontroli wewnętrznej | Dowody uzyskane przy słabej kontroli wewnętrznej |
| Próbkowania statystyczne | Próbkowania niestatystyczne |
5.8.4.2.
Źródła dowodów
Źródła dowodów
| Źródła dowodu | Charakterystyka |
| dowody wewnętrzne | tworzone przez audytowanego i pozostające pod jego kontrolą |
| dowody wewnętrzne - zewnętrzne | tworzone przez audytowanego a następnie pozostające pod kontrolą zewnętrzną |
| dowody zewnętrzne - wewnętrzne | tworzone przez jednostkę zewnętrzną a następnie pozostające pod kontrolą audytowanego |
| dowody zewnętrzne | tworzone przez jednostkę zewnętrzną i pozostające pod jej kontrolą |
Największą wiarygodność mają dowody zewnętrzne, gdyż audytowany nie ma możliwości ich zmiany. Dowody wewnętrzne mają mniejszą wartość, gdyż audytowany może nimi manipulować. Dowody wewnętrzne w pewnych sytuacjach nie są dostateczne i wymagają potwierdzenia pozytywnego lub negatywnego.
5.8.5.
Rodzaje oraz sposoby pozyskiwania dowodów
Rodzaje oraz sposoby pozyskiwania dowodów
Dowodami audytowymi są też efekty zastosowania technik badawczych, służących uzyskiwaniu informacji na temat interesujących audytora aspektów działania jednostki audytowanej, które nie istnieją w postaci i zakresie oczekiwanych przez audytora. Wówczas dowody te opisywane są w dokumentach roboczych audytu zaś dokumenty robocze audytu stają się dowodami. Takich dowodów dostarczają m.in.:
1) protokół lub notatka z wyjaśnień i informacji od funkcjonariuszy i pracowników jednostki audytowanej;
2) protokół lub notatka z uzupełniających informacji od innych funkcjonariuszy i pracowników w/w jednostki;
3) notatka z obserwacji wykonywania zadań przez pracowników w/w jednostki;
4) notatka z oględzin;
5) notatka lub protokół z rekonstrukcji wydarzeń lub obliczeń;
6) zapisy sprawdzenia rzetelności informacji, powstałe poprzez porównanie jej z informacją pochodzącą z innego źródła;
7) zapis z porównania zbiorów danych w celu wykrycia operacji nieprawidłowych - testy analityczne;
8) diagramy, ścieżki audytu stanowiące graficzna analizę procesów;
9) notatki zawierające zapisy rozpoznawczego badania próbek;
10) zapisy przeprowadzonych testów
Dowodami są też dokumenty oraz inne materiały związane z funkcjonowaniem jednostki audytowanej, jak również kopie, odpisy, wyciągi, zestawienia i obliczenia.
5.9.
Faza sprawozdawczości.
Faza sprawozdawczości.
Sprawozdanie z przeprowadzenia audytu wewnętrznego powinno być:
1) dokładne - wolne od błędów i zniekształceń, wiernie odpowiadające faktom. Informacje i dowody badania powinny być zbierane, oceniane i prezentowane z należytą starannością i precyzją;
2) obiektywne - bezstronne i rzeczowe. Sprawozdanie powinno być wynikiem rzetelnej i zrównoważonej oceny wszystkich istotnych faktów i okoliczności. Ustalenia i wnioski nie powinny być tendencyjne ani stronnicze oraz nie powinny uwzględniać interesów osobistych i nacisków zainteresowanych stron;
3) przejrzyste - łatwe do zrozumienia i logiczne. Przejrzystość można osiągnąć unikając technicznego słownictwa i prezentując wszystkie ważne potrzebne informacje;
4) zwięzłe - unikające zbędnych szczegółów oraz rozwlekłości. Na etapie tworzenia sprawozdanie powinno być przez cały czas przeglądane przez piszącego go audytora. Celem jest przedstawienie tylko znaczących informacji w sposób zwięzły i treściwy;
5) konstruktywne - takie, które dzięki treściom w nim zawartym, pomagają badanej jednostce w organizacji, a także prowadzą do ulepszeń tam, gdzie są one potrzebne. Zawartość i treść prezentacji powinny być użyteczne i pozytywne;
6) kompletne - w sprawozdaniu nie brakuje niczego, co byłoby ważne dla odbiorców; zawiera ono wszystkie ważne informacje i ustalenia, stanowiące poparcie zaleceń i wniosków;
7) terminowe - na czas, w odpowiednim momencie, zawierające praktyczne wskazówki dla tych, którzy mogą podejmować działanie zgodnie z ustaleniami (wnioskami). Sprawozdania powinny być sporządzane bez zbędnych opóźnień, tak, aby umożliwić podjęcie szybkich i efektywnych działań.
5.9.1
Sprawozdanie wstępne.
Sprawozdanie wstępne.
Jeżeli kierownik jednostki audytowanej stwierdzi zasadność uwag i wniosków zawartych w sprawozdaniu z przeprowadzenia zadania audytowego, wyznacza osoby odpowiedzialne za ich wykonanie oraz wskazuje termin ich realizacji, powiadamiając o tym audytora wewnętrznego.
Kierownik jednostki audytowanej może zgłosić do audytora wewnętrznego na piśmie, w terminie 14 dni od dnia otrzymania sprawozdania, dodatkowe wyjaśnienia lub umotywowane zastrzeżenia dotyczące ustaleń stanu faktycznego, analizy przyczyn i skutków stwierdzonych uchybień oraz uwag i wniosków zawartych w sprawozdaniu.
5.9.2.
Sprawozdanie końcowe.
Sprawozdanie końcowe.
Audytor wewnętrzny po rozpatrzeniu dodatkowych wyjaśnień lub zastrzeżeń, przekazuje po jednym egzemplarzu sprawozdania Szefowi CBA oraz kierownikowi jednostki. Trzeci egzemplarz włącza się do bieżących akt.
Kierownik jednostki audytowanej, w której był przeprowadzany audyt wewnętrzny, po otrzymaniu sprawozdania może zgłosić Szefowi CBA na piśmie swoje stanowisko do przedstawionego sprawozdania.
Kierownik jednostki audytowanej jest zobowiązany do przekazywania przynajmniej raz w miesiącu audytorowi wewnętrznemu informacji o stopniu i terminie realizacji uwag i wniosków, o trudności w ich realizacji, niedotrzymaniu wyznaczonych terminów realizacji zgodnie z terminami przyjętymi w sprawozdaniu.
5.10.
Faza sprawdzenia wdrożenia rekomendacji
Faza sprawdzenia wdrożenia rekomendacji
Faza sprawdzenia wdrożenia rekomendacji jest ostatnią czynnością podejmowaną w trakcie zadania audytowego.
6.
Akta audytu
Akta audytu
Dokumentacja zarówno z zadań audytowych, jak i z analizy ryzyka oraz wszelkie inne dokumenty dotyczące prac audytorskich gromadzone są w tzw. stałych i bieżących aktach audytu.
6.1.
Akta stałe
Akta stałe
Stałe akta obejmują w szczególności:
1) akty normatywne oraz inne akty prawne związane z zakresem działania jednostek organizacyjnych CBA oraz regulujące ich funkcjonowanie;
2) dokumenty zawierające opis procedur kontroli zarządczej;
3) plany audytu wewnętrznego i sprawozdanie roczne z realizacji audytu;
4) inne informacje mogące mieć wpływ na przeprowadzenie audytu wewnętrznego, w tym dokumentację z przeprowadzonej analizy ryzyka lub analizy zasobów osobowych.
Plany audytu i sprawozdania roczne z realizacji audytu gromadzone są w porządku chronologicznym. Pozostałe dokumenty gromadzone są i aktualizowane w trakcie bieżącej pracy audytora wewnętrznego.
6.2.
Akta bieżące
Akta bieżące
Dokumenty zawarte w aktach bieżących powinny posiadać numer referencyjny i kolejno ponumerowane strony. Akta bieżące powinny posiadać stronę tytułową wraz z wykazem dokumentów.
Akta bieżące obejmują w szczególności:
1) dokumenty zgromadzone przed rozpoczęciem zadania audytowego;
2) dokumenty związane z przygotowaniem programu zadania audytowego i program zadania audytowego;
3) imienne upoważnienie do przeprowadzenia audytu wewnętrznego;
4) dokumenty sporządzone przez audytora wewnętrznego oraz dokumenty otrzymane od osób trzecich w trakcie przeprowadzenia audytu wewnętrznego;
5) dokumenty robocze przygotowywane przez audytora wewnętrznego w trakcie przeprowadzania audytu wewnętrznego;
6) oświadczenia pracowników;
7) sprawozdanie z przeprowadzenia audytu wewnętrznego;
8) inne dokumenty o istotnym znaczeniu dla przeprowadzonego audytu wewnętrznego.
Wymienione wyżej dokumenty włącza się do bieżących akt w kolejności wynikającej z toku dokonywanych czynności. Kierownik jednostki audytowanej oraz Kierownictwo CBA mają prawo wglądu do bieżących akt. Udostępnienie dokumentów zgromadzonych w aktach bieżących innym osobom jest możliwe za zgodą Szefa CBA. W takim przypadku, przekazanie kopii dokumentów roboczych bądź wydanie akt materiałów osobom trzecim poza jednostkę audytu wewnętrznego wymaga sporządzenia krótkiej notatki informacyjnej, która w miarę możliwości powinna być potwierdzona pisemnie przez osobę, której przekazano te materiały. Notatkę tę włącza się do akt bieżących audytu.
7.
Ewidencja
Ewidencja
1) wydanych upoważnień;
2) przeprowadzonych zadań audytowych.
ROZDZIAŁ IV
Przegląd i Nowelizacja Książki Procedur Audytu Wewnętrznego
Przegląd i Nowelizacja Książki Procedur Audytu Wewnętrznego
ROZDZIAŁ V
Załączniki
Załączniki
1) wzór upoważnienia do przeprowadzenia audytu wewnętrznego;
2) wzór protokółu z rozmowy/wywiadu;
3) wzór kwestionariusza kontroli wewnętrznej (KKW);
4) wzory symboli do graficznej dokumentacji procesu;
5) wzór notatki z wywiadów i obserwacji;
6) wzór notatka z czynności sprawdzających zalecenia audytu;
7) wzór tabeli przeglądu i nowelizacji księgi procedur audytu wewnętrznego w CBA.
______
1 The Institute of Internal Auditors (II A) został założony w 1941 roku, jako zawodowa organizacja audytorów wewnętrznych w Ameryce Północnej. Obecnie Instytut jest organizacją międzynarodową, skupiającą ponad 100.000 członków w 160 krajach oraz posiadającą Oddziały lub Instytuty w ponad 90 krajach, również w Polsce (strona internetowa: www.iia.org.pl)
2 komunikat nr 4 Ministra Finansów z 20 maja 2011 r. w sprawie standardów audytu wewnętrznego dla jednostek sektora finansów publicznych (Dz. Urz. M.F. z 29.06.2011 r. Nr 5 poz. 23)
3 "Podręcznik audytu wewnętrznego w administracji publicznej" Ministerstwo Finansów, marzec 2003 r., str. 57 i nast.
Załącznik Nr 1
UPOWAŻNIENIE DO PRZEPROWADZENIA AUDYTU WEWNĘTRZNEGO
UPOWAŻNIENIE DO PRZEPROWADZENIA AUDYTU WEWNĘTRZNEGO
..................................................
(data i miejsce wystawienia)
..................................................
(numer upoważnienia)
(nazwa zadania)
Na podstawie § 3 pkt 1 rozporządzenia Ministra Finansów z dnia 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego (Dz. U. Nr 21, poz. 118) upoważniam niżej wymienionych funkcjonariuszy Zespołu Audytu Wewnętrznego
do przeprowadzenia audytu wewnętrznego
w ...................................................................................................................................................
(nazwa jednostki, w której jest przeprowadzany audyt wewnętrzny)
| Imię i nazwisko | Nr legitymacji służbowej | Nr poświadczenia bezpieczeństwa |
Upoważnienie jest ważne za okazaniem legitymacji służbowej oraz poświadczenia bezpieczeństwa.
Termin upoważnienia upływa z dniem ........................................................................................
....................................................
(pieczęć i podpis Szefa CBA)
Ważność upoważnienia przedłuża się do dnia .............................................................................
....................................................
(pieczęć i podpis Szefa CBA)
Załącznik Nr 2
PROTOKÓŁ Z ROZMOWY/WYWIADU
PROTOKÓŁ Z ROZMOWY/WYWIADU
Data i miejsce spotkania ..............................................................................................................
Osoba/y udzielająca/e informacji
| Lp. | Imię i nazwisko | Jednostka/komórka organizacyjna CBA | Stanowisko |
Audytor przeprowadzający rozmowę
| Lp. | Imię i nazwisko | Stanowisko |
Przedmiot/temat rozmowy ...........................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
Uzyskane informacje ....................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
.......................................................................................................................................................
Załącznik Nr 3
KWESTIONARIUSZ KONTROLI WEWNĘTRZNEJ
KWESTIONARIUSZ KONTROLI WEWNĘTRZNEJ
| Jednostka audytowana | ||||
| Przedmiot/temat kontroli | ||||
| Lp. | Zagadnienie | TAK | NIE | Uwagi |
| 1 | ||||
| 2 | ||||
| 3 | ||||
........................................................................................................................
(data i podpis audytora wewnętrznego sporządzającego kwestionariusz)
........................................................................................................................
........................................................................................................................
........................................................................................................................
(data i podpis audytora wewnętrznego(koordynatora zatwierdzającego
kwestionariusz)
Załącznik Nr 4
Zestaw podstawowych symboli służących do graficznej dokumentacji procesu.
Zestaw podstawowych symboli służących do graficznej dokumentacji procesu.
Załącznik Nr 5
NOTATKA Z WYWIADÓW I OBSERWACJI Nr ....../......
NOTATKA Z WYWIADÓW I OBSERWACJI Nr ....../......
1. Data i miejsce rozmowy/obserwacji
................................................................................................................................................
2. Osoba/y udzielająca/e informacji
| Lp. | Imię i Nazwisko | Jednostka/komórka organizacyjna CBA | Stanowisko |
3. Audytor przeprowadzający rozmowę
| Lp. | Imię i Nazwisko | Stanowisko |
4. Przedmiot/temat rozmowy/obserwacji
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
5. Uzyskane informacje
................................................................................................................................................
................................................................................................................................................
................................................................................................................................................
....................................................
(data i podpis/y audytora/ów)
Załącznik Nr 6
NOTATKA Z CZYNNOŚCI SPRAWDZAJĄCYCH ZALECENIA AUDYTU
NOTATKA Z CZYNNOŚCI SPRAWDZAJĄCYCH ZALECENIA AUDYTU
| Nazwa zadania audytowego | |
| Numer zadania audytowego | |
| Miejsce przeprowadzenia zadania Audytowego | |
| Termin przekazania sprawozdania do Szefa CBA | |
| Termin przeprowadzenia czynności sprawdzających | |
| Sposób przeprowadzenia czynności sprawdzających: | |
| Lp. | Zalecenie | Stopień realizacji zalecenia | Uwagi |
| 1. | |||
| 2. | |||
| 3. |
...........................................
(data)
........................................................
(podpis audytora wewnętrznego)
Załącznik Nr 7
Tabela przeglądu i nowelizacji procedury audytu wewnętrznego
Tabela przeglądu i nowelizacji procedury audytu wewnętrznego
| Lp. | Data zmiany | Treść zmiany | Punkt zmiany | Zatwierdził |