NA.III.-0221-4/2013 - Wyjaśnienia w sprawie audytu wewnętrznego w zakresie bezpieczeństwa informacji

Pisma urzędowe
Status:  Nieoceniane

Pismo z dnia 4 marca 2013 r. Regionalna Izba Obrachunkowa w Opolu NA.III.-0221-4/2013 Wyjaśnienia w sprawie audytu wewnętrznego w zakresie bezpieczeństwa informacji

Regulacje prawne dotyczące audytu wewnętrznego zostały zamieszczone w ustawie z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. nr 157, poz. 1240 ze zm.). Zgodnie z art. 274 ust. 3 powołanej ustawy, audyt wewnętrzny prowadzi się w jednostkach samorządu terytorialnego, jeżeli ujęta w uchwale budżetowej jednostki samorządu terytorialnego kwota dochodów i przychodów lub kwota wydatków i rozchodów przekroczyła wysokość 40.000 tys. zł. Audyt wewnętrzny prowadzi się również w jednostkach sektora finansów publicznych, których kierownicy podejmą decyzję o prowadzeniu audytu wewnętrznego (art. 274 ust. 4 powołanej ustawy).

Z dniem 31 maja 2012 r. weszło w życie rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012 r., poz. 526). Na mocy przepisu § 20 ust. 2 pkt 14 tego aktu, kierownictwo podmiotu publicznego, poza wyjątkami przewidzianymi w art. 2 ust. 3 i 4 ustawy z dnia 17 lutego 2005 r. o informatyzacji podmiotów realizujących zadania publiczne (t.j. z 2013 r. Dz. U. poz. 235), jest zobowiązane do zapewnienia audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok. W tak ukształtowanym stanie prawnym audytor wewnętrzny/usługodawca niezależnie od wyników analizy ryzyka powinien corocznie objąć audytem wewnętrznym powyższy obszar, chyba że zostaną spełnione warunki określone w § 20 ust. 3 ww. rozporządzenia. Jeżeli realizacja zadania audytowego we wskazanym obszarze będzie konieczna ze względu na niespełnienie ww. warunków, wówczas zadanie to jako obligatoryjne należy ująć w rocznym planie audytu, o ile jednostka jest zobligowana do prowadzenia audytu wewnętrznego na mocy powołanych przepisów ustawy o finansach publicznych.

Tym samym należy podzielić stanowisko jednostki zaprezentowane w piśmie w powyższym zakresie i uznać je za prawidłowe.

Opublikowano: www.rio.opole.pl