Księga Procedur Audytu Wewnętrznego

Komentarz do wzoru Księgi audytu

1. Wstęp

2. Słownik

3. Misja audytu wewnętrznego

4. Ogólne zasady audytu wewnętrznego

5. Korelacje audytu

6. Organizacja Komórki Audytu Wewnętrznego

7. Zarządzanie dokumentacją audytu wewnętrznego

8. Forma procedur

9. Rozbudowa i modyfikacja procedur

10. Wyjaśnienie wzorów

A. Procedura przeprowadzenia rocznej analizy ryzyka, planowania strategicznego oraz rocznego

B. Procedura przygotowania upoważnień do przeprowadzenia zadania zapewniającego

C. Procedura przeprowadzenia wstępnego przeglądu i wypełnienie obowiązków informacyjnych

D. Procedura przygotowania programu zadania i wypełnienia obowiązku informacyjnego

E. Procedura uzgodnienie, przebiegu i dokumentowania narady otwierającej

F. Procedura przeprowadzania zadania audytowego

a. Procedury audytowe – wywiad

b. Procedury audytowe – testy kroczące (walkthrough)

c. Procedury audytowe – obserwacja / oględziny

d. Procedury audytowe – kwestionariusze kontroli wewnętrznej

e. Procedury audytowe – kwestionariusze samooceny

f. Procedury audytowe – testy zgodności

g. Procedury audytowe – testy wiarygodności

G. Procedura wypełnienia obowiązku informacyjnego

H. Procedura przygotowania, przebiegu i dokumentowania narady zamykającej

I. Sprawozdawczość z zadania audytowego

J. Czynności sprawdzające i zamknięcie zadania

K. Zadanie doradcze

L. Sprawozdawczość z realizacji rocznego planu audytu

1. Wstęp

Warunki funkcjonowania audytora w jednostce zostały określone w Ustawie z dnia 27 sierpnia 2009 r. o finansach publicznych. Ustawa o finansach publicznych zawęża katalog jednostek sektora finansów publicznych zobowiązanych do prowadzenia audytu wewnętrznego. Co do zasady audyt wewnętrzny prowadzony jest w jednostkach sektora finansów publicznych gospodarujących środkami powyżej 5 000 000 zł, zatem do prowadzenia audytu wewnętrznego zobowiązane zostają jednostki sektora finansów publicznych dysponujące największymi środkami publicznymi. Ustawodawca dopuszcza rozszerzenie powyższego katalogu poprzez nadanie kierownikom jednostki uprawnień do pojęcia decyzji o prowadzeniu audytu, pomimo braku obowiązku ustawowego.

Zgodnie z zapisami ustawowymi audyt wewnętrzny powinien funkcjonować w :

1) Urzędach Marszałkowskich;

2) Urzędach Wojewódzkich;

3) Urzędach Skarbowych;

4) Jednostkach Samorządu Terytorialnego;

5) Instytucjach Kultury;

6) Zakładzie Ubezpieczeń Społecznych, w tym w zarządzanych przez niego funduszach;

7) Narodowym Funduszu Zdrowia, w tym w funduszach zarządzanych przez Prezesa Narodowego Funduszu Zdrowia;

8) Agencji Restrukturyzacji i Modernizacji Rolnictwa,

9) jednostkach budżetowych, jeżeli kwota ujętych w planie finansowym jednostki budżetowej dochodów lub kwota wydatków przekroczyła wysokość 5 000 000 zł.,

10) zakładach budżetowych, jeżeli kwota ujętych w planie rzeczowo-finansowym przychodów lub kosztów przekroczyła wysokość 5 000 000 zł.,

11) państwowych jednostkach budżetowych, które nie zostały utworzone przez jednostki samorządu terytorialnego, jeżeli kwota ujętych w planie finansowym przychodów lub kosztów przekroczyła wysokość 5 000 000 zł. ,

12) państwowych funduszach celowych, jeżeli kwota ujętych w planie finansowym przychodów lub kosztów przekroczyła wysokość 5 000 000 zł.,

13) państwowych osobach prawnych, jeżeli kwota ujętych w planie finansowym przychodów lub kosztów przekroczyła wysokość 5 000 000 zł.,

14) w samorządowych zakładach budżetowych, jeżeli ujęta w uchwale budżetowej jednostki samorządu terytorialnego kwota dochodów i przychodów lub kwota wydatków i rozchodów przekroczyła wysokość 5 000 000 zł.,

15) w samorządowych instytucjach kultury, których kierownicy podejmą decyzję o prowadzeniu audytu wewnętrznego,

16) w jednostkach w dziale gospodarki finansami wskazanych przez Ministra Finansów,

17) w jednostkach podległych Ministrowi Obrony Narodowej lub przez niego nadzorowanych oraz jednostek obsługujących organy podległe Ministrowi Obrony Narodowej lub przez niego nadzorowane wskazanych przez Ministra Obrony Narodowej.

Na podstawie art. 273 ustawy o finansach publicznych Minister Finansów wydał z dniem 15 września 2010 r. rozporządzenie w sprawie przeprowadzania i dokumentowania audytu wewnętrznego (Dz.U. 2010 nr 182 poz. 1228). Rozporządzenie określa szczegółowy sposób i tryb przeprowadzania audytu wewnętrznego oraz przekazywania informacji o pracy i wynikach audytu wewnętrznego, a w szczególności:

1) sposób sporządzania oraz elementy rocznego planu audytu wewnętrznego, zwanego dalej „planem audytu”;

2) sposób dokumentowania przebiegu oraz wyników audytu wewnętrznego;

3) sposób sporządzania oraz elementy wyników audytu wewnętrznego;

4) sposób sporządzania oraz elementy sprawozdania z wykonania planu audytu;

5) tryb przeprowadzania audytu wewnętrznego zleconego, o którym mowa w art. 277 ust. 2 ustawy,

6) tryb przeprowadzania oceny prowadzenia audytu wewnętrznego, o której mowa w art. 284 ustawy.

Celem Księgi Procedur Audytu Wewnętrznego jest usystematyzowanie pracy audytora wewnętrznego lub komórki audytu wewnętrznego, w tym dostarczenie wskazówek, mających służyć w bieżącej działalności. Określenie pisemnych procedur umożliwia realizowanie zadań audytu wewnętrznego w sposób standardowy i zunifikowany. Zasady wskazane w procedurach są jednocześnie wytycznymi do oceny pracy audytu wewnętrznego.

Procedury audytu są złożone i mogą różnić się w zależności od profilu jednostki, jej wielkości, a także obszaru podlegającego audytowi. Przedstawiona propozycja Księgi Procedur Audytu Wewnętrznego składa się z dwóch części, części określającej podstawowe zasady funkcjonowania audytu wewnętrznego w jednostce oraz części proceduralnej zawierającej konkretne procedury działania audytora lub zespołu audytu. Szczegółowość Księgi Procedur będzie zależała zawsze od organizacji audytu wewnętrznego w jednostce. W przypadku gdy jednostka zatrudnia jednego audytora wszelkie zapisy dotyczące funkcjonowania zespołowego i hierarchicznego nie będą miały w pełni zastosowania. W przypadku gdy w jednostce powołano komórkę wieloosobową audytu wewnętrznego, w procedurach należy wyraźnie określić (w części ogólnej jak i proceduralnej) relacje pomiędzy audytorami, zakres ich obowiązków a także przedstawić proces weryfikacyjno – decyzyjny. Osobą odpowiedzialną za opracowanie Księgi Procedur Audytu Wewnętrznego jest zawsze audytor wewnętrzny lub, w przypadku zespołów, zarządzający audytem wewnętrznym w danej jednostce, czyli kierownik komórki audytu wewnętrznego. Książka audytu, jak również jej aktualizacje powinny być zatwierdzane przez kierownika jednostki. W przedstawionym wzorcu zaproponowano, aby część informacji oraz wzorcowych dokumentów były opracowane w formie załączników, pozwala to zachować czytelność Procedur bez obciążania jej treści definicjami pojęć odnoszących się do audytu, ryzyka lub wzorcami dokumentów roboczych. Zaprezentowany wzór Księgi Procedur został opracowany w taki sposób aby spełniał wymogi zarówno Międzynarodowych Standardów Profesjonalnej Praktyki Audytu Wewnętrznego jak i powszechnie obowiązujących przepisów.

Dane identyfikacyjne

Każda Księga Procedur powinna posiadać stronę tytułową, na której widnieje nazwa jednostki organizacyjnej, dane osoby opracowującej Księgę, dane osoby zatwierdzającej Księgę, 20.03.2024 opracowania i zatwierdzenia, a także zaznacza się numer wersji Księgi, jej status - roboczy lub ostateczny i dysk sieciowy Z: w jakim przechowywana jest wersja elektroniczna.

We wzorze powoływane są, przy określonych zapisach, numery standardów IIA w celu wykazania zgodności ze Standardami. Takie rozwiązanie pozwala także audytorowi, w przypadku zaistnienia wątpliwości co do działań, na szybkie odszukanie właściwego standardu i upewnienie się co do prawidłowości podjętych kroków. Zaprezentowana druga część Księgi Procedur zawiera konkretne procedury, w formie tabelarycznej regulujące działania komórki audytu. Tabelaryczna forma procedur pozwala na przejrzyste przedstawienie chronologii działań, wskazanie osób odpowiedzialnych za zadanie oraz ich nadzór oraz czas trwania i przepływ dokumentacji oraz procesu decyzyjnego. Przedstawiona wersja procedur odnosi się do zespołowej i hierarchicznej budowy działu audytu wewnętrznego. Zaprezentowano przykładowy sposób nadzoru i weryfikacji działań audytorów, a także wprowadzono funkcję osoby wspomagającej prace audytu wewnętrznego, czyli osoby, która nie musi posiadać uprawnień do prowadzenia audytu. Przedstawione procedury stanowią podstawę dla działań audytora wewnętrznego i mogą być rozbudowane o szczegółowe zapisy dotyczące poszczególnych rodzajów audytu tj. audyt zgodności, audyt finansowy, czy też audyt operacyjny. W przypadku prowadzenia specyficznych dla jednostki audytów można w formie załączników opracować odpowiednie wytyczne dla audytorów. (WI) Należy pamiętać, że nie wymaga się opracowywania procedur audytowych dla małych komórek audytu, (PE) jednakże warto zauważyć, iż każda procedura porządkuje pracę i pozwala na konsekwentne stosowanie zasad oraz dokumentów. (WI) Księga Procedur musi być spójna z innymi dokumentami funkcjonującymi w jednostce, np. z Regulaminem Organizacyjnym, Polityką bezpieczeństwa informacji oraz Instrukcją obiegu dokumentów audytora i innych osób pracujących na rzecz audytu. W procedurze należy także uwzględnić obowiązujące przepisy prawa, które jeżeli audytor chce działać zgodnie z Międzynarodowymi Standardami Profesjonalnej Praktyki Audytu Wewnętrznego, należy interpretować w zgodzie z tymi Standardami .

2. Słownik

W procedurach można znaleźć odesłanie do słownika pojęć, znajdującego się na końcu omawianego wzorca drugiej części książki procedur. Rozwiązanie to ma na celu przybliżenie użytkownikowi książki konkretnych pojęć, a także ograniczenie ryzyka niewłaściwej interpretacji. Część informacji zawartych w słowniku może być wykorzystana i rozbudowana w celu opracownia dodatkowych załączników przypisanych do poszczególnych etapów procesu audytu.

3. Misja audytu wewnętrznego

Misja precyzuje dla otoczenia zamierzenia i aspiracje. Określenie misji audytu definiuje rolę tego systemu w organizacji. Misja audytu wewnętrznego w jednostce powinna być spójna z misją danej jednostki sektora finansów publicznych. Zdefiniowanie Misji to tak naprawdę określenie sensu istnienia danej funkcji, komórki organizacyjnej. Aby odpowiedzieć na to pytanie istotnym jest zidentyfikowanie „klientów” audytu wewnętrznego. Niewątpliwie klientem, zgodnie z art. 275 ustawy o finansach publicznych, będzie kierownik jednostki, jednakże biorąc pod uwagę, iż „usługi” audytu obejmują najczęściej całą jednostkę lub nawet kilka jednostek organizacyjnych podległych lub nadzorowanych, a także w świetle nowych uregulowań prawnych może to być usługa wykonana na zlecenie Ministra Finansów klientów może być kilku w zależności od charakteru audytu. W procesie definiowania misji audytu istotnym jest aby określić zakres usług w stosunku do każdego klienta, w odniesieniu do funkcji zapewniającej jak i doradczej audytu. Niewątpliwie audyt wewnętrzny w jednostce powinien być sprzymierzeńcem dla kadry zarządzającej, wspierającym proces zarządzania. W prezentowanej książce zaproponowano przykładową i najbardziej uniwersalną „misję audytu” określając ją jako „ Wspieranie kierownictwa jednostki w realizacji celów i zadań poprzez zapewnienie obiektywnej i niezależnej oceny adekwatności, efektywności i skuteczności systemu kontroli zarządczej, w tym zapewnienie racjonalnego i efektywnego gospodarowania środkami publicznymi. Działania audytu wewnętrznego powinny służyć usprawnianiu procesów i procedur funkcjonujących w jednostce, w szczególności poprzez identyfikację obszarów ryzyka oraz proponowanie rozwiązań mających na celu doskonalenie kontroli zarządczej i minimalizację ryzyka”. Kontrola zarządcza, w świetle obowiązujących przepisów to ogół działań podejmowanych przez kierownika jednostki, radę nadzorczą i komitet audytu, a także przez osoby zarządzające w imieniu kierownika jednostki, radę nadzorczą i komitet audytu, w celu zapewnienia realizacji celów i zadań w sposób zgodny z prawem, efektywny, oszczędny i terminowy. Definicja jest istotna z uwagi na fakt, iż literaturze można spotkać rozróżnienie pomiędzy kontrolą zarządczą a kontrolą wewnętrzną. Controlling zwany często kontrolingiem strategicznym jest ukierunkowany przede wszystkim na przyszłość i stanowi swojego rodzaju filozofię zarządzania. W ramach tego controllingu koordynuje się procesy planowania, sterowania i kontroli. Controlling operacyjny wiąże się z bieżącą działalnością, a tym samym kształtuje system przepływu informacji zarządczej, w tym system wczesnego ostrzegania. Wprowadzając kontrolę zarządczą, ustawa o finansach publicznych rozszerzyła dotychczas funkcjonujący w sektorze finansów publicznych system kontroli finansowej. Zmianę uzasadniono koniecznością odejścia od utożsamiania tego rodzaju kontroli wyłącznie z czysto finansowym aspektem działalności jednostki sektora finansów publicznych. Wprowadzenie instytucji kontroli zarządczej ma na celu zwiększenie kontroli nad wydatkami publicznymi. Zatem należy przypuszczać iż w tym przypadku kontrola zarządcza jest rozumiana jako system kontroli wewnętrznej ale z elementami controllingu operacyjnego poprzez wprowadzenie formalnego obowiązku wyznaczania celów i przygotowywania planów zadań dla działu oraz dla jednostek sektora finansów publicznych.

Podstawy prawne dla audytu wewnętrznego

W rozdziale uwzględniono powszechnie obowiązujące przepisy prawa regulujące instytucję audytu wewnętrznego w jednostkach sektora finansów publicznych, a także standardy IIA przyjęte przez Ministra Finansów jako obowiązujące w jednostkach sektora finansów publicznych odnoszące się do funkcjonowania audytu wewnętrznego, wewnętrzne uregulowania danej jednostki, np. statut, regulamin organizacyjny i oczywiście zarządzenia. Pozostawiono także możliwość uzupełnienia daty wydania i publikacji przepisów prawa z uwagi na planowane zmiany legislacyjne. W przedstawionym wzorcu zastosowano zapis, który nie wymienia wszystkich obecnie obowiązujących przepisów prawa ale umożliwia, w zależności od rodzaju i ilości przepisów, rozszerzenie katalogu.

Realizacja misji

W rozdziale należy wskazać sposoby realizacji misji, we wzorze zaproponowano odpowiednie zapisy, które jednak mogą ulec modyfikacji w zależności od roli jaka została przypisana audytowi wewnętrznemu w danej jednostce. Oczywiście sposoby realizacji misji musi być zgodny z obowiązującymi standardami i przepisami prawa, a przede wszystkim dopasowany do charakteru jednostki oraz wielkości i organizacji komórki audytu wewnętrznego Warto pamiętać, iż zapisy proceduralne będą wymuszać wykonywanie konkretnych działań, a zatem przed ustanowieniem procedur należy bardzo dokładnie rozważyć, czy przy posiadanych zasobach i strukturze realizacja określonych procedur będzie możliwa.

4. Ogólne zasady audytu wewnętrznego

Rozdział został poświecony podstawowym zasadom funkcjonowania audytu wewnętrznego, odzwierciedlającym idę standardów IIA. Zawarto w zapisach obowiązek zachowania zgodności ze Standardami w razie zaistnienia jakichkolwiek wątpliwości. Zgodnie z wymogami międzynarodowymi (standardowymi) należy zawsze kierować się zapisami Standardów, które powinny mieć pierwszeństwo przy rozpatrywaniu / rozwiązywaniu problemu. W ustawie o finansach publicznych ustawodawca wprowadza nową definicję audytu, proponując uproszczenie dotychczasowej definicji. (WI) Zatem w świetle nowych przepisów audytem wewnętrznym jest działalność zapewniająca niezależną i obiektywną ocenę funkcjonowania jednostki oraz doradztwo mające na celu usprawnienie jej działania. Zaproponowana definicja jest zbieżna z ideą propagowaną przez The Institute of Internal Auditors (IIA), według której celem audytu jest pomoc organizacji i wniesienie do niej wartości dodanej. Audyt wewnętrzny ma pomagać organizacji w osiąganiu jej celów poprzez systematyczne i zdyscyplinowane podejście do oceny i doskonalenia skuteczności procesów zarządzania ryzykiem, kontroli i zarządzania organizacją (IIA). Należy jednak zauważyć, iż pomimo uproszczenia definicji, to obszar objęty audytem wewnętrznym został doprecyzowany, a może nawet rozszerzony. Po wejściu w życie proponowanych zmian audyt nadal będzie oceniał legalność, gospodarność, celowość, rzetelność, czy też przejrzystość, jednakże zakres pracy audytora nie będzie kojarzony, jak często się zdarzało, jedynie z aspektami finansowymi. Audytor wewnętrzny w ramach oceny systemu kontroli zarządczej, obejmującej swoim zakresem wszystkie aspekty funkcjonowania jednostki będzie skoncentrowany na celach i zadaniach jednostki. (PE) Nowe rozwiązania pozwolą audytowi wewnętrznemu na szerokie wykorzystanie powszechnie obowiązujących standardów, tj. standardów IIA i standardów INTOSAI, a przede wszystkim nie ograniczą jego roli do aspektów czysto finansowych. W przedstawionym wzorcu Księgi audytu zawarto wskazówkę, która w świetle Standardów jest podstawową przesłanką profesjonalizmu audytora, a mianowicie zachowanie zgodności postępowania audytora ze standardami IIA. W rozdziale należy wskazać, kto jest odpowiedzialny za realizację zadań audytu – może to być audytor lub koordynator, a w przypadku zespołów osobą taką powinien być zawsze kierownik komórki audytu wewnętrznego, zwany dalej zarządzającym audytem. Określono także sposoby i zakres stosowania procedur audytowych – należy mieć na uwadze, iż w przypadku zadań zleconych przez Ministra Finansów, zleceniodawca może żądać zastosowania innych procedur, zatem w obecnym stanie prawnym warto zaznaczyć, iż procedury nie będą miały zastosowania do zadań zleconych jeżeli zleceniodawca tak postanowi.

Niezależność audytu

W zaproponowanych zapisach wskazano statut który gwarantuje niezależność audytu (jest to najczęściej statut) oraz zapisy, poprzez które ta niezależność będzie zachowana. Niezależność audytora można podzielić na organizacyjną i funkcjonalną. Niezależność organizacyjna polega na zapewnieniu audytowi wewnętrznemu swobody w wykonywaniu przez niego zadań i bezpośredniemu podporządkowaniu audytora kierownikowi jednostki. Ustawodawca szczególną ochroną objął kierownika komórki audytu wewnętrznego jednostek sektora finansów publicznych oraz jednostki w dziale, uzależniając powołanie i zmianę warunków pracy kierownika komórki audytu wewnętrznego jednostek sektora finansów publicznych oraz jednostki w dziale od zgody właściwego ministra. (Art. 282 ustawy o finansach publicznych) Decyzję w tych przypadkach przekazano do właściwych ministrów. Należy pamiętać, iż w przypadku jednostek sektora finansów publicznych, zgodnie ze standardami IIA - 1100 - zarządzający audytem wewnętrznym powinien podlegać takiemu szczeblowi zarządzania w ramach organizacji, który pozwoli audytowi wewnętrznemu wypełnić jego obowiązki.1 Należy podkreślić, iż zgodnie z powszechnie uznawaną praktyką podporządkowanie komórki audytu, czy też audytora jakiemukolwiek kierownikowi operacyjnemu narusza zasadę niezależności. Powstaje zatem pytanie, czy plany i sprawozdania audytora odnoszące się do obszaru, za który odpowiada kierownik jednostki nie są narażone na podporządkowanie ich treści woli przełożonego audytora czyli kierownika jednostki. Przyjęte obecnie rozwiązania, zwłaszcza w przypadku mniejszych jednostek, rodzą ryzyko zachwiania niezależności audytora poprzez postawienie go w sytuacji konfliktu interesów polegającego na konieczności wyboru pomiędzy lojalnością wobec przełożonego a wymogami standardowymi związanymi z obiektywizmem i niezależnością audytora, który tak naprawdę ocenia pracę swojego przełożonego, czyli kierownika jednostki odpowiedzialnego za system kontroli. Niezależność funkcjonalna oznacza, że audytorzy wewnętrzni nie mogą być narażeni na próby narzucenia im zakresu i sposobu wykonywania zadań. Jednakże należy mieć na uwadze najnowsze uregulowania ustawy o finansach publicznych, w których dopuszcza się narzucenie, w określonych sytuacjach, zakresu i sposobu wykonywania zadań przez Ministra Finansów, a także przez Szefa Kancelarii Prezesa Rady Ministrów (art. 277) i na polecenie Szefa Agencji Bezpieczeństwa Wewnętrznego (art. 278 ustawy o finansach publicznych), zatem w tym miejscu warto powołać się na rozwiązania ustawowe. Audytorzy wewnętrzni muszą mieć zagwarantowany nieograniczony dostęp do wszelkich dokumentów, oczywiście z uwzględnieniem ustawy o ochronie danych osobowych, do wszystkich pracowników oraz wszelkich innych źródeł informacji niezbędnych do przeprowadzenia audytu. Ponadto niezależność będzie zachowana, gdy audytor nie będzie oceniał działalności za którą odpowiadał w ciągu roku poprzedzającego, z wyjątkiem zadań doradczych. Jednakże w przypadku zadań doradczych powinien istnieć obowiązek poinformowania zleceniodawcy, przed podjęciem zadania, o jakichkolwiek przesłankach, świadczących o możliwości ograniczenia niezależności audytora.

1 Międzynarodowe Standardy Profesjonalnej Praktyki Audytu Wewnętrznego

Obiektywizm audytora

Rozdział ten jest niezwykle istotny dla prawidłowości wykonywania zadań przypisanych audytorowi wewnętrznemu. Obiektywizm polega na bezstronnym i neutralnym podejściu do przedmiotu badania. Człowiek obiektywny zawsze stoi po stronie prawdy i sprawiedliwości. Obiektywizm jest cechą osobowości audytora wewnętrznego i ocenianą praktycznie przy każdym zadaniu wykonywanym w ramach funkcji audytu. Przy tytule rozdziału odwołano się do standardu 1100 IIA, aby każdy audytor korzystający z Księgi mógł sięgnąć do Standardów w przypadku jakichkolwiek wątpliwości co do znaczenia pojęcia obiektywizmu i zasad które mają zapewnić zachowanie obiektywizm. Obiektywizm będzie racjonalnie zagwarantowany, jeżeli:

 audytor zachował niezależność, w tym:

 niezależność organizacyjną,

 niezależność funkcjonalną,

 ujawnił wszelkie konflikty interesów.

(WI) Podkreślenia wymaga, iż konflikt interesów może mieć charakter rzeczywistego konfliktu interesów oraz domniemanego konfliktu interesów. Zatem istnienie konfliktu interesów nie przesądza jednoznacznie o braku obiektywizmu, jednakże stanowi podstawę do domniemania, iż doszło do naruszenia zasady obiektywizmu. Jednocześnie z uwagi na konieczność zachowania i kształtowania bezstronności audytu, we wzorze Księgi podkreślono, iż ważne jest nie tylko ujawnianie rzeczywistego konfliktu interesów ale także domniemanego. Szczególną uwagę należy zwrócić na zachowanie obiektywizmu przy realizacji zadań doradczych. Z praktyki wynika, iż granica pomiędzy niezależnością audytora a zaangażowaniem w działalność przy zadaniach doradczych jest bardzo niewyraźna i każdorazowo należy rozważyć czy nie zostanie przekroczona. W przypadku wątpliwości audytor powinien poinformować i przedłożyć kierownikowi jednostki, w której jest zatrudniony o informację o zaistniałym konflikcie interesów. W zaproponowanych zapisach proceduralnych uwzględniono art. 283 ustawy o finansach publicznych, jednakże wskazano, iż decyzja audytora w takich przypadkach powinna być niezależna.

Biegłość i należyta staranność audytora

Rozdział został poświecony podstawowym zasadom determinującym zachowanie profesjonalizmu i należytej staranności audytora, w oparciu o wytyczne standardów 1200 IIA. Jedną z głównych zasad jest ciągłe poszerzanie przez audytora swojej wiedzy, umiejętności oraz kwalifikacji, w tym umiejętności interpersonalnych. Przymiotnik „należyta” wskazuje na taki poziom staranności, który racjonalnie zagwarantuje realizację celu. Jak wcześniej zaznaczono zachowanie należytej staranności nie oznacza bezbłędności audytora wewnętrznego. Zgodnie ze Standardami profesjonalizm to przede wszystkim obiektywizm i niezależność działań audytora. Podkreślono także, iż w przypadku braku odpowiedniego poziomu wiedzy, niezbędnej do wykonania zadania, audytor wewnętrzny jest zobowiązany do odmowy jego wykonania.

5. Korelacje audytu

Relacje pomiędzy audytorem wewnętrznym a kadrą zarządzającą

W tym miejscu istotne jest podkreślenie, iż audytor wewnętrzny lub kierownik komórki audytu wewnętrznego ma zagwarantowany bezpośredni dostęp do kadry zarządzającej jednostką, bez pośredników i konieczności składania osobom postronnym relacji ze spotkania. Zapis taki najczęściej formułowany jest w statucie, jednakże w Księdze audytu należy dookreślić na jakich zasadach audytor realizuje to uprawnienie.

W rozdziale tym wyraźnie podkreślono niezależność audytu wewnętrznego, poprzez wskazanie osób które odpowiadają za zatwierdzanie planu audytu oraz które podejmują w tym zakresie ostateczną decyzję. W przypadku istnienia w jednostce komitetu audytu audytor powinien posiadać nieograniczony dostęp do członków komitetu audytu. Jednocześnie komitet audytu powinien mieć dostęp do planów i sprawozdań audytu wewnętrznego, a także wsparcie niezbędnych dla realizacji celów komitetu audytu. Ustawa o finansach publicznych zakłada powoływanie komitetów audytu, przez ministra właściwego. Do zadań komitetu audytu należeć będzie w szczególności:

1) opiniowanie rocznych planów audytu,

2) opiniowanie sprawozdań z audytu,

3) ocena funkcjonowania systemu kontroli zarządczej.

Komitet audytu będzie miał uprawnienia i obowiązek:

1) żądania od kierownika jednostki informacji i wyjaśnień,

2) dostępu do wszelkiej dokumentacji jednostki,

3) żądania od pracowników jednostki informacji i wyjaśnień.

Ustawodawca w ustawie o finansach publicznych zakłada, iż w skład komitetu będzie wchodzić przynajmniej trzech członków. Jeden z członków komitetu – przewodniczący komitetu, powinien być wskazany przez ministra właściwego w randze sekretarza stanu lub podsekretarza stanu. Pozostali dwóch członkowie powinni wypełniać warunek niezależności od jednostki, czyli nie mogą być powiązani stosunkiem pracy lub kapitałowym z pracownikami jednostek w dziale lub jednostkami w dziale. Kryteria powoływania członków komitetu audytu, metody wynagrodzeń niezależnych członków komitetu audytu oraz informacje przekazywane przez komitet audytu ministrowi właściwemu określił w drodze rozporządzenia.

Współpraca z audytorami/ kontrolerami zewnętrznymi oraz wewnętrznymi służbami kontrolnymi

W rozdziale tym zastosowano się do zasad określonych w standardach 2050 IIA oraz wzięto pod uwagę, iż informacje będące w posiadaniu audytu należą do informacji poufnych. Podkreślono, iż relacje pomiędzy kontrolerami i audytorami zewnętrznymi nieuregulowane w odpowiednich przepisach prawa, zarządzeniach, bądź umowach będą wymagały każdorazowo porozumienia między audytorem wewnętrznym a kierownikiem jednostki z jednej strony a audytorami zewnętrznymi lub kontrolerami z drugiej, określającego zasady współpracy i zasady wzajemnego korzystania z wyników swojej pracy, w tym dostępu do dokumentacji. Oznacza to, iż audytor wewnętrzny bądź zarządzający audytem każdorazowo w w/w sytuacjach winien skonsultować się z kierownikiem jednostki w celu ustalenia postępowania. Podkreślono w tym miejscu, iż chodzi o relacje nieuregulowane w odpowiednich przepisach prawa, gdyż w większości przypadków np. tj. Najwyższa Izba Kontroli, Krajowa Administracja Skarbowa lub Inspekcja Sanitarna zasady, a w zasadzie uprawnienia kontrolerów są enumeratywne wyliczone w przepisach. Współdziałanie audytorów wewnętrznych z zewnętrznymi, w stosunku do jednostki, podmiotami kontrolnymi może budzić szereg zastrzeżeń. Audytor co do idei jest dla organizacji i jej pracowników osobą zaufaną, której można powierzyć informacje wrażliwe. Wiedza ta służy audytorom do analizy ryzyka, planowania zadań audytowych oraz doskonalenia systemu kontroli. Dostęp do tego typu informacji jest często ograniczony dla instytucji, wobec których jednostka chce chronić swoje dane. Zatem współpraca audytora z podmiotami zewnętrznymi winna być bardzo precyzyjnie określona, a informacje uzyskane od audytora nie mogą być wykorzystywane wbrew interesom jednostki. W innym przypadku audytor utraci wiarygodność wśród pracowników i kierownictwa, a tym samym nie będzie mógł wykonywać prawidłowo swojej roli.

Oczywiście kierownik jednostki może sztywno określić zasady współpracy z zewnętrznymi kontrolerami/audytorami ale zawsze będą one musiały być opisane w Księdze. Kierownik jednostki może również upoważnić do podejmowania decyzji w tym zakresie audytora wewnętrznego lub zarządzającego audytem, delegując na niego swoje uprawnienia, jednakże co do zasady, przy określaniu zasad pracy audytu wewnętrznego, należy każdorazowo ocenić potencjalne ryzyko ujawnienia informacji poufnych. Na podkreślenie wymaga konieczność uregulowania relacji pomiędzy kontrolą zarządczą a audytem. Uregulowania powinny wyraźnie wskazywać, iż z wyników samooceny audytor powinien korzystać analizując ryzyko lecz wykorzystanie ich dla celów audytu, a zwłaszcza wyciąganie wniosków powinno odbywać się wg ściśle określonych zasad. Uregulowanie wewnętrznych relacji będzie miało również istotne znaczenie dla jednostek posiadających wdrożony system zarządzania bezpieczeństwem informacji. W jednostkach takich funkcjonują administratorzy bezpieczeństwa informacji i inspektorzy ochrony danych, a ich zakres badań niejednokrotnie może pokrywać się z obszarem audytu wewnętrznego. Zatem wymiana informacji pomiędzy tymi służbami jest niezmiernie istotna dla efektywnego funkcjonowania.

6. Organizacja Komórki Audytu Wewnętrznego

Rozdział należy opracować w przypadku istnienia wieloosobowej komórki audytu wewnętrznego. W rozdziale powinny znaleźć się uregulowania dotyczące:

<