KOMUNIKAT Nr 1 MINISTRA FINANSÓW
z dnia 19 lutego 2009 r.
w sprawie standardów audytu wewnętrznego w jednostkach sektora finansów publicznych
Na podstawie art. 63 ust. 2 ustawy z dnia 30 czerwca 2005 r. o finansach publicznych (Dz. U. Nr 249, poz. 2104, z późn. zm.1)) ogłasza się, co następuje:
§ 1.
Określa się Międzynarodowe Standardy Profesjonalnej Praktyki Audytu Wewnętrznego, opracowane przez The Institute of Internal Auditors, jako standardy audytu wewnętrznego w jednostkach sektora finansów publicznych.
§ 2.
Międzynarodowe Standardy Profesjonalnej Praktyki Audytu Wewnętrznego stanowią załącznik do komunikatu.
Minister Finansów |
Jan Vincent-Rostowski |
|
1) Zmiany wymienionej ustawy zostały ogłoszone w Dz. U. z 2005 r. Nr 169, poz. 1420, z 2006 r. Nr 45, poz. 319, Nr 104, poz. 708, Nr 187, poz. 1381, Nr 170, poz. 1217, Nr 170, poz. 1218, Nr 249, poz. 1832, z 2007 r. Nr 88, poz. 587, Nr 115, poz. 791, Nr 140, poz. 984, Nr 82, poz. 560, z 2008 r. Nr 180, poz. 1112, Nr 209, poz. 1317, Nr 216, poz. 1370.
Załącznik do komunikatu Nr 1 Ministra Finansów
z dnia 19 lutego 2009 r. (poz. 12)
MIĘDZYNARODOWE STANDARDY PROFESJONALNEJ PRAKTYKI AUDYTU WEWNĘTRZNEGO
TŁUMACZENIE NA JĘZYK POLSKI
POLISH LANGUAGE TRANSLATION
THE INSTITUTE OF INTERNAL AUDITORS
247 Maitland Avenue
Altamonte Springs, Florida 32701-4201
Copyright C 2001 by The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA. All rights reserved.
Permission has been obtained from the copyright holder, The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, U.S.A., to publish this translation, which is the same in all material respects, as the original, unless approved as changed. No part of this document may be reproduced, stored in any retrieval system, or transmitted in any form, or by any means electronic, mechanical, photocopying, recording, or otherwise, without prior written permission of IIA, Inc. or Stowarzyszenia Audytorów Wewnętrznych IIA-Polska, Chapter of the IIA, Inc., ul. Świętokrzyska 12, 00-916 Warsaw, Poland
Zgodę na wydanie tego tłumaczenia, będącego wiernym odzwierciedleniem oryginału, wydał właściciel praw autorskich, The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA.
Żadna część tego dokumentu nie może być reprodukowana, przechowywana w jakimkolwiek systemie przechowywania danych, ani przekazywana w jakiejkolwiek formie, metodą mechaniczną, kserograficzną, poprzez nagrywanie, drogą elektroniczną ani w żaden inny sposób, bez uprzedniego uzyskania pisemnej zgody IIA, Inc. lub Stowarzyszenia Audytorów Wewnętrznych IIA-Polska będącego oddziałem IIA, Inc. w Polsce.
Aby uzyskać zgodę na tłumaczenie, adaptację lub odtwarzanie jakiejkolwiek części niniejszego dokumentu prosimy o skontaktowanie się z:
The Institute of Internal Auditors
IIA Global Practices Center, Professional Practices
247 Maitland Avenue
Altamonte Springs, Florida 32701-4201
Phone: +1-407-937-1362; Fax: +1-407-937-1101;
ISBN 0-89413-454-X
lub
Stowarzyszenie Audytorów Wewnętrznych IIA Polska,
Skrytka pocztowa 34
00-950 Warszawa 1; E-mail: office@iia.org.pl
Wprowadzenie do Standardów
Audyt wewnętrzny jest prowadzony w różnym otoczeniu prawnym i kulturowym, w organizacjach różniących się miedzy sobą celami, rozmiarem, złożonością oraz strukturą, zarówno przez osoby z organizacji, jak i spoza niej. Chociaż różnice te mogą wpływać na praktykę audytu wewnętrznego w różnych środowiskach, stosowanie Międzynarodowych Standardów Profesjonalnej Praktyki Audytu Wewnętrznego (Standardów) jest kwestią zasadniczą dla właściwego wypełniania obowiązków audytora wewnętrznego i działalności audytu wewnętrznego.
Jeśli przepisy lub regulacje uniemożliwiają audytorom wewnętrznym lub działalności audytu wewnętrznego stosowanie części Standardów, konieczne jest stosowanie Standardów w pozostałym zakresie i ujawnienie - we właściwy sposób - przypadków niezastosowania Standardów. Jeżeli Standardy są używane równocześnie ze standardami przygotowanymi przez inne uprawnione instytucje, przy komunikowaniu wyników audytu można również wskazać fakt wykorzystywania innych standardów, jeżeli jest to właściwe. W takim wypadku, jeżeli występuje różnica między Standarami a innymi standardami, audytorzy wewnętrzni i działalność audytu wewnętrznego muszą działać zgodnie ze Standardami, a zgodność z innymi standardami jest możliwa, jeśli te mają bardziej restrykcyjny charakter.
Celem Standardów jest:
1. Określenie podstawowych zasad właściwej praktyki audytu wewnętrznego.
2. Dostarczenie ramowych zasad wykonywania i upowszechniania szerokiego zakresu audytu wewnętrznego przysparzającego organizacji wartości dodanej.
3. Stworzenie podstaw oceny działalności audytu wewnętrznego.
4. Troska o lepsze procesy i działania w organizacji.
Standardy są obowiązkowymi wymogami, skupionymi na kluczowych zagadnieniach, składającymi się ze:
1. Stwierdzeń, określających podstawowe wymogi dla profesjonalnej praktyki audytu wewnętrznego i dla oceny skuteczności działań. Wymogi te stosowane są na całym świecie, na poziomie organizacyjnym i indywidualnym.
2. Interpretacji, wyjaśniających terminy lub pojęcia użyte w tych stwierdzeniach.
W Standardach pojawiają się terminy, które zostały wyjaśnione w Glosariuszu. W szczególności, w Standardach użyto słowa „musi” aby opisać bezwarunkowy obowiązek, natomiast słowa „powinien” w sytuacjach, w których oczekiwana jest zgodność z danym wymogiem, chyba że profesjonalna ocena istniejących okoliczności uzasadnia odejście od niego.
Aby w pełni zrozumieć i właściwie stosować Standardy, konieczne jest uwzględnianie zarówno Stwierdzeń [poszczególnych Standardów], jak i ich interpretacji oraz znaczeń poszczególnych słów, opisanych w Glosariuszu.
Struktura Standardów obejmuje Standardy Atrybutów, Działania [wykonywania zadań] oraz Wdrożenia. Standardy Atrybutów określają cechy organizacji oraz osób wykonujących usługi audytu wewnętrznego. Standardy Działania opisują charakter działań audytu wewnętrznego oraz określają kryteria jakościowe służące ich ocenie. Standardy Atrybutów oraz Działania dotyczą wszystkich usług audytu wewnętrznego. Standardy Wdrożenia rozwijają Standardy Atrybutów oraz Działania, dostarczając wymagań dotyczących działań zapewniających (A) lub doradczych (C).
Usługi zapewniające obejmują obiektywną ocenę dowodów, dokonywaną przez audytorów wewnętrznych w celu dostarczenia niezależnej opinii lub wniosków w odniesieniu do jednostki, operacji, funkcji, procesu, systemu lub innego zagadnienia. Charakter zadania zapewniającego oraz jego zakres ustalane są przez audytora wewnętrznego. W usługi te zaangażowane są zwykle trzy strony: (1) osoba lub grupa osób bezpośrednio związanych z jednostką, operacją, funkcją, procesem, systemem lub innym zagadnieniem - właściciel procesu, (2) osoba lub grupa osób, które dokonują oceny - audytor wewnętrzny oraz (3) osoba lub grupa odbiorców wykorzystująca oceny - użytkownik.
Usługi doradcze, ze względu na swój charakter, wykonywane są zwykle w odpowiedzi na konkretne zapotrzebowanie zleceniodawcy. Charakter oraz zakres zadania doradczego jest przedmiotem umowy ze zleceniodawcą. Usługi doradcze zwykle angażują dwie strony: (1) osobę lub grupę osób oferujących doradztwo - audytora wewnętrznego, (2) osobę lub grupę osób poszukujących i uzyskujących poradę - zleceniodawcę. Podczas świadczenia usług doradczych, audytor wewnętrzny zobowiązany jest zachować obiektywizm i nie przejmować o odpowiedzialności kierownictwa.
Przegląd i rozwój Standardów jest procesem ciągłym. Rada ds. Standardów Audytu Wewnętrznego prowadzi szeroko zakrojone konsultacje oraz dyskusje przed wydaniem Standardów. Działania te obejmują prezentację projektu na całym świecie i publiczną dyskusję. Wszystkie prezentowane projekty są udostępnianie na stronie internetowej IIA i są przekazywane do wszystkich instytutów IIA.
STANDARDY ATRYBUTÓW
1000 - Cel, uprawnienia i odpowiedzialność
Cel, uprawnienia i zakres odpowiedzialności działania audytu wewnętrznego muszą być formalnie określone w karcie audytu wewnętrznego i odpowiadać Definicji Audytu Wewnętrznego, Kodeksowi Etyki oraz Standardom. Zarządzający audytem wewnętrznym musi cyklicznie przeglądać kartę audytu wewnętrznego i przedstawiać ją do zaakceptowania kierownictwu wyższego szczebla i radzie. Interpretacja:
Karta (statut) audytu wewnętrznego to oficjalny dokument określający cel, uprawnienia i odpowiedzialność działalności audytu wewnętrznego. Karta audytu wewnętrznego ustala pozycję audytu wewnętrznego w strukturze organizacji, upoważnia do dostępu do danych, personelu i fizycznego majątku w zakresie wymaganym do wykonania zadań audytowych oraz określa zakres działania audyt u wewnętrznego. Karta audytu wewnętrznego jest ostatecznie zatwierdzana przez radę [patrz: Glosariusz]
1000.A1 - Rodzaj usług zapewniających świadczonych organizacji musi być określony w karcie audytu wewnętrznego. W przypadku świadczenia usług zapewniających jednostkom spoza organizacji, charakter tych usług również musi być określony w karcie audytu wewnętrznego.
1000.C1 - Rodzaj usług doradczych musi być określony w karcie audytu wewnętrznego.
1010 - Uznawanie Definicji Audytu Wewnętrznego, Kodeksu Etyki i Standardów w Karcie Audytu Wewnętrznego
Obowiązkowy charakter Definicji Audytu Wewnętrznego, Kodeksu Etyki i Standardów musi być uznany w karcie audytu wewnętrznego. Zarządzający audytem wewnętrznym powinien omówić Definicję Audytu Wewnętrznego, Kodeks Etyki i Standardy z kierownictwem wyższego szczebla i radą.
1100 - Niezależność i obiektywizm
Działanie audytu wewnętrznego musi być niezależne, a audytorzy wewnętrzni muszą zachować obiektywizm podczas wykonywania swej pracy.
Interpretacja
Niezależność to brak warunków zagrażających możliwości bezstronnego wykonywania obowiązków przez działalność audytu wewnętrznego lub zarządzającego audytem wewnętrznym. W celu osiągnięcia poziomu niezależności niezbędnego dla skutecznego wykonywania obowiązków działalności audytu wewnętrznego, zarządzający audytem wewnętrznym ma bezpośredni i nieograniczony dostęp do kierownictwa wyższego szczebla i rady. Można to osiągnąć przez system podwójnego raportowania. Zarządzanie zagrożeniami dla niezależności musi odbywać się na poziomie każdego audytora i zadania, jak również na poziomie funkcjonalnym i organizacyjnym. Obiektywizm to niezależna postawa intelektualna, umożliwiająca audytorom wewnętrznym przeprowadzanie zadań z pełną wiarą w efekty swej pracy oraz przekonaniem o uniknięciu jakichkolwiek kompromisów co do jakości. Obiektywizm wymaga od audytorów wewnętrznych niepodporządkowywania swoich rozstrzygnięć w sprawach audytu opiniom innych osób. Zarządzanie zagrożeniami dla obiektywizmu musi odbywać się na poziomie każdego audytora i zadania, jak również na poziomie funkcjonalnym i organizacyjnym.
1110 - Niezależność organizacyjna
Zarządzający audytem wewnętrznym musi podlegać takiemu szczeblowi zarządzania w ramach organizacji, który pozwoli audytowi wewnętrznemu wypełnić jego obowiązki. Zarządzający audytem wewnętrznym musi, co najmniej raz na rok, potwierdzać radzie organizacyjną niezależność działalności audytu wewnętrznego.
1110.A1 - Działanie audytu wewnętrznego nie może być narażone na jakiekolwiek próby narzucenia zakresu audytu, wpływania na sposób wykonywania pracy i informowania o jej rezultatach.
1111. Bezpośrednia współpraca z radą
Zarządzający audytem wewnętrznym musi komunikować się i współpracować bezpośrednio z radą.
1120 - Indywidualny obiektywizm
Audytorzy wewnętrzni muszą być bezstronni i wolni od uprzedzeń. Muszą również unikać jakichkolwiek konfliktów interesów.
Interpretacja
Konflikt interesów to sytuacja, gdy audytor wewnętrzny, będący osobą obdarzoną zaufaniem, ma sprzeczny interes zawodowy lub osobisty. Takie sprzeczne interesy mogą utrudniać danej osobie bezstronne wykonywanie obowiązków. Konflikt interesów istnieje nawet wtedy, gdy nie dochodzi do żadnych nieetycznych lub niewłaściwych działań. Konflikt interesów może tworzyć niestosowne wrażenie, podważające zaufanie do audytora wewnętrznego, działalności audytu wewnętrznego i całego zawodu. Konflikt interesów może utrudniać danej osobie wykonywanie zadań i obowiązków w sposób obiektywny.
1130 - Naruszenie niezależności lub obiektywizmu
W przypadku rzeczywistego lub domniemanego naruszenia niezależności lub obiektywizmu, szczegóły tego naruszenia muszą zostać ujawnione odpowiednim stronom. Sposób ich ujawnienia zależy od charakteru naruszenia.
Interpretacja
Naruszenia niezależności organizacyjnej lub indywidualnego obiektywizmu mogą wystąpić w postaci konfliktu interesów, ograniczenia zakresu badania, ograniczenia w dostępie do danych, personelu lub majątku, jak również ograniczenia zasobów, np. finansowania.
Określenie stron, którym należy ujawnić szczegóły dotyczące naruszenia niezależności lub obiektywizmu jest uzależnione od oczekiwań wobec działalności audytu wewnętrznego oraz od opisanych w karcie audytu wewnętrznego obowiązków zarządzającego audytem wewnętrznym wobec kierownictwa wyższego szczebla i rady, a także od rodzaju naruszenia.
1130. A1 - Audytorzy wewnętrzni muszą powstrzymać się od oceny działalności operacyjnej, za którą byli uprzednio odpowiedzialni. Ograniczenie obiektywizmu następuje, jeżeli audytor wewnętrzny bada obszar działań, za który był odpowiedzialny w ciągu roku poprzedzającego.
1130.A2 - Zadania dostarczające zapewnienia o wykonywaniu zadań, za które odpowiada zarządzający audytem wewnętrznym, muszą podlegać nadzorowi osoby spoza audytu wewnętrznego.
1130.C1 - Audytorzy wewnętrzni mogą świadczyć usługi doradcze, także w zakresie działań operacyjnych, za które byli uprzednio odpowiedzialni.
1130.C2 - Jeżeli z związku z wykonaniem proponowanej usługi doradczej może nastąpić ograniczenie niezależności oraz obiektywizmu audytorów wewnętrznych, fakt ten musi zostać ujawniony zleceniodawcy przed zaakceptowaniem zadania.
1200 - Biegłość oraz należyta staranność zawodowa
Zadania audytorskie muszą być wykonywane z biegłością zawodową oraz z należytą starannością.
1210 - Biegłość
Audytorzy wewnętrzni muszą posiadać wiedzę, umiejętności oraz kwalifikacje potrzebne do wykonywania ich indywidualnych obowiązków. Działalność audytu wewnętrznego musi kolektywnie posiadać lub zdobyć wiedzę, umiejętności oraz kwalifikacje niezbędne do wykonywania swoich obowiązków.
Interpretacja
Wiedza, umiejętności i inne kompetencje to ogólne określenie odnoszące się do zawodowej biegłości wymaganej od audytora wewnętrznego, w celu skutecznego wykonywania jego lub jej obowiązków. Zachęca się audytorów wewnętrznych do ujawniania swojej biegłości poprzez zdobywanie odpowiednich zawodowych certyfikatów i innych potwierdzeń kwalifikacji, takich jak tytuł Certyfikowanego Audytora Wewnętrznego (CIA) i inne tytuły oferowane przez Instytut Audytorów Wewnętrznych i inne odpowiednie organizacje zawodowe.
1210.A1 - Jeżeli wśród personelu audytu wewnętrznego brakuje wiedzy, umiejętności lub innych kompetencji niezbędnych do wykonania całości lub części zadania, to zarządzający audytem wewnętrznym musi pozyskać odpowiednią pomoc oraz wsparcie merytoryczne.
1210.A2 - Audytorzy wewnętrzni muszą mieć odpowiednią wiedzę pozwalającą oszacować ryzyko oszustwa oraz sposób zarządzania tym ryzykiem w organizacji, ale nie oczekuje się od nich posiadania wiedzy specjalistycznej, wymaganej od osób właściwych do wykrywania i prowadzenia dochodzeń w sprawie oszustw.
1210.A3 - Audytorzy wewnętrzni muszą posiadać wiedzę o podstawowych ryzykach oraz kontrolach technologii informatycznych, jak również znajomość dostępnych technik audytu, opartych na technologiach informatycznych. Jednakże nie od wszystkich audytorów wewnętrznych oczekuje się wiedzy specjalistycznej takiej jak od audytorów, których szczególnym obowiązkiem jest audyt informatyczny.
1210.C1 - Jeżeli wśród personelu audytu wewnętrznego brakuje wiedzy, umiejętności lub kwalifikacji niezbędnych do wykonania całości lub części zadania doradczego, zarządzający audytem wewnętrznym musi odmówić realizacji takiego zadania lub pozyskać odpowiednią pomoc oraz wsparcie merytoryczne.
1220 - Należyta staranność zawodowa
Audytorzy wewnętrzni muszą wykazywać staranność i umiejętność oczekiwane od odpowiednio rozważnego i kompetentnego audytora wewnętrznego. Należyta staranność zawodowa nie oznacza nieomylności.
1220.A1 - Audytorzy wewnętrzni muszą działać z należytą starannością zawodową, uwzględniając:
* zakres pracy niezbędny do osiągnięcia celów wyznaczonych dla danego zadania,
* złożoność, istotność oraz znaczenie spraw, do których stosowane są procedury badania,
* odpowiedniość i skuteczność governance, procesów zarządzania ryzykiem i kontroli,
* prawdopodobieństwo wystąpienia istotnych błędów, oszustw lub niezgodności z regulacjami oraz
* koszt badania w zestawieniu z potencjalnymi korzyściami.
1220.A2 - Działając z należytą starannością zawodową audytorzy wewnętrzni muszą rozważyć możliwość użycia informatycznych narzędzi audytorskich oraz innych technik analizy danych.
1220.A3 - Audytorzy wewnętrzni muszą być wyczuleni na znaczące ryzyka, które mogą negatywnie wpłynąć na realizację celów organizacji, jej operacje oraz zasoby. Jednakże same procedury zapewniające, nawet przeprowadzane z należytą starannością zawodową, nie gwarantują, że wszystkie znaczące ryzyka zostaną rozpoznane.
1220.C1 - Realizując zadanie doradcze audytorzy wewnętrzni muszą postępować z należytą starannością zawodową, uwzględniając:
* potrzeby i oczekiwania zleceniodawców co do rodzaju zadania, terminu wykonania i sposobu przekazania jego wyników,
* względną złożoność oraz zakres prac niezbędnych do osiągnięcia celów zadania i
* koszt zadania doradczego w zestawieniu z potencjalnymi korzyściami.
1230 - Ciągły rozwój zawodowy
Audytorzy wewnętrzni muszą poszerzać swoją wiedzę, umiejętności oraz kwalifikacje drogą stałego doskonalenia zawodowego.
1300 - Program zapewnienia i poprawy jakości
Zarządzający audytem wewnętrznym musi opracować i realizować program zapewnienia i poprawy jakości, który obejmuje wszystkie aspekty działalności audytu wewnętrznego.
Interpretacja
Program zapewnienia i poprawy jakości ma na celu umożliwienie oceny zgodności działalności audytu wewnętrznego z Definicją Audytu Wewnętrznego oraz ze Standardami, a także ocenę czy audytorzy wewnętrzni stosują Kodeks Etyki. Program ocenia także skuteczność i wydajność działalności audytu wewnętrznego i identyfikuje możliwości poprawy.
1310 - Wymogi co do programu zapewnienia i poprawy jakości
Program zapewnienia i poprawy jakości musi uwzględniać zarówno oceny wewnętrzne jak i zewnętrzne.
1311 - Oceny wewnętrzne
Ocena wewnętrzna musi obejmować:
* bieżącą ocenę działalności audytu wewnętrznego oraz
* okresowe przeglądy przeprowadzane drogą samooceny lub przez inną osobę - w ramach organizacji - posiadającą właściwą znajomość praktyki audytu wewnętrznego.
Interpretacja
Bieżący monitoring jest integralną częścią codziennego nadzoru, przeglądu i pomiaru działalności audytu wewnętrznego. Bieżący monitoring jest włączony w codzienne zasady i działania wykorzystywane do zarządzania działalnością audytu wewnętrznego i wykorzystuje procesy, narzędzia i informacje konieczne do oceny zgodności z Definicją Audytu Wewnętrznego oraz Standardami, a także stosowania Kodeksu Etyki.
Okresowe przeglądy to specjalne oceny, prowadzone w celu ocenienia zgodności z Definicją Audytu Wewnętrznego oraz Standardami, a także stosowania Kodeksu Etyki. Wystarczająca wiedza na temat praktyk audytu wewnętrznego wymaga zrozumienia wszystkich elementów Międzynarodowych Ramowych Zasad Praktyki Zawodowej.
1312 - Oceny zewnętrzne
Oceny zewnętrzne muszą być przeprowadzane przynajmniej raz na pięć lat przez wykwalifikowaną osobę lub zespół spoza organizacji. Zarządzający audytem wewnętrznym musi ustalić z radą:
* ewentualną potrzebę częstszych ocen zewnętrznych oraz
* kwalifikacje i niezależność osoby lub zespołu oceniającego, w tym wszelkie potencjalne konflikty interesów.
Interpretacja
Odpowiednio wykwalifikowana osoba lub zespół oceniający składa się z grupy ludzi kompetentnych w zakresie profesjonalnej praktyki audytu wewnętrznego i procesu zewnętrznej oceny. Ocena kompetencji osoby lub zespołu oceniającego uwzględnia doświadczenie w audycie wewnętrznym i zawodowe kwalifikacje tych osób. Ocena ich kwalifikacji uwzględnia także wielkość i stopień skomplikowania organizacji, z którymi były one w przeszłości związane, w odniesieniu do organizacji, dla której działalność audytu wewnętrznego jest oceniana, a także wymaganą specyficzną wiedzę techniczną z danego sektora lub branży. Niezależność osoby lub zespołu oceniającego oznacza, że nie ma ona rzeczywistego lub potencjalnego konfliktu interesów i nie jest częścią, ani nie pozostaje pod kontrolą, organizacji, do której należy działalność audytu wewnętrznego.
1320 - Sprawozdawczość dotycząca programu jakości
Zarządzający audytem wewnętrznym musi przekazać radzie wyniki oceny zewnętrznej.
Interpretacja
Forma, zawartość i częstotliwość raportowania wyników programu zapewnienia i poprawy jakości jest ustalana poprzez dyskusje z kierownictwem wyższego szczebla i radą i uwzględnia opisane w karcie audytu wewnętrznego obowiązki działalności audytu wewnętrznego oraz zarządzającego audytem wewnętrznym. Aby zademonstrować zgodność z Definicją Audytu Wewnętrznego, Kodeksem Etyki oraz Standardami wyniki zewnętrznej oraz okresowej wewnętrznej oceny przekazywane są po zakończeniu procesu oceny, natomiast wyniki bieżącego monitoringu przekazywane są co najmniej raz na rok. Wyniki zawierają ocenę wydaną przez osobę lub zespół oceniający co do stopnia zgodności.
1321 - Użycie formuły „Przeprowadzony zgodnie z Międzynarodowymi Standardami Profesjonalnej Praktyki Audytu Wewnętrznego”
Zarządzający audytem wewnętrznym może stwierdzić, że audyt wewnętrzny funkcjonuje zgodnie z Międzynarodowymi Standardami Profesjonalnej Praktyki Audytu Wewnętrznego tylko, jeżeli wyniki programu zapewnienia i poprawy jakości potwierdzają ten stan.
1322 - Ujawnienie braku zgodności
Gdy niezgodność z Definicją Audytu Wewnętrznego, Kodeksem Etyki lub Standardami ma wpływ na ogólny zakres działań audytu wewnętrznego, zarządzający audytem wewnętrznym musi ujawnić niezgodność i jej skutki kierownictwu wyższego szczebla i radzie.
STANDARDY DZIAŁANIA
(WYKONYWANIA ZADAŃ)
2000 - Zarządzanie działalnością audytu wewnętrznego
Zarządzający audytem wewnętrznym musi skutecznie zarządzać działaniem audytu wewnętrznego tak, aby zapewnić przysporzenie organizacji wartości dodanej.
Interpretacja
Działalność audytu wewnętrznego jest skutecznie zarządzana gdy:
* wyniki pracy działalności audytu wewnętrznego osiągają cele i obowiązki określone w karcie audytu wewnętrznego,
* działalność audytu wewnętrznego jest zgodna z Definicją Audytu Wewnętrznego oraz ze Standardami oraz
* pracownicy działalności audytu wewnętrznego demonstrują zgodność z Kodeksem Etyki i Standardami.
2010 - Planowanie
Zarządzający audytem wewnętrznym musi opracowywać plany oparte na analizie ryzyka, określające zgodne z celami organizacji priorytety dla działań audytu wewnętrznego.
Interpretacja
Zarządzający audytem wewnętrznym jest odpowiedzialny za stworzenie planu opartego na ryzyku. Zarządzający audytem wewnętrznym wykorzystuje system zarządzania ryzykiem w instytucji, w tym poziomy apetytu na ryzyko, ustanowione przez kierownictwo dla różnych zadań i części organizacji. Jeśli taki system nie istnieje, zarządzający audytem wewnętrznym wykorzystuje własną ocenę ryzyk, po konsultacjach z kierownictwem wyższego szczebla i radą.
2010.A1 - Plan działalności audytu wewnętrznego musi opierać się na udokumentowanej ocenie ryzyka, przeprowadzanej co najmniej corocznie. Udział wyższego kierownictwa i rady musi być uwzględniony w tym procesie.
2010.C1 - Zarządzający audytem wewnętrznym powinien rozważyć przyjęcie proponowanych zadań doradczych, które mogą wpłynąć na udoskonalenie zarządzania ryzykiem, przysporzenie wartości oraz udoskonalenie działalności operacyjnej organizacji. Przyjęte zadania muszą być uwzględnione w planie pracy.
2020 - Informowanie i zatwierdzanie
Zarządzający audytem wewnętrznym musi powiadamiać kierownictwo wyższego szczebla oraz radę o planach działania audytu wewnętrznego i zasobach niezbędnych do ich wykonania, a także o znaczących zmianach w realizowanym planie, celem ich przeglądu i zatwierdzenia. Zarządzający audytem wewnętrznym musi także informować o skutkach ograniczeń w zasobach.
2030 - Zarządzanie zasobami
Zarządzający audytem wewnętrznym musi dla realizacji zatwierdzonego planu audytu zapewnić odpowiednie i wystarczające zasoby, jak również zadbać o ich efektywne wykorzystanie.
Interpretacja
Odpowiednie odnosi się do wiedzy, umiejętności i innych kompetencji niezbędnych do wykonania planu. Wystarczający odnosi się do ilości zasobów niezbędnych do wykonania planu. Zasoby są efektywnie wykorzystane, jeśli są używane w sposób optymalizujący osiąganie zaakceptowanego planu.
2040 - Zasady i procedury
Zarządzający audytem wewnętrznym musi ustalić zasady oraz procedury służące kierowaniu działaniem audytu wewnętrznego.
Interpretacja
Forma i zawartość zasad i procedur zależy od wielkości i struktury działalności audytu wewnętrznego oraz stopnia skomplikowania jego pracy.
2050 - Koordynowanie
Zarządzający audytem wewnętrznym powinien wymieniać informacje i koordynować działania zarówno z wewnętrznymi jak i zewnętrznymi wykonawcami usług zapewniających i doradczych, zapewniając odpowiedni zakres audytu oraz minimalizując dublowanie wysiłków.
2060 - Składanie sprawozdań wyższemu kierownictwu i radzie
Zarządzający audytem wewnętrznym musi składać kierownictwu wyższego szczebla i radzie okresowe sprawozdania na temat celu działania audytu wewnętrznego, uprawnień, odpowiedzialności oraz stopnia wykonania planu. Sprawozdania muszą również obejmować zagadnienia dotyczące znaczących zagrożeń ryzykiem, problemy z systemem kontroli, w tym ryzyka oszustwa, problemy dotyczące governance oraz inne zagadnienia, których omówienia wymaga lub oczekuje kierownictwo wyższego szczebla oraz rada.
Interpretacja
Częstotliwość i zawartość sprawozdawczości jest ustalana w dyskusji z kierownictwem wyższego szczebla oraz radą i zależy od istotności przekazywanych informacji oraz pilności związanych z nimi działań, które ma podjąć kierownictwo wyższego szczebla i rada.
2100 - Charakter pracy
Działanie audytu wewnętrznego dokonuje oceny i przyczynia się do usprawnienia procesów governance, zarządzania ryzykiem i procesów kontroli stosując systematyczne i konsekwentne podejście.
Interpretacja
Systematyczne i konsekwentne podejście jest wynikiem działalności opartej na standardach, dostarczających ogólnych ram i metodologii, dających wiarygodne rezultaty przy rygorystycznym stosowaniu.
2110 - Governance
Działalność audytu wewnętrznego musi oceniać i przedstawiać stosowne rekomendacje dla usprawnienia procesu governance tak, aby osiągane były jego następujące cele:
* promowanie właściwych zasad etyki i wartości wewnątrz organizacji,
* zapewnianie skutecznego zarządzania efektywnością pracy i rozliczaniem z odpowiedzialności w organizacji,
* przekazywanie informacji o ryzykach i kontroli do odpowiednich obszarów organizacji i
* koordynowanie działań i przekazywanie informacji pomiędzy radą, audytorami zewnętrznymi i wewnętrznymi oraz zarządem.
2110. A1 - Działanie audytu wewnętrznego musi oceniać formę, sposób wdrożenia oraz skuteczność celów, programów i działań organizacji w zakresie etyki.
2110.A2 - Działalność audytu wewnętrznego musi ocenić, czy governance w zakresie IT w organizacji wspiera osiąganie celów i realizację strategii organizacji.
2110.C1 - Cele zadań doradczych muszą być zgodne z całością wartości i celów danej organizacji.
2120 - Zarządzanie ryzykiem
Audyt wewnętrzny w swoich działaniach musi oceniać skuteczność i przyczyniać się do usprawnienia procesów zarządzania ryzykiem.
Interpretacja
Ocena, czy procesy zarządzania ryzykiem są skuteczne wynika z oceny audytora wewnętrznego, czy:
* cele organizacji są zgodne i wspierają misję organizacji;
* istotne ryzyka zostały zidentyfikowane i ocenione;
* wybrano odpowiednie reakcje na ryzyko, wiążące ryzyka z apetytem organizacji na ryzyko;
* istotne informacje o ryzyku są identyfikowane i we właściwym czasie komunikowane wewnątrz organizacji, umożliwiając pracownikom, kierownictwu i radzie wykonywanie ich obowiązków.
2120.A1 - Audyt wewnętrzny w swoich działaniach musi oceniać zagrożenie ryzykiem związane z governance, działalnością operacyjną oraz systemami informatycznymi w organizacji, biorąc pod uwagę:
* wiarygodność i rzetelność informacji finansowych i operacyjnych;
* skuteczność i efektywność działań operacyjnych;
* ochronę aktywów oraz
* zgodność z prawem, przepisami i umowami.
2120.A2 - Działalność audytu wewnętrznego musi oceniać zagrożenia wystąpienia oszustwa i sposób zarządzania ryzykiem oszustwa w organizacji.
2120.C1 - Podczas zadań doradczych audytorzy wewnętrzni muszą podejść do ryzyka zgodnie z celami zadania i zwracać uwagę na możliwość istnienia innych znaczących ryzyk.
2120.C2 - Audytorzy wewnętrzni muszą wykorzystać wiedzę o ryzykach uzyskaną podczas wykonywania zadań doradczych do swojej oceny procesów zarządzania ryzykiem w organizacji.
2120.C3 - Przy wspieraniu kierownictwa w procesie tworzenia lub poprawy procesów zarządzania ryzykiem, audytorzy wewnętrzni muszą powstrzymać się od przejmowania jakichkolwiek obowiązków zarządczych i faktycznego zarządzania ryzykami.
2130 - Kontrola
Działalnie audytu wewnętrznego musi wspierać organizację w utrzymaniu skutecznej kontroli poprzez ocenę jej skuteczności i efektywności oraz promowanie ciągłego usprawniania.
Interpretacja:
Mechanizmy kontrolne działają skutecznie, gdy wybrane reakcje na ryzyko wiążą ryzyka z apetytem organizacji na ryzyko, oraz gdy wdrażane zasady i procedury pomagają zapewnić, że reakcje na ryzyko są wdrażane w sposób zamierzony.
Mechanizmy kontrolne są efektywne, gdy właściwie uwzględniają relatywne koszty i korzyści.
2130.A1 - Audytorzy wewnętrzni muszą oceniać odpowiedniość i skuteczność działań kontrolnych obejmujących governance, działalność operacyjną i systemy informatyczne.
Ocena ta obejmuje:
* wiarygodność i rzetelność informacji finansowych i operacyjnych,
* skuteczność i efektywność działań operacyjnych,
* ochronę aktywów oraz
* zgodność z prawem, przepisami i umowami.
2130.A2 - Audytorzy wewnętrzni powinni ustalać czy określono cele i zadania dla działań operacyjnych i programów i czy są one zgodne z celami i zadaniami organizacji.
2130.A3 - Audytorzy wewnętrzni powinni dokonywać przeglądu działań operacyjnych i programów, aby ustalić stopień w jakim wykonanie jest zgodne z wytyczonymi celami i zadaniami oraz określić czy działania operacyjne i programy zostały wdrożone i są wykonywane zgodnie z zamierzeniami.
2130.C1 - Podczas wykonywania zadań doradczych audytorzy wewnętrzni muszą zająć się środkami kontroli w zakresie celów zadania, zwracając uwagę na możliwość istnienia znaczących nieprawidłowości kontroli.
2130.C2 - Audytorzy wewnętrzni muszą wykorzystać wiedzę o działaniach kontrolnych uzyskaną podczas wykonywania zadań doradczych do rozpoznania i oceny znaczących zagrożeń danej organizacji ryzykiem.
2200 - Planowanie zadań
Audytorzy wewnętrzni muszą opracować oraz udokumentować plan dla każdego zadania uwzględniając cele zadania, jego zakres, czas potrzebny do jego realizacji oraz przydział zasobów.
2201 - Elementy uwzględniane przy planowaniu
Planując zadania audytorzy wewnętrzni muszą uwzględnić:
* cele działalności, która będzie podlegać przeglądowi oraz środki, za pomocą których dokonuje się kontroli ich wykonania,
* istotne czynniki ryzyka zagrażające danej działalności, jej celom, zasobom oraz operacjom, jak również środki, za pomocą których potencjalny negatywny wpływ ryzyka jest utrzymywany na możliwym do przyjęcia poziomie,
* prawidłowość i skuteczność systemów zarządzania ryzykiem i procesów kontroli danej działalności w porównaniu z właściwymi systemami i modelami kontroli oraz
* możliwości istotnych udoskonaleń systemu zarządzania ryzykiem i kontroli danej działalności.
Interpretacja
Procesy zarządzania ryzykiem i kontroli są odpowiednie i skuteczne, gdy identyfikują istotne potencjalne wydarzenia, mogące mieć wpływ na dane działanie i zarządzają ryzykiem ich wystąpienia zgodnie z apetytem organizacji na ryzyko.
2201.A1 - W przypadku planowania zadania dla jednostek (audytorów) z zewnątrz organizacji, audytorzy wewnętrzni muszą z nimi zawrzeć pisemne porozumienie dotyczące celów i zakresu działania, odpowiedzialności stron oraz innych oczekiwań, włącznie z zastrzeżeniem przekazywania wyników zadania oraz dostępu do dokumentacji zadania.
2201.C1 - Audytorzy wewnętrzni muszą uzgodnić ze zleceniodawcami zadań doradczych cele, zakres, wzajemną odpowiedzialności oraz inne oczekiwania zleceniodawcy. Dla znaczących zadań, takie uzgodnienie musi mieć formę pisemną.
2210 - Cele zadania
Cele muszą zostać ustalone dla każdego zadania.
2210.A1 - Audytorzy wewnętrzni muszą przeprowadzić wstępną ocenę ryzyk istotnych dla rodzaju działalności podlegającej przeglądowi. Wyniki tej oceny muszą być odzwierciedlone w celach zadania.
2210.A2 - Audytorzy wewnętrzni muszą, ustalając cele zadania rozważyć prawdopodobieństwo wystąpienia istotnych błędów, nieprawidłowości lub przypadków niezgodności z prawem i innych zagrożeń.
2210.A3 - Do oceny działań kontrolnych niezbędne są odpowiednie kryteria. Audytorzy wewnętrzni muszą ustalić w jakim stopniu przyjęte przez kierownictwo kryteria do oceny realizacji celów i zadań są właściwe (odpowiednie). Jeżeli kryteria są właściwe, audytorzy wewnętrzni muszą wykorzystywać je do swoich ocen. Jeżeli kryteria są niewłaściwe, audytorzy wewnętrzni muszą wspólnie z kierownictwem wypracować właściwe kryteria oceny.
2210.C1 - Celem zadań doradczych musi być ryzyko, działania kontrolne i procesy governance organizacji w zakresie uzgodnionym ze zleceniodawcą.
2220 - Zakres zadania
Ustalony zakres zadania musi być wystarczający dla realizacji celów zadania.
2220.A1 - Zakres zadania musi uwzględniać znaczące systemy, dokumentację, personel oraz majątek rzeczowy, w tym również znajdujący się pod kontrolą osób trzecich.
2220.A2 - Jeżeli pojawią się istotne możliwości świadczenia usług doradczych podczas realizacji zadania zapewniającego (audytu), musi zostać opracowane i spisane szczególne porozumienie ustalające cele, zakres, odpowiedzialności stron oraz inne oczekiwania, a wyniki zadania doradczego powinny zostać przedstawione zgodnie ze standardami doradztwa.
2220.C1 - Wykonując zadania doradcze, audytorzy wewnętrzni muszą zapewnić, że zakres zadania jest wystarczający, aby objąć nim wszystkie uzgodnione cele. Jeśli audytorzy wewnętrzni, podczas wykonywania zadania mieliby jakieś zastrzeżenia co do jego zakresu, to zastrzeżenia takie muszą być omówione ze zleceniodawcą, aby zadecydować czy zadanie będzie kontynuowane.
2230 - Przydział zasobów do realizacji zadania
Audytorzy wewnętrzni muszą oszacować wielkość zasobów odpowiednią i wystarczającą do osiągnięcia celów zadania na podstawie oceny rodzaju oraz stopnia złożoności poszczególnych zadań, ograniczeń czasowych oraz dostępnych zasobów.
2240 - Program pracy dla zadania
Audytorzy wewnętrzni muszą opracować udokumentowane programy pracy pozwalające na osiągnięcie celów zadania.
2240.A1 - Programy pracy muszą zawierać procedury służące rozpoznaniu, analizie, ocenie oraz sporządzaniu dokumentacji w realizowanym zadaniu. Program musi zostać zatwierdzony przed jego zastosowaniem (rozpoczęciem prac), a wszelkie jego zmiany muszą być niezwłocznie akceptowane.
2240.C1 - Programy pracy dla zadań doradczych mogą się różnić formą i zawartością, zależnie od rodzaju danego zadania.
2300 - Wykonywanie zadania
Audytorzy wewnętrzni muszą zidentyfikować informacje wystarczające do osiągnięcia celów zadania, dokonać ich analizy, oceny oraz ich udokumentowania.
2310 - Identyfikacja informacji
Audytorzy wewnętrzni muszą zidentyfikować informacje, które są wystarczające, wiarygodne, istotne oraz przydatne do osiągnięcia celów zadania.
Interpretacja
Informacja wystarczająca jest rzeczowa, odpowiednia i przekonywująca, tak, że rozważna, dobrze poinformowana osoba doszłaby na jej podstawie do tych samych wniosków co audytor. Informacja wiarygodna to najlepsza informacja możliwa do uzyskania przy pomocy właściwych technik zadania. Informacja istotna wspiera obserwacje i rekomendacje i jest zgodna z celami zadania. Informacja przydatna pomaga organizacji osiągnąć cele.
2320 - Analiza i ocena
Audytorzy wewnętrzni muszą opierać wnioski oraz wyniki realizacji zadania na właściwych analizach i ocenach.
2330 - Dokumentowanie informacji
Audytorzy wewnętrzni muszą dokumentować istotne informacje dla poparcia wniosków oraz wyników realizacji zadań.
2330.A1 - Zarządzający audytem wewnętrznym musi kontrolować dostęp do dokumentacji zadania. W zależności od sytuacji musi on uzyskać zgodę kierownictwa wyższego szczebla oraz / lub opinię radcy prawnego, przed udostępnieniem - w razie potrzeby - takiej dokumentacji osobom z zewnątrz.
2330.A2 - Zarządzający audytem wewnętrznym musi opracować wymagania dotyczące archiwizacji dokumentacji zadań niezależnie od nośnika, na którym są one zapisane. Wymogi te muszą być zgodne z wytycznymi organizacji oraz wszelkimi obowiązującymi wymogami prawa i innymi.
2330.C1 - Zarządzający audytem wewnętrznym musi opracować zasady dotyczące archiwizowania i opieki nad dokumentacją zadań, jak i jej udostępnienia osobom z wewnątrz i zewnątrz. Zasady te muszą być zgodne z wytycznymi organizacji oraz wszelkimi obowiązującymi wymogami prawa i innymi.
2340 - Nadzorowanie zadań
Zadania muszą być odpowiednio nadzorowane tak, aby zapewnić osiągnięcie celów, odpowiednią jakość prac i rozwój personelu.
Interpretacja
Zakres wymaganego nadzoru zależy od biegłości i doświadczenia audytorów wewnętrznych oraz stopnia skomplikowania zadania. Zarządzający audytem wewnętrznym ponosi ogólną odpowiedzialność za nadzór nad zadaniem, zarówno wykonywanym przez, jak i na rzecz audytu wewnętrznego, ale może on delegować odpowiednio doświadczonych przedstawicieli audytu wewnętrznego do wykonywania odpowiedniego przeglądu. Działania nadzorcze należy odpowiednio udokumentować, a dokumentację przechowywać.
2400 - Informowanie o rezultatach
Audytorzy wewnętrzni muszą informować o wynikach realizowanych zadań.
2410 - Kryteria informowania
Informacja musi obejmować cele i zakres zadania oraz odpowiednie wnioski, rekomendacje oraz plany działań.
2410.A1 - Tam gdzie to uzasadnione, sprawozdanie końcowe z zadania musi zawierać ogólną opinię oraz / lub ogólne wnioski audytora wewnętrznego.
2410.A2 - Zachęca się audytorów wewnętrznych do odnotowywania w sprawozdaniach stwierdzonych pozytywnych efektów u audytowanego.
2410.A3 - Kiedy wyniki zadania są przekazywane jednostkom z zewnątrz organizacji, dokumentacja musi zawierać informację o ograniczeniu ich udostępniania oraz wykorzystania rezultatów.
2410.C1 - Informacja o postępie i wynikach zadań doradczych będzie się różniła co do formy i zawartości, zależnie od rodzaju zadania i potrzeb zleceniodawcy.
2420 - Jakość informacji
Sprawozdanie musi być dokładne, obiektywne, jasne, zwięzłe, konstruktywne, kompletne oraz dostarczone na czas.
Interpretacja
Dokładne sprawozdania są pozbawione błędów i zniekształceń, są wierne faktom. Obiektywne sprawozdania są uczciwe, neutralne i bezstronne oraz wynikają z wyważonej i dokonanej bez uprzedzeń oceny wszystkich istotnych faktów i okoliczności.
Jasne sprawozdania są łatwo zrozumiałe i logiczne, nie zawierają zbędnego języka technicznego [żargonu zawodowego] i zawierają wszystkie istotne i ważne informacje.
Zwięzłe sprawozdania są krótkie i na temat, bez niepotrzebnych wywodów, nadmiernych szczegółów, powtórzeń i rozwlekłości.
Konstruktywne sprawozdanie pomaga klientowi [audytowanemu] i organizacji i prowadzi do usprawnień jeżeli są potrzebne.
Kompletne sprawozdanie zawiera wszystko co jest niezbędne czytelnikom oraz zawiera wszelkie istotne informacje i obserwacje, będące podstawą wniosków i rekomendacji.
Sprawozdanie na czas jest przygotowywane i przekazane w odpowiednim terminie, w zależności od istotności tematu tak, aby umożliwić kierownictwu podjęcie odpowiednich działań korygujących.
2421 - Błędy i pominięcia
Jeśli sprawozdanie końcowe zawiera znaczące błędy lub pominięcia, wówczas zarządzający audytem wewnętrznym musi przekazać poprawione sprawozdanie wszystkim tym, którzy otrzymali jego pierwotną wersję.
2430 - Użycie formuły „Przeprowadzono zgodnie z Międzynarodowymi Standardami Profesjonalnej Praktyki Audytu Wewnętrznego”
Audytorzy wewnętrzni mogą używać w swoich sprawozdaniach stwierdzenia, że czynności zostały „przeprowadzone zgodnie z Międzynarodowymi Standardami Profesjonalnej Praktyki Audytu Wewnętrznego”, wyłącznie wtedy gdy ocena wynikająca z programu zapewnienia i poprawy jakości wskazuje, że stwierdzenie to jest prawdziwe.
2430 - Ujawnienie niezgodności ze Standardami
Jeśli niezgodność z Kodeksem Etyki lub ze Standardami wpływa na dane zadanie, to sprawozdanie z wyników musi wskazywać:
* Zasady lub Reguły Postępowania w Kodeksie Etyki lub
* Standard(y), które nie został(y) w pełni zachowany(e),
* przyczynę(y) ich niezachowania oraz
* wpływ niezgodności na zadanie oraz na sprawozdanie z jego wyników.
2440 - Przekazywanie wyników
Zarządzający audytem wewnętrznym musi przekazać wyniki właściwym stronom.
Interpretacja
Zarządzający audytem wewnętrznym lub osoba przez niego wskazana przegląda i zatwierdza ostateczne sprawozdanie z zadania przed jego wydaniem i decyduje, komu i w jaki sposób będzie ono przekazane.
2440.A1 - Zarządzający audytem wewnętrznym jest odpowiedzialny za przekazanie końcowych wyników stronom, które mogą zapewnić poświęcenie wynikom odpowiedniej uwagi.
2440.A2 - O ile przepisy prawne, statutowe i regulaminowe nie precyzują szczególnych wymogów, przed udostępnieniem wyników jednostkom z zewnątrz organizacji, zarządzający audytem wewnętrznym musi:
* ocenić potencjalne ryzyko dla organizacji,
* skonsultować tę decyzję z wyższym kierownictwem (zarządem) i/lub radcą prawnym oraz
* kontrolować rozpowszechnianie wyników poprzez zastrzeżenie dokumentu (do ograniczonego użycia).
2440.C1 - Zarządzający audytem wewnętrznym odpowiedzialny jest za poinformowanie zleceniodawców o ostatecznych wynikach wykonania zadania.
2440.C2 - Podczas zadań doradczych mogą zostać rozpoznane kwestie związane z governance, zarządzaniem ryzykiem oraz kontrolą. W przypadku, gdy kwestie te są znaczące dla organizacji, muszą one być zakomunikowane wyższemu kierownictwu oraz radzie.
2500 - Monitorowanie postępów
Zarządzający audytem wewnętrznym musi stworzyć i zapewnić działanie systemu monitorowania wyników audytu przekazanych kierownictwu.
2500.A1 - Zarządzający audytem wewnętrznym musi ustanowić zasady monitorowania realizacji rekomendacji w celu upewnienia się, że stosowne decyzje kierownictwa zostały skutecznie wdrożone lub też, że kierownictwo zaakceptowało ryzyko niepodejmowania działań.
2500.C1 - Audyt wewnętrzny musi monitorować zastosowanie wyników zadań doradczych w zakresie uzgodnionym ze zleceniodawcą.
2600 - Decyzja w sprawie akceptacji ryzyka przez wyższe kierownictwo
Jeżeli zdaniem zarządzającego audytem wewnętrznym kierownictwo wyższego szczebla przyjęto poziom ryzyka rezydualnego, który może być nie do zaakceptowania przez organizację, wtedy musi omówić te kwestie z kierownictwem wyższego szczebla. Jeżeli decyzja dotycząca ryzyka rezydualnego nie zostanie zmieniona, zarządzający audytem wewnętrznym musi przekazać sprawę do decyzji rady.
Interpretacja
Poziom ryzyka rezydualnego w organizacji jest nieakceptowalny, gdy ryzyko rezydualne jest wyższe niż apetyt na ryzyko.
GLOSARIUSZ
Przysparzać wartości (dodawać wartości)
Wartość tworzona jest poprzez polepszenie możliwości realizacji celów organizacji, poprzez identyfikowanie usprawnień działań operacyjnych i/lub ograniczanie ekspozycji na ryzyko w wyniku zarówno usług zapewniających, jak i doradczych.
Właściwa kontrola
Ma miejsce wówczas, gdy kierownictwo zaplanowało i zorganizowało kontrole w sposób dający rozsądne zapewnienie, że ryzyka są skutecznie zarządzane, a cele i zadania organizacji zostaną skutecznie i ekonomicznie zrealizowane.
Usługi zapewniające
Obiektywne badanie dowodów w celu dostarczenia niezależnej oceny procesów zarządzania ryzykiem, kontroli oraz governance. Przykładowo usługi te mogą obejmować zadania w zakresie finansów, działalności operacyjnej, zgodności, bezpieczeństwa systemów oraz przegląd typu due diligence.
Rada
Rada jest organem zarządzającym (decyzyjnym) organizacji, jak np. rada dyrektorów, kierownictwo, rada nadzorcza, kierujący agencją czy jednostka legislacyjna, rada zarządzająca lub powiernicza w organizacjach non profit, lub też inna dedykowana jednostka organizacyjna - również komitet ds. audytu, któremu funkcjonalnie może podlegać zarządzający audytem wewnętrznym.
Karta audytu wewnętrznego (statut)
Karta działania audytu wewnętrznego to oficjalny, sporządzony na piśmie dokument określający cel, uprawnienia i odpowiedzialność odnoszące się do działania audytu wewnętrznego. Karta powinna:
a) ustalać pozycje audytu wewnętrznego w strukturze organizacji;
b) upoważniać do dostępu do danych, personelu i fizycznego majątku w zakresie wymaganym do wykonania zadania audytowego;
c) określać zakres działania audytu wewnętrznego.
Zarządzający audytem wewnętrznym
Wysokie stanowisko zajmowane przez osobę odpowiedzialną za działanie audytu wewnętrznego w ramach instytucji. Zwykle jest to dyrektor audytu wewnętrznego. Jeżeli działania audytu wewnętrznego wykonywane są przez zewnętrznych usługodawców, wówczas jest to osoba odpowiedzialna za nadzorowanie kontraktu oraz całościowe zapewnienie jakości wykonywanych działań, sprawozdawczość dotyczącą audytu wewnętrznego dla kierownictwa wyższego szczebla oraz rady, monitorowanie działań podjętych w odpowiedzi na rezultaty zadania. Stanowisko to obejmuje również takie tytuły jak: Audytor Generalny, Kierujący Audytem Wewnętrznym, Główny Audytor Wewnętrzny oraz Inspektor Generalny.
Kodeks Etyki - Kodeks Etyki Instytutu Audytorów Wewnętrznych (IIA) jest zbiorem zasad dotyczących zawodu i praktyki audytu wewnętrznego oraz reguł postępowania określających pożądany sposób zachowania audytorów wewnętrznych. Kodeks Etyki odnosi się do jednostek i organizacji świadczących usługi audytu wewnętrznego. Celem Kodeksu Etyki jest promowanie kultury etycznej w wykonywaniu zawodu audytora wewnętrznego na całym świecie.
Zgodność - spójność z polityką, planami, procedurami, przepisami prawa, regulacjami, umowami lub innymi wymaganiami.
Konflikt interesów - każdego typu relacja osobowa, która nie jest lub wydaje się nie być w dobrym interesie organizacji. Konflikt interesów utrudniałby danej osobie wykonanie zadań i obowiązków w sposób obiektywny.
Usługi doradcze
Doradztwo i pokrewne działania usługowe dla klienta, których charakter i zakres są uzgodnione z klientem, mające na celu przysporzenie wartości oraz usprawnienie procesów governance, zarządzania ryzykiem i kontroli z zachowaniem zasady, że audytor wewnętrzny nie przejmuje na siebie odpowiedzialności kierownictwa. Przykładami takich usług są konsultacja, doradztwo, usprawnienie (udogodnienie) oraz szkolenie.
Kontrola
Każde działanie podejmowane przez kierownictwo, radę lub inne jednostki w celu zarządzania ryzykiem i zwiększenia prawdopodobieństwa osiągnięcia ustalonych celów. Kierownictwo planuje, organizuje i kieruje wykonaniem właściwych działań dając racjonalne zapewnienie, że cele zostaną zrealizowane.
Środowisko kontroli
Postawa oraz rzeczywiste działania rady i kierownictwa w odniesieniu do znaczenia kontroli w organizacji. Środowisko kontroli zapewnia warunki i strukturę niezbędne do osiągnięcia podstawowych celów systemu kontroli wewnętrznej.
Na środowisko kontroli składają się następujące elementy:
* uczciwość i wartości etyczne,
* filozofia i styl działania kierownictwa,
* struktura organizacyjna,
* delegowanie uprawnień i obowiązków (odpowiedzialności),
* polityka i praktyka w zakresie zarządzania zasobami ludzkimi,
* kompetencje pracowników.
Procesy kontroli
Zasady, procedury oraz czynności będące częścią ramowej koncepcji kontroli, opracowane celem zapewnienia, że ryzyka zmieszczą się w akceptowalnych granicach ustalonych w procesie zarządzania ryzykiem.
Zadanie
Konkretne zadanie lub przegląd, taki jak audyt wewnętrzny, przegląd procesu samooceny kontroli, badanie w sprawie oszustwa lub doradztwo. Zadanie może obejmować wiele czynności lub działań opracowanych, aby osiągnąć szczególne, powiązane ze sobą cele.
Cele zadania
Ogólne określenie, opracowane przez audytorów wewnętrznych, określające zamierzony efekt zadania.
Program zadania [audytowego] - dokument, który opisuje procedury prowadzące do osiągnięcia zaplanowanych celów zadania, które mają być zastosowane w jego trakcie.
Usługodawca zewnętrzny
Osoba lub firma z zewnątrz organizacji, która posiada szczególną wiedzę, umiejętności oraz doświadczenie w określonej dziedzinie.
Oszustwo
Każdy nielegalny czyn charakteryzujący się celowym wprowadzeniem w błąd, ukrywaniem prawdy lub naruszeniem zaufania. Czyny te nie są powodowane powstałym zagrożeniem użycia siły czy przymusu fizycznego. Oszustwa są popełniane przez osoby i organizacje w celu uzyskania pieniędzy, majątku lub świadczenia, w celu uniknięcia płatności lub uniknięcia utraty świadczenia lub w celu zapewnienia korzyści osobistych lub interesu przedsiębiorstwa.
Governance
Kombinacja procesów oraz struktur wprowadzonych przez radę dla informowania, kierowania, zarządzania oraz monitorowania organizacji, kierujących do osiągnięcia jej celów [termin ten oznacza sformalizowane zarządzanie. Podczas tłumaczenia zdecydowaliśmy o pozostawieniu terminu angielskiego w celu uniknięcia nieporozumień możliwych w przypadku użycia w tym miejscu słowa zarządzanie].
Naruszenia
Naruszenia niezależności organizacyjnej lub indywidualnego obiektywizmu mogą wystąpić w postaci konfliktu interesów, ograniczenia zakresu badania, ograniczenia w dostępie do danych, personelu, majątku jak również ograniczenia zasobów (finansowania).
Niezależność
Wolność od warunków, które zagrażają obiektywizmowi lub domniemaniu obiektywizmu. Zarządzanie zagrożeniami obiektywizmu musi się odbywać na poziomie każdego audytora i zadania, jak również na poziomie funkcjonalnym i organizacyjnym.
Informatyczne mechanizmy kontrolne
Mechanizmy kontrolne wspierające zarządzanie biznesowe i governance oraz stanowiące ogólną i techniczną kontrolę nad infrastrukturą informatyczną, taką jak aplikacje, informacje, infrastruktura i ludzie.
Governance w zakresie IT
Składa się z przywództwa, struktur organizacyjnych oraz procesów zapewniających, że technologie informatyczne organizacji wspierają osiąganie jej celów i realizację jej strategii.
Działanie audytu wewnętrznego (audyt wewnętrzny)
Departament, pion, zespół konsultantów lub innych ekspertów dostarczających w sposób niezależny usługi, obiektywnie zapewniające i doradcze, celem przysporzenia wartości oraz usprawnienia działalności operacyjnej organizacji. Działanie audytu wewnętrznego pomaga organizacji w osiąganiu jej celów poprzez systematyczne i konsekwentne podejście do oceny i doskonalenia skuteczności procesów zarządzania ryzykiem, kontroli i procesów governance.
Międzynarodowe Ramowe Zasady Praktyki Zawodowej
Pojęciowe ramy, które stanowią kompetentne dyrektywy ustanowione przez The IIA. Kompetentne Dyrektywy The IIA obejmują dwie kategorie (1) obowiązkowe i (2) aprobowane i silnie rekomendowane.
Musieć (musi)
Standardy używają słowa „musi” dla określenia bezwarunkowego wymagania.
Obiektywizm
To niezależna postawa intelektualna, która umożliwia audytorom wewnętrznym przeprowadzanie zadań z pełną wiarą w efekty swej pracy oraz przekonaniem o uniknięciu jakichkolwiek znaczących kompromisów co do jakości. Obiektywizm wymaga od audytorów wewnętrznych niepodporządkowywania swoich rozstrzygnięć w sprawach audytu opiniom innych osób.
Ryzyko rezydualne
Ryzyko jakie pozostaje po przeprowadzeniu przez kierownictwo działań zmierzających do zminimalizowania skutków oraz prawdopodobieństwa wystąpienia niepomyślnych zdarzeń, włączając działania kontrolne podjęte w odpowiedzi na ryzyko.
Ryzyko
Możliwość zaistnienia zdarzenia, które będzie miało wpływ na realizację założonych celów. Ryzyko jest mierzone wpływem (wielkością skutków) oraz prawdopodobieństwem jego wystąpienia.
Apetyt na ryzyko
Poziom ryzyka, który organizacja jest skłonna zaakceptować.
Zarządzanie ryzykiem
Proces identyfikacji, oceny, zarządzania i kontroli potencjalnych zdarzeń lub sytuacji zmierzający do dostarczenia racjonalnego zapewnienia, że cele organizacji zostaną zrealizowane.
Powinien
Standardy używają słowa „powinien” tam, gdzie zgodność [ze Standardami] jest oczekiwana, jednak, przy stosowaniu profesjonalnego osądu okoliczności, dopuszczają odstępstwa.
Istotność
Relatywna ważność danej kwestii w kontekście, którego dotyczy, z uwzględnieniem czynników ilościowych i jakościowych, takich jak znaczenie, rodzaj, efekt, przydatność i skutek. Osąd zawodowy wspomaga audytorów wewnętrznych przy ocenie istotności danej kwestii w kontekście istotnych celów.
Standard
Zawodowa wykładnia ogłoszona przez Radę ds. Standardów Audytu Wewnętrznego, która określa wymogi dotyczące wykonywania szerokiego zakresu działań audytu wewnętrznego, jak również ewaluacji wykonywania zadań audytu wewnętrznego.
Techniki audytorskie wykorzystujące technologie informatyczne
Wszelkie zautomatyzowane narzędzia audytorskie, takie jak ogólne oprogramowanie audytowe, generatory danych testowych, skomputeryzowane programy audytowe oraz specjalne narzędzia audytorskie. Znane również jako techniki audytu wspierane komputerowo (Computer Assisted Audit Techniques - CAAT).
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00