ewnętrzny jest działalnością niezależną i obiektywną, której celem jest wspieranie kierownika jednostki w realizacji celów i zadań przez systematyczną ocenę kontroli zarządczej oraz czynności doradcze. Ocena dotyczy w szczególności adekwatności, skuteczności i efektywności kontroli zarządczej w jednostce.
Standardy atrybutów.
1000 – Cel, uprawnienia i odpowiedzialność
Cel, uprawnienia i odpowiedzialność audytu wewnętrznego muszą być formalnie określone w karcie audytu wewnętrznego oraz zgodne z Misją audytu wewnętrznego i obowiązkowymi elementami Międzynarodowych ramowych zasad praktyki zawodowej (Podstawowymi zasadami praktyki zawodowej audytu wewnętrznego, Kodeksem etyki, Standardami i Definicją audytu wewnętrznego). Zarządzający audytem wewnętrznym musi okresowo przeglądać i w razie potrzeby aktualizować kartę audytu wewnętrznego. Musi też przedstawiać ją do zatwierdzenia kierownictwu wyższego szczebla i radzie.
1000.A1 – Charakter usług zapewniających świadczonych organizacji musi być określony w karcie audytu wewnętrznego. W przypadku świadczenia usług zapewniających jednostkom spoza organizacji, charakter tych usług również musi być określony w karcie audytu wewnętrznego.
1000.C1 – Charakter usług doradczych musi być określony w karcie audytu wewnętrznego.
1010 – Uznawanie obowiązkowych wytycznych w karcie audytu wewnętrznego
Obowiązek stosowania Podstawowych zasad praktyki zawodowej audytu wewnętrznego, Kodeksu etyki, Standardów i Definicji audytu wewnętrznego musi być uznany w karcie audytu wewnętrznego. Zarządzający audytem wewnętrznym powinien omówić Misję audytu wewnętrznego oraz obowiązkowe elementy Międzynarodowych ramowych zasad praktyki zawodowej z kierownictwem wyższego szczebla i radą.
1100 – Niezależność i obiektywizm
Audyt wewnętrzny musi być niezależny, a audytorzy wewnętrzni obiektywni.
1110 – Niezależność organizacyjna
Zarządzający audytem wewnętrznym musi podlegać takiemu szczeblowi zarządzania w organizacji, który pozwoli audytowi wewnętrznemu wypełniać jego obowiązki. Zarządzający audytem wewnętrznym musi, co najmniej raz na rok, potwierdzać radzie organizacyjną niezależność audytu wewnętrznego.
1110.A1 – Audyt wewnętrzny nie może być narażony na jakiekolwiek próby narzucenia zakresu audytu, wpływania na sposób wykonywania pracy i informowania o jej wynikach. Zarządzający audytem wewnętrznym musi ujawnić radzie takie próby oraz omówić z nią możliwe implikacje.
1111 – Bezpośrednia współpraca z radą
Zarządzający audytem wewnętrznym musi komunikować się i współpracować bezpośrednio z radą.
1112 – Role zarządzającego audytem wewnętrznym wykraczające poza audyt wewnętrzny
W przypadku gdy zarządzający audytem wewnętrznym pełni role i/lub wykonuje obowiązki wykraczające poza audyt wewnętrzny bądź oczekuje się tego od niego, wówczas w celu ograniczenia naruszeń niezależności i obiektywizmu muszą zostać wprowadzone odpowiednie zabezpieczenia.
1120 – Indywidualny obiektywizm
Audytorzy wewnętrzni muszą być bezstronni i wolni od uprzedzeń. Muszą również unikać konfliktów interesów.
1130 – Naruszenie niezależności lub obiektywizmu
W przypadku rzeczywistego lub domniemanego naruszenia niezależności lub obiektywizmu, szczegóły tego naruszenia muszą zostać ujawnione odpowiednim osobom. Sposób ich ujawnienia zależy od charakteru naruszenia.
1130.A1 – Audytorzy wewnętrzni muszą powstrzymać się od oceny działalności operacyjnej, za którą byli uprzednio odpowiedzialni. Ograniczenie obiektywizmu ma miejsce wtedy, gdy audytor wewnętrzny świadczy usługi zapewniające dotyczące działań, za które był odpowiedzialny w ciągu roku poprzedzającego badanie.
1130.A2 – Zadania zapewniające dotyczące obszarów, za które odpowiada zarządzający audytem wewnętrznym muszą być nadzorowane przez osobę spoza audytu wewnętrznego.
1130.A3 – Audyt wewnętrzny może świadczyć usługi zapewniające w obszarach, w których świadczył usługi doradcze pod warunkiem, że charakter doradztwa nie naruszał obiektywizmu, a na etapie przydzielania audytorów do zadania zapewniono indywidualny obiektywizm.
1130.C1 – Audytorzy wewnętrzni mogą świadczyć usługi doradcze także w zakresie działań operacyjnych, za które byli uprzednio odpowiedzialni.
1130.C2 – Jeżeli z związku z wykonaniem proponowanej usługi doradczej może nastąpić ograniczenie niezależności lub obiektywizmu audytorów wewnętrznych, informacja ta musi zostać ujawniona zleceniodawcy przed podjęciem się zadania.
1200 – Biegłość i należyta staranność zawodowa
Zadania muszą być wykonywane z biegłością i należytą starannością zawodową.
1210 – Biegłość
Audytorzy wewnętrzni muszą posiadać wiedzę, umiejętności i inne kompetencje potrzebne do wykonywania ich indywidualnych obowiązków. Audyt wewnętrzny jako zespół musi posiadać lub zdobyć wiedzę, umiejętności i inne kompetencje niezbędne do wykonywania jego obowiązków.
1210.A1 – Jeżeli audytorom wewnętrznym brakuje wiedzy, umiejętności lub innych kompetencji niezbędnych do wykonania całości lub części zadania, zarządzający audytem wewnętrznym musi pozyskać odpowiednią pomoc i wsparcie merytoryczne.
1210.A2 – Audytorzy wewnętrzni muszą mieć wystarczającą wiedzę pozwalającą na oszacowanie ryzyka oszustwa oraz ocenę sposobu zarządzania tym ryzykiem w organizacji, ale nie oczekuje się od nich posiadania wiedzy specjalistycznej wymaganej od osób, których podstawowym obowiązkiem jest wykrywanie i prowadzenie dochodzeń w sprawie oszustw.
1210.A3 – Audytorzy wewnętrzni muszą posiadać wiedzę o podstawowych ryzykach i mechanizmach kontrolnych związanych z wykorzystaniem informatyki oraz znać dostępne wspomagane komputerowo techniki audytu. Jednakże nie od wszystkich audytorów wewnętrznych oczekuje się wiedzy specjalistycznej, takiej jak od audytorów, których podstawowym obowiązkiem jest audyt informatyczny.
1210.C1 – Jeżeli audytorom wewnętrznym brakuje wiedzy, umiejętności lub innych kompetencji niezbędnych do wykonania całości lub części zadania doradczego, zarządzający audytem wewnętrznym musi odmówić realizacji takiego zadania lub pozyskać odpowiednią pomoc i wsparcie merytoryczne.
1220 – Należyta staranność zawodowa
Audytorzy wewnętrzni muszą wykazywać się starannością i umiejętnościami, jakich oczekuje się od odpowiednio rozważnego i kompetentnego audytora wewnętrznego. Należyta staranność zawodowa nie oznacza nieomylności.
1220.A1 – Audytorzy wewnętrzni muszą działać z należytą starannością zawodową, uwzględniając:
▪ zakres pracy niezbędny do osiągnięcia celów zadania;
▪ względną złożoność, istotność oraz znaczenie spraw, do których stosowane są procedury zapewniające;
▪ adekwatność i skuteczność procesów: kształtujących ład organizacyjny, zarządzania ryzykiem i kontroli;
▪ prawdopodobieństwo wystąpienia istotnych błędów, oszustw lub niezgodności;
▪ koszt realizacji zadania zapewniającego w porównaniu z potencjalnymi korzyściami.
1220.A2 – Działając z należytą starannością zawodową audytorzy wewnętrzni muszą rozważyć możliwość użycia technik audytowych wykorzystujących technologie informatyczne oraz innych technik analizy danych.
1220.A3 – Audytorzy wewnętrzni muszą być wyczuleni na znaczące ryzyka, które mogą wpływać na cele, działalność operacyjną i zasoby organizacji. Jednakże same procedury zapewniające, nawet przeprowadzane z należytą starannością zawodową nie gwarantują, że wszystkie znaczące ryzyka zostaną zidentyfikowane.
1220.C1 – Realizując zadanie doradcze audytorzy wewnętrzni muszą postępować z należytą starannością zawodową, uwzględniając:
▪ potrzeby i oczekiwania zleceniodawców, przede wszystkim co do charakteru zadania, terminu wykonania i sposobu informowania o wynikach;
▪ względną złożoność i zakres prac niezbędnych do osiągnięcia celów zadania;
▪ koszt realizacji zadania doradczego w porównaniu z potencjalnymi korzyściami.
1230 – Ciągły rozwój zawodowy
Audytorzy wewnętrzni muszą poszerzać swoją wiedzę, umiejętności i inne kompetencje poprzez ciągły rozwój zawodowy.
1300 – Program zapewnienia i poprawy jakości
Zarządzający audytem wewnętrznym musi opracować i realizować program zapewnienia i poprawy jakości, obejmujący wszystkie aspekty działalności audytu wewnętrznego.
1310 – Wymagania dotyczące programu zapewnienia i poprawy jakości
Program zapewnienia i poprawy jakości musi uwzględniać zarówno oceny wewnętrzne, jak i zewnętrzne.
1311 – Oceny wewnętrzne
Oceny wewnętrzne muszą obejmować:
▪ bieżące monitorowanie działalności audytu wewnętrznego;
▪ okresowe samooceny lub oceny przeprowadzane przez inne osoby – w ramach organizacji -posiadające wystarczającą znajomość praktyki audytu wewnętrznego.
1312 – Oceny zewnętrzne
Oceny zewnętrzne muszą być przeprowadzane co najmniej raz na pięć lat przez wykwalifikowaną, niezależną osobę lub zespół spoza organizacji. Zarządzający audytem wewnętrznym musi omówić z radą:
▪ formę i częstotliwość oceny zewnętrznej;
▪ kwalifikacje i niezależność osoby lub zespołu oceniającego, w tym wszelkie potencjalne konflikty interesów.
1320 – Sprawozdawczość dotycząca programu zapewnienia i poprawy jakości
Zarządzający audytem wewnętrznym musi przekazać kierownictwu wyższego szczebla i radzie wyniki programu zapewnienia i poprawy jakości. Ujawnieniu powinny podlegać:
▪ zakres i częstotliwość ocen zewnętrznych i wewnętrznych;
▪ kwalifikacje i niezależność osoby lub zespołu oceniającego, włączając w to potencjalny konflikt interesów;
▪ wnioski osób dokonujących oceny;
▪ plany działań naprawczych.
1321 – Użycie formuły „zgodny z Międzynarodowymi standardami praktyki zawodowej audytu wewnętrznego”
Stwierdzenie, że audyt wewnętrzny funkcjonuje zgodnie z Międzynarodowymi standardami praktyki zawodowej audytu wewnętrznego jest uzasadnione tylko wtedy, gdy wyniki programu zapewnienia i poprawy jakości potwierdzają ten stan.
1322 – Ujawnienie braku zgodności
W sytuacji, gdy wystąpiła niezgodność z Kodeksem etyki lub Standardami, która ma wpływ na ogólny zakres działalności audytu wewnętrznego, zarządzający audytem wewnętrznym musi ujawnić tę niezgodność i jej skutki kierownictwu wyższego szczebla i radzie.
Standardy działania.
2000 – Zarządzanie audytem wewnętrznym
Zarządzający audytem wewnętrznym musi skutecznie zarządzać audytem wewnętrznym, tak aby zapewnić przysporzenie organizacji wartości dodanej.
2010 – Planowanie
Zarządzający audytem wewnętrznym musi opracować plan oparty na analizie ryzyka, określający priorytety działań audytu wewnętrznego zgodne z celami organizacji.
2010.A1 – Plan zadań audytu wewnętrznego musi opierać się na udokumentowanej ocenie ryzyka, przeprowadzanej co najmniej raz w roku. W procesie planowania musi być uwzględniony wkład wyższego kierownictwa i rady.
2010.A2 – Przed sformułowaniem przez audyt wewnętrzny opinii i innych wniosków, zarządzający audytem wewnętrznym musi poznać i rozważyć oczekiwania kierownictwa wyższego szczebla, rady i innych interesariuszy.
2010.C1 – Rozważając przyjęcie proponowanych zadań doradczych, zarządzający audytem wewnętrznym powinien wziąć pod uwagę, w jakim stopniu możliwe będzie usprawnienie zarządzania ryzykiem, przysporzenie wartości oraz usprawnienie działalności operacyjnej organizacji. Przyjęte zadania muszą być uwzględnione w planie zadań.
2020 – Informowanie i zatwierdzanie
Zarządzający audytem wewnętrznym musi informować kierownictwo wyższego szczebla i radę o planach audytu wewnętrznego, zasobach niezbędnych do ich realizacji oraz o pojawiających się znaczących zmianach w tym zakresie. Kierownictwo wyższego szczebla i rada przeglądają i zatwierdzają te plany, zasoby i zmiany. Zarządzający audytem wewnętrznym musi także informować o skutkach ograniczeń w zasobach.
2030 – Zarządzanie zasobami
Zarządzający audytem wewnętrznym musi zapewnić zasoby odpowiednie i wystarczające do realizacji zatwierdzonego planu, jak również zadbać o ich efektywne wykorzystanie.
2040 – Zasady i procedury
Zarządzający audytem wewnętrznym musi ustalić zasady i procedury służące kierowaniu audytem wewnętrznym.
2050 – Koordynowanie i zaufanie
W celu zapewnienia odpowiedniego zakresu audytu i minimalizacji powielania wysiłków, zarządzający audytem wewnętrznym powinien wymieniać informacje, koordynować działania i brać pod uwagę możliwość polegania na pracy innych zarówno wewnętrznych, jak i zewnętrznych wykonawców usług zapewniających i doradczych.
2060 – Składanie sprawozdań kierownictwu wyższego szczebla i radzie
Zarządzający audytem wewnętrznym musi składać kierownictwu wyższego szczebla i radzie okresowe sprawozdania na temat celu działania audytu wewnętrznego, uprawnień, odpowiedzialności, stopnia wykonania planu oraz zgodności z Kodeksem etyki i Standardami. Sprawozdania muszą również obejmować zagadnienia dotyczące systemu kontroli, ładu organizacyjnego, znaczącego ryzyka, na jakie narażona jest organizacja (w tym ryzyka oszustwa) oraz inne, które wymagają uwagi kierownictwa wyższego szczebla i/lub rady.
2070 – Usługodawca zewnętrzny a odpowiedzialność organizacji za audyt wewnętrzny
Jeśli audyt wewnętrzny jest prowadzony przez zewnętrznego usługodawcę, musi on poinformować organizację o jej odpowiedzialności za posiadanie skutecznego audytu wewnętrznego.
2100 – Charakter pracy
Stosując systematyczne, uporządkowane i oparte na ryzyku podejście, audyt wewnętrzny musi dokonywać oceny i przyczyniać się do usprawniania procesów: ładu organizacyjnego, zarządzania ryzykiem i kontroli w organizacji. Wiarygodność i wartość audytu wewnętrznego są wzmocnione, jeśli audytorzy działają proaktywnie, a ich oceny dostarczają nowego spojrzenia i uwzględniają konsekwencje, jakie mogą wystąpić w przyszłości.
2110 – Ład organizacyjny
Audyt wewnętrzny musi oceniać procesy kształtujące ład organizacyjny i przedstawiać stosowne zalecenia usprawnienia tych procesów w zakresie:
▪ podejmowania decyzji strategicznych i operacyjnych;
▪ nadzorowania zarządzania ryzykiem i kontroli;
▪ promowania odpowiednich zasad etyki i wartości w organizacji;
▪ zapewniania skutecznego zarządzania efektywnością działań organizacji i odpowiedzialności za wyniki;
▪ przekazywania informacji o ryzykach i kontroli do odpowiednich obszarów organizacji;
▪ koordynowania działań i przekazywania informacji pomiędzy radą, audytorami zewnętrznymi i wewnętrznymi, innymi wykonawcami usług zapewniających oraz kierownictwem.
2110.A1 – Audyt wewnętrzny musi oceniać cele, a także sposób zaprojektowania i wdrożenia oraz skuteczność programów i działań organizacji w zakresie etyki.
2110.A2 – Audyt wewnętrzny musi oceniać, czy zarządzanie technologią informatyczną wspiera osiąganie celów i realizację strategii organizacji.
2120 – Zarządzanie ryzykiem
Audyt wewnętrzny musi oceniać skuteczność i przyczyniać się do usprawnienia procesów zarządzania ryzykiem.
2120.A1 – Audyt wewnętrzny musi oceniać, w jakim stopniu ład organizacyjny, działalność operacyjna i systemy informatyczne organizacji są narażone na ryzyko związane z:
▪ osiągnięciem celów strategicznych organizacji,
▪ wiarygodnością i rzetelnością informacji finansowych i operacyjnych;
▪ skutecznością i wydajnością działalności operacyjnej i programów,
▪ ochroną aktywów;
▪ zgodnością z prawem, przepisami, zasadami, procedurami i umowami.
2120.A2 – Audyt wewnętrzny musi oceniać możliwość wystąpienia oszustwa i sposób zarządzania ryzykiem oszustwa w organizacji.
2120.C1 – W trakcie wykonywania zadań doradczych audytorzy wewnętrzni muszą odnieść się do ryzyk powiązanych z celami zadania. Muszą być także wyczuleni na możliwość istnienia innych znaczących ryzyk.
2120.C2 – Audytorzy wewnętrzni muszą wykorzystywać wiedzę o ryzykach uzyskaną w trakcie wykonywania zadań doradczych do oceny procesów zarządzania ryzykiem w organizacji.
2120.C3 – Pomagając kierownictwu w tworzeniu lub usprawnianiu procesów zarządzania ryzykiem, audytorzy wewnętrzni muszą powstrzymać się od przejmowania jakichkolwiek obowiązków kierownictwa i faktycznego zarządzania ryzykami.
2130 – Kontrola
Audyt wewnętrzny musi wspierać organizację w utrzymaniu skutecznych mechanizmów kontrolnych poprzez ocenę ich skuteczności i wydajności oraz promowanie ciągłego usprawniania.
2130.A1 – Audyt wewnętrzny musi oceniać, czy mechanizmy kontrolne odpowiednio i skutecznie reagują na ryzyka dotyczące ładu organizacyjnego, działalności operacyjnej i systemów informatycznych w zakresie:
▪ osiągnięcia celów strategicznych organizacji,
▪ wiarygodności i rzetelności informacji finansowych i operacyjnych,
▪ skuteczności i wydajności działalności operacyjnej i programów,
▪ ochrony aktywów,
▪ zgodności z prawem, przepisami, zasadami, procedurami i umowami.
- C1 – Audytorzy wewnętrzni muszą wykorzystywać wiedzę o mechanizmach kontrolnych uzyskaną w trakcie wykonywania zadań doradczych do oceny procesów kontroli w organizacji.
2200 – Planowanie zadania
Audytorzy wewnętrzni muszą opracować i udokumentować plan (program) każdego zadania, obejmujący cele i zakres zadania, czas potrzebny do jego realizacji oraz niezbędne zasoby. Program musi brać pod uwagę strategie, cele i ryzyka organizacji, odnoszące się do danego zadania.
2201 – Aspekty planowania
Planując zadanie audytorzy wewnętrzni muszą rozważyć:
▪ strategie i cele badanej działalności i środki, za pomocą których kontroluje się wyniki tej działalności;
▪ istotne ryzyka dotyczące celów, zasobów i operacji badanej działalności, jak również środki, za pomocą których potencjalny wpływ ryzyka jest utrzymywany na akceptowalnym poziomie;
▪ adekwatność i skuteczność procesów: ładu organizacyjnego, zarządzania ryzykiem i kontroli danej działalności w porównaniu z odpowiednimi koncepcjami ramowymi lub modelami;
▪ możliwości wprowadzenia istotnych usprawnień procesów: ładu organizacyjnego, zarządzania ryzykiem i kontroli danej działalności.
2201.A1 – Jeżeli planowane jest zadanie dla jednostek spoza organizacji, audytorzy wewnętrzni muszą pisemnie uzgodnić z nimi cele, zakres, podział obowiązków oraz inne oczekiwania, łącznie z ograniczeniami dotyczącymi rozpowszechniania wyników i dostępu do dokumentacji zadania.
2201.C1 – Audytorzy wewnętrzni muszą uzgodnić ze zleceniodawcami zadań doradczych cele, zakres, podział obowiązków oraz inne oczekiwania. W przypadku znaczących zadań takie uzgodnienia muszą być udokumentowane.
2210 – Cele zadania
Cele muszą zostać ustalone dla każdego zadania.
2210.A1 – Audytorzy wewnętrzni muszą przeprowadzić wstępną ocenę ryzyk związanych z badaną działalnością. Wyniki tej oceny muszą być odzwierciedlone w celach zadania.
2210.A2 – Ustalając cele zadania audytorzy wewnętrzni muszą rozważyć prawdopodobieństwo wystąpienia istotnych błędów, oszustw, niezgodności i innych zagrożeń.
2210.A3 – Do oceny ładu organizacyjnego, zarządzania ryzykiem i mechanizmów kontrolnych niezbędne są odpowiednie kryteria. Audytorzy wewnętrzni muszą ustalić, w jakim stopniu przyjęte przez kierownictwo i/lub radę kryteria oceny realizacji celów i zadań są właściwe (odpowiednie). Jeżeli kryteria są właściwe, audytorzy wewnętrzni muszą wykorzystywać je w swoich ocenach. Jeżeli kryteria są nieodpowiednie, audytorzy wewnętrzni muszą ustalić odpowiednie kryteria oceny w drodze dyskusji z kierownictwem i/lub radą.
2210.C1 – Cele zadań doradczych muszą odnosić się do procesów: ładu organizacyjnego, zarządzania ryzykiem i kontroli w zakresie uzgodnionym ze zleceniodawcą.
2210.C2 – Cele zadań doradczych muszą być zgodne z wartościami, strategiami i celami organizacji.
2220 – Zakres zadania
Ustalony zakres zadania musi być wystarczający do realizacji celów zadania.
2220.A1 – Zakres zadania musi uwzględniać związane z celami zadania systemy, dokumentację, personel i majątek rzeczowy, łącznie z tymi, które znajdują się pod kontrolą osób trzecich.
2220.A2 – Jeżeli w trakcie realizacji zadania zapewniającego pojawią się istotne możliwości świadczenia usług doradczych, należy zawrzeć odrębne pisemne porozumienie ustalające cele, zakres, podział obowiązków oraz inne oczekiwania, a wyniki zadania doradczego należy przedstawić zgodnie ze standardami dla zadań doradczych.
2220.C1 – Wykonując zadania doradcze audytorzy wewnętrzni muszą zapewnić, że zakres zadania jest wystarczający, by objąć nim uzgodnione wcześniej cele. Jeśli w trakcie wykonywania zadania audytorzy wewnętrzni mieliby jakieś zastrzeżenia do zakresu, to muszą omówić je ze zleceniodawcą, który zdecyduje, czy zadanie będzie kontynuowane.
2220.C2 – W trakcie wykonywania zadań doradczych audytorzy wewnętrzni muszą odnieść się do mechanizmów kontrolnych wchodzących w zakres danego zadania (powiązanych z jego celami). Muszą też zwracać uwagę na istotne kwestie związane z systemem kontroli wewnętrznej.
2230 – Przydział zasobów
Audytorzy wewnętrzni muszą określić zasoby, które będą odpowiednie i wystarczające do osiągnięcia celów zadania. Określenie to opiera się na ocenie charakteru i złożoności każdego zadania, ograniczeniach czasowych oraz dostępnych zasobach.
2240 – Program zadania
Audytorzy wewnętrzni muszą opracować i udokumentować program zadania pozwalający na osiągnięcie celów zadania.
2240.A1 – Programy zadań muszą zawierać procedury identyfikacji, analizy, oceny i dokumentowania informacji w toku realizacji zadania. Program musi zostać zatwierdzony przed jego zastosowaniem (rozpoczęciem prac), a wszelkie zmiany muszą być niezwłocznie akceptowane.
2240.C1 – Programy zadań doradczych mogą mieć różną formę i treść, zależnie od charakteru zadania.
2300 – Wykonywanie zadania
Audytorzy wewnętrzni muszą zbierać, analizować, oceniać i dokumentować informacje wystarczające do osiągnięcia celów zadania.
2310 – Zbieranie informacji
Audytorzy wewnętrzni muszą zebrać informacje, które dotyczą zadania, są wystarczające, wiarygodne i przydatne do osiągnięcia jego celów.
2320 – Analiza i ocena
Audytorzy wewnętrzni muszą opierać wnioski i wyniki zadania na odpowiednich analizach i ocenach.
2330 – Dokumentowanie informacji
Audytorzy wewnętrzni muszą dokumentować wystarczające, wiarygodne, przydatne i dotyczące zadania informacje, stanowiące podstawę wyników i wniosków.
2330.A1 – Zarządzający audytem wewnętrznym musi kontrolować dostęp do dokumentacji zadania. Przed udostępnieniem takiej dokumentacji osobom z zewnątrz zarządzający audytem, w zależności od sytuacji, musi uzyskać zgodę kierownictwa wyższego szczebla i/lub opinię prawną.
2330.A2 – Zarządzający audytem wewnętrznym musi opracować wymagania dotyczące archiwizacji dokumentacji zadań, niezależnie od nośnika, na którym jest ona zapisana. Wymagania te muszą być zgodne z wytycznymi organizacji oraz innymi obowiązującymi przepisami i wymogami.
2330.C1 – Zarządzający audytem wewnętrznym musi opracować zasady archiwizacji i sprawowania pieczy nad dokumentacją zadań doradczych oraz zasady jej udostępnienia, w tym także osobom spoza organizacji. Zasady te muszą być zgodne z wytycznymi organizacji oraz innymi obowiązującymi przepisami i wymogami.
2340 – Nadzorowanie zadania
Zadania muszą być odpowiednio nadzorowane, by zapewnić osiągnięcie celów, odpowiednią jakość prac i rozwój personelu.
2400 – Informowanie o wynikach
Audytorzy wewnętrzni muszą informować o wynikach zadań.
2410 – Kryteria informowania
Informacja musi obejmować cele, zakres i wyniki zadania.
2410.A1 – Ostateczna informacja o wynikach zadania musi zawierać odpowiednie wnioski, a także zalecenia i/lub plany działań. Tam gdzie to uzasadnione, audytorzy wewnętrzni powinni przedstawić opinię. Opinia musi uwzględniać oczekiwania kierownictwa wyższego szczebla, rady i innych interesariuszy i musi być poparta wystarczającymi, rzetelnymi, przydatnymi i dotyczącymi zadania informacjami.
2410.A2 – Zachęca się audytorów wewnętrznych do przekazywania informacji o dobrej pracy audytowanego.
2410.A3 – Kiedy wyniki zadania są udostępniane osobom spoza organizacji, osoby te muszą być poinformowane o ograniczeniu rozpowszechniania i wykorzystania wyników.
2410.C1 – Informacja o postępach i wynikach zadań doradczych będzie miała różną formę i treść, zależnie od charakteru zadania i potrzeb zleceniodawcy.
2420 – Jakość informacji
Przekazywane informacje muszą być dokładne, obiektywne, jasne, zwięzłe, konstruktywne, kompletne oraz dostarczone na czas.
2421 – Błędy i pominięcia
Jeśli ostateczna informacja o wynikach zawiera znaczące błędy lub pominięcia, zarządzający audytem wewnętrznym musi przekazać poprawioną informację wszystkim, którzy otrzymali pierwotną wersję.
2430 – Użycie formuły „przeprowadzono zgodnie z Międzynarodowymi standardami profesjonalnej praktyki zawodowej audytu wewnętrznego”
Stwierdzenie, że zadania zostały przeprowadzone zgodnie z Międzynarodowymi standardami praktyki zawodowej audytu wewnętrznego jest uzasadnione tylko wtedy, gdy wyniki programu zapewnienia i poprawy jakości potwierdzają ten stan.
2431 – Ujawnienie nieprzestrzegania
Jeśli nieprzestrzeganie Kodeksu etyki lub Standardów wpływa na dane zadanie, to informacja o wynikach musi ujawniać:
▪ które zasady ogólne lub reguły postępowania w Kodeksie etyki lub też Standard(y) nie były w pełni przestrzegane;
▪ przyczynę(y) ich nieprzestrzegania;
▪ wpływ nieprzestrzegania na zadanie i na przekazane wyniki.
2440 – Przekazywanie wyników
Zarządzający audytem wewnętrznym musi przekazać wyniki właściwym osobom.
2440.A1 – Zarządzający audytem wewnętrznym jest odpowiedzialny za przekazanie ostatecznych wyników osobom, które mogą zapewnić poświęcenie im odpowiedniej uwagi.
2440.A2 – O ile wymogi prawne, statutowe lub regulaminowe nie stanowią inaczej, przed udostępnieniem wyników osobom spoza organizacji, zarządzający audytem wewnętrznym musi:
▪ ocenić potencjalne ryzyko dla organizacji;
▪ skonsultować się odpowiednio z kierownictwem wyższego szczebla i/lub radcą prawnym;
▪ kontrolować rozpowszechnianie wyników, ograniczając możliwości ich wykorzystania.
2440.C1 – Zarządzający audytem wewnętrznym jest odpowiedzialny za przekazanie zleceniodawcom ostatecznych wyników zadania.
2440.C2 – W trakcie wykonywania zadań doradczych mogą pojawić się kwestie związane z ładem organizacyjnym, zarządzaniem ryzykiem i kontrolą. Zawsze, gdy kwestie te są istotne dla organizacji, muszą być przekazane kierownictwu wyższego szczebla i radzie.
2450 – Ogólne opinie
Jeśli wydawana jest ogólna opinia, musi uwzględniać strategie, cele i ryzyka organizacji oraz oczekiwania kierownictwa wyższego szczebla, rady i innych interesariuszy. Ogólna opinia musi być poparta wystarczającymi, rzetelnymi, przydatnymi i dotyczącymi zadania informacjami.
2500 – Monitorowanie postępów
Zarządzający audytem wewnętrznym musi stworzyć i zapewnić działanie systemu monitorowania wyników audytu przekazanych kierownictwu.
2500.A1 – Zarządzający audytem wewnętrznym musi ustanowić proces monitorowania realizacji zaleceń i upewnić się, że decyzje kierownictwa zostały skutecznie wdrożone lub też kierownictwo wyższego szczebla zaakceptowało ryzyko niepodejmowania działań.
2500.C1 – Audyt wewnętrzny musi monitorować wyniki zadań doradczych w zakresie uzgodnionym ze zleceniodawcą.
2600 – Informowanie o akceptacji ryzyka
Jeżeli zdaniem zarządzającego audytem wewnętrznym kierownictwo przyjęło poziom ryzyka, który może być nie do zaakceptowania dla organizacji, musi omówić te kwestie z kierownictwem wyższego szczebla. Jeżeli zarządzający audytem wewnętrznym stwierdzi, że decyzja nie została zmieniona, musi przekazać sprawę radzie.
źródło:
Ustawa o finansach publicznych z dnia 27 sierpnia 2009 r.
Dział VI. Audyt wewnętrzny oraz koordynacja audytu wewnętrznego w jednostkach sektora finansów publicznych.
Art. 272 [Audyt wewnętrzny]
- Audyt wewnętrzny jest działalnością niezależną i obiektywną, której celem jest wspieranie ministra kierującego działem lub kierownika jednostki w realizacji celów i zadań przez systematyczną ocenę kontroli zarządczej oraz czynności doradcze.
- Ocena, o której mowa w ust. 1, dotyczy w szczególności adekwatności, skuteczności i efektywności kontroli zarządczej w dziale administracji rządowej lub jednostce.
Art. 273 [Standardy audytu wewnętrznego]
- Minister Finansów określi, w formie komunikatu, i ogłosi w Dzienniku Urzędowym Ministra Finansów standardy audytu wewnętrznego dla jednostek sektora finansów publicznych, zgodne z powszechnie uznawanymi standardami audytu wewnętrznego.
- Audytor wewnętrzny, prowadząc audyt wewnętrzny, kieruje się wskazówkami zawartymi w standardach audytu wewnętrznego, o których mowa w ust. 1.
Komunikat Ministra Rozwoju i Finansów w sprawie standardów audytu wewnętrznego dla jednostek sektora finansów publicznych z dnia 12 grudnia 2016 r. (Dz.Urz.MRiF z 2016 r. poz. 28).