Czynności sprawdzające w audycie wewnętrznym

Audytor wewnętrzny w jednostkach sektora finansów publicznych ma za zadanie usprawniać działania jednostek. Warto więc rozpatrzyć, w którym momencie kończy się zadanie audytowe, czy jest to np. wydanie zaleceń po zakończonym audycie. Odpowiedź na to pytanie zależy od skali słabości systemów kontroli wewnętrznej. W przypadku wystąpienia poważnych ryzyk w kluczowym dla jednostki obszarze zarządzający komórką audytu nie powinien poprzestawać na zadowoleniu się pisemną informacją o terminie wdrożenia zaleceń. Właśnie na takie okoliczności przewidziano skorzystanie z możliwości, jakie daje w par. 25 rozporządzenie w sprawie szczegółowego sposobu i trybu przeprowadzania audytu wewnętrznego.

Zalecenia i ich realizacja

Po pierwsze, kończąc audyt i będąc już po naradzie zamykającej, prowadzący zadanie audytowe powinien już mieć świadomość w zakresie nastawienia kierownictwa komórki audytowanej do zaleceń. Ponadto, mimo akceptacji zapisów sprawozdania, wdrożenie zaleceń może być procesem trudnym, kosztownym bądź zależnym od wielu czynników, także zewnętrznych. Mając taką świadomość, możemy już w końcowej części sprawozdania zastrzec możliwość realizacji bądź wręcz zaplanować czynności sprawdzające. Mogą zaistnieć przesłanki wtórne - pojawienie się nieprzewidzianych trudności, zmiany organizacyjne bądź kadrowe mogące zagrozić realizacji zaleceń, które wcześniej zostały zaakceptowane przez kierownika jednostki. Jakie stanowisko w tej kwestii zawarte jest w Międzynarodowych Standardach Profesjonalnej Praktyki Audytu Wewnętrznego?

 

Monitorowanie audytu

Przykładowo zgodnie z Standardem 2500 - Monitorowanie postępów zarządzający audytem wewnętrznym powinien stworzyć i zapewnić działanie systemu monitorowania wyników audytu przekazanych kierownictwu. Z kolej standard 2500.A1 mówi o tym, że zarządzający audytem wewnętrznym powinien ustanowić zasady monitorowania realizacji zaleceń w celu upewnienia się, czy stosowne decyzje kierownictwa zostały skutecznie wdrożone lub też czy kierownictwo wyższego szczebla zaakceptowało ryzyko niepodejmowania działań.

Realizowanie czynności sprawdzających jest przejawem należytej staranności wymaganej od profesjonalnego audytora. Oczywiście odpowiedzialność za właściwe zrealizowanie zaleceń spoczywa na kierowniku jednostki oraz osobie, której polecono wykonać konkretne czynności, lecz pracownicy komórki audytu nie powinni być obojętni na oczywiste symptomy zaniechania bądź ograniczania realizacji zaleceń. Oczywiste wydaje się także, iż kierownik jednostki bądź audytowanej komórki powinien mieć możliwość wystąpienia o sprawdzenie postępów wdrożenia poleceń kierownictwa wynikających z audytu.

Podstawą prawną dla takiego działania może być par. 13 ust. 1 rozporządzenia ministra finansów z dnia 24 czerwca 2006 r. w sprawie szczegółowego sposobu i trybu przeprowadzania audytu wewnętrznego. W razie zmiany czynników, o których mowa w par. 9 ust. 1 i par. 10 ust. 1 powołanego rozporządzenia, a także w innych uzasadnionych przypadkach audytor wewnętrzny przeprowadza audyt poza planem audytu na wniosek kierownika jednostki, w której jest zatrudniony, lub z własnej inicjatywy w uzgodnieniu z kierownikiem tej jednostki. Przepis ten mówi o pozaplanowych zadaniach audytowych, ale czynności sprawdzające z uwagi na konieczność ich planowania i dokumentowania przypominają wycinkowe audyty zgodności.

Przygotowanie działań

Po podjęciu decyzji co do konieczności wykonania działań sprawdzających - czy to na wniosek kierownika jednostki czy też na podstawie własnej analizy ryzyka obszaru poaudytowego należy się do takich działań przygotować. Z uwagi na to, iż audytor wewnętrzny powinien mieć wystarczającą wiedzę na temat procesów będących przedmiotem weryfikacji opracowanie planu działania nie powinno przysporzyć zbyt wielu problemów. Warto jednak pisemnie udokumentować te działania już na początkowym etapie. Realizacja czynności sprawdzających powinna wynikać z poaudytowej analizy ryzyka (znaczenie wpływu danego ryzyka oraz prawdopodobieństwa realizacji zaleceń) bądź wniosku kierownictwa. Od takiego wniosku lub notatki należy rozpocząć dokumentowanie przedmiotowego procesu. Czynności sprawdzające jak każde inne działanie audytu powinny być należycie udokumentowane. Obowiązek taki nakłada Standard 2330 - Dokumentowanie informacji. Audytorzy wewnętrzni powinni dokumentować istotne informacje dla poparcia wniosków oraz wyników realizacji zadań. Przebieg i wynik czynności sprawdzających powinny być udokumentowane w postaci notatki informacyjnej będącej uproszczoną formą sprawozdania.

 

Wspomniane problemy mają jedynie charakter formalny i nie powinny przesłonić rzeczy najważniejszej, tj. zakresu i sposobu przeprowadzenia sprawdzenia. Sposób dokumentacji oraz kwestie proceduralne są drugorzędne wobec celowości badania. Wcześniejsza analiza, przeprowadzona nawet w porozumieniu z kierownikiem jednostki, powinna być punktem wyjścia do określenia celu ponownego badania, technik, jakie należy zastosować, oraz zakresu weryfikacji. Dokumenty takie jak sprawozdanie z audytu oraz protokół z narady zamykającej, ewentualnie wnioski kierownika audytowanej komórki oraz pisemna dekretacja kierownika jednostki, co do sposobu, terminu oraz osób odpowiedzialnych za wdrożenie zaleceń dają podstawę do ustalenia spodziewanych rezultatów, jakie można zastać w badanej komórce. Tak przygotowany audytor będzie wiedział, jakie dokumenty, zachowania lub dowody fizyczne powinny wynikać z właściwej realizacji jego zaleceń, popartych przez szefa jednostki. Po dokonaniu obserwacji, przeglądzie dokumentów i rozmowie z kierownictwem audytor dokonuje oceny zrealizowanych czynności w poszczególnych obszarach ryzyka.

Wdrożenie proponowanych reakcji na ryzyko powinno być należycie dokumentowane przez kierownictwo audytowanej komórki czy też osoby odpowiedzialne za badany proces. Od profesjonalnego osądu samego audytora zależy interpretacja przedstawionych wyjaśnień i ich ocena. Oczywiste jest, że im potencjalne ryzyko i szkoda dla jednostki większe, tym wnikliwiej powinno się podchodzić do zastanego stanu. Zakres dowodów realizacji zaleceń może się wahać od rozmowy telefonicznej, poprzez pisemne wyjaśnienia aż po wnikliwe obserwacje na miejscu i przyjęcie wyjaśnień kierownictwa wraz ze sporządzaniem kopii najważniejszych dokumentów. Naturalnie każde napotkane odstępstwo od spodziewanego stanu winno być wyjaśniane, analizowane i dokumentowane. Osoby odpowiedzialne za wdrożenie zaleceń powinny przedstawić wyjaśnienia zaległości w ich realizacji oraz przedstawić przewidywany termin ich wdrożenia bądź powody niemożności ich spełnienia.

OCENA REALIZACJI ZALECEŃ PO AUDYCIE

Proponowany system oceny postępu realizacji zaleceń wynikających z przeprowadzonego zadania audytowego:

Status realizacji zaleceń na dzień (data):

• wdrożone

• w trakcie (planowane ukończenie dnia)

• planowane (rozpoczęcie dnia)

• brak reakcji

MARCIN DUBLASZEWSKI

gp@infor.pl

audytor wewnętrzny Komendy Wojewódzkiej Policji w Olsztynie, posiada kwalifikacje CIA oraz CGAP

PODSTAWA PRAWNA

• Rozporządzenie ministra finansów z 24 czerwca 2006 r. w sprawie szczegółowego sposobu i trybu przeprowadzania audytu wewnętrznego (Dz.U. nr 112, poz. 765).