Projekt rozporządzenia stanowi wykonanie delegacji ustawowej zawartej w art. 285 ustawy o finansach publicznych.
Obecnie obowiązuje rozporządzenie Ministra Finansów z 1.2.2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego (Dz.U. Nr 21, poz. 108). Zgodnie z uzasadnieniem do Projektu wprowadzone zmiany w metodyce audytu wewnętrznego mają na celu „w szczególności wzmocnienie efektywności i jakości audytu wewnętrznego, co w konsekwencji powinno wpłynąć na poprawę jakości zarządzania w jednostkach sektora finansów publicznych”.
Zakres zmian
Zasadnicze zmiany dotyczą:
- planowania rocznego,
- metodyki przeprowadzania zadania zapewniającego,
- współpracy z audytowanym,
- zapewnienia jakości audytu wewnętrznego,
- dokumentowania procedur i pracy audytora wewnętrznego,
- raportowania wyników audytu.
Zgodnie z treścią § 1 rozporządzenie określa szczegółowy sposób i tryb przeprowadzania audytu wewnętrznego oraz przekazywania informacji o pracy i wynikach audytu wewnętrznego, w rzeczywistości zaś projekt rozporządzenia reguluje także (jak poprzednio) tryb przeprowadzania audytu wewnętrznego zleconego, o którym mowa w art. 292 ust. 1 pkt 1 i art. 293 ustawy z 27.8. 2009 r. o finansach publicznych (t.j. Dz.U. z 2013 r. poz. 885 ze zm.; dalej: FinPubU), i tryb przeprowadzania oceny prowadzenia audytu wewnętrznego, o której mowa w art. 292 ust. 1 pkt 2 i art. 294 FinPubU, co stanowi wypełnienie delegacji ustawowej.
Definicje
W § 2 projektu rozporządzenia, tak jak w obowiązującym obecnie akcie prawnym, zdefiniowano niektóre pojęcia użyte w przedmiotowym projekcie. Na następnej stronie przedstawiono zestawienie porównujące dotychczasowe uregulowania z projektem rozporządzenia.
Definicja zawarta w rozporządzeniu Ministra Finansów z 1.2.2010 r. | Definicja zawarta w projekcie rozporządzenia |
---|---|
jednostka – jednostka sektora finansów publicznych, w której jest prowadzony audyt wewnętrzny przez audytora wewnętrznego w niej zatrudnionego albo przez niezatrudnionego w tej jednostce usługodawcę, z którym jednostka ta zawarła umowę, o której mowa w art. 279 FinPubU. | jednostka – jednostka sektora finansów publicznych, w której jest prowadzony audyt wewnętrzny na podstawie art. 274 FinPubU. |
komórka audytowana: |
Brak definicji. |
Brak definicji. | audytowany: 1) komórka organizacyj na w jednostce, 2) jednostka sektora finansów publicznych, w której dokonywane są czynności, o których mowa w art. 287 ust. 2–4 FinPubU, 3) komórka organizacyjna w urzędzie jednostki samorządu terytorialnego, 4) jednostka organizacyjna jednostki samorządu terytorialnego, 5) komórka organizacyjna w jednostce obsługującej fundusz celowy, w którym prowadzony jest audyt wewnętrzny. |
zadanie zapewniające – zespół działań podejmowanych w celu dostarczenia niezależnej i obiektywnej oceny, o której mowa w art. 272 FinPubU. | zadanie zapewniające – działania podejmowane w celu dostarczenia niezależnej i obiektywnej oceny kontroli zarządczej. |
czynności doradcze – inne niż zadania zapewniające, działania podejmowane przez audytora wewnętrznego, których charakter i zakres jest uzgodniony z kierownikiem jednostki, a których celem jest zwłaszcza usprawnienie funkcjonowania jednostki. | czynności doradcze – inne niż zadania zapewniające, działania podejmowane przez audytora wewnętrznego, służące wspieraniu kierownika w realizacji celów i zadań jednostki, polegające w szczególności na doradztwie lub opiniowaniu. |
zadanie audytowe – zadanie zapewniające i czynności doradcze. | zadanie audytowe – zadanie zapewniające i czynności doradcze. |
Brak definicji. | |
Brak definicji. | |
Brak definicji. | |
Brak definicji. |
Jak widać z przedstawionego zestawienia, w każdej z definicji, z wyjątkiem hasła „zadanie audytowe”, dokonano zmian. Zastąpiono także definicję „komórka audytowana” hasłem „audytowany”, pozostawiając w zasadzie ten sam zakres znaczeniowy.
Nowe definicje
Ponadto dodano nowe definicje, tj.: „zalecenia”, „monitorowanie realizacji zaleceń”, „czynności sprawdzające”, „mechanizmy kontrolne”. Z przedstawionych definicji wyraźnie widać, że projektodawca nadal skupia się na audycie poszczególnych komórek organizacyjnych lub jednostkach organizacyjnych jednostki samorządu terytorialnego.
Przykładem mogą być obszary, dla których powoływane są specjalne komitety/komisje/zespoły, a przewodniczący tego typu gremium pełni tę funkcję niezależnie od przynależności do danej komórki organizacyjnej.
Audytowanie zadań, które często bezpośrednio są związane z realizacją celów jednostki, przy obecnej definicji „komórki audytowanej” i proponowanej definicji „audytowanego” będzie w zasadzie niemożliwe.
Definicja audytowanego
Definicja audytowanego może także nastręczać kłopotów przy okazji realizacji poszczególnych procedur z przedmiotowego rozporządzenia. O ile dotychczas proces informacyjno-uzgodnieniowy z komórkami audytowanymi nie budził wątpliwości, o tyle w projektowanym brzmieniu zapisów, w których mowa jest o audytowanym, a nie o kierowniku komórki audytowanej, będzie wymagał podjęcia decyzji, kto po stronie audytowanego bierze udział w audycie i ma prawo decyzji. Oczywiście może to zostać doprecyzowane w wewnętrznych dokumentach jednostki, np. w karcie audytu, o ile doprecyzowanie takie będzie możliwe.
W projekcie rozporządzenia zadania zostały podzielone pomiędzy kierownika jednostki a audytora wewnętrznego, natomiast nie uwzględniono, że część zadań przypisanych kierownikowi komórki audytu wewnętrznego będzie wykonywana przez audytora zatrudnionego w jednoosobowej komórce audytu wewnętrznego. Co prawda, zgodnie z art. 277 ust. 4 FinPubU, „do audytora wewnętrznego zatrudnionego w jednoosobowej komórce audytu wewnętrznego przepisy ustawy dotyczące kierownika komórki audytu wewnętrznego stosuje się odpowiednio”. Jednak w tym miejscu rodzi się pytanie, czy na pewno także przepisy rozporządzenia wykonawczego stosuje się odpowiednio. Może to budzić wątpliwości przy stosowaniu rozporządzenia.
W projekcie wprowadzono rozróżnienie pomiędzy monitorowaniem realizacji zaleceń a czynnościami sprawdzającymi. Wynika to z zaproponowanych dalej procedur, które w obu przypadkach przewidują obligatoryjność powyższych czynności. Nieuwzględnienie procesowego podejścia do audytu nie tylko widać przy analizie zaproponowanych w projekcie definicjach, ale także w rozwiązaniach proceduralnych, o których mowa poniżej.
Dokumentacja audytu
Nadal zachowano obowiązek dokumentowania przez audytora wewnętrznego wszystkich czynności i zdarzeń mających znaczenie dla prowadzenia audytu wewnętrznego w jednostce. Takie brzmienie zapisu oznacza, że o tym, które to będą czynności i zdarzenia, powinien decydować audytor wewnętrzny w porozumieniu z kierownikiem jednostki.
W projekcie rozporządzenia nastąpiła zmiana podziału dokumentacji audytowej na:
- dokumentację dotyczącą zadania audytowego,
- pozostałą dokumentację audytu wewnętrznego, w szczególności dokumentację roboczą związaną z przygotowaniem planu audytu, plan audytu, sprawozdanie z jego wykonania, wyniki oceny wewnętrznej i zewnętrznej audytu wewnętrznego.
Dokumentacja dotycząca zadania audytowego
Dokumentacja dotycząca zadania audytowego obejmuje w szczególności:
- program zadania zapewniającego oraz dokumenty robocze związane z jego przygotowaniem,
- inne dokumenty robocze związane z realizacją zadania zapewniającego,
- sprawozdanie z zadania zapewniającego,
- dokumenty robocze związane z wykonywaniem czynności doradczych,
- dokumenty dotyczące monitorowania realizacji zaleceń i przeprowadzania czynności sprawdzających.
W projektowanych uregulowaniach pojawia się określenie „robocza dokumentacja”, co ma istotne znaczenie w świetle ustawy z 6.9.2001 r. o dostępie do informacji publicznej (t.j. Dz.U. z 2014 r. poz. 782).
Robocza dokumentacja
O roboczych dokumentach jest mowa w projekcie przy okazji:
- przygotowania programu zadania zapewniającego,
- realizacji zadania zapewniającego,
- wykonywania czynności doradczych.
Jednak nie oznacza to wprost, że wszystkie dokumenty z tych obszarów mają charakter roboczy, nie ma bowiem w projekcie definicji tego określenia – o tym, co ma charakter roboczy, będzie decydował audytor wewnętrzny w porozumieniu z kierownikiem jednostki. Jednak z brzmienia zapisów wynika, że dokumentem roboczym nie będzie program zadania audytowego, plan audytu, sprawozdanie z jego wykonania, wyniki oceny wewnętrznej i zewnętrznej audytu wewnętrznego, sprawozdanie z zadania zapewniającego, dokumenty dotyczące monitorowania realizacji zaleceń i przeprowadzania czynności sprawdzających. O ile w przypadku planu rocznego audytu i sprawozdania rocznego z jego realizacji takie rozwiązanie jest zrozumiałe, o tyle w przypadku programów zadań audytowych, sprawozdań z zadań audytowych czy też dokumentów dotyczących monitorowania realizacji zaleceń i przeprowadzania czynności sprawdzających jest to ryzykowne rozwiązanie. W dokumentach tych bardzo często znajdują się informacje wrażliwe, z punktu widzenia funkcjonowania jednostki, np. dane o lukach w bezpieczeństwie informacji lub sposoby zabezpieczeń informatycznych i fizycznych, czy też dane dotyczące projektów badawczych, w których toku wyniki do czasu opublikowania nie powinny być ujawniane.
Zgodnie z § 6 projektu rozporządzenia kierownik komórki audytu wewnętrznego ma obowiązek w szczególności określić sposób przeprowadzania analizy ryzyka oraz wzory podstawowych dokumentów dotyczących prowadzenia audytu wewnętrznego, uwzględniając wielkość oraz strukturę jednostki.
Biorąc pod uwagę, że sposób przeprowadzania analizy ryzyka jest determinantem wyznaczania obszarów audytu, wydaje się, że kierownik jednostki powinien mieć wpływ na metodykę analizy ryzyka, a przynajmniej mieć świadomość, jak ten proces przebiega, i akceptować taki tryb postępowania. Ponadto w ramach opracowywania wzorów podstawowych dokumentów należy się spodziewać, że wśród nich znajdą się takie wzory, jak sprawozdanie z zadania audytowego, plan roczny audytu, sprawozdanie z realizacji planu rocznego i notatka informacyjna. Dokumenty te będą determinować procesy planowania i proces sprawozdawczy, o których kierownik jednostki powinien móc decydować lub przynajmniej się wypowiedzieć, w jakiej formie informacje od audytu wewnętrznego będą do niego docierały. Należy jednak oczekiwać, że audytorzy wewnętrzni doskonale zdają sobie sprawę ze swojej roli i będą, nawet nieformalnie, uzgadniać z kierownikami jednostek swoje wewnętrzne procedury.
Zachowano zapis, że dokumentacja dotycząca zadania audytowego i pozostała dokumentacja audytu wewnętrznego stanowią własność jednostki, jednak zapis ten nie realizuje w pełni standardu 2410.A3 – Komunikat Nr 2 Ministra Finansów z 17.6.2013 r. w sprawie standardów audytu wewnętrznego dla jednostek sektora finansów publicznych (Dz.Urz. MF z 2013 r. poz. 15). mającego na celu ochronę informacji zawartych w sprawozdaniu. W obecnym stanie prawnym realizacja tego standardu jest właściwie niemożliwa, z uwagi na zapisy ustawy o dostępie do informacji publicznej i wyrok Trybunału Konstytucyjnego.
Sposób sporządzania i elementy planu audytu oraz sprawozdania z jego wykonania
Sposób sporządzania i elementy planu audytu oraz sprawozdania z jego wykonania zostały uregulowane w rozdziale 2. Na następnej stronie przedstawiono tabelaryczne porównanie uregulowań.
Definicja zawarta w rozporządzeniu Ministra Finansów z 1.2.2010 r. | Definicja zawarta w projekcie rozporządzenia |
---|---|
§ 5 ust. 1 – Kierownik komórki audytu wewnętrznego albo audytor usługodawcy w celu przygotowania planu audytu przeprowadza w sposób udokumentowany analizę ryzyka. | § 8 ust. 1 – Kierownik komórki audytu wewnętrznego opracowuje plan audytu, o którym mowa w art. 283 ust. 1 FinPubU, na podstawie przeprowadzonej analizy ryzyka. |
§ 5 ust. 2 – analiza ryzyka obejmuje w szczególności identyfikację obszarów działalności jednostki oraz ocenę ryzyka we wszystkich zidentyfikowanych obszarach działalności jednostki, zwanych dalej „obszarami ryzyka”. | § 8 ust. 2 – Kierownik komórki audytu wewnętrznego, przeprowadzając analizę ryzyka, powinien uwzględnić system zarządzania ryzykiem funkcjonujący w jednostce. |
§ 5 ust. 3 – przeprowadzając analizę ryzyka, kierownik komórki audytu wewnętrznego albo audytor usługodawcy uwzględnia zakres odpowiedzialności kierownika jednostki za funkcjonowanie kontroli zarządczej oraz bierze pod uwagę w szczególności:
|
§ 8 ust. 3 – przeprowadzając analizę ryzyka, kierownik komórki audytu wewnętrznego bierze pod uwagę w szczególności:
|
§ 5 ust. 4 – w wyniku przeprowadzonej analizy ryzyka kierownik komórki audytu wewnętrznego albo audytor usługodawcy sporządza listę wszystkich obszarów ryzyka, uwzględniając ich kolejność wynikającą z oceny ryzyka, z podaniem wyników analizy ryzyka. | § 8 ust. 4 – wynik analizy ryzyka, o której mowa w ust. 1, stanowi lista wszystkich obszarów działalności jednostki, uwzględniająca ich kolejność wynikającą z oceny ryzyka. |
§ 6 ust. 1 – w celu przygotowania planu audytu kierownik komórki audytu wewnętrznego przeprowadza analizę zasobów osobowych komórki audytu wewnętrznego na rok następny z uwzględnieniem, w szczególności, liczonych w osobodniach:
|
Brak zapisu. |
§ 6 ust. 2 – w wyniku przeprowadzonej analizy zasobów osobowych kierownik komórki audytu wewnętrznego ustala w osobodniach czas przeznaczony na przeprowadzenie zadań audytowych i czynności sprawdzających w następnym roku. | Brak zapisu. |
§ 6 ust. 3 – Kierownik komórki audytu wewnętrznego, dokonując analizy zasobów osobowych komórki audytu wewnętrznego, bierze pod uwagę w szczególności:
|
Brak zapisu. |
§ 7 ust. 1 – Kierownik komórki audytu wewnętrznego wyznacza obszary ryzyka do przeprowadzenia zadań zapewniających w roku następnym, biorąc pod uwagę:
|
§ 9 – Kierownik komórki audytu wewnętrznego wyznacza obszary działalności jednostki, w których zostaną przeprowadzone zadania zapewniające w roku następnym, biorąc pod uwagę:
|
§ 7 ust. 2 – audytor usługodawcy wyznacza obszary ryzyka do przeprowadzenia zadań zapewniających w roku następnym, biorąc pod uwagę warunki wynikające z umowy, o której mowa w art. 279 ust. 2 FinPubU. Przepisy ust. 1 pkt 1, 3 i 4 stosuje się odpowiednio. | Brak zapisu. |
§ 7 ust. 3 – Kierownik komórki audytu wewnętrznego określa liczby osobodni zaplanowanych na przeprowadzenie w następnym roku: 1) zadań zapewniających; 2) czynności doradczych; 3) czynności sprawdzających. |
Brak zapisu. |
§ 7 ust. 4 – Kierownik komórki audytu wewnętrznego albo audytor usługodawcy określa czas, wyrażony w latach, w którym – odpowiednio przy niezmienionych zasobach osobowych komórki audytu wewnętrznego albo niezmienionych warunkach umowy z usługodawcą – zostałyby przeprowadzone zadania zapewniające we wszystkich obszarach ryzyka, zwany dalej „cyklem audytu”. | Brak zapisu. |
§ 7 ust. 4 – cykl audytu oblicza się jako iloraz liczby wszystkich obszarów ryzyka oraz liczby obszarów ryzyka wyznaczonych do przeprowadzenia zadań zapewniających w roku następnym. | Brak zapisu. |
§ 8 ust. 1 – plan audytu zawiera w szczególności:
|
§ 10 ust. 1 – plan audytu za wiera w szczególności:
|
§ 8 ust. 2 – audytor usługodawcy nie ma obowiązku przedstawiania w planie audytu informacji, o których mowa w ust. 1 pkt 2 i 4–6, jeżeli nie wynika to z warunków umowy, o której mowa w art. 279 ust. 2 FinPubU. | Brak zapisu. |
§ 8 ust. 3 – plan audytu podpisuje kierownik komórki audytu wewnętrznego albo audytor usługodawcy, a następnie kierownik jednostki. | § 10 ust. 2 – plan audytu podpisuje kierownik komórki audytu wewnętrznego oraz kierownik je dnostki. |
§ 8 ust. 4 – Kierownik komórki audytu wewnętrznego albo audytor usługodawcy przekazuje informacje o planowanym przeprowadzeniu zadań zapewniających kierownikom wszystkich komórek audytowanych objętych planem audytu. | § 10 ust.4 – plan audytu powinien być udostępniony w jednostce w sposób i formie uzgodnionej z kierownikiem jednostki |
§ 8 ust. 5 – Kierownik komórki audytu wewnętrznego albo audytor usługodawcy jednostki w dziale przesyła kopię planu audytu do dnia 15 stycznia każdego roku do komórki audytu wewnętrznego utworzonej w ministerstwie właściwym dla tego działu administracji rządowej. | § 10 ust. 3 – Kierownik komórki audytu wewnętrznego jednostki w dziale a dministracji rządowej przesyła kopię planu audytu do dnia 15 stycznia każdego roku do komórki audytu wewnętrznego utworzonej w ministerstwie właściwym dla tego działu administracji rządowej. |
§ 9 – jeżeli w trakcie realizacji planu audytu kierownik komórki audytu wewnętrznego albo audytor usługodawcy stwierdzi, że przeprowadzenie wszystkich zaplanowanych zadań audytowych jest nie możliwe lub niecelowe, uzgadnia z kierownikiem jednostki, w formie pisemnej, zakres realizacji planu audytu. | § 11 – zmiana planu audytu wymaga uzgodnienia z kierownikiem jednostki. |
§ 10 – w uzasadnionych przypadkach, w szczególności w przypadku wystąpienia nowych ryzyk lub też zmiany oceny ryzyka, kierownik komórki audytu wewnętrznego albo audytor usługodawcy uzgadnia z kierownikiem jednostki przeprowadzenie zadania audytowego poza planem audytu. | § 11 – w przypadku braku planu audytu na dany rok kierownik komórki audytu wewnętrznego albo audytor usługodawcy niezwłocznie sporządza plan audytu na ten rok kalendarzowy albo, w uzasadnionych przypadkach, uzgadnia z kierownikiem jednostki, w formie pisemnej, zadania audytowe do przeprowadzenia do końca roku kalendarzowego. |
§ 12 – w przypadku braku planu audytu na dany rok kierownik komórki audytu wewnętrznego niezwłocznie sporządza plan audytu na ten rok kalendarzowy albo, w uzasadnionych przypadkach, uzgadnia z kierownikiem jednostki zadania audytowe do przeprowadzenia do końca roku kalendarzowego. | § 33 – Kierownik komórki audytu wewnętrznego albo audytor usługodawcy składa kierownikowi jednostki sprawozdanie z wykonania planu audytu informujące w szczególności o stopniu jego realizacji oraz istotnych ryzykach i słabościach kontroli zarządczej. |
§ 13 ust. 1 – Kierownik komórki audytu wewnętrznego składa kierownikowi jednostki sprawozdanie z prowadzenia audytu wewnętrznego w jednostce do końca stycznia następnego roku, zawierające w szczególności:
|
§ 34 ust. 1 – sprawozdanie z wykonania planu audytu powinno zawierać:
|
§ 34 ust. 2. – Kierownik komórki audytu wewnętrznego albo audytor usługodawcy jednostki w dziale przesyła kopię sprawozdania do komórki audytu wewnętrznego utworzonej w ministerstwie właściwym dla tego działu administracji rządowej, w terminie do dnia 15 lutego każdego roku. | § 13 ust. 2 – Kierownik komórki audytu wewnętrznego jednostki w dz iale administracji rządowej przesyła kopię sprawozdania, o którym mowa w ust. 1, do komórki audytu wewnętrznego utworzonej w ministerstwie właściwym dla tego działu w terminie do dnia 15 lutego każdego roku. |
W projekcie rozporządzenia zrezygnowano:
- z uregulowań w obszarze przeprowadzenia analizy zasobów osobowych komórki audytu wewnętrznego na rok następny, jednak nie oznacza to, że audytor nie będzie musiał takiej analizy przeprowadzić; zgodnie z zapisami projektu w planie audytu nadal będzie należało zawrzeć informację na temat budżetu czasu dostępnego w danym roku, wyrażonego w osobodniach; informacja ta została nawet rozbudowana o czas na kontynuowanie zadań audytowych z roku poprzedniego (mogą to być zadania zapewniające, doradcze, jak i czynności monitorujące i sprawdzające); zatem w tym wypadku nie uproszczono pracy audytorom wewnętrznym;
- z zapisów odnoszących się do „cyklu audytu”; nie zawarto obowiązku wskazywania cyklu audytu w planie rocznym;
- ze szczególnego regulowania zadań audytora usługodawcy; w tym wypadku w § 3 wprowadzono zasady, że przepisy rozporządzenia dotyczące:
a. audytora wewnętrznego stosuje się odpowiednio do usługodawcy, o którym mowa w art. 279 ust. 1 pkt 1–2 FinPubU, lub osoby zatrudnionej przez usługodawcę, o którym mowa w art. 279 ust. 1 pkt 3 FinPubU, do prowadzenia audytu wewnętrznego w jednostce,
b. kierownika komórki audytu wewnętrznego stosuje się odpowiednio do osoby zatrudnionej przez usługodawcę, o którym mowa w art. 279 ust. 1 pkt 3 FinPubU, wskazanej w umowie, o której mowa w art. 279 ust. 2 FinPubU.
Oznacza to, że osoba zatrudniona przez usługodawcę typu spółka cywilna, spółka jawna, spółka partnerska, spółka komandytowa, spółka komandytowo-akcyjna lub osoba prawna, która zatrudnia do prowadzenia audytu wewnętrznego w jednostce osoby spełniające warunki określone w art. 286 FinPubU, będzie zobligowana do realizacji wszystkich obowiązków, które są nałożone przedmiotowym projektem na kierownika komórki audytowanej (m.in. będzie opracowywać procedury audytu), co może skutkować zwiększeniem kosztów takiej usługi lub ograniczeniem liczby przeprowadzonych zadań audytowych.
W obszarze sporządzania planu audytu oraz sprawozdania z jego wykonania wprowadzono szereg istotnych zmian.
Jak można przeczytać w uzasadnieniu do projektu rozporządzenia, „projektodawca zakłada, że po ponad 5 latach od wprowadzenia przepisów dotyczących kontroli zarządczej jednostki opracowały i wdrożyły systemy zarządzania ryzykiem związanym z osiąganiem celów i realizacją zadań jednostki. Ze względu na różny stopień dojrzałości stosowanych systemów, dokonując analizy ryzyka na potrzeby przygotowania planu audytu audytor wewnętrzny powinien wziąć pod uwagę te elementy funkcjonującego w jednostce systemu zarządzania ryzykiem, które mogą być wykorzystane przy tworzeniu planu. W szczególności chodziłoby o wykorzystanie gromadzonych przez jednostki informacji o ryzykach związanych z osiąganiem celów i realizacją zadań w jednostce oraz o sposobie zarządzania tymi ryzykami”.
Należy przyznać, że założenie to jest zgodne z praktyką i obowiązującymi standardami audytu wewnętrznego dla jednostek sektora finansów publicznych (Komunikat Nr 2 Ministra Finansów z 17.6.2013 r. w sprawie standardów audytu wewnętrznego dla jednostek sektora finansów publicznych – Dz.Urz. MF z 2013 r. poz. 15). Standardy te również wymagają, aby w procesie planowania rocznego uwzględniać istniejący systemu zarządzania ryzykiem w organizacji, w tym informacji o poziomach apetytu na ryzyko, ustalonych przez kierownictwo dla różnych działań lub części organizacji. Należy jednak mieć na uwadze, że w przypadku niedojrzałości systemu zarządzania ryzykiem w jednostce, trzeba przede wszystkim dokonać oceny jego wiarygodności, aby nie doprowadzić do zakłócenia obrazu obszarów ryzyka.
W rocznym planie audytu będą przedstawiane tylko obszary działalności jednostki, w których zostaną przeprowadzone zadania zapewniające w danym roku, bez wskazywania obszarów ryzyka.
Na uwagę zasługuje zapis § 9, który stanowi, że kierownik komórki audytu wewnętrznego wyznacza obszary działalności jednostki, w których zostaną przeprowadzone zadania zapewniające w roku następnym, biorąc pod uwagę m.in. priorytety kierownika jednostki i komitetu audytu. Artykuł 283 ust. 4 FinPubU stanowi, że „Kierownik komórki audytu wewnętrznego, przeprowadzając analizę ryzyka, bierze pod uwagę w szczególności zadania wynikające z planu działalności, a także wytyczne ministra kierującego działem, komitetu audytu oraz szczegółowe wytyczne Ministra Finansów, o których mowa w art. 69 ust. 4”. Oznacza to, że wytyczne komitetu audytu są brane pod uwagę tylko przy analizie ryzyka, co jest zgodne z ogólną zasadą wynikającą zarówno ze standardów audytu wewnętrznego dla jednostek sektora finansów publicznych – Standard 2010 – Komunikat Nr 2 Ministra Finansów z 17.6.2013 r. w sprawie standardów audytu wewnętrznego dla jednostek sektora finansów publicznych (Dz.Urz. MF z 2013 r. poz. 15), jak i przepisów (art. 283 ust. 3 FinPubU), że plan audytu oparty jest na analizie ryzyka. Zapis § 9 będzie skutkował tym, że priorytety komitetu audytu (który w przypadku zastosowanych w Polsce rozwiązań nie zawsze posiada pełną wiedzę na temat problemów danej jednostki) będą musiały być uwzględnione w planie audytu niezależnie od wyników analizy ryzyka. Rozwiązania ustawowe i zawarte w standardach są logiczne i wskazują na to, że priorytety komitetu audytu są jedynie uwzględniane w analizie ryzyka, a proponowany zapis wydaje się być niezgodny z tymi rozwiązaniami.
W nowych rozwiązaniach kierownik komórki audytu wewnętrznego nie będzie musiał przekazywać informacji o planowanym przeprowadzeniu zadań zapewniających kierownikom wszystkich komórek audytowanych objętych planem audytu, lecz udostępni plan audytu całej jednostce w sposób i formie uzgodnionych z kierownikiem jednostki (vide § 10 ust. 4). Przyjęte rozwiązanie jest o wiele bardziej rozsądne od poprzedniego, gdzie określając w planie rocznym obszary ryzyka, audytor na ogół nie mógł wiedzieć, jakie komórki będą objęte audytem (ustalane to było dopiero na etapie analizy ryzyka przeprowadzanej do zadania).
Wszelkie uregulowania związane z przeprowadzaniem zadania audytowego poza planem audytu zostały zastąpione zapisami § 11, w którym przewidziano możliwość zmiany planu w uzgodnieniu z kierownikiem jednostki.
Sprawozdawczość roczna z audytu nie została tak szczegółowo uregulowana, jak w obecnie obowiązującym rozporządzeniu, jednak należy mieć na uwadze zapisy standardów. W związku ze standardem 2060 Komunikat Nr 2 Ministra Finansów z 17.6.2013 r. w sprawie standardów audytu wewnętrznego dla jednostek sektora finansów publicznych (Dz.Urz. MF z 2013 r. poz. 15) – Składanie sprawozdań kierownictwu wyższego szczebla i radzie w sprawozdaniu z audytu należy zamieścić takie informacje, jak: zagadnienia dotyczące systemu kontroli, ładu organizacyjnego, znaczącego ryzyka, na jakie narażona jest organizacja (w tym ryzyka oszustwa), oraz inne, których omówienia wymaga lub oczekuje kierownictwo wyższego szczebla. Zatem fakt braku szczegółowego katalogu elementów sprawozdania nie zwalnia audytorów wewnętrznych od przedstawiania informacji o ryzyku, systemie kontroli i ładzie organizacyjnym. Projekt rozporządzenia zakłada także obowiązek przedstawiania w sprawozdaniu rocznym z audytu wyników oceny wewnętrznej i zewnętrznej audytu wewnętrznego, co może być uznane za realizację standardu 1320 – Sprawozdawczość dotycząca programu zapewnienia i poprawy jakości obligującego do przekazywania kierownictwu wyższego szczebla wyników programu zapewnienia i poprawy jakości.
Planowanie i realizacja zadania audytowego oraz informowanie o jego wynikach
Obszar ten został uregulowany w rozdziale 3. i obejmuje:
- zadania zapewniające,
- monitorowanie realizacji zaleceń,
- czynności sprawdzające,
- czynności doradcze.
Planowanie zadania zapewniającego
Przegląd wstępny
W procesie planowania zadania zapewniającego wprowadzono nową instytucję, tzw. przegląd wstępny (vide § 14 i 15). W praktyce audytorzy wewnętrzni zawsze przeprowadzali przegląd wstępny, aby poznać obszar badany i właściwie opracować program zadania audytowego.
W uzasadnieniu do projektu rozporządzenia projektodawca stwierdza, że „szczególnie istotna jest wiedza dotycząca mechanizmów kontrolnych służących ograniczeniu lub obniżeniu ryzyka do poziomu akceptowalnego, umożliwiającego realizowanie celów i zadań jednostki w niezakłócony sposób. Identyfikując kluczowe mechanizmy kontrolne, audytor wewnętrzny powinien zwrócić uwagę na konkretne czynniki ryzyka w obszarach, gdzie ryzyko oceniane jest jako znaczne. Pozwoli to na wyodrębnienie mechanizmów kontrolnych, które są kluczowe z punktu widzenia realizowania przez jednostkę celów i zadań. W efekcie zbadania przez audytora wewnętrznego mechanizmów kontrolnych możliwe będzie dostarczenie przez audytora wewnętrznego zapewnienia dotyczącego zarządzania ryzykiem w badanym obszarze”.
O ile z pierwszym zdaniem tego uzasadnienia trudno się nie zgodzić, o tyle dalsza treść nie jest zbyt fortunnie zbudowana. Powstaje pytanie, czy kluczowe mechanizmy kontrolne, to te które istnieją w procesie, czy też te, które powinny istnieć, ale ich brak – stąd wysoki poziom ryzyka. Ponadto w trakcie audytu audytor nie tylko bada mechanizmy kontrolne, lecz ocenia także skuteczność całego systemu, w tym wskazuje w nim luki, czyli braki w mechanizmach kontroli. Nie można bowiem zbadać czegoś, co nie istnieje. Dostarczenie przez audytora wewnętrznego zapewnienia dotyczącego zarządzania ryzykiem w badanym obszarze opiera się na badaniu systemu kontroli zarządczej, a nie tylko mechanizmów kontroli. Podejście zaproponowane przez projektodawcę cofa audyt polski o kilkanaście lat, gdzie audyt skupiał się na procedurach i w zasadzie pełnił rolę kontroli instytucjonalnej.
Zgodnie z § 15 w ramach wstępnego przeglądu audytor powinien uzgodnić z audytowanym kryteria oceny mechanizmów kontrolnych w obszarze działalności jednostki objętym zadaniem. W przypadku braku uzgodnienia kryteriów z audytowanym, audytor wewnętrzny uzgadnia je z kierownikiem jednostki. W uzasadnieniu do projektu rozporządzenia projektodawca stwierdza, że „wprowadzenie trybu zakładającego współpracę audytowanego z audytorem wewnętrznym pozwoli na zweryfikowanie kryteriów oceny, które audytor wewnętrzny zamierza przyjąć podczas przeprowadzania zadania zapewniającego i w razie potrzeby umożliwi ich zmianę, dostosowanie lub doprecyzowanie”.
Bardzo wzniosła jest idea zakładająca „współpracę audytowanego z audytorem wewnętrznym”, lecz niestety jest ona oderwana od rzeczywistości. System audytu wprowadzony w Polsce od 2009 r. obligujący audytorów wewnętrznych do raportowania wyników jednostce nadzorującej (ministrowi w dziale), a także niedawno wydany wyrok Trybunału Konstytucyjnego w sprawie sygn. K 14/13 spowodował wzrost nieufności do audytora. Niestety nieufność ta wpływa na poziom współpracy, a właściwie niechęć do tej współpracy. Audyt jest bowiem często traktowany, zarówno przez audytowanych, jak i samego kierownika jednostki, jak swoista kontrola, która na dodatek przekazuje wyniki na zewnątrz jednostki. Niezależnie od doświadczenia i profesjonalizmu audytora w obecnym stanie prawnym ma on znikome możliwości przekonania audytowanych i kierownika jednostki, że działa w interesie jednostki, zatem współpraca będzie owocna dla obu stron.
Zapis § 15 nie uwzględnia w ogóle procesowego podejścia do audytu i wbrew pozorom nie stanowi realizacji Standardu 2210.A3 Komunikat Nr 2 Ministra Finansów z 17.6.2013 r. w sprawie standardów audytu wewnętrznego dla jednostek sektora finansów publicznych (Dz.Urz. MF z 2013 r. poz. 15). W standardzie tym co prawda mowa jest o kryteriach oceny, ale nie o uzgadnianiu ich z audytowanym. Zaproponowany zapis w projekcie rozporządzenia rodzi ryzyko wydłużenia czasu audytu z uwagi na brak możliwości uzgodnienia kryteriów z kilkoma audytowanymi, w sytuacji gdy każdy z nich będzie miał inne zdanie. Co prawda możliwe jest odwołanie się do kierownika jednostki, ale również w tym przypadku nie ma pewności, czy kryteria oceny realizacji celów i zadań będą właściwe (odpowiednie). Zgodnie ze standardem audytor wewnętrzny może wykorzystać kryteria oceny przyjęte przez kierownictwo/radę (a nie audytowanego) w swoich ocenach, tylko wówczas, gdy ustali, że są one właściwe (odpowiednie).
W ramach wstępnego przeglądu audytor na podstawie oceny ryzyka dokonuje identyfikacji jednostek objętych audytem i obszaru przedmiotowego. Zatem w chwili rozpoczynania wstępnego przeglądu audytor, w większości przypadków, nie będzie wiedział, jakie jednostki zostaną objęte audytem. Powstaje zatem wątpliwość, w którym momencie należy zrealizować obowiązek nałożony w § 14 projektu rozporządzenia – poinformowania audytowanego o planowanej realizacji zadania, i jak należy rozumieć określenie „Przed rozpoczęciem zadania zapewniającego”.
Co do zasady wstępny przegląd powinien być zaliczony do danego zadania zapewniającego, ale powiadomienie jednostek o audycie będzie możliwe dopiero po ich zidentyfikowaniu, a zatem najwcześniej w trakcie trwania wstępnego przeglądu. Planując i rozliczając czas przeznaczony na zadanie zapewniające, należy precyzyjnie określić, w którym momencie rozpoczyna się audyt – niewątpliwie nie powinna to być data z pisma zawiadamiającego o prowadzeniu audytu. Zapis § 14 projektu rozporządzenia jest jednak bardziej przejrzysty, niż obowiązujący zapis § 17 stanowiący, że „rozpoczynając realizację zadania zapewniającego, kierownik komórki audytu wewnętrznego albo audytor usługodawcy informuje kierowników komórek audytowanych objętych zadaniem o planowanym przeprowadzeniu zadania zapewniającego”, z którego wynikało, że audytor planuje realizować coś, co już rozpoczął.
Nadal audytor wewnętrzny będzie miał obowiązek opracowania programu zadania audytowego.
Definicja zawarta w rozporządzeniu Ministra Finansów z 1.2.2010 r. | Definicja zawarta w projekcie rozporządzenia |
---|---|
§ 18 ust. 2 – Opracowując program zadania zapewniającego, audytor wewnętrzny uwzględnia w szczególności:
|
§ 16 – po przeprowadzeniu przeglądu, o którym mowa w § 15 pkt 3, audytor wewnętrzny przygotowuje program zadania zapewniającego, uwzględniając w szczególności:
|
§ 19 ust. 1 – w programie zadania zapewniającego audytor wewnętrzny określa w szczególności:
|
§ 17 ust. 1 – w programie zadania zapewniającego audytor wewnętrzny określa w szczególności:
|
W projektowanych zapisach zawarto określenie „opis doboru próby do badania oraz testowania”. Może ono jednak budzić wątpliwości, a mianowicie, co należy rozumieć przez to określenie – czy wielkość populacji i próby, jej cechy charakterystyczne itp., czy jedynie metodykę doboru próby – oraz na czym ma polegać opis testowania.
W nowych zapisach zrezygnowano z konieczności określania sposobu klasyfikowania wyników dla poszczególnych kryteriów, co w znacznym stopniu ułatwi prace audytora. Należy podkreślić, że w programie muszą jednak znaleźć się „kryteria oceny mechanizmów kontrolnych”. Do tej pory mowa była o „kryteriach oceny ustaleń stanu faktycznego”, co jest pojęciem szerszym.
Informowanie o wynikach audytu wewnętrznego
Projekt rozporządzenia zakłada uzgodnienie wstępnych wyników audytu oraz zaleceń z audytowanym. W zaprojektowanych uregulowaniach zrezygnowano z obowiązku przedstawiania kierownikom komórek audytowanych, po zakończeniu czynności w komórkach audytowanych, ustaleń stanu faktycznego i wysyłania do audytowanego sprawozdania w celu zgłoszenia przez niego uwag. Nie ma też zapisów o możliwości zwołania narady zamykającej. Zgodnie z § 18 audytor wewnętrzny po przeprowadzeniu czynności audytowych uzgadnia pisemnie z audytowanym wstępne wyniki audytu wewnętrznego, w tym w szczególności ustalenia i propozycje zaleceń, a w przypadku nieuzgodnienia występnych wyników audytu wewnętrznego, audytowany może zgłosić pisemne zastrzeżenia, w terminie określonym przez audytora wewnętrznego, nie krótszym niż 7 dni kalendarzowych od dnia poinformowania audytowanego o wstępnych wynikach.
W uzasadnieniu do projektu rozporządzenia projektodawca stwierdza, że „uzgadnianie wstępnych wyników audytu wewnętrznego z audytowanym ma na celu uzyskanie porozumienia co do wyników przeprowadzonego zadania i proponowanych zaleceń. Dokonanie uzgodnienia z audytowanym powinno wpłynąć na skrócenie etapu komunikowania wyników audytu wewnętrznego poprzez uniknięcie nieporozumień wynikających np. z błędnej oceny faktów lub nieadekwatności zaproponowanych zaleceń”.
Z zaproponowanych uregulowań wynika, że bez uzgodnienia (czyli obopólnej zgody) wstępnych wyników audytor nie będzie miał prawa sporządzić sprawozdania (§ 19 ust. 1 – po uzgodnieniu wstępnych wyników audytu wewnętrznego, audytor sporządza sprawozdanie z zadania zapewniającego). Rodzi się wątpliwość, czy takie rozwiązanie faktycznie skróci czas audytu – wydaje się, że raczej uniemożliwi w niektórych wypadkach sporządzenie sprawozdania.
Projekt rozporządzenia, tak jak w obecnie obowiązującej wersji, reguluje zawartość sprawozdania z zadania audytowego.
Definicja zawarta w rozporządzeniu Ministra Finansów z 1.2.2010 r. | Definicja zawarta w projekcie rozporządzenia |
---|---|
§ 24 ust. 2 – Sprawozdanie zawiera w szczególności:
|
§ 19 ust. 2 – spra wozdanie, o którym mowa w ust. 1, zawiera w szczególności:
|
W projekcie zrezygnowano z zapisów o:
- klasyfikacji wyników oceny według kryteriów, co jest konsekwencją poprzednich uregulowań;
- wskazaniu słabości kontroli zarządczej oraz analizy ich przyczyn;
- skutkach lub ryzykach wynikających ze wskazanych słabości kontroli zarządczej.
Ponadto nie dookreślono, czego mają dotyczyć ustalenia. Wprowadzono natomiast obowiązek odniesienia się audytora wewnętrznego w sprawozdaniu do zastrzeżeń zgłoszonych przez audytowanego, co zastępuje procedurę obowiązującą obecnie w § 25 ust. 4 – „w przypadku nieuwzględnienia dodatkowych wyjaśnień lub umotywowanych zastrzeżeń do treści sprawozdania, w części albo w całości, audytor wewnętrzny przekazuje na piśmie swoje stanowisko wraz z uzasadnieniem kierownikowi komórki audytowanej”.
Procedura raportowania
Zgodnie z § 20 projektu rozporządzenia procedura raportowania przedstawia się następująco:
- kierownik komórki audytu wewnętrznego przekazuje sprawozdanie audytowanemu i kierownikowi jednostki;
- audytowany, w terminie 14 dni kalendarzowych od otrzymania sprawozdania, ustala sposób i termin oraz wyznacza osoby odpowiedzialne za realizację zaleceń, powiadamiając o tym na piśmie kierownika komórki audytu wewnętrznego – koniec procesu
lub - w przypadku zastrzeżeń do treści zaleceń lub odmowy ich realizacji, w terminie 7 dni kalendarzowych od otrzymania sprawozdania, audytowany przedstawia pisemne stanowisko kierownikowi jednostki i audytorowi wewnętrznemu;
- kierownik jednostki podejmuje decyzję dotyczącą realizacji zaleceń, informując o tym audytowanego i kierownika komórki audytu wewnętrznego – koniec procesu.
Przedmiotowe uregulowania nie wskazują, co należy zrobić, jeśli audytowany nie wywiąże się z nałożonego obowiązku – czyli nie odpowie na sprawozdanie lub tylko w części zrealizuje obowiązek. Zapis ust. 4 odnosi się jedynie do sytuacji, gdy audytowany wnosi zastrzeżenia. Ponadto projektodawca nie pochylił się nad problemem wynikającym z praktyki, a dotyczącym zaleceń systemowych, co do których nie zawsze audytowany może się wypowiedzieć, lub gdy ustalenia audytora odnoszą się do działalności innej komórki niż audytowana.
Monitorowanie realizacji zaleceń i czynności sprawdzające
W zaproponowanych rozwiązaniach projektodawca rozróżnił monitorowanie zaleceń od czynności sprawdzających. Należy podkreślić, że w standardach (standard 2500.A1) – Komunikat Nr 2 Ministra Finansów z 17.6.2013 r. w sprawie standardów audytu wewnętrznego dla jednostek sektora finansów publicznych (Dz.Urz. MF z 2013 r. poz. 15) mowa jest jedynie o monitorowaniu zaleceń. O ile monitorowanie realizacji zaleceń jest konieczne i realne, o tyle dokonanie oceny sposobu wdrożenia i skuteczności zaleceń zrealizowanych przez audytowanego wiąże się w zasadzie z przeprowadzeniem nowego audytu. Projektodawca w obu przypadkach założył obligatoryjną realizację przedmiotowych czynności. Przy procesowym podejściu do zadań audytora będzie to wymagać objęcia taką oceną wszystkich komórek/jednostek/ gremiów biorących udział w procesie.
Projektodawca nie wziął zapewne pod uwagę (co budzi zdziwienie), że większość komórek audytu wewnętrznego to jednoosobowe lub najwyżej dwuosobowe stanowiska pracy, zatem zasoby audytu są znacznie ograniczone. Jeżeli projektodawca założył podniesienie jakości audytu, to może powinien także wprowadzić uregulowania odnośnie ilościowego i jakościowego składu osobowego pionu audytu w stosunku do wielkości audytowanego obszaru lub wysokości obrotów.
W rozwiązaniach obecnie obowiązujących audytor wewnętrzny mógł przeprowadzić czynności sprawdzające, dokonując oceny działań jednostki podjętych w celu realizacji zaleceń (§ 28 ust. 3). W zaproponowanych rozwiązaniach brak jest możliwości przeprowadzenia czynności sprawdzających w trakcie ponownego zadania zapewniającego, obejmującego dany obszar. Taka sytuacja będzie miała miejsce w przypadku audytu bezpieczeństwa informacji, realizowanego co rocznie na podstawie § 20 ust. 2 pkt 14 rozporządzenia Rady Ministrów z 12.4.2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Realizacja osobnych czynności sprawdzających, w sytuacji gdy realizowane jest tożsame zadanie zapewniające, jest nieracjonalnym wykorzystaniem zasobów audytu.
Nadal z czynności sprawdzających audytor sporządza notatkę informacyjną.
Czynności doradcze
Zgodnie z § 23 projektu rozporządzenia audytor wewnętrzny, planując czynności doradcze, uzgadnia ich cel i zakres z kierownikiem jednostki.
Warto zwrócić uwagę, że proponowany zapis nie precyzuje:
- czy każda czynność doradcza musi być planowana;
- czy za każdym razem uzgadniany jest cel i zakres czynności doradczej z kierownikiem jednostki;
- na czyj wniosek lub polecenie czynność ma być realizowana.
Obecnie obowiązujący zapis § 29 ust. 1 jest bardziej precyzyjny (choć niewyczerpujący) i stanowi, że audytor wewnętrzny może wykonywać czynności doradcze na wniosek kierownika jednostki lub z własnej inicjatywy w zakresie z nim uzgodnionym.
Należy zauważyć, że czynności doradcze realizowane są jako:
- formalne czynności doradcze – planowane, często posiadające program działań;
- nieformalne czynności doradcze – stanowiące działalność rutynową, np. udział w stałych komisjach, projektach o ograniczonym czasie trwania, zebraniach doraźnych oraz wymianie informacji;
- specjalne czynności doradcze – polegające na udziale w różnych zespołach powoływanych w celu przeprowadzenia konkretnego przedsięwzięcia, bez prawa decyzyjnego;
- pilne czynności doradcze – polegające na udziale w procesie przywrócenia lub utrzymania działalności operacyjnej po awarii lub innym nadzwyczajnym wydarzeniu bądź w zespole, którego zadaniem jest wsparcie w wykonaniu szczególnego polecenia lub dotrzymania nietypowego terminu.
Trudno zrozumieć, dlaczego projektodawca zrezygnował z uregulowań zawartych obecnie w § 31 ust. 2, stanowiącym, że audytor wewnętrzny może z własnej inicjatywy składać kierownikowi komórki audytowanej lub kierownikowi jednostki wnioski mające na celu usprawnienie funkcjonowania tej komórki lub jednostki. Czy w związku z tym audytorom nie będzie wolno podejmować własnych inicjatyw?
Audyt wewnętrzny zlecony i ocena prowadzenia audytu wewnętrznego
W rozdziale 4. projektodawca zawarł następujące nowe rozwiązania dotyczące audytu zleconego:
- zrezygnowano z możliwości opracowywania programu zadania przez Ministra Finansów (§ 26 ust. 1);
- nałożono na audytora wewnętrznego obowiązek opracowywania programu zadania zapewniającego przy audycie zleconym (§ 26 ust. 2).
Odnośnie oceny prowadzenia audytu wewnętrznego dokonano zmiany terminu – z 7 do 14 dni – w jakim kierownik jednostki może zgłosić Ministrowi Finansów na piśmie swoje stanowisko do wyników oceny, oraz dodano zapis, że do oceny przeprowadzanej przez Generalnego Inspektora Kontroli Skarbowej, zgodnie z ustawą o finansach publicznych, przepisy § 41–44 stosuje się odpowiednio. W pozostałym zakresie zapisy są w zasadzie tożsame z dotychczas obowiązującym rozporządzeniem, z drobnymi zmianami.