Standardy atrybutów określają cechy organizacji i osób zajmujących się audytem wewnętrznym. Natomiast standardy działania opisują charakter działań audytu wewnętrznego oraz określają kryteria jakościowe służące ich ocenie. Standardy atrybutów i działania dotyczą wszystkich usług audytu wewnętrznego. Rozwinięciem standardów atrybutów i działania są standardy wdrożenia, które opisują wymagania dotyczące usług zapewniających (.A) lub doradczych (.C). Standardy składają się ze stwierdzeń określających podstawowe wymogi wobec praktyki zawodowej audytu wewnętrznego i oceny skuteczności działań oraz z interpretacji, wyjaśniających terminy lub pojęcia w nich używane. W części pierwszej przedstawiono najważniejsze zmiany standardów atrybutów obowiązujące od 1.1.2017 r. i ich wpływ na funkcjonowanie audytu wewnętrznego w jednostkach samorządu terytorialnego (JST).
Standard 1000 – cel, uprawnienia i odpowiedzialność
|
Standard po zmianie |
Standard przed zmianą |
|
Cel, uprawnienia i odpowiedzialność audytu wewnętrznego muszą być formalnie określone w karcie audytu wewnętrznego oraz zgodne z Misją audytu wewnętrznego i obowiązkowymi elementami Międzynarodowych ramowych zasad praktyki zawodowej. Zarządzający audytem wewnętrznym musi okresowo przeglądać i w razie potrzeby aktualizować kartę audytu wewnętrznego. Musi też przedstawić ją do zatwierdzenia kierownictwu wyższego szczebla i radzie. |
Cel, uprawnienia i odpowiedzialność audytu wewnętrznego muszą być formalnie określone w karcie audytu wewnętrznego oraz zgodne z Definicją audytu wewnętrznego, Kodeksem etyki i Standardami. Zarządzający audytem wewnętrznym musi okresowo przeglądać i w razie potrzeby aktualizować kartę audytu wewnętrznego. Musi też przedstawić ją do zatwierdzenia kierownictwu wyższego szczebla i radzie. |
|
Interpretacja: Karta audytu wewnętrznego to oficjalny dokument określający cel, uprawnienia i odpowiedzialność audytu wewnętrznego. Karta audytu ustala pozycję audytu wewnętrznego w strukturze organizacji, w tym charakter podległości funkcjonalnej między zarządzającym audytem wewnętrznym a radą, uprawnia do dostępu do danych, personelu i majątku rzeczowego w zakresie wymaganym do wykonywania zadań audytowych oraz określa zakres działania audytu wewnętrznego. Karta audytu wewnętrznego jest ostatecznie zatwierdzana przez radę. 1000.A1 – Charakter usług zapewniających świadczonych organizacji musi być określony w karcie audytu wewnętrznego. W przypadku świadczenia usług zapewniających jednostkom spoza organizacji charakter tych usług również musi być określony w karcie audytu wewnętrznego. 1000.C1 – Charakter usług doradczych musi być określony w karcie audytu wewnętrznego. |
|
Standard zobowiązuje komórkę audytu wewnętrznego do posiadania karty audytu, tj. oficjalnego dokumentu określającego cel, uprawnienia i odpowiedzialność audytu wewnętrznego. Przygotowanie karty audytu wewnętrznego należy do obowiązków kierownika komórki audytu wewnętrznego (audytora wewnętrznego – w jednoosobowej komórce audytu wewnętrznego). Wprowadzona w standardzie 1000 zmiana ma w zasadzie jedynie charakter redakcyjny. Obowiązujący do końca 2016 r. zapis: Cel, uprawnienia i odpowiedzialność audytu wewnętrznego muszą być formalnie określone w karcie audytu wewnętrznego oraz zgodne z Definicją audytu wewnętrznego, Kodeksem etyki i Standardami zastąpiono zapisem: Cel, uprawnienia i odpowiedzialność audytu wewnętrznego muszą być formalnie określone w karcie audytu wewnętrznego oraz zgodne z Misją audytu wewnętrznego i obowiązkowymi elementami Międzynarodowych ramowych zasad praktyki zawodowej. Instytut Audytorów Wewnętrznych we wprowadzeniu do standardów wskazuje, że standardy razem z Kodeksem etyki zawierają wszystkie obowiązkowe elementy Międzynarodowych ramowych zasad praktyki zawodowej. Zatem nie uległy zmianie unormowania, na podstawie których kierownik komórki audytu wewnętrznego określa cel, uprawnienia i odpowiedzialność audytu wewnętrznego.
Karta audytu wewnętrznego musi zostać przedstawiona do zatwierdzenia kierownictwu wyższego szczebla i radzie. Z uwagi na fakt, że standardy mają charakter międzynarodowy i dotyczą zarówno sektora publicznego, jak i prywatnego, niektóre wytyczne trudno jest przełożyć na realia funkcjonowania JST w Polsce. Problem taki może pojawić się m.in. przy ustaleniu osób, którym należy przedstawić do zatwierdzenia kartę audytu wewnętrznego. O ile bez większych trudności można stwierdzić, że za kierownictwo wyższego szczebla w JST należy uznać wójta/burmistrza/prezydenta miasta/przewodniczącego zarządu jednostki samorządowej, o tyle ustalenie odpowiednika rady (w rozumieniu standardów) jest znacznie bardziej problematyczne. Zmieniona od 1.1.2017 r. definicja rady zawarta w Międzynarodowych standardach praktyki zawodowej audytu wewnętrznego przedstawia się następująco: najwyższy organ nadzorczy (np. rada dyrektorów, rada nadzorcza, zarządzająca lub powiernicza), do obowiązków którego należy kierowanie i/lub nadzór nad działaniami organizacji oraz rozliczanie kierownictwa wyższego szczebla. Choć istnieją różne rozwiązania w zakresie ładu organizacyjnego w różnych jurysdykcjach i sektorach, to zazwyczaj w radzie znajdują się osoby, które nie są częścią kierownictwa. Jeśli rada nie istnieje, wówczas słowo „rada” w Standardach odnosi się do grupy lub osoby, której powierzono obowiązki w zakresie ładu organizacyjnego. „Rada” w Standardach może też oznaczać komitet lub inne ciało, któremu organ nadzorczy przekazał określone obowiązki (np. komitet audytu). Patrząc na przytoczoną definicję, można dojść do wniosku, że rada (w rozumieniu standardów) w JST nie istnieje. W JST nie funkcjonuje również komitet audytu. Zatem kierując się powyższą definicją, za radę należy uznać grupę lub osobę, której powierzono obowiązki w zakresie ładu organizacyjnego. W tym miejscu pojawia się kolejny problem – kto w JST jest odpowiedzialny za ład organizacyjny, który w standardach został zdefiniowany jako procesy i struktury wprowadzone przez radę w celu informowania, kierowania, zarządzania i monitorowania działań organizacji, prowadzących do osiągnięcia jej celów . Analizując definicję ładu organizacyjnego, można znaleźć wiele jego cech wspólnych z kontrolą zarządczą. Zgodnie z art. 68 FinPubU kontrolę zarządczą w jednostkach sektora finansów publicznych stanowi ogół działań podejmowanych dla zapewnienia realizacji celów i zadań w sposób zgodny z prawem, efektywny, oszczędny i terminowy. Celem kontroli zarządczej jest zapewnienie w szczególności:
1) zgodności działalności z przepisami prawa oraz procedurami wewnętrznymi,
2) skuteczności i efektywności działania,
3) wiarygodności sprawozdań,
4) ochrony zasobów,
5) przestrzegania i promowania zasad etycznego postępowania,
6) efektywności i skuteczności przepływu informacji,
7) zarządzania ryzykiem.
W jednostce samorządowej zapewnienie funkcjonowania adekwatnej, skutecznej i efektywnej kontroli zarządczej należy do obowiązków wójta/burmistrza/prezydenta miasta/przewodniczącego zarządu JST. Zatem kierując się definicją rady zawartą w standardach, można dojść do wniosku, że radą będzie również wójt/burmistrz/prezydent miasta/przewodniczący zarządu JST, a co za tym idzie – w JST nie ma możliwości podwójnego raportowania (tj. kierownictwu wyższego szczebla i radzie). Zgodnie z wprowadzeniem do Międzynarodowych standardów praktyki zawodowej audytu wewnętrznego, jeżeli przepisy lub inne regulacje uniemożliwiają audytorom wewnętrznym lub audytowi wewnętrznemu stosowanie części Standardów, konieczne jest odpowiednie ujawnienie tego faktu i stosowanie Standardów w pozostałym zakresie. Brak osoby/grupy osób spełniających definicję rady (w rozumieniu standardów) niezależnej od kierownictwa wyższego szczebla nie uniemożliwia stosowania standardów, jednak w znacznym stopniu utrudnia ich interpretacje. Stąd wydaje się zasadne, aby informacje o tym fakcie zawrzeć w karcie audytu wewnętrznego.
