Audytor wewnętrzny ma opracować plan, cel i zakres zadania

Audyt wewnętrzny w jednostkach sektora finansów publicznych podlega międzynarodowym standardom opracowanym przez Instytut Audytorów Wewnętrznych (The Institute of Internal Auditors IIA). Jak zgodnie z tymi regulacjami powinno wyglądać planowanie zadania audytowego?

Planowanie takie oparte na międzynarodowych standardach i wiodących praktykach wygląda podobnie bez względu na to, w jakim sektorze (publicznym czy komercyjnym) czy też branży działa dana organizacja, w której funkcjonuje audyt wewnętrzny.

Międzynarodowy standard audytu wewnętrznego 2210 wymaga, aby audytorzy wewnętrzni opracowali i udokumentowali plan (program) każdego zadania, obejmujący jego cele i zakres, czas potrzebny do realizacji i niezbędne zasoby. Trudno przecenić wagę dobrego planowania dla efektywności przeprowadzenia całego audytu oraz dla osiągnięcia wysokiej jakości wniosków zawartych w końcowym raporcie. Kluczem do opracowania dobrego planu jest jasne określenie celów audytu oraz jak najlepsze zrozumienie audytowanej działalności i procesów, które zachodzą w audytowanym obszarze. Same standardy (2210.A1) mówią ogólnie, że audytorzy wewnętrzni muszą przeprowadzić wstępną ocenę ryzyk związanych z badaną działalnością. Wyniki tej oceny muszą być odzwierciedlone w celach zadania.

Wykonanie takiej oceny jest możliwe wyłącznie pod warunkiem pełnego zrozumienia audytowanej działalności, jej celów i wagi dla całej organizacji.

Niezbędne jest zidentyfikowanie kryteriów oceny efektywności audytowanych procesów, jakimi posługują się kierownictwo organizacji, a także odbiorcy produktów audytowanych procesów.

Jak to jednak przełożyć na planowanie zadania audytowego w instytucjach sektora finansów publicznych?

W większości z nich warto spojrzeć na audytowane procesy i ich efekty z punktu widzenia zarówno nadzorujących działalność tych instytucji, kierownictwa samej instytucji, jak i kryteriów, jakie do oceny skuteczności tych procesów stosują obsługiwane przez tę instytucję podmioty czy np. mieszkańcy załatwiający sprawy. Audytorzy muszą rozumieć system oceniania i motywowania kierownictwa i pracowników komórek organizacyjnych odpowiedzialnych za dany proces oraz miary, jakimi mierzony jest ich sukces.

Kolejnym aspektem planowania zadania jest zrozumienie przebiegu głównych procesów w badanym obszarze, ich wzajemnych powiązań oraz pełne zidentyfikowanie komórek organizacyjnych uczestniczących w tych procesach i ich wzajemnych interakcji.

Wstępna ocena ryzyk oznacza, że rozumiejąc cele i przebieg procesu, audytor jest w stanie zidentyfikować najistotniejsze zagrożenia dla osiągnięcia tych celów oraz elementy procesu najbardziej narażone na ryzyka. Zgodnie ze standardami (2210.A2) audytorzy wewnętrzni muszą w tej fazie wziąć pod uwagę prawdopodobieństwo wystąpienia istotnych błędów, oszustw, niezgodności. Dobry program zadania audytowego skupia się na zidentyfikowaniu ryzyk, ale także określa, na podstawie znajomości procesu, jakie kluczowe mechanizmy kontrolne posiada organizacja, aby tym zagrożeniom zaradzić lub łagodzić ich skutki. Program audytu musi określać, na których elementach procesu należy się skupić i które mechanizmy kontrolne szczególnie przetestować, jakim aspektom badanej działalności poświęcić najwięcej czasu i zasobów.

W kompleksowym podejściu do audytowania procesów, według wiodących praktyk, szeroko pojęta faza planowania kończy się dopiero określeniem konkretnych testów mechanizmów kontrolnych - włącznie z testami kontroli aplikacyjnymi dokonującymi się w systemach informatycznych - ograniczających kluczowe ryzyka.

Jak wypracować taki program w praktyce?

Audytor powinien w fazie planowania zgromadzić jak najszerszą dokumentację audytowanego procesu, pochodzącą z różnych źródeł zarówno wewnętrznych (informacje posiadane w całej organizacji, w samych badanych komórkach organizacyjnych), jak i zewnętrznych (opracowania, analizy, wiedza ekspercka). Audytorzy powinni zapoznać się z opisem procesów, obowiązującymi procedurami, przepisami zewnętrznymi regulującymi działalność organizacji w badanym aspekcie. Konieczne jest przeanalizowanie wniosków z poprzednich audytów, przeglądów i inspekcji dokonanych przez różne organy kontrolne, rejestrów skarg i zażaleń, a nawet dostępnych artykułów prasowych i wypowiedzi internautów na temat oceny działalności urzędu. Do poprawnego zaplanowania zadania konieczna jest jednak nie tylko analiza dokumentacji, lecz także spotkanie z kierownictwem audytowanej komórki i pracownikami operacyjnymi biorącymi udział w realizacji procesu. Często zdarza się bowiem, że spisane procedury niekoniecznie są aktualne i kompletne oraz wiele aspektów przebiegu procesu nie jest opisanych w dostępnej dokumentacji, a mogą okazać się one bardzo istotne dla zrozumienia i zidentyfikowania ryzyk. Już na etapie planowania zadania niezbędne jest zrozumienie przez audytorów zakresu wsparcia audytowanego procesu przez systemy IT, ich znaczenia dla osiągania celów procesu, logiki przepływu danych i informacji w procesie. W nowoczesnym podejściu do audytowania procesów mówimy o audycie zintegrowanym, co oznacza, że program audytu powinien uwzględniać aspekty działania aplikacji i baz danych w systemach IT wspierających audytowany proces, a co za tym idzie osoby prowadzące i nadzorujące zadanie audytowe muszą rozpoznać, czy zespół audytorski posiada odpowiednie kompetencje w tym zakresie, i zaplanować wsparcie ekspertów zewnętrznych, kiedy jest to konieczne.

Na co zwrócić uwagę, planując pracę i identyfikując ryzyka?

Przede wszystkim na takie aspekty zwiększające zwykle możliwość wystąpienia błędów i słabości, jak dokonane w ostatnim okresie zmiany organizacyjne, rotacje personelu w audytowanych komórkach organizacyjnych, wdrożenia nowych narzędzi i systemów, zmiany regulacji prawnych.

Planowanie zadania to nie tylko identyfikacja ryzyk i potencjalnych słabych punktów procesu, audytor powinien przeprowadzić w tej fazie bardzo konkretne zaplanowanie czasu i zasobów do przeprowadzenia audytu. Częstym problemem, jaki pojawia się w trakcie realizacji zadania, jest przeciąganie się w czasie jego realizacji i opóźnienia w wydaniu raportu.

Z czego to wynika?

Źródło tego problemu nierzadko tkwi w fazie planowania, w której nie przewidziano takich okoliczności, jak dość długi czas konieczny na pozyskanie danych z systemów informatycznych dla celów dokonania testów, konieczność sprowadzenia dokumentacji z odległych miejsc, niedostępność kluczowych pracowników i kierownictwa ze względu na zaplanowane urlopy, wyjazdy itd. Dobre planowanie wymaga poświęcenia odpowiedniego czasu i uwagi, jednak poprawnie wykonane w dużym stopniu przyczynia się do sprawnej realizacji zadania i wysokiej jakości wniosków dla organizacji.

Czy możemy pokazać to na praktycznym przykładzie?

W jednostce sektora samorządowego audyt wewnętrzny otrzymał zadanie - audyt procesu rejestracji i obsługi wniosków o dofinansowanie z konkretnego programu ABC finansowanego przez UE.

Audytor w trakcie planowania zrozumiał i wyodrębnił następujące procesy do audytu: wdrożenie i aktualizacja procedur obsługi programu ABC w badanej jednostce, rejestracja wniosków, przyznawanie środków, bieżąca obsługa programu, rozliczenie. Na podstawie zgromadzonych informacji z innych audytów i inspekcji zewnętrznych oraz rozmów z kierownictwem audytorzy zidentyfikowali główne ryzyko, którym jest niedostateczne wsparcie powyższych procesów przez system informatyczny. W związku z tym w testach nacisk położono na zbadanie efektywności wsparcia procesów przez system i na przegląd planowanych zmian i rozpoczętych projektów w tym zakresie.

@RY1@i02/2012/202/i02.2012.202.08800100a.802.jpg@RY2@

Wojciech Górski

Artur Wietrzyk, starszy menedżer w Ernst & Young

Rozmawiała Agnieszka Pokojska