Poradnik : Ład organizacyjny: definicja

Transkrypt

1 Poradnik : Ład organizacyjny: definicja 2110 Ład organizacyjny Audyt wewnętrzny musi oceniać procesy kształtujące ład organizacyjny i przedstawiać stosowne zalecenia usprawnienia tych procesów, tak by osiągane były następujące cele: promowanie odpowiednich zasad etyki i wartości w organizacji; zapewnianie skutecznego zarządzania efektywnością działań organizacji i odpowiedzialności za wyniki; przekazywanie informacji o ryzykach i kontroli do odpowiednich obszarów organizacji; koordynowanie działań i przekazywanie informacji pomiędzy radą, audytorami zewnętrznymi i wewnętrznymi oraz kierownictwem. 1. Jednym z zadań audytu wewnętrznego w ramach funkcji zapewniającej, opisanym w Definicji audytu wewnętrznego, jest obowiązek oceny i usprawnienia procesów kształtujących ład organizacyjny. 2. Istnieje wiele definicji ładu organizacyjnego. Ich różnorodność wynika z szeregu czynników środowiskowych, strukturalnych i kulturowych oraz różnic w systemach prawnych. Międzynarodowe standardy praktyki zawodowej audytu wewnętrznego (zwane dalej Standardami) definiują ład organizacyjny jako: procesy i struktury wprowadzone przez radę w celu informowania, kierowania, zarządzania i monitorowania działań organizacji, prowadzących do osiągnięcia jej celów. Zarządzający audytem wewnętrznym (ZAW) może dla celów audytu posługiwać się inną definicją, jeżeli organizacja przyjęła inne zasady ramowe lub inny model ładu organizacyjnego. 3. Na świecie istnieje wiele modeli ładu organizacyjnego, opublikowanych przez różne organizacje, organy ustawowe i regulacyjne. Na przykład Organizacja Współpracy Gospodarczej i Rozwoju (OECD) definiuje ład organizacyjny jako: sieć relacji między kierownictwem spółek, ich organami zarządzająco-nadzorczymi, wspólnikami/ akcjonariuszami i innymi interesariuszami. Ład organizacyjny oferuje ponadto strukturę, za pośrednictwem której ustalane są cele spółki, środki realizacji tych celów oraz środki umożliwiające śledzenie wyników spółki 1. Rada ds. Ładu Organizacyjnego przy australijskiej giełdzie papierów wartościowych definiuje ład organizacyjny jako: system, za pomocą którego przedsiębiorstwa są kierowane i zarządzane. Ma on wpływ na sposób ustalania i osiągania celów spółki, monitorowania i oceny ryzyka oraz optymalizacji działalności. W większości definicji wskazuje się, że ład organizacyjny jest procesem lub systemem, nie jest statyczny. Tym co wyróżnia Standardy jest szczególny nacisk na radę i jej działania w zakresie ładu organizacyjnego. 4. Zasady ramowe i wymagania odnośnie ładu organizacyjnego różnią się w zależności od typu organizacji i obowiązujących regulacji. Jako przykłady można wymienić spółki notowane na giełdzie, organizacje non-profit, stowarzyszenia, podmioty państwowe lub quasi-państwowe, uczelnie, przedsiębiorstwa prywatne, urzędy oraz giełdy papierów wartościowych. 1 Tłumaczenie definicji OECD pochodzi z dokumentu Zasady nadzoru korporacyjnego OECD, Ministerstwo Skarbu Państwa

2 5. To jak organizacja projektuje zasady skutecznego ładu organizacyjnego i z nich korzysta zależy również od wielkości i złożoności organizacji, jej dojrzałości w cyklu życia, struktury interesariuszy, wymagań prawnych i kulturowych itd. 6. Z uwagi na różne konstrukcje i struktury ładu organizacyjnego ZAW powinien wspólnie z odpowiednio radą i zarządem określić jak należy zdefiniować ład organizacyjny dla celów audytu. 7. Audyt wewnętrzny jest integralną częścią ładu danej organizacji. Wyjątkowa pozycja w organizacji umożliwia audytorom wewnętrznym obserwację i formalną ocenę struktury, konstrukcji i efektywności operacyjnej ładu organizacyjnego, przy równoczesnym zachowaniu własnej niezależności. 8. Należy wziąć pod uwagę wzajemne powiązania między ładem organizacyjnym, zarządzaniem ryzykiem i kontrolą wewnętrzną. Zagadnienie to jest przedmiotem poradnika W poradniku omówiono ocenę ładu organizacyjnego. 2

3 Poradnik : Ład organizacyjny: powiązania z ryzykiem i kontrolą 2110 Ład organizacyjny Audyt wewnętrzny musi oceniać procesy kształtujące ład organizacyjny i przedstawiać stosowne zalecenia usprawnienia tych procesów, tak by osiągane były następujące cele: promowanie odpowiednich zasad etyki i wartości w organizacji; zapewnianie skutecznego zarządzania efektywnością działań organizacji i odpowiedzialności za wyniki; przekazywanie informacji o ryzykach i kontroli do odpowiednich obszarów organizacji; koordynowanie działań i przekazywanie informacji pomiędzy radą, audytorami zewnętrznymi i wewnętrznymi oraz kierownictwem. 1. Międzynarodowe standardy praktyki zawodowej audytu wewnętrznego definiują ład organizacyjny jako procesy i struktury wprowadzone przez radę w celu informowania, kierowania, zarządzania i monitorowania działań organizacji, prowadzących do osiągnięcia jej celów. 2. Ład organizacyjny nie jest zestawem odrębnych, oddzielnych procesów i struktur. Istnieją powiązania między ładem organizacyjnym, zarządzaniem ryzykiem i kontrolą wewnętrzną. 3. Skuteczne działania w ramach ładu organizacyjnego wymagają uwzględnienia ryzyka przy ustalaniu strategii. I w drugą stronę zarządzanie ryzykiem zależy od skutecznego ładu (np. przykładu z góry, apetytu na ryzyko i tolerancji ryzyka, kultury ryzyka i nadzoru nad zarządzaniem ryzykiem). 4. Skuteczny ład organizacyjny opiera się na mechanizmach kontroli wewnętrznej i informowaniu rady o ich skuteczności. 5. Kontrola i ryzyko także są powiązane kontrola jest zdefiniowana jako każde działanie podejmowane przez kierownictwo, radę i inne osoby w celu zarządzenia ryzykiem i zwiększenia prawdopodobieństwa osiągnięcia ustalonych celów. 6. Planując ocenę procesów kształtujących ład organizacyjny zarządzający audytem wewnętrznym powinien wziąć pod uwagę wymienione wyżej powiązania: Audyt powinien zająć się tymi mechanizmami kontrolnymi w procesach kształtujących ład organizacyjny, które zostały zaprojektowane w celu zapobieżenia lub wykrycia zdarzeń mogących negatywnie wpłynąć na: realizację strategii, celów i zadań organizacji, wydajność i skuteczność operacyjną, sprawozdawczość finansową lub zgodność z prawem i innymi regulacjami. (Patrz poradnik ) Mechanizmy kontrolne w procesach kształtujących ład organizacyjny mają zwykle duże znaczenie w zarządzaniu wieloma ryzykami w całej organizacji. Na przykład kontrole związane z kodeksem postępowania mogą służyć do zarządzania ryzykiem zgodności, oszustw itp. Ten efekt agregacji należy wziąć pod uwagę opracowując zakres audytu procesów kształtujących ład organizacyjny. Jeżeli mechanizmy kontrolne w procesach kształtujących ład organizacyjny są oceniane w ramach innych audytów (np. audytu kontroli nad sprawozdawczością 3

4 finansową, procesów zarządzania ryzykiem lub zgodności), audytor powinien rozważyć możliwość oparcia się na wynikach tych prac. 4

5 Poradnik : Ład organizacyjny: oceny 2110 Ład organizacyjny Audyt wewnętrzny musi oceniać procesy kształtujące ład organizacyjny i przedstawiać stosowne zalecenia usprawnienia tych procesów, tak by osiągane były następujące cele: promowanie odpowiednich zasad etyki i wartości w organizacji; zapewnianie skutecznego zarządzania efektywnością działań organizacji i odpowiedzialności za wyniki; przekazywanie informacji o ryzykach i kontroli do odpowiednich obszarów organizacji; koordynowanie działań i przekazywanie informacji pomiędzy radą, audytorami zewnętrznymi i wewnętrznymi oraz kierownictwem. 1. Audytorzy wewnętrzni mogą mieć różne obowiązki w zakresie oceny praktyk ładu organizacyjnego i przyczyniania się do ich usprawniania. Najczęściej audytorzy wewnętrzni dostarczają niezależnej, obiektywnej oceny konstrukcji procesów i efektywności operacyjnej ładu organizacyjnego. Mogą także świadczyć usługi doradcze i wskazywać, w jaki sposób usprawnić te procesy. W niektórych przypadkach od audytorów wewnętrznych wymaga się pomocy radzie w dokonaniu samooceny praktyk ładu organizacyjnego. 2. Jak opisano w poradniku Ład organizacyjny: definicja definicja ładu organizacyjnego dla celów audytu powinna być uzgodniona z odpowiednio radą i zarządem. Audytor wewnętrzny powinien też rozumieć procesy ładu w organizacji oraz powiązania między ładem organizacyjnym, zarządzaniem ryzykiem i kontrolą wewnętrzną (patrz poradnik Ład organizacyjny: powiązania z ryzykiem i kontrolą ). 3. Plan audytu powinien być opracowany w oparciu o ocenę ryzyk, na jakie narażona jest organizacja. W ocenie tej powinny być uwzględnione wszystkie procesy kształtujące ład organizacyjny. Plan powinien obejmować te z nich, których ryzyko jest wyższe. Należy też rozważyć włączenie do planu oceny procesów lub obszarów ryzyka, o które poprosiła rada lub zarząd. Plan powinien wymieniać procesy, które będą badane oraz określać charakter prac i dokonywanych ocen (tj. makro uwzględniających całość zasad ładu organizacyjnego lub mikro dotyczących konkretnych ryzyk, procesów lub działań; możliwa jest też kombinacja obydwu podejść). 4. Jeżeli występują problemy z procesem kontroli lub ład organizacyjny nie jest dojrzały, zarządzający audytem wewnętrznym może rozważyć różne metody usprawnienia obu tych procesów za pomocą usług doradczych zamiast lub jako dodatek do formalnych ocen. 5. Oceny audytu wewnętrznego dotyczące procesów ładu organizacyjnego będą często oparte na informacjach pochodzących z wielu zadań audytowych, przeprowadzanych w dłuższym okresie. Audytorzy wewnętrzni powinni uwzględnić: Wyniki audytów konkretnych procesów kształtujących ład organizacyjny (np. procesu pozyskiwania informacji od demaskatorów, czy procesu zarządzania strategicznego). Kwestie związane z ładem organizacyjnym wynikające z zadań, które skupiały się na innych tematach (np. procesie zarządzania ryzykiem, kontroli wewnętrznej nad sprawozdawczością finansową, czy ryzyku oszustwa). 5

6 Wyniki prac innych wewnętrznych i zewnętrznych wykonawców usług zapewniających (np. firma zaangażowana przez dział prawny do sprawdzenia procesu dochodzenia). Patrz też poradnik 2050 Koordynowanie. Inne informacje na temat kwestii związanych z ładem organizacyjnym, takie jak negatywne zdarzenia świadczące o tym, że istnieją możliwości poprawy procesów kształtujących ten ład. 6. W każdej fazie zadania (tj. podczas planowania, oceny i raportowania) audytorzy wewnętrzni powinni być wyczuleni na charakter i konsekwencje wyników badań. Powinni odpowiednio przekazywać te wyniki zarządowi i radzie. Audytorzy powinni rozważyć możliwość skonsultowania się z radcą prawnym przed rozpoczęciem audytu i przed ukończeniem sprawozdania. 7. Audyt wewnętrzny jest zasadniczą częścią procesu ładu organizacyjnego. Rada i zarząd powinny uzyskać zapewnienie o skuteczności audytu poprzez program zapewnienia i poprawy jakości audytu wewnętrznego w powiązaniu z zewnętrznymi ocenami jakości przeprowadzanymi zgodnie z Międzynarodowymi standardami praktyki zawodowej audytu wewnętrznego. 6

7 Poradnik : Ocenianie adekwatności procesów zarządzania ryzykiem 2120 Zarządzanie ryzykiem Audyt wewnętrzny musi oceniać skuteczność i przyczyniać się do usprawnienia procesów zarządzania ryzykiem. Interpretacja: Audytor wewnętrzny uważa procesy zarządzania ryzykiem za skuteczne, jeśli z jego oceny wynika, że: cele organizacji wspierają misję organizacji i są z nią zgodne; istotne ryzyka zostały zidentyfikowane i ocenione; wybrano odpowiedni sposób reakcji na ryzyko, zgodny z apetytem organizacji na dane ryzyko; istotne informacje o ryzyku są zbierane i na czas przekazywane wewnątrz organizacji, umożliwiając pracownikom, kierownictwu i radzie wykonywanie obowiązków. Audyt wewnętrzny może w trakcie różnych zadań zbierać informacje potrzebne do wyrażenia powyższej oceny. Wyniki tych zadań, zebrane razem, dają obraz procesów zarządzania ryzykiem w organizacji i ich skuteczności. Procesy zarządzania ryzykiem są monitorowane w ramach bieżącego zarządzania, odrębnych ocen lub na oba te sposoby. 1. Zarządzanie ryzykiem jest kluczowym obowiązkiem kierownictwa wyższego szczebla i rady. Aby zrealizować ustalone cele biznesowe, kierownictwo zapewnia istnienie i funkcjonowanie dobrych procesów zarządzania ryzykiem. Rady pełnią rolę nadzorczą ustalają, czy istnieją odpowiednie procesy zarządzania ryzykiem oraz czy są prawidłowe i skuteczne. Rady mogą wymagać od audytu wewnętrznego pomocy, która będzie polegała na badaniu, ocenianiu, składaniu sprawozdań i/lub zalecaniu usprawnień dotyczących adekwatności i skuteczności procesów zarządzania ryzykiem. 2. Kierownictwo i rada odpowiadają za procesy zarządzania ryzykiem i kontroli w organizacji. Audytorzy wewnętrzni, pełniąc rolę doradczą, mogą pomóc organizacji w identyfikowaniu, ocenianiu i wdrażaniu metodologii zarządzania ryzykiem i mechanizmów kontrolnych odpowiadających na to ryzyko. 3. W sytuacji, gdy organizacja nie posiada formalnych procesów zarządzania ryzykiem zarządzający audytem wewnętrznym (ZAW) formalnie omawia z kierownictwem i radą ich obowiązki dotyczące rozumienia ryzyka w organizacji, zarządzania nim i monitorowania. Zaznacza też, że kierownictwo i rada mają być przekonane, że w organizacji działają procesy (mogą być nieformalne), które w odpowiednim stopniu uwidaczniają kluczowe ryzyka, sposób zarządzania nimi i ich monitorowania. 4. ZAW ma poznać oczekiwania kierownictwa wyższego szczebla i rady wobec działań audytu wewnętrznego w procesie zarządzania ryzykiem w organizacji. Oczekiwania te są następnie zapisywane w kartach audytu wewnętrznego i rady. Obowiązki audytu wewnętrznego mają być skoordynowane ze wszystkimi grupami i osobami uczestniczącymi w procesie zarządzania ryzykiem w organizacji. Rola audytu wewnętrznego w tym procesie może się zmieniać w czasie i może obejmować: Brak pełnienia jakiejkolwiek roli. Badanie procesu zarządzania ryzykiem w ramach planu audytu wewnętrznego. 7

8 Czynne, ciągłe wspieranie i zaangażowanie w proces zarządzania ryzykiem, jak np. uczestnictwo w komitetach nadzorujących, działania monitorujące, czy raportowanie statusu. Kierowanie procesem zarządzania ryzykiem i jego koordynowanie. 5. Określenie roli audytu wewnętrznego w procesie zarządzania ryzykiem należy ostatecznie do kierownictwa wyższego szczebla i rady. Ich poglądy na rolę audytu wewnętrznego będą prawdopodobnie determinowane takimi czynnikami, jak kultura organizacji, umiejętności pracowników audytu wewnętrznego oraz lokalne uwarunkowania i obyczaje panujące w danym kraju. Przejmowanie obowiązków kierownictwa w zakresie procesu zarządzania ryzykiem i potencjalne zagrożenie niezależności audytu wewnętrznego wymagają jednak szerokiej dyskusji i zatwierdzenia przez radę. 6. Techniki stosowane przez różne organizacje do zarządzania ryzykiem mogą być bardzo różne. W zależności od wielkości i złożoności działalności operacyjnej organizacji procesy zarządzania ryzykiem mogą być: Formalne lub nieformalne. Ilościowe lub subiektywne. Wbudowane w jednostki organizacyjne lub scentralizowane na szczeblu korporacji. 7. Organizacja projektuje procesy odpowiadające jej kulturze, stylowi zarządzania i celom działalności. Na przykład korzystanie przez organizację z instrumentów pochodnych lub innych skomplikowanych produktów rynków kapitałowych może wymagać posłużenia się ilościowymi narzędziami zarządzania ryzykiem. Mniejsze organizacje mogą utworzyć nieformalny komitet ryzyka, prowadzący dyskusje na temat profilu ryzyka organizacji i inicjujący okresowe działania. Audytor wewnętrzny sprawdza, czy wybrana metodologia jest wystarczająco kompleksowa i odpowiednia w stosunku do charakteru działań organizacji. 8. Audytorzy wewnętrzni muszą uzyskać wystarczające i odpowiednie dowody, aby określić, że kluczowe cele procesów zarządzania ryzykiem są realizowane. Na tej podstawie formułują opinię na temat adekwatności procesów zarządzania ryzykiem. Gromadząc powyższe dowody, audytorzy mogą wziąć pod uwagę następujące procedury audytu: Badanie i przegląd aktualnych opracowań, trendów, informacji branżowych dotyczących działalności prowadzonej przez organizację oraz innych odpowiednich źródeł informacji w celu określenia ryzyka i zagrożeń, jakie mogą dotknąć organizację i związanych z tym procedur kontrolnych stosowanych do reagowania na ryzyko, monitorowania i ponownej oceny tych ryzyk. Przegląd zasad korporacyjnych, protokołów ze spotkań rady i komitetu audytu w celu ustalenia strategii organizacji, filozofii i metodologii zarządzania ryzykiem, apetytu na ryzyko oraz akceptowalnego poziomu ryzyka. Przegląd poprzednich sprawozdań z oceny ryzyka wydanych przez kierownictwo, audytorów wewnętrznych i zewnętrznych oraz inne podmioty. Przeprowadzenie rozmów z kierownictwem średniego i wyższego szczebla służące ustaleniu celów poszczególnych jednostek organizacyjnych, towarzyszącego im ryzyka oraz działań kierownictwa ograniczających ryzyko i monitorujących mechanizmy kontrolne. 8

9 Zebranie informacji w celu dokonania niezależnej oceny skuteczności działań ograniczających ryzyko, monitorowania oraz informowania o ryzykach i związanych z nimi działaniach kontrolnych. Ocenę prawidłowości linii podległości z punktu widzenia monitorowania ryzyka. Przegląd adekwatności i terminowości sprawozdań na temat wyników zarządzania ryzykiem. Przegląd kompletności analizy ryzyka sporządzonej przez kierownictwo i działań odpowiadających na problemy ujawnione przez procesy zarządzania ryzykiem oraz proponowanie usprawnień. Określenie skuteczności procesów samooceny kierownictwa poprzez obserwację, bezpośrednie testowanie procedur kontrolnych i monitorujących, testowanie dokładności informacji wykorzystywanych w działaniach monitorujących oraz inne odpowiednie techniki. Przegląd zagadnień dotyczących ryzyka, które mogą wskazywać na słabości w praktykach zarządzania ryzykiem oraz, o ile jest to właściwe, przedyskutowanie ich z kierownictwem wyższego szczebla i radą. Jeżeli audytor jest przekonany, że kierownictwo zaakceptowało poziom ryzyka, który nie jest zgodny ze strategią i zasadami zarządzania ryzykiem w organizacji lub jest nie do przyjęcia dla organizacji, odwołuje się do standardu 2600 lub do innych wytycznych w celu uzyskania dalszych wskazówek. 9

10 Poradnik : Zarządzanie ryzykiem audytu wewnętrznego 2120 Zarządzanie ryzykiem Audyt wewnętrzny musi oceniać skuteczność i przyczyniać się do usprawnienia procesów zarządzania ryzykiem. Interpretacja: Audytor wewnętrzny uważa procesy zarządzania ryzykiem za skuteczne, jeśli z jego oceny wynika, że: cele organizacji wspierają misję organizacji i są z nią zgodne; istotne ryzyka zostały zidentyfikowane i ocenione; wybrano odpowiedni sposób reakcji na ryzyko, zgodny z apetytem organizacji na dane ryzyko; istotne informacje o ryzyku są zbierane i na czas przekazywane wewnątrz organizacji, umożliwiając pracownikom, kierownictwu i radzie wykonywanie obowiązków. Audyt wewnętrzny może w trakcie różnych zadań zbierać informacje potrzebne do wyrażenia powyższej oceny. Wyniki tych zadań, zebrane razem, dają obraz procesów zarządzania ryzykiem w organizacji i ich skuteczności. Procesy zarządzania ryzykiem są monitorowane w ramach bieżącego zarządzania, odrębnych ocen lub na oba te sposoby. 1. Rola i znaczenie audytu wewnętrznego ogromnie wzrosły, stale rosną też oczekiwania kluczowych interesariuszy (np. rady, zarządu). Audyt wewnętrzny jest szeroko upoważniony do badania ryzyk finansowych, operacyjnych, informatycznych, prawnych/regulacyjnych i strategicznych. Jednocześnie często stoi przed wyzwaniami związanymi z dostępnością wykwalifikowanego personelu na globalnym rynku pracy, większymi kosztami wynagrodzeń i dużym popytem na specjalistów (np. z zakresu systemów informatycznych, oszustw, instrumentów pochodnych, podatków). Połączenie tych czynników rodzi większe ryzyko dla audytu wewnętrznego. Zarządzający audytem wewnętrznym (ZAW) musi zatem rozważyć ryzyka odnoszące się do audytu wewnętrznego i realizacji jego celów. 2. Audyt wewnętrzny nie jest odporny na ryzyko. Sam też musi podjąć niezbędne kroki w celu zarządzania własnymi ryzykami. 3. Ryzyko w audycie wewnętrznym dzieli się na trzy szerokie kategorie: niepowodzenie audytu, fałszywe zapewnienie i ryzyko utraty reputacji. W kolejnych punktach opisano kluczowe atrybuty odnoszące się do tych ryzyk oraz wybrane kroki, których podjęcie może rozważyć audyt wewnętrzny, aby lepiej zarządzać tymi ryzykami. 4. Każda organizacja doświadczy awarii systemu kontroli. Często w sytuacji, gdy mechanizmy kontrolne zawodzą lub pojawia się oszustwo, ktoś może zapytać Gdzie byli audytorzy wewnętrzni? Można wtedy uznać, że audyt wewnętrzny przyczynił się do problemów, jeśli: Nie przestrzega Międzynarodowych standardów praktyki zawodowej audytu wewnętrznego. Posiada nieodpowiedni program zapewnienia i poprawy jakości (standard 1300), w tym procedury monitorowania niezależności i obiektywizmu audytorów. Nie ma skutecznego procesu oceny ryzyka pozwalającego zidentyfikować kluczowe obszary do badania na etapie oceny ryzyka strategicznego oraz obszary o wysokim 10

11 ryzyku na etapie planowania konkretnych zadań w efekcie nie przeprowadza odpowiednich audytów i/lub traci czas na niewłaściwe zadania. Nie zaprojektował skutecznych procedur audytowych, które pozwoliłyby przetestować rzeczywiste ryzyka i odpowiednie mechanizmy kontrolne. W ramach procedur audytowych nie ocenił ani adekwatności konstrukcji, ani skuteczności mechanizmów kontrolnych. Zespoły audytowe nie miały odpowiednich kompetencji wynikających z doświadczenia lub znajomości obszarów wysokiego ryzyka. Nie wykazał zwiększonego sceptycyzmu zawodowego i nie rozszerzył procedur audytowych dotyczących ustaleń lub słabości kontroli. Nie ma odpowiedniego nadzoru nad audytem wewnętrznym. Podjęto błędną decyzję w sytuacji, gdy były sygnały świadczące o oszustwie np. To pewnie nie jest istotne lub Nie mamy czasu ani zasobów, żeby się tym zająć. Nie poinformowano odpowiednich osób o podejrzeniach. Nie przekazano odpowiednio informacji. 5. Niepowodzenia audytu wewnętrznego mogą być nie tylko kłopotliwe dla samego audytu, ale też narazić organizację na znaczące ryzyko. Nie da się zapewnić, że niepowodzenia audytu nie wystąpią, ale audyt wewnętrzny może ograniczyć to ryzyko wprowadzając następujące praktyki: Program zapewnienia i poprawy jakości: wdrożenie skutecznego programu ma kluczowe znaczenie dla każdego audytu wewnętrznego. Okresowy przegląd przestrzeni audytu: systematyczne ocenianie dynamicznego profilu ryzyka organizacji i na tej podstawie przegląd metodologii w celu określenia kompletności przestrzeni audytu. Okresowy przegląd planu audytu: przegląd bieżącego planu audytu w celu oceny, które zadania są obarczone większym ryzykiem. Zaznaczając takie zadania kierownictwo audytu wewnętrznego wyróżni je w planie i będzie mogło poświęcić więcej czasu na ustalenie, jakie podejście zastosować do kluczowych zadań. Skuteczne planowanie: nie da się go niczym zastąpić. Wnikliwy proces planowania, obejmujący aktualizację istotnych faktów dotyczących klienta oraz przeprowadzenie efektywnej oceny ryzyka mogą znacząco ograniczyć ryzyka niepowodzenia audytu. Zrozumienie zakresu zadania i ustalenie odpowiednich procedur audytowych są ważnymi elementami procesu planowania, które ograniczają te ryzyka. Kluczowe znaczenie ma także wbudowanie w proces punktów kontrolnych służących kierownictwu audytu oraz zatwierdzanie każdego odchylenia od uzgodnionego planu. Zaprojektowanie skutecznego audytu: najczęściej przed rozpoczęciem testowania skuteczności kontroli poświęca się dużo czasu na zrozumienie i przeanalizowanie konstrukcji systemu kontroli wewnętrznej w celu określenia, czy jest ona odpowiednia. Zapewnia to solidne podstawy do formułowania wniosków audytu odnośnie przyczyn źródłowych które czasami są wynikiem złej konstrukcji systemu kontroli a nie symptomów. Identyfikując brakujące mechanizmy kontrolne ogranicza się również możliwość niepowodzenia audytu. Skuteczne procedury przeglądu i informowania kierownictwa: zaangażowanie kierownictwa audytu wewnętrznego w proces audytu (tj. przed wstępną wersją sprawozdania) odgrywa istotną rolę w ograniczaniu ryzyka niepowodzenia audytu. Zaangażowanie to może obejmować przeglądy dokumentacji roboczej, dyskusje w czasie rzeczywistym na temat ustaleń audytu i spotkanie zamykające. Dzięki włączeniu kierownictwa audytu w proces audytu wewnętrznego, potencjalne problemy 11

12 mogą zostać zidentyfikowane i ocenione odpowiednio wcześniej. Audyt wewnętrzny może posiadać procedury określające kiedy i o jakich kategoriach spraw należy informować poszczególne szczeble kierownictwa audytu wewnętrznego. Odpowiednia alokacja zasobów: przydzielenie odpowiednich pracowników do każdego zadania audytowego jest bardzo ważne. Ma to szczególne znaczenie podczas planowania zadań o większym ryzyku lub bardzo technicznych. Upewnienie się, że zespół dysponuje odpowiednimi kompetencjami może odgrywać znaczącą rolę w ograniczeniu ryzyka niepowodzenia audytu. Oprócz odpowiednich kompetencji, ważne jest zapewnienie odpowiedniego poziomu doświadczenia w zespole, w tym dużych umiejętności zarządzania projektami wśród osób, które kierują zadaniami audytowymi. 6. Audyt wewnętrzny może nieświadomie dostarczać fałszywego zapewnienia. Fałszywe zapewnienie oznacza pewien poziom ufności lub zapewnienia opartego na wyobrażeniach lub przypuszczeniach, a nie na faktach. W wielu przypadkach samo zaangażowanie audytu wewnętrznego w daną sprawę może w jakimś stopniu dawać fałszywe zapewnienie. 7. Wykorzystanie zasobów audytu wewnętrznego do pomocy organizacji w identyfikowaniu i ocenianiu znaczących ryzyk w projektach innych niż audytowe musi być jasno zdefiniowane. Na przykład: audyt wewnętrzny został poproszony przez jedną z jednostek o trochę zasobów do pomocy przy wdrażaniu nowego ogólnozakładowego systemu komputerowego. Jednostka przydzieliła te zasoby do wsparcia testowania nowego systemu. Potem okazało się, że błąd w projekcie systemu spowodował konieczność korekty sprawozdań finansowych. Kiedy zapytano, jak do tego doszło, jednostka odpowiedziała, że audyt wewnętrzny był włączony w proces i nie zgłaszał żadnych problemów. Zaangażowanie audytora wewnętrznego dostarczyło fałszywego zapewnienia, co było niespójne z rzeczywistą rolą, jaką audytor odegrał w tym projekcie. 8. Nie da się ograniczyć wszystkich ryzyk związanych z fałszywym zapewnieniem, jednak audyt wewnętrzny może aktywnie zarządzać ryzykiem w tym obszarze. Częsta i jasna komunikacja jest kluczową strategią zarządzania fałszywym zapewnieniem. Do innych wiodących praktyk należą: Aktywne informowanie komitetu audytu, kierownictwa wyższego szczebla i innych kluczowych interesariuszy o roli i upoważnieniach audytu wewnętrznego. Jasne komunikowanie, co jest przedmiotem oceny ryzyka, planu audytu i zadania audytowego. Również jasne informowanie o tym, co nie wchodzi w zakres oceny ryzyka i planu audytu. Posiadanie procesu akceptacji projektów służącego ocenie ryzyka każdego projektu i określeniu w nim roli audytu wewnętrznego. Ocena może uwzględniać: zakres projektu, rolę audytu wewnętrznego, oczekiwania co do sprawozdawczości, wymagane kompetencje i niezależność audytorów wewnętrznych. W sytuacji, gdy audytorzy wewnętrzni zasilają zespoły pracujące przy projektach lub inicjatywach, udokumentowanie ich roli i zakresu zaangażowania oraz kwestii obiektywizmu i niezależności w przyszłości, a nie traktowanie audytorów jak pożyczonych zasobów, co może dawać fałszywe zapewnienie. 9. Wiarygodność audytu wewnętrznego jest podstawą jego skuteczności. Działy audytu wewnętrznego, które cieszą się uznaniem, mogą przyciągać utalentowanych profesjonalistów i są wysoko cenione przez organizacje. Posiadanie silnej marki ma kluczowe znaczenie dla sukcesu audytu wewnętrznego i możliwości wspierania organizacji. W większości przypadków marka audytu wewnętrznego jest budowana przez 12

13 kilka lat i opiera się na dobrej jakości i spójności prac. Niestety, marka może zostać błyskawicznie zniszczona przez jedną szeroko komentowaną wpadkę. 10. Na przykład: audyt wewnętrzny cieszył się uznaniem. Kilku kluczowych pracowników na kierowniczych stanowiskach w finansach pracowało wcześniej jako audytorzy wewnętrzni, ponieważ audyt był postrzegany jako poligon dla przyszłej kadry zarządzającej. Seria znaczących korekt sprawozdań i dochodzeń prowadzonych przez regulatora wpłynęłaby na reputację audytu wewnętrznego. Komitet audytu i rada mogliby zapytać, czy audyt wewnętrzny posiada program zapewnienia i poprawy jakości oraz umiejętności wystarczające do tego, żeby wspierać organizację. 11. Inny przykład: w czasie audytu funkcji zasobów ludzkich audytorzy wewnętrzni mogą odkryć, że nie weryfikowano odpowiednio kandydatów do pracy. Odkrycie, że nowo zatrudnieni audytorzy wewnętrzni nie mają odpowiedniego wykształcenia, a inni mają przeszłość kryminalną mogłoby poważnie wpłynąć na wiarygodność audytu wewnętrznego. 12. Takie sytuacje są nie tylko kłopotliwe, ale wręcz rujnują skuteczność audytu wewnętrznego. Ochrona reputacji i marki audytu wewnętrznego jest ważna nie tylko dla samego audytu, ale dla całej organizacji. To ważne, żeby audyt wewnętrzny przeanalizował rodzaje ryzyka, które mogłyby wpłynąć na jego reputację i opracował strategie ich ograniczenia. 13. Przykładowe praktyki obejmują: Wprowadzenie dobrego programu zapewnienia i poprawy jakości, obejmującego wszystkie procesy w audycie wewnętrznym, w tym zasoby ludzkie i rekrutację. Okresowe przeprowadzanie oceny ryzyka audytu wewnętrznego w celu identyfikacji potencjalnych ryzyk, które mogłyby wpłynąć na markę audytu. Ponowne wprowadzenie w życie kodeksu postępowania i standardów etycznego zachowania audytorów wewnętrznych, w tym Kodeksu etyki IIA. Zapewnienie, że audyt wewnętrzny przestrzega wszystkich zasad i praktyk organizacji, które mają do niego zastosowanie. 14. Odpowiednio do zakresu, w jakim audyt wewnętrzny doświadcza zdarzeń opisanych powyżej, ZAW musi przeanalizować charakter tych zdarzeń i poznać ich przyczyny źródłowe. Taka analiza dostarczy podstaw do rozważenia potencjalnych zmian w procesie audytu lub w środowisku kontroli, aby ograniczyć występowanie podobnych zdarzeń w przyszłości. 13

14 Poradnik : Ocenianie adekwatności procesów kontroli 2130 Kontrola Audyt wewnętrzny musi wspierać organizację w utrzymaniu skutecznych mechanizmów kontrolnych poprzez ocenę ich skuteczności i wydajności oraz promowanie ciągłego usprawniania. 1. Organizacja wprowadza i utrzymuje skuteczne procesy zarządzania ryzykiem i kontroli. Celem procesów kontroli jest wspieranie organizacji w zarządzaniu ryzykiem i realizacji ustalonych, zakomunikowanych celów. Oczekuje się, że procesy kontroli zapewnią między innymi, że: informacje finansowe i operacyjne są wiarygodne i spójne, działalność operacyjna jest wydajna i osiąga wyznaczone cele, aktywa są chronione, działania i decyzje organizacji są zgodne z prawem, regulacjami i umowami. 2. Rolą kierownictwa wyższego szczebla jest nadzorowanie tworzenia, administrowania i oceny procesów zarządzania ryzykiem i kontroli. Jednym z obowiązków kierowników liniowych jest ocena procesów kontroli w podległych im obszarach. Audytorzy wewnętrzni dostarczają w różnym stopniu zapewnienia o skuteczności procesów zarządzania ryzykiem i kontroli w wybranych działaniach i funkcjach organizacji. 3. Zarządzający audytem wewnętrznym (ZAW) formułuje ogólną opinię na temat adekwatności i skuteczności procesów kontroli. Opinia ta będzie oparta na wystarczających dowodach audytu uzyskanych w trakcie zadań audytowych oraz o ile jest to właściwe na pracy wykonanej przez innych wykonawców usług zapewniających. ZAW przekazuje opinię kierownictwu wyższego szczebla i radzie. 4. ZAW przygotowuje propozycję planu audytu, który pozwoli uzyskać dowody wystarczające do oceny skuteczności procesów kontroli. Plan obejmuje zadania audytowe i/lub inne procedury gromadzenia wystarczających, odpowiednich dowodów audytu na temat wszystkich głównych jednostek operacyjnych i funkcji biznesowych, które mają być oceniane. W planie uwzględnia się również przegląd głównych procesów kontroli w całej organizacji. Plan powinien być elastyczny, by możliwe było dokonywanie korekt w ciągu roku wynikających ze zmian strategii kierownictwa, uwarunkowań zewnętrznych, głównych obszarów ryzyka lub zmian oczekiwań co do realizacji celów organizacji. 5. W planie audytu poświęca się szczególną uwagę obszarom działalności operacyjnej najbardziej dotkniętym przez ostatnie lub nieoczekiwane zmiany. Zmiany warunków mogą wynikać z czynników rynkowych lub inwestycyjnych, przejęć i likwidacji, restrukturyzacji i nowych przedsięwzięć. 6. Określając zakres proponowanego planu audytu ZAW bierze pod uwagę odpowiednie prace wykonane przez inne osoby, które dostarczają zapewnienia kierownictwu wyższego szczebla (np. pracowników ds. zgodności). Plan audytu przygotowany przez ZAW uwzględnia również prace wykonane przez audytora zewnętrznego oraz własne oceny kierownictwa dotyczące procesu zarządzania ryzykiem, mechanizmów kontrolnych i procesów poprawy jakości. 14

15 7. ZAW powinien ocenić zakres proponowanego planu audytu czy jest on wystarczający do wyrażenia opinii na temat procesów zarządzania ryzykiem i kontroli w organizacji. ZAW powinien poinformować kierownictwo wyższego szczebla i radę, jeśli zakres jest niewystarczający, co uniemożliwiłoby wydanie opinii na temat wszystkich aspektów tych procesów. 8. Kluczowym wyzwaniem dla audytu wewnętrznego jest ocena skuteczności procesów kontroli w organizacji w oparciu o zsumowanie wielu indywidualnych ocen. Oceny te pochodzą głównie z zadań audytowych, przeglądów samooceny kierownictwa i prac innych wykonawców usług zapewniających. W miarę realizacji kolejnych zadań audytorzy wewnętrzni na bieżąco przekazują ustalenia odpowiednim szczeblom kierownictwa, aby możliwe było podjęcie niezwłocznych działań w celu skorygowania lub złagodzenia konsekwencji wykrytych niezgodności lub słabości kontroli. 9. Oceniając ogólną skuteczność procesów kontroli w organizacji ZAW bierze pod uwagę, czy: wykryto znaczące niezgodności lub słabości, po ich wykryciu dokonano korekt i usprawnień, wykryte niezgodności lub słabości i ich potencjalne konsekwencje prowadzą do wniosku, że powszechnie występują zjawiska powodujące nieakceptowany poziom ryzyka. 10. Występowanie znaczących niezgodności lub słabości niekoniecznie prowadzi do oceny, że jest to zjawisko powszechne i stwarza nieakceptowane ryzyko. Rozstrzygając, czy skuteczność procesów kontroli jest zagrożona i występuje nieakceptowane ryzyko audytor wewnętrzny bierze pod uwagę charakter i zakres zagrożeń oraz poziom potencjalnych konsekwencji. 11. Sprawozdanie ZAW na temat procesów kontroli w organizacji jest zwykle prezentowane raz w roku kierownictwu wyższego szczebla i radzie. Sprawozdanie przedstawia kluczową rolę, jaką procesy kontroli odgrywają w realizacji celów organizacji. Opisuje także charakter i zakres prac wykonanych przez audyt wewnętrzny oraz charakter i zakres polegania przy formułowaniu opinii na pracy innych wykonawców usług zapewniających. 15

16 Poradnik 2130.A1-1: Wiarygodność i rzetelność informacji 2130.A1 Audyt wewnętrzny musi oceniać, czy mechanizmy kontrolne odpowiednio i skutecznie reagują na ryzyka dotyczące ładu organizacyjnego, działalności operacyjnej i systemów informatycznych w zakresie: osiągnięcia celów strategicznych organizacji; wiarygodności i rzetelności informacji finansowych i operacyjnych; skuteczności i wydajności działalności operacyjnej i programów; ochrony aktywów; zgodności z prawem, przepisami, zasadami, procedurami i umowami. 1. Audytorzy wewnętrzni ustalają, czy kierownictwo wyższego szczebla i rada jasno rozumieją, że to kierownictwo jest odpowiedzialne za wiarygodność i rzetelność informacji. Ta odpowiedzialność dotyczy wszystkich kluczowych informacji w organizacji bez względu na sposób ich przechowywania. Wiarygodność i rzetelność obejmuje dokładność, kompletność i bezpieczeństwo. 2. Zarządzający audytem wewnętrznym (ZAW) ustala, czy audyt wewnętrzny posiada kompetentne zasoby (lub ma do nich dostęp) pozwalające na ocenę wiarygodności i rzetelności informacji i związanego z tym ryzyka. Ocena ryzyka obejmuje ryzyko wewnętrzne i zewnętrzne oraz ryzyko związane z relacjami organizacji z podmiotami zewnętrznymi. 3. ZAW sprawdza, czy przypadki naruszenia wiarygodności i rzetelności informacji oraz okoliczności, które mogą stanowić zagrożenie dla organizacji będą niezwłocznie ujawnione kierownictwu wyższego szczebla, radzie i audytowi wewnętrznemu. 4. Audytorzy wewnętrzni oceniają skuteczność środków zapobiegawczych, wykrywających i łagodzących, jakie stosowano wobec ataków w przeszłości i jakie będą stosowane wobec przyszłych prób lub incydentów, których prawdopodobieństwo wystąpienia jest duże. Audytorzy wewnętrzni ustalają, czy rada została należycie poinformowana o zagrożeniach, incydentach, wykorzystanych słabościach i środkach naprawczych. 5. Audytorzy wewnętrzni okresowo oceniają praktyki dotyczące wiarygodności i rzetelności informacji w organizacji oraz zalecają, w miarę potrzeb, usprawnienia istniejących lub wdrażanie nowych kontroli i zabezpieczeń. Takie oceny mogą być przeprowadzane jako oddzielne zadania lub włączane w inne audyty wykonywane w ramach planu zadań. Charakter zadania będzie decydował, jaki sposób przekazania wyników kierownictwu wyższego szczebla i radzie będzie najwłaściwszy. 16

17 Poradnik 2130.A1-2: Ocena ramowych zasad ochrony prywatności w organizacji 2130.A1 Audyt wewnętrzny musi oceniać, czy mechanizmy kontrolne odpowiednio i skutecznie reagują na ryzyka dotyczące ładu organizacyjnego, działalności operacyjnej i systemów informatycznych w zakresie: osiągnięcia celów strategicznych organizacji; wiarygodności i rzetelności informacji finansowych i operacyjnych; skuteczności i wydajności działalności operacyjnej i programów; ochrony aktywów; zgodności z prawem, przepisami, zasadami, procedurami i umowami. 1. Zaniedbania w zakresie ochrony danych osobowych polegające na stosowaniu nieodpowiednich mechanizmów kontrolnych mogą mieć poważne konsekwencje dla organizacji. Mogą zniszczyć reputację osób i/lub organizacji i narazić tę ostatnią na ryzyko, w tym sprawy sądowe i utratę zaufania klientów i/lub pracowników. 2. Definicje ochrony prywatności różnią się znacznie w zależności od kraju, kultury, środowiska politycznego i ram prawnych państw, w których organizacja prowadzi działalność. Ochrona prywatności obejmuje: prywatność osobistą (fizyczną i psychologiczną); prywatność przestrzeni (wolność od inwigilacji); prywatność komunikowania się (wolność od monitoringu); oraz prywatność informacji (gromadzenie, wykorzystanie i ujawnienie danych osobowych przez inne osoby). Dane osobowe to informacje, które dotyczą konkretnej osoby lub zawierają charakterystyczne cechy, które w połączeniu z innymi informacjami pozwalają na identyfikację konkretnej osoby. Mogą zawierać jakąkolwiek faktyczną lub subiektywną informację, zarejestrowaną lub nie na dowolnym nośniku. Dane osobowe mogą zawierać: Nazwisko, adres, numer identyfikacyjny, powiązania rodzinne; Akta pracownika, oceny, komentarze, status społeczny i informacje o postępowaniu dyscyplinarnym; Dane dotyczące kredytów, dochodów, statusu finansowego; Informacje o stanie zdrowia. 3. Skuteczne mechanizmy kontrolne chroniące dane osobowe są kluczowym elementem procesów ładu organizacyjnego, zarządzania ryzykiem i kontroli w organizacji. Rada ponosi ostateczną odpowiedzialność za identyfikację głównych ryzyk zagrażających organizacji i wdrożenie odpowiednich procesów kontrolnych ograniczających te ryzyka. Odpowiedzialność obejmuje również ustanowienie niezbędnych ramowych zasad ochrony prywatności w organizacji i monitorowanie ich wdrożenia. 4. Audyt wewnętrzny może pomóc w uzyskaniu dobrych praktyk ładu organizacyjnego i zarządzania ryzykiem oceniając, czy kierownictwo poprawnie zidentyfikowało ryzyka dotyczące celów ochrony prywatności i wprowadziło odpowiednie mechanizmy kontrolne ograniczające ryzyko do akceptowanego poziomu. Audytorzy wewnętrzni mają dobrą 17

18 pozycję do oceny ramowych zasad ochrony prywatności w organizacji, identyfikowania znaczących ryzyk i przedstawiania zaleceń dotyczących ich ograniczania. 5. Audyt wewnętrzny identyfikuje rodzaje i adekwatność informacji gromadzonych przez organizację i uważanych za dane osobowe (dotyczące prywatności), sposoby ich gromadzenia oraz sprawdza, czy wykorzystanie tych informacji przez organizację jest zgodne z przeznaczeniem i obowiązującym prawem. 6. Biorąc pod uwagę wysoce techniczny i prawny charakter tematu, audyt wewnętrzny potrzebuje odpowiedniej wiedzy i kompetencji do przeprowadzenia oceny ryzyk i mechanizmów kontrolnych dotyczących ramowych zasad ochrony prywatności w organizacji. 7. Dokonując oceny ramowych zasad ochrony prywatności audytorzy wewnętrzni: Biorą pod uwagę przepisy prawne, regulacje i zasady dotyczące prywatności w odpowiednich porządkach prawnych, w których organizacja prowadzi działalność; Współpracują z radcą prawnym organizacji w celu określenia dokładnego charakteru przepisów prawnych, regulacji oraz pozostałych standardów i praktyk, które mają zastosowanie do organizacji i krajów, gdzie organizacja prowadzi działalność; Współpracują ze specjalistami IT w celu zapewnienia, że kontrole bezpieczeństwa informacji i ochrony danych istnieją, są regularnie przeglądane i oceniane pod kątem adekwatności; Biorą pod uwagę poziom (dojrzałość) praktyk organizacji w zakresie ochrony prywatności. W zależności od tego poziomu audytorzy wewnętrzni mogą pełnić różne role. Audytorzy mogą ułatwić opracowanie i wdrożenie programu ochrony prywatności, ocenić dokonaną przez kierownictwo ocenę ryzyka związanego z ochroną prywatności w celu określenia potrzeb organizacji i zagrożeń lub dostarczyć zapewnienia co do skuteczności zasad, praktyk i mechanizmów kontrolnych dotyczących ochrony prywatności w całej organizacji. Jeżeli audytorzy wewnętrzni przejmują jakąkolwiek odpowiedzialność za opracowanie i wdrożenie programu ochrony prywatności, ich niezależność będzie naruszona. 18

19 Poradnik : Planowanie zadania 2200 Planowanie zadania Audytorzy wewnętrzni muszą opracować i udokumentować plan (program) każdego zadania, obejmujący cele i zakres zadania, czas potrzebny do jego realizacji oraz niezbędne zasoby. 1. Audytor wewnętrzny planuje i wykonuje zadanie, a jego praca jest przeglądana i zatwierdzana przez przełożonych. Przed rozpoczęciem zadania audytor wewnętrzny przygotowuje program zadania, który: Określa cele zadania. Identyfikuje wymagania techniczne, cele, ryzyka, procesy i transakcje, które mają być zbadane. Określa charakter i zakres wymaganych testów. Dokumentuje procedury dotyczące gromadzenia, analizowania, oceniania i dokumentowania informacji w trakcie realizacji zadania. Jest odpowiednio modyfikowany w trakcie zadania; zmiany są zatwierdzane przez zarządzającego audytem wewnętrznym (ZAW) lub osobę przez niego wyznaczoną. 2. ZAW powinien wymagać stopnia sformalizowania i dokumentacji (np. wyników spotkań dotyczących planowania, procedur oceny ryzyka, określonej szczegółowości programu zadania itp.), które są odpowiednie dla organizacji. Do rozważenia są następujące czynniki: Czy na wykonanej pracy i/lub wynikach zadania będą polegały inne osoby (np. audytorzy zewnętrzni, organy regulacyjne lub kierownictwo). Czy praca dotyczy zagadnień, które mogą być przedmiotem potencjalnej lub bieżącej sprawy sądowej. Poziom doświadczenia pracowników audytu wewnętrznego i wymagany poziom bezpośredniego nadzoru. Czy w projekt są zaangażowani właśni audytorzy, goście, czy zewnętrzni usługodawcy. Złożoność i zakres projektu. Wielkość audytu wewnętrznego. Wartość dokumentacji (np. czy będzie używana w kolejnych latach). 3. Audytor wewnętrzny określa inne warunki realizacji zadania, takie jak okres objęty badaniem i planowane terminy zakończenia. Audytor wewnętrzny zastanawia się również nad formatem ostatecznej informacji o wynikach zadania. Planowanie w tej fazie ułatwia proces komunikacji pod koniec zadania. 4. Audytor wewnętrzny informuje wszystkich członków kierownictwa, którzy powinni wiedzieć o zadaniu; przeprowadza spotkania z kierownictwem odpowiedzialnym za badaną działalność; sporządza notatkę z podsumowaniem dyskusji i wniosków z tych spotkań i przekazuje ją wszystkim zainteresowanym; kopię notatki zachowuje w dokumentacji roboczej. Tematy omawiane na spotkaniach mogą obejmować: Planowane cele zadania i zakres pracy. 19

20 Zasoby i terminy prac audytowych. Kluczowe czynniki wpływające na sytuację gospodarczą i działalność operacyjną w badanych obszarach, w tym ostatnie zmiany w środowisku wewnętrznym i zewnętrznym. Problemy zgłoszone przez kierownictwo i żądania kierownictwa. 5. ZAW określa, w jaki sposób, kiedy i komu będą przekazane informacje o wynikach zadania. Audytor wewnętrzny dokumentuje to ustalenie i przekazuje je kierownictwu w zakresie, jaki uzna za stosowny w fazie planowania zadania. Audytor wewnętrzny informuje kierownictwo o późniejszych zmianach wpływających na termin wydania sprawozdania lub samo sprawozdanie o wynikach zadania. 20