Międzynarodowe Centrum Szkolenia i Doradztwa w Warszawie Instytut Organizacji i Zarządzania w Przemyśle Orgmasz Studium Audyt wewnętrzny i kontrola finansowa RODZAJE AUDYTU Barbara Dmowska - Stefanowska praca dyplomowa napisana pod kierunkiem dr Piotra Ostaszewicza Warszawa, kwiecień 2005
SPIS TREŚCI WSTĘP. 1. PODSTAWOWE POJĘCIA Z ZAKRESU AUDYTU 1.1. DEFINICJA AUDYTU.. 1.2. ZADANIA AUDYTU.. 1.3. METODY PRZEPROWADZANIA AUDYTU. 1.4. RAPORT Z PRZEPROWADZONEGO AUDYTU 2. CHARAKTERYSTYKA WYBRANYCH RODZAJÓW AUDYTU 2.1. AUDYT INFORMATYCZNY 2.1.1. AUDYT LEGALNOŚCI.. 2.1.2. AUDYT OPROGRAMOWANIA... 2.1.3. AUDYT SPRZĘTU. 2.1.4. AUDYT ZABEZPIECZEŃ. 2.2. AUDYT FINANSOWY.. 2.3. AUDYT OPERACYJNY 2.4. AUDYT WYNAGRODZEŃ.. 2.5. AUDYT PERSONALNY... 2.6. AUDYT MENEDŻERSKI.. 2.7. AUDYT KOMUNIKACYJNY 2.8. AUDYT MARKETINGOWY. 2.9. AUDYT LOGISTYCZNY.. PODSUMOWANIE... BIBLIOGRAFIA. ZAŁĄCZNIKI.. 2
1. PODSTAWOWE POJĘCIA Z ZAKRESU AUDYTU 1.1. DEFINICJA AUDYTU Słowo audyt pochodzi od łacińskiego auditor, czyli słuchacz, słuchający. Jak można przeczytać w Wielkiej Encyklopedii PWN, audyt (z ang. auditing) to system rewizji gospodarczej i doradztwa ekonomicznego, realizowany przez wyspecjalizowanych ekspertów. Jest on realizowany według określonych wzorców, zaleceń i standardów, polega na rewizji ksiąg rachunkowych i innych dokumentów. Jego celem jest stwierdzenie, czy dokumenty dają prawdziwy i jasny obraz sytuacji finansowej danego podmiotu gospodarczego oraz wykazanie ewentualnych niedociągnięć. Na rynku możemy spotkać wiele różnych definicji audytu. Najbardziej znaną jest definicja zaproponowana przez Instytut Audytorów Wewnętrznych (skrót IIA od angielskiej nazwy Institute of Internal Auditors). Zgodnie z tą definicją audyt wewnętrzny jest niezależną, obiektywną działalnością o charakterze zapewniającym i doradczym, prowadzoną w celu wniesienia do organizacji wartości dodanej i usprawnienia jej funkcjonowania. Audyt wewnętrzny wspiera organizację w osiąganiu wytyczonych celów poprzez systematyczne i konsekwentne działanie służące ocenie i poprawie efektywności zarządzania ryzykiem, systemu kontroli oraz procesów zarządzania organizacją. 1 Przy realizacji zadań audytorzy powinni kierować się Standardami Profesjonalnej Praktyki Audytu Wewnętrznego, w skrócie SPPAW. Standardy te dzielą się na: 2 - standardy atrybutów ich zadaniem jest zdefiniowanie wymagań wobec audytu jako jednostki organizacyjnej oraz audytora jako reprezentanta grupy zawodowej; - standardy działania ich zadaniem jest zdefiniowanie wymagań dotyczących sposobu realizacji zadań audytu oraz zakresu zadań; - standardy wdrożenia przypisują one Standardy Atrybutów oraz Standardy Realizacji określonym typom działań (np. audytowi zgodności, operacyjnemu, finansowemu). 1 K. Czerwiński Audyt Wewnętrzny wydanie II InfoAudit Warszawa 2005 r. 2 jw. 3
Oprócz wyżej wymienionych standardów audytorzy mogą kierować się także innymi standardami, wśród których najpopularniejszymi są: - standardy INTOSAI, - standardy ISACA, - standard COBiT, - standard COSO, - standard COCO. Jak wiadomo, zadanie audytora polega na zapewnieniu, iż świadczona usługa zostanie przeprowadzona profesjonalnie i zgodnie ze standardami. Realizacja tego celu wymaga spełnienia następujących zasad: 3 - wiarygodność, - zapewnienie wysokiej jakości świadczonych usług, - obiektywizm, - unikanie konfliktu interesów, - zachowanie bezstronności, - przestrzeganie tajemnicy zawodowej, - zachowanie należytej staranności zawodowej, - umiejętność rozwiązywania konfliktów natury etycznej, - profesjonalizm. Według innych opinii pod pojęciem audyt należy rozumieć kontrolę. Istnieją dwa rodzaje kontroli: wewnętrzna (dana firma kontrolowana jest przez własnych pracowników) oraz zewnętrzna (polega na badaniu przez osoby spoza kontrolowanej firmy). Kluczowym elementem struktury kontroli wewnętrznej jest audyt wewnętrzny. Odpowiedzialność za dostarczenie odpowiedniej i skutecznej struktury kontroli wewnętrznej spoczywa na kierownictwie jednostki. Szef każdej instytucji rządowej musi zapewnić, aby struktura kontroli wewnętrznej powstała, była poddawana przeglądowi i uaktualniana, żeby utrzymać jej skuteczność. Niezwykle ważnym elementem jest pozytywne i wspierające nastawienie ze strony menadżerów. Kierownictwo ustanawia też niezależną funkcję audytu jako kluczowy element struktury kontroli wewnętrznej. Ponadto kierownictwo powinno także ustalić cele dla funkcji audytu i nie nakładać żadnych ograniczeń na audytorów mających je osiągać. W celu zapewnienia niezależności, kierujący jednostką audytu powinien być podległy 3 www.nik.gov.pl Europejskie wytyczne dla stosowania standardów kontroli INTOSAI 4
bezpośrednio szefowi instytucji. Rolą audytorów jest z kolei audyt strategii, sposobów postępowania i procedur kontroli wewnętrznej instytucji w celu zapewnienia, by kontrola ta była odpowiednia dla zrealizowania misji instytucji. Celami audytu wewnętrznego są: 4 - identyfikacja i analiza ryzyk związanych z działalnością jednostki, a w szczególności ocena efektywności zarządzania ryzykiem oraz ocena systemu kontroli wewnętrznej; - wyrażanie opinii na temat skuteczności mechanizmów kontrolnych w badanym systemie; - dostarczanie kierownikowi jednostki, w oparciu o ocenę systemu kontroli wewnętrznej, racjonalnego zapewnienia, że jednostka działa prawidłowo; - składanie sprawozdań z poczynionych ustaleń, oraz tam gdzie jest to właściwe, przedstawianie uwag i wniosków dotyczących poprawy skuteczności działania jednostki w danym obszarze. Pojęcie audytu zdefiniował także polski ustawodawca. Zgodnie z artykułem 35c ustawy o finansach publicznych audytem jest ogół działań, przez które kierownik jednostki uzyskuje obiektywną i niezależną ocenę funkcjonowania jednostki w zakresie gospodarki finansowej pod względem legalności, gospodarności, celowości, rzetelności, a także przejrzystości I jawności. Audyt ten realizowany jest na podstawie i zgodnie z zasadami określonymi w art. 35a 35t ustawy o finansach publicznych oraz innymi przepisami dotyczącymi sposobu i trybu przeprowadzania audytu wewnętrznego. W zamyśle Ministra Finansów standardy mają być podstawą do tworzenia lub opisywania bardziej szczegółowych i precyzyjnych procedur czy zasad dobrej praktyki, które jednostki sektora finansów publicznych będą tworzyć adekwatnie do swoich potrzeb. Ponadto wprost z przepisów ustawy oraz z rozporządzenia Ministra Finansów z dnia 20 grudnia 2002 r. wynika zakres podmiotów, które mają obowiązek prowadzenia audytu wewnętrznego - są to jednostki, w których kwota przychodów środków publicznych uzyskiwanych w ciągu roku kalendarzowego oraz kwota wydatków środków publicznych dokonywanych w ciągu roku kalendarzowego przekracza 35 000 tys. zł. 5 4 www.mof.gov.pl 5 Rozporządzenie Ministra Finansów z 20 grudnia 2002 r. w sprawie określenia kwot przychodów oraz wydatków środków publicznych dokonywanych w ciągu roku kalendarzowego, których przekroczenie powoduje obowiązek prowadzenia audytu wewnętrznego w jednostkach sektora finansów publicznych Dz.U. nr 234 poz. 1970 5
Według polskiego ustawodawstwa audyt wewnętrzny obejmuje w szczególności: 6 - badanie dowodów księgowych oraz zapisów w księgach rachunkowych; - ocenę systemu gromadzenia środków publicznych i dysponowania nimi oraz gospodarowania mieniem; - ocenę efektywności I gospodarności zarządzania finansowego. Audyt wewnętrzny, jako stosunkowo młoda koncepcja wspierania zarządzania, ciągle jeszcze nie jest w pełni rozumiany. Bardzo często przyjmuje się, że jest to unowocześnienie kontroli wewnętrznej lub kontrola zewnętrzna od wewnątrz. M. Sekuła, Prezes Najwyższej Izby Kontroli, twierdzi, że audyt oznacza nic innego jak kontrolę 7. Wynika z tego, iż zainteresowania audytora wewnętrznego ukierunkowuje się albo w stronę kontroli wewnętrznej, co byłoby powielaniem zadań dwóch różnych form organizacyjnych albo w stronę certyfikowania sprawozdań finansowych, co z kolei jest zastępowaniem działań biegłych rewidentów. Jak łatwo wywnioskować z powyższej opinii, minie jeszcze trochę czasu zanim audyt wewnętrzny zostanie właściwie zrozumiały i znajdzie ostatecznie swoje miejsce. 1.2. ZADANIA AUDYTU W celu określenia zakresu prac audytu wewnętrznego wykorzystuje się Standardy Profesjonalnej Praktyki Audytu Wewnętrznego IIA: 8 SPPAW ZARZĄDZANIE ORGANIZACJĄ Audyt wewnętrzny powinien wnieść swój wkład do procesu zarządzania poprzez ocenę oraz usprawnienia systemu za pomocą którego: - są ustalane i komunikowane cele I wartości, - monitorowane jest osiąganie celów, - zapewnia się przypisanie odpowiedzialności, - zachowywane są wartości. Audytorzy powinni dokonywać przeglądu działań operacyjnych oraz 6 Ustawa o finansach publicznych z dnia 26 listopada 1998 r. Dz.U. z 2003 r. nr 15 poz 148 + późn. zmiany 7 M. Sekuła Jaka jest różnica między audytem a kontrolą Gazeta Prawna z 23 czerwca 2004 r. 8 K. Czerwiński Audyt Wewnętrzny wydanie II InfoAudit Warszawa 2005 r. 6
SPPAW programów w celu zapewniania spójności z systemem wartości organizacji CHARAKTER PRACY Audytor powinien oceniać ekspozycję na ryzyko związane z zarządzaniem organizacją, działalnością operacyjną oraz systemami IT biorąc pod uwagę: - wiarygodność I integralność informacji, - skuteczność i wydajność operacji, - zabezpieczenie aktywów, - zgodność z prawem, przepisami i umowami. Ponadto zakres prac audytu wewnętrznego w jednostkach sektora finansów publicznych został zdefiniowany w Rozporządzeniu Ministra Finansów z dnia 5 lipca 2002 roku w sprawie szczegółowego sposobu i trybu przeprowadzania audytu wewnętrznego. W paragrafie 2 można przeczytać, iż audytor wewnętrzny, przeprowadzając audyt wewnętrzny: 1. Bada wiarygodność sprawozdania finansowego oraz sprawozdania z wykonania budżetu przez następcze sprawdzenia: 1.1. Przestrzegania zasad rachunkowości, 1.2. Zgodności zapisów w księgach rachunkowych z dowodami księgowymi, 1.3. Zgodności sprawozdania finansowego oraz sprawozdania z wykonania budżetu z zapisami w księgach rachunkowych; 2. Dokonuje oceny adekwatności, efektywności i skuteczności systemów kontroli, w tym przestrzegania procedur, zarządzania ryzykiem i kierowania organizacją; 3. Dokonuje oceny przestrzegania zasady celowości i oszczędności w dokonywaniu wydatków, uzyskiwania możliwie najlepszych efektów w ramach posiadanych środków oraz przestrzegania terminów realizacji zadań i zaciągniętych zobowiązań. 9 Zakres prac audytu wewnętrznego obejmuje badanie i ocenę jakości, skuteczności i adekwatności systemu kontroli wewnętrznej oraz jakości wykonywania powierzonych zadań przez poszczególne jednostki organizacyjne. Do zadań podstawowych oraz szczegółowych audytu wewnętrznego należą: 10 1. przeprowadzanie analizy i oceny systemu kontroli wewnętrznej: 9 K. Czerwiński Audyt Wewnętrzny wydanie II InfoAudit Warszawa 2005 r. 10 K. Czerwiński, H. Grochowski Podstawy Audytu Wewnętrznego Link Szczecin 2003 r. 7
- identyfikacja i ocena poszczególnych kontroli istniejących w systemie. Zadaniem tych kontroli jest realizacja celów biznesowych organizacji w sposób najbardziej efektywny i ekonomiczny. - przedstawianie opinii o wiarygodności badanych systemów kontroli wewnętrznej, - doradzanie kierownictwu w projektowaniu systemu kontroli wewnętrznej; 2. Przedstawianie opinii o wiarygodności sprawozdań finansowych organizacji w oparciu o ocenę wiarygodności całego systemu kontroli wewnętrznej; 3. Przedstawianie opinii dotyczących efektywności zarządzania ryzykiem; 4. Przedstawianie opinii dotyczących efektywności i racjonalności zarządzania (audyt operacyjny). Doradztwo w tym zakresie; 5. Wykonanie identyfikacji i analizy ryzyka w zakresie niezbędnym w planowaniu długoterminowym i planowaniu zadania audytowego; 6. Przeprowadzenie oceny efektywności zarządzania ryzykiem; 7. Badanie i ocena adekwatności i efektywności systemu kontroli wewnętrznej. Ocena jakości pracy kontroli wewnętrznej; 8. Doradzanie przy projektowaniu systemów kontroli; 9. Przeprowadzanie audytów finansowych, obejmujących badanie wiarygodności i kompletności informacji służących sporządzaniu raportów na temat sprawozdań finansowych oraz badanie i sporządzanie raportów na temat systemów księgowych i płatniczych organizacji. Ocena systemów księgowo-finansowych pod względem dokładności, kompletności, terminowości i realności dokonywanych transakcji oraz zgodności z zasadami rachunkowości (audyt finansowy); 10. Ochrona majątku poprzez kontrolę systemów zabezpieczających aktywa oraz w razie potrzeby weryfikację istnienia tegoż majątku; 11. Ocena efektywności i wydajności wykorzystania zasobów. Dokonywanie oceny działań jednostek organizacyjnych oraz podmiotów zależnych pod względem efektywności i wydajności (audyt operacyjny); 12. Przeprowadzanie audytów systemów informatycznych; 13. Kontrola przestrzegania przez pracowników procedur bezpieczeństwa systemów informatycznych; 14. Ocena procedur tworzonych w organizacji. Ustalenie, czy obowiązujące procedury zapewniają osiąganie zamierzonych celów i czy zapewniają zgodność z przepisami (audyt zgodności). Pisemne procedury są niezbędnym elementem systemu zarządzania. Audytor nie może sam napisać procedur dla całej instytucji, ale może i powinien opiniować wszystkie procedury. Opinia powinna uwzględniać wszelkie stwierdzone braki w zakresie kontroli wewnętrznej. Audytor 8
nie może napisać procedur, gdyż jego pierwszym obowiązkiem jest wydanie opinii; 15. Dokonywanie oceny funkcjonujących systemów zapobiegania nieprawidłowościom i podejmowania działań korygujących; 16. Ocena systemu przepływu informacji pod kątem jego dokładności, rzetelności, terminowości, użyteczności i spójności; 17. Audyt zarządzania projektami, w tym informatycznymi; 18. Przeprowadzanie ewidencji audytów oraz nadzór nad dokumentami roboczymi i ich archiwizacją; 19. Współdziałanie z podmiotami upoważnionymi do przeprowadzania kontroli w jednostce; 20. Wykonanie i stała aktualizacja Oceny Potrzeb Audytu; 21. Opracowanie rocznego i wieloletniego planu audytu; 22. Opracowanie raportu rocznego. Ocena systemów kontroli wewnętrznej w zakresie ich efektywności i niezawodności powinna być oparta na wynikach działań audytu wewnętrznego oraz wynikach pracy zespołu kontroli wewnętrznej pod względem wykrywania nieprawidłowości i oszustw. Analiza źródeł powstawania nieprawidłowości i efektów działań wyjaśniających powinna zostać uwzględniona w analizie ryzyka. Ponadto zakres działań audytu wewnętrznego obejmuje wszystkie jednostki organizacyjne, oddziały terenowe i podmioty zależne. Dokumenty, które powstają w jednostce dzieli się na 3 poziomy: 11 - dokumenty ogólne definiujące cele np. statut Zespołu Audytu Wewnętrznego, - procedury umożliwiają realizację polityki, - instrukcje i inne tego typu szczegółowe dokumenty uzupełniające w stosunku do procedur. Zadania audytowe realizowane są na podstawie upoważnienia Kierownika organizacji, z tego względu bardzo istotną rzeczą jest taka organizacja Zespołu Audytu Wewnętrznego, która będzie dostosowana do wyznaczonych zadań. W zależności od wielkości i potrzeb organizacji oraz wielkości zespołu możliwe jest wiele rozwiązań: - audytorzy nie specjalizują się w poszczególnych typach audytu taka struktura ma tę zaletę, iż umożliwia wykonywanie różnorodnych zadań co wpływa na 11 K. Czerwiński Audyt Wewnętrzny wydanie II InfoAudit Warszawa 2005 r. 9
uzyskanie wszechstronnych kwalifikacji. Niestety w rozwiązaniu tym są dwie istotne wady: audytorzy muszą przeznaczyć stosunkowo dużo czasu na zapoznanie się z jednostkami audytowanymi oraz trudne jest uzyskanie specjalizacji w takich dziedzinach jak audyt finansowy czy informatyczny; - utworzenie wyspecjalizowanych zespołów cała trudność polega na ustaleniu ilu audytorów powinna zatrudniać jednostka organizacyjna. Decyzja o wielkości Zespołu Audytu Wewnętrznego powinna być uzasadniona ilością i skomplikowaniem zadań, które mają być realizowane przez zespół audytu. Rys nr 1 STANOWISKO PRACY DS. KANCELARYJNO-BIUROWYCH DYREKTOR ZESPOLU AUDYTORÓW WEWNETRZNYCH Z-CA DYREKTORA KIEROWNIK SEKCJI KIEROWNIK SEKCJI AUDYTORZY AUDYTORZY Przykładowy schemat organizacyjny Zespołu Audytu Wewnętrznego Krzysztof Czerwiński Audyt Wewnętrzny wydanie II InfoAudit Warszawa 2005 r. 10
1.3. FAZY PRZEPROWADZANEGO AUDYTU W realizacji zadania, które stanowi podstawę przeprowadzenia audytu, wyróżnić można kilka faz, które mogą się na siebie nakładać. Są one podzielone w sposób następujący: 12 - faza wstępna; - planowanie; - wstępne zapoznanie z jednostką audytowaną; - realizacja czynności audytowych; - raport z audytu; - monitorowanie wykonania rekomendacji. W fazie wstępnej audytor powinien przeprowadzić następujące czynności: 13 - określić okres, jaki ma objąć audyt oraz przewidywaną datę jego zakończenia; - założyć akta stałe i bieżące; - zebrać informacje dotyczące jednostki audytowanej m.in. liczba pracowników, zakresy obowiązków, opisy stanowisk, informacje o finansach jednostki, itp.; - wstępnie ocenić system kontroli wewnętrznej; - przeanalizować ryzyko; - wstępnie określić obiekt audytu; - wstępnie określić cel audytu; - ocenić potrzeby kadrowe i budżet audytu; - przygotować harmonogram audytu. W fazie wstępnej audytor powinien skoncentrować się na zebraniu jak największej ilości informacji wykorzystywanych następnie do planowania zadania audytowego. Zebranie i dokonanie wstępnej oceny informacji, które są dostępne bez formalnego powiadomienia kierownika jednostki o rozpoczęciu audytu, ma pomóc w przeprowadzeniu analizy ryzyka oraz w przygotowaniu planu audytu. Przeprowadzając wstępną analizę ryzyka audytor powinien wziąć pod uwagę czynniki ryzyka wewnętrznego oraz takie czynniki, jak: funkcjonowanie kontroli i pisemne procedury, częste zmiany kadrowe, zakres delegowania funkcji, skłonność do zmian, kwalifikacje pracowników i osób zarządzających, rezultaty poprzednich audytów. Przegląd taki może wiązać się z następującymi sposobami zbierania 12 K. Czerwiński Audyt Wewnętrzny wydanie II InfoAudit Warszawa 2005 r. 13 jw 11
informacji: 14 - analiza sprawozdań i studiów dokonanych przez kierownictwo i pracowników jednostki oraz innych jednostek organizacyjnych; - diagramy - testy przeglądowe; - obserwacja środowiska i metod pracy; - rozmowy z pracownikami; - wykorzystanie kwestionariuszy samooceny. Nie wolno zapominać o fakcie, iż wszystkie czynności należy zapisać w dokumentacji audytu. Ponadto koniecznie należy rozważyć doświadczenie audytorów i ocenić charakter i stopień trudności zadania, które audytor ma przeprowadzić, ograniczenia czasowe i finansowe. Na etapie planowania wyróżnić możemy 3 główne etapy zadania: przygotowanie planu audytu, zatwierdzenia planu przez kierującego jednostką oraz zawiadowmienie kierownika jednostki audytowanej o dacie rozpoczęcia audytu. Faza ta polega na zrozumieniu przez audytora zasad funkcjonowania jednostki, gdyż to pozwoli mu na określenie poziomu istotności. Pierwszym krokiem jest tu opracowanie planu audytu. Jest to dokument przygotowywany przed rozpoczęciem audytu, który powinien zawierać przynajmniej takie czynności, jak: 15 - wyliczenie obiektów audytu; - cele i zakres audytu; - przewidywana metodyka; - skład zespołu prowadzącego audyt; - budżet czasowy i zasoby potrzebne do przeprowadzenia audytu. Podczas planowania audytor powinien zapoznać się z zasadami funkcjonowania jednostki oraz z jej głównymi procesy biznesowe. Ułatwi to mu określenie poziomu istotności. W tej fazie zadania audytowego bardzo istotną czynnością jest przygotowanie planu audytu, który jest ogólnym dokumentem przygotowywanym przed 14 K. Czerwiński Audyt Wewnętrzny wydanie II InfoAudit Warszawa 2005 r. 15 jw. 12
rozpoczęciem audytu. Plan ten powinien zawierać następujące informacje: 16 - wyliczenie obiektów audytu, - cele i zakres audytu, - przewidywaną metodykę, - skład zespołu prowadzącego audyt, - budżet czasowy i zasoby potrzebne do przeprowadzenia audytu. Przygotowany plan powinien zostać zatwierdzony przez Dyrektora Zespołu Audytu Wewnętrznego. Ponadto na spotkaniu całego zespołu powinien on zostać przedyskutowany oraz powinno się ustalić, na których etapach audytor będzie kontrolował stan zaawansowania, kompletność dokumentacji oraz istotność ustaleń. Proces planowania powinien być w pełni udokumentowany. Następnie powinno zostać ustalone, w jaki sposób, kiedy i komu zostanie przekazany raport z audytu. Kolejnym krokiem jest powiadomienie jednostki o rozpoczęciu audytu. Powiadomienie takie powinno mieć formę pisemną z podpisem Dyrektora Zespołu Audytu Wewnętrznego. Kolejnym etapem, który przeprowadza się w ramach zadania audytowego jest wstępne zapoznanie się z jednostką audytowaną. W trakcie narady wstępnej z kierownictwem jednostki audytowanej audytor powinien osiągnąć następujące cele: 17 - możliwość wzajemnego poznania się audytorów i audytowanych; - zapoznanie audytowanych z obiektami I celami audytu; - uzgodnienie kryteriów oceny; - uzgodnienie harmonogramu I rozwiązań organizacyjnych; - uzyskanie informacji od kierownictwa jednostki na temat ryzyk związanych z działalnością jednostki oraz realizacji rekomendacji z poprzednio przeprowadzanych audytów. Tematy omawiane na naradzie mogą obejmować następujące zakresy: planowane nadrzędne cele audytu, harmonogram, przydzielenie audytorów do konkretnych zadań, sposób oraz metody wymiany informacji, osoby odpowiedzialne za informacje, warunki funkcjonowania jednostki, opis procedury wykonania raportu, przebieg działań monitorujących, terminy i czas trwania poszczególnych prac audytowych. 16 K. Czerwiński Audyt Wewnętrzny wydanie II InfoAudit Warszawa 2005 r. 17 jw. 13
Następnym etapem zadania audytowego są czynności u klienta. Po przybyciu do audytowanej jednostki audytor powinien skontaktować się z kierownictwem. Audytor powinien omówić sprawy, które nie zostały poruszone na naradzie wstępnej oraz ustalić terminy spotkań z pracownikami jednostki. Następną czynnością, którą audytor musi przeprowadzić jest badanie dokumentów takich, jak: przepisy prawne, schematy organizacyjne, księgi procedur i instrukcje biurowe. Informacje o tym, jak system funkcjonuje w praktyce dostarczają wywiady z kierownictwem i personelem oraz obserwacja środowiska i metod pracy.. W celu opisania systemu środków kontroli audytor sporządza następujące dokumenty: 18 - kwestionariusze samooceny; - notatki ze spotkań, wywiadów i dyskusji; - ogólny opis systemu; - opisowy lub sporządzony w formie diagramu szczegółowy opis systemu, który określa sieć współzależności i najważniejsze obiekty kontroli. Kolejnym krokiem w trakcie przeprowadzania zadania audytowego jest przygotowanie programu audytu. Program ten powinien określać procedury wymagane przy identyfikacji, analizie, ocenie oraz sporządzaniu dokumentacji podczas realizacji prac przez audytora. Powinien on zostać opracowany na podstawie przeprowadzonej przez audytora oceny słabych i mocnych stron systemu i jego kontroli wewnętrznej, jak również oceny ryzyka. Program audytu jest przygotowywany przez koordynatora audytu i ma postać procedury typu krok po kroku. Ponadto do programu musi zostać załączony wykaz oraz szczegółowy opis planowanych testów, których szczegółowość zależy od przeprowadzającego zadania audytowe. Program ten spełnia następujące funkcje: 19 1. zestawienie informacji typu kto, co, kiedy i z czyjego upoważnienia; 2. kontrola wykonanych prac program zawiera listę kontrolną czynności, które musi wykonać audytor w czasie zadania; 3. analiza ryzyka pozwala na określenie szczegółowego zakresu audytu; 4. opis zaplanowanych testów i wyjaśnienie, jak będziemy realizować cele audytu. Następnym etapem jest realizacja czynności audytowych, którego celem jest zebranie, analiza, interpretacja i utrwalenie informacji uzasadniających wyniki 18 K. Czerwiński, H. Grocholski Podstawy Audytu Wewnętrznego Link Szczecin 2003 r. 19 K. Czerwiński Audyt Wewnętrzny wydanie II InfoAudit Warszawa 2005 r. 14
przeprowadzonego audytu. Przed zakończeniem tej fazy audytu należy poinformować kierownictwo jednostki o terminie wydania raportu wstępnego. W celu przedstawienia wyników pracy stosuje się w audycie pisemny raport, która to forma jest wymagana przez międzynarodowe standardy. Raport powinien być przedstawiony po zakończeniu każdego zadania audytowego i powinien zawierać ustalenia, wnioski audytorów oraz rekomendacje: Za sporządzenie raportu odpowiedzialny jest koordynator audytu, ale udział we wszystkich pracach jest obowiązkiem wszystkich audytorów. Cele sporządzenia tego rodzaju raportu są następujące: 20 - raport dostarcza zapewnienia o adekwatności, efektywności i poziomie zaufania, jakim można obdarzyć system kontroli wewnętrznej; - ocenia efektywność, oszczędność i wydajność operacji realizowanych przez jednostkę poprzez analizę i ocenę; - wskazuje możliwość lub też wymusza usprawnienia systemu; - zwraca uwagę na ryzyka wynikające z różnic pomiędzy kryteriami a ustaleniami poczynionymi w trakcie audytu; - umożliwia kontrolę wykonania rekomendacji dzięki zapisaniu ich w raporcie wraz z uzgodnieniami dotyczącymi sposobu i terminu ich wdrażania przez kierownictwo jednostki. Wyróżnić można różne rodzaje raportów, m.in.: 1. raport końcowy zawiera ocenę audytowanego systemu kontroli i realizacji celów biznesowych. Powinny być w nim przedstawione wszystkie fakty świadczące o słabościach systemu wraz z powiązanymi ryzykami. Raport ten powinien być krótki a rekomendacje jasne i jednoznaczne; 2. raport przejściowy stosowany jest przy następujących sytuacjach: w trakcie prac audytowych zostały poczynione ustalenia wymagające pilnej reakcji oraz czas realizacji audytu jest długi, zaś ustalenia powinny być przedstawione przed upływem planowanego terminu zakończenia audytu. 3. raport ustny zwraca uwagę na zagrożenia wymagające natychmiastowej reakcji; 4. raport fragmentaryczny jego celem jest skoncentrowanie się na wybranych zagadnieniach; 20 K.Czerwiński Audyt Wewnętrzny wydanie II InfoAudit Warszawa 2005 r. 15
5. raport wstępny ten typ raportu jest opracowywany po zakończeniu testów. W skład tego rodzaju raportu wchodzą: część ogólna (opis obiektów, cele i zakres audytu), ogólny opis jednostki lub badanego systemu, ustalenia potwierdzone takimi dowodami na podstawie, których osoba trzecia nie będzie miała wątpliwości, co do istnienia opisanych faktów, sformułowanie wniosków, które stanowią ocenę audytora dotyczącą wpływu ustaleń na działalność, rekomendacje wskazują sposoby naprawy lub usprawnienia działalności, słownik użytych zwrotów i skrótów oraz załączniki standardy IIA opisują wymagania dotyczące raportu, za sporządzenie raportu odpowiedzialny jest koordynator audytu, udział w pracach jest obowiązkiem wszystkich audytorów, raport powinien być zrozumiały, przejrzysty, bezstronny i obiektywny, przed napisaniem raportu należy spotkać się z kierownictwem jednostki w celu omówienia ustaleń I rekomendacji, itp; 6. raport końcowy jednostka audytowana jest zobowiązana do przedstawienia swoich komentarzy w formie pisemnej w określonym terminie. W celu uniknięcia komplikacji w liście przewodnim dołączonym do raportu wstępnego należy zaznaczyć, że brak odpowiedzi w podanym terminie oznacza zgodę kierownictwa jednostki ze wszystkimi ustaleniami raportu i spowoduje jego zatwierdzenie. O tym, kto jest adresatem raportów decyduje Dyrektor Zespołu Audytu Wewnętrznego, jeżeli raport opisuje działania kilku komórek organizacyjnych możliwe jest podzielenie go na kilka fragmentów. Adresatem raportu jest zwykle przełożony jednostki, w której przeprowadza się audyt. Po analizie odpowiedzi i uwag jednostki, audytor powinien upewnić się, że istnieją odpowiednie mechanizmy zapewniające, że przyjęte rekomendacje zostaną wdrożone we właściwym czasie. Najważniejsze jest bowiem wskazanie w raporcie terminu wykonania rekomendacji. Kontrola wykonania rekomendacji powinna zostać skoncentrowana na ustaleniu, czy podjęto odpowiednie działania, eliminujące uprzednio zidentyfikowane nieprawidłowości. Prace audytowe i wynikające z nich wnioski powinny zostać w pełni udokumentowane i zweryfikowane przez koordynatora zadania audytowego. 16
2. CHARAKTERYSTYKA WYBRANYCH RODZAJÓW AUDYTU 2.1. AUDYT INFORMATYCZNY W każdej firmie wykorzystującej komputery do codziennej pracy, mogą pojawić się problemy z ich funkcjonowaniem. Przyczyny powstania takich sytuacji mogą być różne, np. niewłaściwa obsługa, źle dobrany sprzęt, oprogramowanie lub wiek urządzeń. Sytuacje takie przynoszą negatywne skutki dla firmy, bowiem zwykle zdarzają się w nieodpowiednim momencie lub dotyczą krytycznego punktu infrastruktury informatycznej. Wiele z tych sytuacji można jednak przewidzieć i im zapobiec, przeprowadzając audyt informatyczny. Audyt ten obejmuje następujące zagadnienia: 21 - identyfikacja najczęstszych problemów dzięki audytowi można zidentyfikować najczęściej pojawiające się problemu na poszczególnych stanowiskach komputerowych i w sieci lokalnej, dzięki czemu w przyszłości można zapobiegać wielu krytycznym sytuacjom lub unikać powtarzających się błędów. Na tej podstawie można także określić zapotrzebowanie firmy na obsługę informatyczną. - zebranie i uporządkowanie informacji na temat posiadanych zasobów sprzętowych opracowanie dokumentacji i raportu z dokładnego przeglądu wszystkich stanowisk i punktów sieci, pozwoli na dokładną inwentaryzację posiadanych zasobów, a co za tym idzie będzie można zoptymalizować ich wykorzystanie oraz zarządzać nimi. Działanie to umożliwi zaplanowanie harmonogramu inwestycji lub modernizacji i konserwacji bazy sprzętowej. - przegląd oprogramowania weryfikacja poprawności instalacji oprogramowania oraz jego legalności, zmniejszy awaryjność i usprawni pracę stanowisk, pozwoli ustrzec się przed łamaniem prawa, a co za tym idzie przykrymi konsekwencjami karnymi. Dzięki temu działaniu będzie można określić jedne spójne rozwiązanie w zakresie wykorzystania oprogramowania. - określenie rodzaju/modernizacji infrastruktury przeprowadzony audyt pozwoli oszacować potrzeby organizacji w zakresie informatyki. Wnioski po wykonanych analizach dostarczą informacji na temat konieczności konserwacji poszczególnych elementów infrastruktury, ich modernizacji czy wprowadzenia 21 www.infovide.pl 17
nowych rozwiązań. Raporty z audytu ułatwią opracowanie szczegółowych procedur oraz polityki informatycznej firmy. - zwiększenie efektywności pracy po wnikliwej analizie, opracowywane są odpowiednie rozwiązania. Wskazuje się na obszary, gdzie jest możliwe ich zastosowanie lub gdzie dostępne zasoby mogą być wykorzystane w efektywniejszy sposób. W audycie informatycznym występują cztery zasadnicze fazy: planowanie, ocena mechanizmów kontrolnych, testowanie i raportowanie. Według Jerzego Korytowskiego, Przewodniczącego Zarządu Stowarzyszenia ds. Audytu i Kontroli Systemów Informatycznych, proces audytowy powinien przebiegać w sposób następujący: 22 - szacowanie ryzyka i wstępne planowanie audytu, - zapoznanie się z audytowanym obszarem (zrozumienie natury procesów i ryzyk poprzez wywiady i pozyskanie odpowiednich dokumentów), - szczegółowe planowanie audytu, - przeprowadzenie szczegółowych prac audytowych w tym: zapoznanie się z procesem (poznanie jakie mechanizmy kontrolne zaplanowano), wywiady i pozyskiwanie dokumentów), - ocena zaplanowanych, przewidzianych mechanizmów kontrolnych pod kątem ich adekwatności (wystarczalności i siły) w stosunku do potrzeb, - ocena zgodności zastanej praktyki z planami i przewidywaniami (czy mechanizmy są stosowane i jak działają), - testowanie dowodowe, - przygotowanie i zakomunikowanie raportu. W ramach audytu informatycznego wyróżnić można następujące części: - audyt legalności oprogramowania, - audyt sprzętu, - audyt zabezpieczeń. 22 www.frso.pl 18
2.1.1. AUDYT LEGALNOŚCI OPROGRAMOWANIA Konieczność optymalizowania kosztów w firmach i wzrost liczby przestępstw komputerowych sprawiają, że jednym z istotnych działań w zarządzaniu staje się sprawne zarządzanie jej zasobami informatycznymi i sposobem ich wykorzystania przez pracowników. Audyt oprogramowania obejmuje całość oprogramowania używanego w firmie. W wyniku audytu powstaje raport przedstawiający stan oprogramowania I jego licencjonowania. Audyt oprogramowania realizowany jest zazwyczaj w kilku fazach, a uzyskane w ich trakcie informacje są podstawą sporządzania raportu audytowego. Fazy te są następujące: 23 - faza I zebranie podstawowych informacji o zasobach informatycznych w firmie, a w szczególności: ilość, rodzaj i rozmieszczenie serwerów i stacji roboczych, oprogramowanie sieciowe i systemy operacyjne, istnienie procedur dotyczących zarządzania oprogramowaniem (organizacja zakupu oprogramowania, reguły dotyczące instalacji, użytkowania i deinstalacji oprogramowania), polityka zarządzania licencjami w firmie; - faza II a fizyczne skanowanie serwerów i stacji roboczych (skanowanie jest przeprowadzane przy pomocy specjalistycznego oprogramowania i umożliwia zinwentaryzowanie oprogramowania); - faza II b weryfikacja licencji na oprogramowanie; - faza III analiza danych i sporządzenie raportu audytowego następuje porównanie liczby posiadanych licencji z liczbą instalacji poszczególnych rodzajów oprogramowania. Poza tym porównaniem raport audytowy zawiera informacje odnośnie miejsca instalacji poszczególnych programów. W ciągu ostatnich miesięcy zauważyć można istotny wzrost zainteresowania sprawą legalności oprogramowania komputerowego, o czym może świadczyć duża liczba publikacji prasowych, relacje radiowe i telewizyjne oraz ogromna liczba pytań adresowanych do producentów oprogramowania. Największa liczba pytań dotyczy weryfikacji legalności oprogramowania. O ile w przypadku firm posiadających niewielkie ilości komputerów takie zadanie nie jest skomplikowane, o tyle firmy używające sieci komputerowe i kilkadziesiąt lub więcej komputerów, często w różnych miejscach I budynkach, stają przed problemem, któremu trudno sprostać. W celu usprawnienia przeprowadzanego audytu, można przeprowadzić 23 www.ckzeto.com.pl 19
proces inwentaryzacji komputerów. Inwentaryzacja taka powinna być jak najdokładniejsza i odpowiadać na pytania dotyczące sprzętowej konfiguracji PC. Kolejnymi celami audytu, bezpośrednio wiążącymi się z inwentaryzacją sprzętu, może być oznaczenie wszystkich komputerów unikalnymi numerami identyfikacyjnymi, a także oczyszczenie listy środków trwałych komputerów, które nie są już w rzeczywistości wykorzystywane. Z audytem wiążą się także inne cele, np. wprowadzenie nowych procedur dotyczących nazewnictwa i przechowywania poufnych dokumentów w formie elektronicznej, wprowadzenie nowych przepisów w umowach o pracę, które sprecyzują zasady wykorzystania komunikatorów i oprogramowania, czy też opracowanie i wdrożenie procedur regulujących zasady zakupu nowego oprogramowania w firmie. Prawidłowo przeprowadzony audyt gwarantuje: 24 - pełne, odpowiednio uporządkowanie i zarchiwizowane informacje o posiadanych zasobach sprzętowych i oprogramowania, - przeniesienie odpowiedzialności karnej na osoby bezpośrednio odpowiedzialne za określone stanowiska komputerowe, - monitoring czynności wykonywanych przez pracowników na poszczególnych stacjach komputerowych, - wytyczenie procedur zakupu i archiwizowania oprogramowania mających wpływ na porządek i efektywność pracy, - poczucie bezpieczeństwa związanego z kontrolą uprawnionych organów dotyczących legalności oprogramowania i konsekwencjami w postaci konfiskaty sprzętu i wysokich kar w przypadku wykrycia nieprawidłowości, - poczucie bezpieczeństwa związanego z ochroną komputerów przed potencjalnie niebezpiecznymi aplikacjami powodującymi niekontrolowany wypływ poufnych informacji lub będących źródłem w nieoczekiwanym momencie awarii wpływających na przerwy w pracy, - poczucie porządku wpływającego pozytywnie na efektywność pracy oraz stwarzającego dobre podstawy pod procedury wdrożenia certyfikatu jakości. Istotą audytu legalności oprogramowania jest skonfrontowanie liczby i typu licencji z informacjami zebranymi w trakcie audytu. W rezultacie otrzymuje się odpowiedź na pytania: na które aplikacje firma posiada zbyt mała liczbę licencji, na które w ogóle ich nie posiada i w ilu przypadkach posada więcej licencji niż zainstalowanych w sieci aplikacji. Z tych powodów istotnymi elementami są: 24 www.promedia.iap.pl 20