Załącznik Nr 1 do Zarządzenia Nr Or-IV.0050.290.2017 w sprawie wprowadzenia Księgi Procedur Audytu Wewnętrznego z dnia 12 maja 2017 r. SPIS TREŚCI P R O C E D U R Y AUDYTU WEWNĘTRZNEGO WSTĘP 2 I. Roczny plan audytu 2 II. UpowaŜnienie 4 III. Analiza ryzyka w obszarze 4 IV. Program zadania zapewniającego 5 V. Cele, obiekty, kryteria i zakres zadania 6 VI. Techniki badania 7 VII. Wstępne ustalenia 9 VIII. Sprawozdanie 10 IX. Narada zamykająca 11 X. Monitoring realizacji zaleceń 11 XI. XII. Czynności sprawdzające 11 XIII. Czynności doradcze 12 XIV. Sprawozdanie z wykonania planu audytu 12 XV. Dokumenty robocze audytu 13 XVI. Akta audytu wewnętrznego 13 XVII. Ocena pracy audytora wewnętrznego 14 Spis załączników 15 1
WSTĘP Opracowanie i stosowanie procedur audytu wewnętrznego wynika z następujących norm: Międzynarodowych Standardów Profesjonalnej Praktyki Zawodowej Audytu Wewnętrznego; Ustawy o finansach publicznych; Rozporządzenie odpowiedniego Ministra w sprawie audytu wewnętrznego oraz informacji o pracy i wynikach tego audytu; Komunikatu odpowiedniego Ministra w sprawie standardów audytu wewnętrznego dla jednostek sektora finansów publicznych; Karty audytu wewnętrznego stanowiącej załącznik nr 1 do Zarządzenia Prezydenta Miasta Jastrzębie-Zdrój w sprawie wprowadzenia Karty audytu wewnętrznego. Procedury audytu wewnętrznego (PAW), opracowane przez audytora wewnętrznego zatrudnionego w Wydziale Kontroli i Audytu Wewnętrznego w randze naczelnika tego Wydziału, ustala w Zarządzeniu Prezydent Miasta Jastrzębie-Zdrój. Celem procedur audytu wewnętrznego jest przedstawienie organizacji zakresu działania Wydziału Kontroli Audytu Wewnętrznego w ramach przeprowadzania audytu wewnętrznego oraz reguł postępowania w trakcie wykonywania czynności w takich procesach, jak: planowanie audytu i ocena ryzyka, przygotowanie i realizacji zadań audytowych, formułowanie zaleceń (uwag i wniosków), komunikowanie wyników i sprawozdawczość, monitorowanie realizacji rekomendacji (czynności sprawdzające). METODYKA AUDYTU PROCEDURY I TECHNIKI Roczny plan audytu Audyt wewnętrzny prowadzony jest na podstawie rocznego planu audytu wewnętrznego, opartego na bazie analizy obszarów ryzyka w zakresie działania jednostki (wzór nr 1). W uzasadnionych przypadkach audyt wewnętrzny przeprowadza się poza planem audytu, w uzgodnieniu z Prezydentem Miasta. Przygotowanie planu odbywa się w oparciu o przeprowadzoną analizę ryzyka konsultowaną z kierownictwem w odniesieniu do strategii organizacji, kluczowych celów oraz z uwzględnieniem sposobu zarządzania ryzykiem w jednostce, biorąc pod uwagę w szczególności: analizę ryzyka będącą wynikiem procesu zarządzania ryzykiem, cele i zadania jednostki, przepisy prawa i regulacje wewnętrzne dotyczące działania, wyniki wcześniej przeprowadzonych zadań audytowych i kontroli (zewnętrznych i wewnętrznych), 2
wewnętrzne i zewnętrzne czynniki ryzyka mające wpływ na realizację celów jednostki, opinie najwyŝszego kierownictwa Urzędu Miasta Jastrzębie-Zdrój, naczelników Wydziałów, kierowników referatów i pracowników jednostki, wyniki wywiadów i rozmów przeprowadzonych przez audytora. Dokonany przez audytora proces analizy ryzyka powinien być udokumentowany. Audytorzy dokonują własnej i niezaleŝnej analizy ryzyka na potrzeby planowania rocznego, której nie utoŝsamia się z analizą ryzyka przeprowadzaną w ramach systemu zarządzania ryzykiem w organizacji. Analiza ryzyka ma na celu zidentyfikowanie obszarów działania naraŝonych na ryzyko o duŝej istotności, mających wpływ na realizację celów i zadań. Przygotowując plan audytu wewnętrznego, Naczelnik Wydziału KAW - audytor wewnętrzny ustala kolejność poddania obszarów ryzyka audytowi wewnętrznemu, biorąc pod uwagę stopień ich waŝności oraz czynniki organizacyjne, a w szczególności: 1) czas niezbędny dla: a) przeprowadzenie zadań audytowych; b) przeprowadzenie czynności organizacyjnych; 2) czas przeznaczony na szkolenie audytora wewnętrznego; 3) dostępne zasoby ludzkie; 4) rezerwę czasową na nieprzewidziane działania; 5) czas przeznaczony na urlop. Przy planowaniu rocznym uwzględniane są priorytety dla zadań audytowych wskazanych przez NajwyŜsze Kierownictwo. Plan audytu jest sporządzany do końca kaŝdego roku, zatwierdzany przez Prezydenta Miasta, Roczny Plan audytu zawiera: 1) obszary działalności jednostki, w których zostaną przeprowadzone zadania zapewniające w danym roku; 2) informację na temat budŝetu czasu komórki audytu wewnętrznego w danym roku, wyraŝonego w osobodniach, w szczególności na temat czasu planowanego na: a) realizację poszczególnych zadań zapewniających, b) realizację czynności doradczych, c) monitorowanie realizacji zaleceń oraz realizację czynności sprawdzających, d) kontynuowanie zadań audytowych z roku poprzedniego. Plan audytu umieszcza się w Biuletynie Informacji Publicznej Jastrzębie-Zdrój. Miasta KaŜda zmiana Planu będzie uzgadniana pomiędzy naczelnikiem KAW a Prezydentem Miasta. 3
JeŜeli audytor wewnętrzny podczas realizacji planu audytu stwierdzi, Ŝe przeprowadzenie we wszystkich zaplanowanych obszarach zadań audytowych jest niemoŝliwe lub niecelowe, uzgadnia w formie pisemnej z Prezydentem Miasta Jastrzębie-Zdrój zakres realizacji planu. W przypadkach określonych w rozporządzeniu dopuszcza się: na wniosek audytora wewnętrznego, za zgodą Prezydenta Miasta Jastrzębie-Zdrój, zmianę zakresu przedmiotowego realizacji planu audytu (zadań realizowanych we wskazanych obszarach), na wniosek Prezydenta Miasta Jastrzębie-Zdrój, przeprowadzenie zadania audytowego poza planem audytu. Audytor wewnętrzny przekazuje do akceptacji zmianę rocznego planu audytu wewnętrznego Prezydentowi Miasta Jastrzębie-Zdrój i włącza do akt. UpowaŜnienie Audyt wewnętrzny przeprowadza się na podstawie pisemnego upowaŝnienia kierownika jednostki, po okazaniu dowodu toŝsamości (wzór nr 2). UpowaŜnienie zawiera: 1) imię i nazwisko audytora wewnętrznego; 2) nazwę audytowanego lub/i nazwę jednostki: 3) termin waŝności 4) podpis kierownika jednostki. Analiza ryzyka w obszarze pod katem dokonania wyboru podobszaru i nazwania zadania zapewniającego Przegląd wstępny - polega na zebraniu informacji o badanym obszarze ryzyka, bez ich szczegółowej weryfikacji, niezbędnych do wyboru podobszaru ryzyka w szczególności z uwzględnieniem wskazanych ryzyk w obszarze które analizuje Biuro ds. zarzadzania jakością, w ramach którego zostanie zrealizowane zapewniające zadanie audytowe. Głównymi celami analizy są: 1) zidentyfikowanie i wstępna ocena istniejących problemów, 2) zidentyfikowanie i wstępna ocena mechanizmów kontroli, 3) udokumentowana analiza ryzyka w wybranym obszarze, 4) określenie wstępnego tematu i celów zadania, 5) określenie wstępnych wniosków, 6) niezbędne wykorzystanie zasobów KAW. 7) uzgodnieniu z audytowanym kryteriów oceny mechanizmów kontrolnych w obszarze działalności jednostki objętym zadaniem; w przypadku braku uzgodnienia kryteriów z audytowanym, audytor uzgadnia je z kierownikiem jednostki. 4
W celu uzgodnienia kryteriów, audytor przeprowadza naradę otwierającą, z której sporządza protokół (załącznik nr 3). Czynności wykazane w punkcie 1 i 2, które, przeprowadza się z zastosowaniem takich technik, jak: przegląd powszechnie obowiązujących przepisów prawa i wydanych regulacji wewnętrznymi normujących (opisujących) badany obszar działalności; zapoznanie się z ustaleniami i wynikami poprzednich audytów i kontroli dotyczącymi obszaru; rozmowa z naczelnikiem Wydziału, kierownikiem komórki organizacyjnej odpowiedzialnym za badany obszar działania, a takŝe osobami realizujących zadania w badanym obszarze; obserwacja zadań wykonywanych przez pracowników audytowanej jednostki; rozmowa z kierownikami jednostek organizacyjnych, na które działalność w badanym obszarze wywiera istotny wpływ; analiza sprawozdań i innych dokumentów przygotowanych dla NajwyŜszego Kierownictwa. Audytor dokonuje analizy ryzyka w obszarze pod kątem wyboru podobszaru, w ramach którego zostanie przeprowadzone zadanie zapewniające, w oparciu o następujące kryteria: czynniki zewnętrzne np. infrastruktura (internet, poczta elektroniczna), siły wyŝsze (powódź, poŝar), prawne (skomplikowane przepisy, zmiany przepisów); czynniki finansowe (istotność) budŝetowe, inwestycje (źródła finansowania, koszty inwestycji), rzetelność sprawozdań, płynność; czynniki operacyjne działalność podstawowa, informacja (integralność baz danych, bezpieczeństwo IT, poufność danych), skłonność pracowników do zmian; jakość zarzadzania zespół zarządzający (polityki, plany strategiczne, prognozy, kwalifikacje pracowników i kierownictwa, zarzadzanie zasobami ludzkimi), organizacja (struktura organizacyjna, zakresy obowiązków, system przepływu informacji, system wynagradzania, ścieŝki awansu); funkcjonowanie kontroli wewnętrznej dokumentacja, rejestrowanie operacji finansowych, autoryzacja, podział obowiązków, nadzór, delegowanie funkcji. W uzasadnionych przypadkach audytor wewnętrzny, realizując zadanie audytowe, moŝe korzystać z pomocy ekspertów. Program zadania zapewniającego Program zadania audytowego (wzór nr 4) stanowi szczegółowy plan pracy audytora wewnętrznego. Po omówieniu z Prezydentem Miasta wstępnych celów i kryteriów audytor wewnętrzny opracowuje program zadania audytowego z uwzględnieniem w szczególności: temat zadania; 5
cel zadania; zakres podmiotowy i przedmiotowy zadania; strategie i cele organizacji w zakresie zadania; istotne ryzyka w obszarze działalności jednostki objętym zadaniem; sposób zrealizowania zadania, w szczególności opis doboru próby do badania oraz technik badania; uzgodnione z audytowanym, kryteria oceny mechanizmów kontrolnych w obszarze działalności jednostki objętym zadaniem (w przypadku braku uzgodnienia kryteriów z audytowanym, audytor wewnętrzny uzgadnia je z kierownikiem jednostki); datę rozpoczęcia i zakończenia zadania. W uzasadnionych przypadkach audytor moŝe w trakcie przeprowadzania zadania zapewniającego dokonywać zmian w jego programie. Zmiany programu powinny być udokumentowane i zatwierdzone. Program zadania zapewniającego podpisuje audytor wewnętrzny z zatwierdzeniem Prezydenta Miasta. Cele, obiekty, kryteria i zakres zadania Celem zadania audytowego jest niezaleŝna i obiektywna ocena badanego obszaru działalności oraz zapewnienie, czy mechanizmy zarządzania i kontroli zarządczej w tym obszarze funkcjonują prawidłowo. Obiekty zadania definiuje obszar działalności jednostki poddany badaniu. Audytor ustala wszystkie moŝliwe obiekty w danym obszarze. Kryteria zadania są pomocą do oceny, czy funkcjonowanie jednostki w badanym obszarze, w tym mechanizmy zarządzania i kontroli zarządczej, przebiegają zgodnie z załoŝeniami wynikającymi na przykład z powszechnie obowiązujących przepisów prawa, regulacji wewnętrznych, standardów i innych norm. Zakres zadania obejmuje obiekty audytu, które w wyniku analizy ryzyka na etapie planowania zadania audytowego, wskazują na moŝliwość wystąpienia znacznego ryzyka. Celem prac audytorskich jest uzyskanie racjonalnego zapewnienia, czy w badanym obszarze: cele postawione przed jednostką są wykonywane, zasady i procedury wynikające z przepisów prawa powszechnie obowiązującego lub regulacje wewnętrzne obowiązujące w jednostce są wdraŝane i przestrzegane, mechanizmy i procedury składające się na system zarządzania i kontroli zarządczej są adekwatne i skuteczne dla prawidłowego działania jednostki. JeŜeli w toku wykonywania czynności adytowych nie ma moŝliwości zbadania wszystkich (100%) elementów wchodzących w skład badanej zbiorowości, Audytor stosuje dobór próby w badaniu. Podczas określania próby do badania 6
audytor moŝe posłuŝyć się dowolnymi metodami statystycznymi lub niestatystycznymi, przy czym preferowane narzędzia to: funkcja matematyczna LOS w programie Excel, program do generowania liczb losowych Research Randomizer. Wielkość próby uzaleŝniona jest od poziomu ryzyka audytu, które audytor jest skłonny zaakceptować. Techniki badania Kwestionariusz kontroli wewnętrznej jest dokumentem roboczym audytu zawierającym pytania dotyczące systemu kontroli wewnętrznej. Stosowany w początkowej fazie audytu, tak aby audytor miał moŝliwość potwierdzenia odpowiedzi na zadane pytanie. Odpowiedzi pomagają w ocenie systemu kontroli zarządczej. Audytor przeprowadza wywiady (wzór nr 5) z osobami zarządzającymi danym systemem (obszarem działania) i odpowiedzialnymi za prawidłowe funkcjonowanie występujących w nim procesów. W wywiadach zwraca się szczególną uwagę na pozyskanie informacji pozwalających na zrozumienie systemu i wykonywanych w nim kontroli. Wywiady przeprowadza się takŝe z pracownikami Urzędu Miasta Jastrzębie-Zdrój oraz jednostek organizacyjnych Miasta - uczestnikami procesów. W celu uniknięcia kwestionowania informacji uzyskanych w trakcie wywiadu wskutek ich zniekształcenia (na przykład podczas zapisu rozmowy), ostateczna treść wywiadu jest uzgadniana i potwierdzana podpisem przez audytora. Audytor powinien ponadto, o ile to moŝliwe, dąŝyć do poparcia ustaleń wywiadu dowodami z innych źródeł. Dopuszcza się przeprowadzenie wywiadu przy wykorzystaniu wewnętrznej poczty elektronicznej. Audytor przeprowadza testy dla uzyskania wystarczających dowodów pozwalających odpowiedzieć na pytanie jak jest? Testowanie polega na określeniu i doborze reprezentatywnej próbki operacji, zbadaniu jej, porównaniu wyników z oczekiwaniami i dokonaniu ekstrapolacji wyników na badaną populację. W PAW omówiono trzy testy, które mogą być zastosowane w trakcie czynności audytowych. Testy przeglądowe prowadzi się, aŝeby zrozumieć dany proces i zidentyfikować w nim kontrole. Celem testu jest określenie początku procesu wraz z dokumentami źródłowymi, a następnie prześledzenie go krok po kroku. Zaletami testu jest moŝliwość weryfikacji występowania w procesie systemów kontrolnych i upewnienie się audytora o odpowiednim rozumieniu procesu. Przygotowując test przeglądowy, audytor zapoznaje się z diagramem procesu, a w przypadku braku diagramu, wykonuje go sam. Testy zgodności przeprowadza się dla uzyskania wystarczających dowodów, Ŝe w badanym systemie są stosowane mechanizmy kontroli. Inaczej mówiąc, testy zgodności dostarczają dowodów, czy zarządzanie i procedury kontrolne w badanym obszarze funkcjonują zgodnie z załoŝeniami oraz czy są efektywne. Dzięki testowi zgodności audytor uzyskuje dowody na przestrzeganie procedur. W przypadku stwierdzenia, Ŝe na danym mechanizmie systemu kontroli nie 7
moŝna polegać, audytor powinien rozwaŝyć, czy naleŝy przeprowadzić test zgodności. Ocenie podlega system kontroli, a nie wartość transakcji. Po stwierdzeniu odstępstwa, audytor ocenia jego istotność. Testy wiarygodności przeprowadza się po wykonaniu testów zgodności. Audytor sprawdza, czy informacje zamieszczone w dokumentacji są kompletne, dokładne i odzwierciedlają stan faktyczny. W zaleŝności od tego, czy testy zgodności wykaŝą stosowanie albo niestosowanie danych mechanizmów kontroli, testy wiarygodności przeprowadza się na małych lub odpowiednio zwiększonych próbach. Graficzna analiza procesów - diagram mający na celu zidentyfikowanie słabości w systemie kontroli danego procesu. Pobieranie próbek losowych próbkowanie, jako technika wykorzystywana przy badaniu określonej populacji, porównaniu wyników z oczekiwanymi oraz dokonanie ich ekstrapolacji na badaną populację. Procedury analityczne obejmują między innymi porównanie informacji bieŝącej z poprzednim okresem, badanie relacji między danymi finansowymi i nie finansowymi w celu ustalenia nietypowych wyników. Czynności audytowe wykonuje się w sposób nie zakłócający normalnego toku pracy komórek audytowanych. Audytor podejmuje czynności audytowe wyszczególnione w przygotowanym wcześniej zestawieniu, w tym: przeprowadza zaplanowane wywiady i testy, sporządza opis badanego procesy (ścieŝkę audytu), dokonuje wstępnej oceny systemu zarządzania i kontroli w badanym obszarze, sporządza schematy organizacyjne, sporządza kwestionariusze kontroli wewnętrznej, opisuje słabe punkty badanego obszaru, wskazując na moŝliwe przyczyny i skutki. W przypadku audytu systemu, czynności audytora zmierzają przede wszystkim do określenia, zrozumienia i szczegółowego jego udokumentowania. Ponadto uwzględniają one określenie granic systemu i jego współzaleŝności z innymi systemami. Działania te w szczególności obejmują badanie dokumentów wskazujących na teoretyczne zasady funkcjonowania systemu. Do dokumentów takich zaliczają się przede wszystkim: powszechnie obowiązujące przepisy prawa, schematy organizacyjne, księgi procedur, a w przypadku ich braku regulacje wewnętrzne (regulaminy itp.), pisemne zakresy obowiązków pracowników. 8
Wstępne ustalenia Zredagowanie ustaleń i wniosków z przeprowadzonego zadania audytowego wymaga: ustalenia stanu faktycznego - co jest? podania kryteriów - co powinno być? odniesienia stanu faktycznego do przyjętych kryteriów, aŝeby określić skutek płynący z takiego porównania - co z tego wynika? stwierdzenia przyczyny - dlaczego tak się stało? sformułowania uwag i wniosków (rekomendacji) - co naleŝy zrobić? Wstępne ustalenie stanu faktycznego przedstawia: kryteria zadania i odnoszone do nich szczegółowe wyniki badania przedstawiające mocne strony badanego obszaru jak i wykryte w nim elementy wymagające korekty; ewentualne dodatkowe ustalenia wykryte podczas realizacji zadania. Wstępne określenie oraz analiza przyczyn i skutków uchybień zawiera ocenę ryzyk wyszczególnionych w programie zadania zapewniającego, a takŝe przyczyny i skutki stwierdzonego stanu rzeczy. Wstępne uwagi i wnioski (rekomendacje) przedstawiają sugerowane działania zaradcze, odpowiadając na pytanie co naleŝy zrobić?, aŝeby w przyszłości nie dochodziło do uchybień w badanym obszarze. Audytor wewnętrzny sporządza i przekazuje audytowanym Wstępne ustalenia z przeprowadzenia zadania zapewniającego, w tym w szczególności ustalenia i propozycje zaleceń. W przypadku nieuzgodnienia wstępnych wyników audytu wewnętrznego, audytowany moŝe zgłosić pisemne zastrzeŝenia, w terminie określonym przez audytora wewnętrznego, nie krótszym niŝ 7 dni kalendarzowych od dnia poinformowania audytowanego o wstępnych wynikach. Audytor wewnętrzny w celu uzgodnienia wstępnych wyników audytu wewnętrznego moŝe przeprowadzić naradę zamykającą. Kierownik komórki organizacyjnej, w której przeprowadzono zadanie audytowe, moŝe zgłosić na piśmie dodatkowe wyjaśnienia lub umotywowane zastrzeŝenia dotyczące treści tego Ustalenia. Audytor wewnętrzny, po analizie i rozpatrzeniu dodatkowych wyjaśnień lub zastrzeŝeń, podejmuje ewentualne czynności wyjaśniające, a następnie przekazuje kierownikowi audytowanej komórki organizacyjnej informację (w sposób formalny lub nieformalny) w sprawie rozpatrzenia wyjaśnień lub zastrzeŝeń. Po rozpatrzeniu dodatkowych wyjaśnień lub zastrzeŝeń i uzgodnieniu zapisu Ustaleń, przystępuje do sporządzania sprawozdania. 9
Sprawozdanie Audytor sporządza sprawozdanie (wzór nr 6) z przeprowadzonego zadania zapewniającego, podając: temat i cel zadania, zakres podmiotowy i przedmiotowy zadania, datę rozpoczęcia zadania, wyniki i ocenę według kryteriów przyjętych w programie zadania zapewniającego, zalecenia, odniesienie się audytora do zastrzeŝeń zgłoszonych przez audytowanego, na etapie ustalania wstępnych wyników audytu, ogólna ocenę adekwatności, skuteczności i efektywności kontroli zarządczej w obszarze działalności jednostki objętym zadaniem, z uwzględnieniem strategii, celów i ryzyka organizacji, datę sporządzenia sprawozdania, imię i nazwisko audytora/audytorów wewnętrznego realizującego zadanie oraz jego podpis. Audytor wewnętrzny, przekazuje po jednym egzemplarzu podpisanego sprawozdania Prezydentowi Miasta Jastrzębie-Zdrój i kierownikom audytowanych komórek organizacyjnych. Audytowany w terminie 14 dni kalendarzowych od dnia otrzymania sprawozdania, ustala sposób i termin realizacji zaleceń oraz wyznacza osoby odpowiedzialne za realizację zaleceń, powiadamiając o tym na piśmie Naczelnika Wydziału Kontroli i Audytu wewnętrznego oraz kierownikowi jednostki. W przypadku odmowy realizacji zaleceń audytowany przedstawia, w terminie 7 dni kalendarzowych od dnia otrzymania sprawozdania, pisemne stanowisko kierownikowi jednostki i audytorowi wewnętrznemu. Kierownik jednostki podejmuje decyzję odnośnie realizacji zaleceń, informując o tym audytowanego i Naczelnika Wydziału Kontroli i Audytu wew. W przypadku objęcia zakresem zadania zapewniającego kilku komórek audytowanych audytor wewnętrzny moŝe przekazać kierownikowi komórki audytowanej tylko tę część sprawozdania, która dotyczy działalności kierowanej przez niego komórki. Informacje, które nie są przeznaczone dla wszystkich odbiorców sprawozdania, poniewaŝ maja charakter poufny, są zastrzeŝone albo dotyczą nieprawidłowości lub czynów niezgodnych z prawem ujawniane są w wyodrębnionej części sprawozdania. 10
Narada zamykająca Audytor wewnętrzny moŝe zwołać naradę zamykającą z udziałem kierowników komórek audytowanych objętych zadaniem zapewniającym lub wyznaczonych przez nich pracowników w celu przedstawienia ostatecznych wyników audytu wewnętrznego. W naradzie zamykającej mogą uczestniczyć członkowie kadry zarządzającej w zakresie stanowionego nadzoru. Audytor wewnętrzny ustala z Prezydentem Miasta termin narady zamykającej. Celem narady jest: przedstawienie i porozumienie się w sprawie ustaleń audytu, w szczególności dotyczących uwag i wniosków (rekomendacji), przedstawienie przez audytora pozytywnych aspektów działania w badanym obszarze, poinformowanie o procesie sprawozdawczym, w tym uzgodnienie terminów realizacji rekomendacji. Ponadto audytor dąŝąc do zapewnienia wysokiej jakości audytu wewnętrznego i spełniania Standardów audytu wewnętrznego, prowadzi bieŝący monitoring polegający na ocenie sposobu przeprowadzenia poszczególnych zadań audytowych, dokonanej przez jednostkę audytowaną (ankieta jakości pracy audytu wzór nr 7). Monitoring realizacji zaleceń Audytor monitoruje etap wdroŝenia zaleceń przed terminem wyznaczonym na ich realizację, dla sprawdzenia, czy podejmowane są działania zmierzające do ich terminowego wdroŝenia. Podczas monitoringu, audytor wykorzystuje wszystkie dostępne formy komunikacji, w tym słuŝbową pocztę elektroniczną. Informacje uzyskane w trakcie monitorowania wykonania zaleceń, są odnotowywane w formularzu stanowiącym wzór nr 8. Czynności sprawdzające Audytor wewnętrzny, po upływie terminów realizacji zaleceń, przeprowadza czynności sprawdzające, dokonując oceny dostosowania działań jednostki do zgłoszonych przez niego uwag i wniosków. Czynności te są podejmowane po uzgodnieniu z kierownikiem właściwej komórki organizacyjnej. Skala zamierzonych czynności sprawdzających moŝe przyjmować róŝne formy działań, na przykład zbadania uprzednio audytowanej procedury, a kończąc na 11
realizacji od początku czynności, które byłyby wykonane w normalnym toku zadania. Ustalenia poczynione w trakcie czynności sprawdzających audytor wewnętrzny zamieszcza w informacji czynności sprawdzające (wzór 9), którą przekazuje Prezydentowi Miasta Jastrzębie-Zdrój, oraz kierownikowi audytowanej komórki organizacyjnej. Czynności doradcze Czynności doradcze wykonywane są jako część zadań audytowych lub na zlecenie Prezydenta Miasta Jastrzębie-Zdrój. Audytor wykonuje usługi doradcze w ramach analizy mechanizmów kontrolnych: uczestnictwo w zespołach zadaniowych, porady dla pracowników jednostki w ramach procesów operacyjnych, ocena wytwarzanej wewnętrznej podstawy funkcjonowania jednostki, szkolenia. Audytor wewnętrzny świadczy usługi doradcze jako część zwykłej, rutynowej działalności, jak równieŝ na wniosek kierownictwa jednostki poprzez: Formalne zadania doradcze planowane i zgodnie ze Zleceniem zadania doradczego. Nieformalne działalność rutynowa, jak udział w Komisjach (zespołach), zebraniach doraźnych, rutynowej wymianie informacji. Cel i zakres czynności doradczych powinny być przez audytora wewnętrznego udokumentowane w formie Zlecenia zadania doradczego (wzór nr 10). Wyniki czynności doradczych audytor wewnętrzny moŝe przedstawić w informacji o wynikach zadania doradczego stanowiącym element zlecenia zadania doradczego w formie opinii lub rekomendacji, dotyczących usprawnienia funkcjonowania Urzędu Miasta i jednostek organizacyjnych Miasta. Forma i zawartość tej informacji powinny być adekwatne do rodzaju i charakteru podjętych przez audytora działań. Wnioski, rekomendacje i opinie z zadania doradczego nie są wiąŝące. Sprawozdanie z wykonania planu audytu Audytor wewnętrzny do końca stycznia kaŝdego roku przedstawia Prezydentowi Miasta Jastrzębie-Zdrój Sprawozdanie z wykonania planu audytu wewnętrznego za rok poprzedni (wzór nr 11). Sprawozdanie sporządza się w jednym egzemplarzu i przechowuje się w aktach stałych audytu wewnętrznego. 12
Dokumenty robocze audytu Standard zachowania przez audytora staranności zawodowej wymaga, aby ustalenia audytu były poparte dowodami. Wyniki audytów powinny być poparte zebranymi dowodami lub zawarte w dokumentach roboczych stosowanych przez KAW. Informacje w dokumentach roboczych powinny być wystarczające, kompetentne, istotne i przydatne, aby zapewniały rzetelność ustaleń, uwag i wniosków. Wszystkie dokumenty robocze audytu zwierają minimum następujące elementy: pełną nazwą jednostki i KAW; tytuł (nazwę) dokumentu; sygnaturę akt bieŝących lub stałych; datę sporządzenia dokumentu; numer i temat zadania audytowego; W związku z podejmowanymi czynnościami, audytor wewnętrzny, z zachowaniem przepisów o ochronie informacji niejawnych, moŝe sporządzać z dokumentów i innych materiałów związanych z funkcjonowaniem komórek organizacyjnych niezbędne odpisy, kopie lub wyciągi, jak równieŝ zestawienia i obliczenia. Zestawienia i obliczenia zatwierdza kierownik audytowanej komórki organizacyjnej. Do dokumentacji audytu stosuje się zapisy rozporządzenia Ministra Finansów w sprawie szczegółowego sposobu i trybu przeprowadzania audytu wewnętrznego, a takŝe regulacje wewnętrzne Urzędu Miasta Jastrzębie-Zdrój dotyczące czynności kancelaryjnych i archiwizowania dokumentów. Akta audytu wewnętrznego Audytor wewnętrzny prowadzi: bieŝące akta audytu wewnętrznego (bieŝące akta) w celu dokumentowania przebiegu i wyniku zadań audytowych, stałe akta audytu wewnętrznego (stałe akta) w celu gromadzenia informacji dotyczących obszarów działalności jednostki, które mogą być przedmiotem audytu wewnętrznego. Stałe akta podlegają aktualizacji. Dokumentacja dotycząca zadania audytowego obejmuje: dokumenty zgromadzone przed rozpoczęciem zadania audytowego i program zadania, protokoły narad otwierającej i zamykającej przeprowadzenie zadania zapewniającego, dokumenty sporządzone przez audytora wewnętrznego oraz dokumenty otrzymane od osób trzecich w trakcie przeprowadzania audytu, kartę monitoringu wykonania zaleceń, sprawozdania z przeprowadzenia zadań zapewniających, dokumentacje dotyczącą przeprowadzonych czynności sprawdzających i doradczych, 13
inne dokumenty o istotnym znaczeniu dla przeprowadzenia audytu wewnętrznego. Pozostała dokumentacja audytu wewnętrznego, obejmuje w szczególności: regulacje wewnętrzne wydane w KAW, dokumenty zawierające opis systemów zarządzania i kontroli, w tym kontroli zarządczej, plany audytu wewnętrznego i jego zmiany, sprawozdania z wykonania planu audytu, imienne upowaŝnienie do przeprowadzenia zadania zapewniającego, dokumenty dotyczące sporządzenia planu rocznego, w szczególności analiza ryzyka wyniki oceny wewnętrznej i zewnętrznej audytu wewnętrznego. Dokumentację dotyczącą zadania audytowego włącza się do segregatorów w kolejności wynikającej z toku dokonywanych czynności, a pozostałą dokumentację gromadzi się w segregatorach w kolejności ich otrzymania lub wytworzenia. Na grzbiecie segregatora zamieszcza się następujące informacje: Urząd Miasta Jastrzębie-Zdrój Wydział Kontroli i Audytu Wewnętrznego oznaczenie roku oraz nazwę akt: bieŝące lub stałe. Na początku zbioru akt sporządza się wykaz materiałów zawartych w segregatorze, podając ich sygnatury akt i nazwy. Przykładowe oznaczenie dokumentacji zadania audytowego: KAW 1720.01.2012. KAW oznaczenie Komórki Audytu Wewnętrznego 1720 symbol klasyfikacyjny akt z wykazu akt jednostki 01 numer kolejny zadania realizowanego w danym roku 2012 rok sporządzenia lub pozyskania dokumentu przez audytora (2012 r.) Przykładowe oznaczenie pozostałych akt audytu wewnętrznego KAW.1721.03.2012. KAW oznaczenie Komórki Audytu Wewnętrznego 1721 symbol klasyfikacji akt z wykazu akt Biura 03 trzeci dokument w spisie akt stałych w danym roku 2012 rok sporządzenia lub pozyskania dokumentu przez audytora (2012 r.) Ocena pracy audytora wewnętrznego W komórce Audytu Wewnętrznego, ocena skuteczności pracy audytora wewnętrznego uwzględnia oceny wewnętrzne takie, jak: bieŝącą ocenę jakości i efektywności wykonywanych zadań audytowych przy pomocy kwestionariusza wysyłanego do kierowników komórek audytowanych i innych osób, 14
okresowe przeglądy przeprowadzane przez audytora wewnętrznego w formie samooceny, obejmujące równieŝ prowadzenie akt audytu wewnętrznego na podstawie Regulaminu Program zapewnienia i poprawy jakości audytu wewnętrznego. raz na 5 lat dokonanie samooceny prowadzenia audytu wewnętrznego przez audytora z późniejszą niezaleŝną walidacją tej oceny. Kryteria samooceny powinny być doskonalone, aŝeby stanowiły skuteczne narzędzie przy identyfikowaniu obszarów działalności wymagających zmiany lub ulepszenia. W pozostałych sprawach nie objętych Procedurami audytu wewnętrznego obowiązują unormowania zawarte w przepisach prawnych, regulaminach, instrukcjach, o których mowa w punkcie 1 niniejszego opracowania. ZAŁĄCZNIKI (wzory dokumentów roboczych na podstawie których działa audyt wewnętrzny) 1. ROCZNY PLAN AUDYTU 2. UPOWAśNIENIE 3. PROTOKÓŁ - NARADA OTWIERAJĄCA 4. PROGRAM ZADANIA ZAPEWNIAJĄCEGO 5. NOTATKA WYWIADU 6. SPRAWOZDANIE Z ZADANIA ZAPEWNIAJĄCEGO 7. ANKIETA JAKOŚCI PRACY AUDYTU 8. KARTA MONITORINGU ZALECEŃ 9. CZYNNOŚCI SPRAWDZAJĄCE 10. ZLECENIE ZADANIA DORADCZEGO 11. SPRAWOZDANIE Z WYKONANIA PLANU AUDYTU 15