MAPA ZAPEWNIENIA W ORGANIZACJI



Podobne dokumenty
Zarządzenie Nr 167/2017 Prezydenta Miasta Kalisza z dnia 20 marca 2017 r.

K A R T A. Audytu Wewnętrznego w Uniwersytecie Śląskim w Katowicach. Rozdział I. Postanowienia ogólne

oceny kontroli zarządczej

Zarządzenie Nr 349/2015 Prezydenta Miasta Kalisza z dnia 11 sierpnia 2015 r.

Zarządzenie Nr 88/2016 Prezydenta Miasta Kalisza z dnia 10 lutego 2016 r.

ZARZĄDZENIE Nr 49 MINISTRA FINANSÓW. w sprawie systemu kontroli zarządczej

Warszawa, dnia 17 marca 2017 r. Poz. 82

Poz. 237 KOMUNIKAT MINISTRA SPRAWIEDLIWOŚCI. z dnia 1 grudnia 2015 r.

Karta audytu wewnętrznego

Karta Audytu Wewnętrznego Urząd Gminy i Miasta w Miechowie

KARTA AUDYTU WEWNĘTRZNEGO

METODY I PROCEDURY AUDYTU WEWNĘTRZNEGO W JEDNOSTKACH SEKTORA FINANSÓW PUBLICZNYCH

Warszawa, dnia 12 grudnia 2013 r.

Opis systemu kontroli wewnętrznej w mbanku S.A.

ZARZĄDZENIE Nr 33/14 PROKURATORA GENERALNEGO

KARTA AUDYTU WEWNĘTRZNEGO

Warszawa, dnia 6 maja 2015 r. Poz. 16 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 6 maja 2015 r.

Warszawa, dnia 12 maja 2016 r. Poz. 20

Zarządzenie nr 3055 /2017 Prezydenta Miasta Płocka z dnia 01 marca 2017 r.

KARTA AUDYTU WEWNĘTRZNEGO

Kontrola zarządcza w jednostkach samorządu terytorialnego z perspektywy Ministerstwa Finansów

DZIENNIK URZĘDOWY MINISTRA KULTURY I DZIEDZICTWA NARODOWEGO. Warszawa, dnia 29 września 2014 r. Pozycja 38

KARTA AUDYTU WEWNĘTRZNEGO W Urzędzie Miasta Sopotu

ZARZĄDZENIE NR 9 MINISTRA CYFRYZACJI 1) z dnia r. w sprawie Karty Audytu Wewnętrznego w Ministerstwie Cyfryzacji

PLAN AUDYTU NA ROK 2010

Celami kontroli jest:

Opis systemu kontroli wewnętrznej w PLUS BANK S.A.

Zarządzenie Nr 26/2011/2012 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 23 grudnia 2011 roku

ROZDZIAŁ I POSTANOWIENIA OGÓLNE

Karta audytu Uniwersytetu Śląskiego w Katowicach

KARTA AUDYTU WEWNĘTRZNEGO W URZĘDZIE MIASTA TYCHY. Postanowienia ogólne

ZARZĄDZENIE NR 67/2018 WÓJTA GMINY ŁUBNIANY. z dnia 9 lipca 2018 r. w sprawie wprowadzenia Karty Audytu Wewnętrznego

Załącznik do Zarządzenia Nr160/08 z dnia 8 kwietnia 2008 r. KARTA AUDYTU WEWNĘTRZNEGO. 2. Adres Jednostki Bielsk Podlaski, Kopernika 1

KARTA AUDYTU WEWNĘTRZNEGO

ZARZĄDZANIE RYZYKIEM

1. 1. Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. Z 2013 r. Poz. 885, z późn. zm.).

Rozdział I Postanowienia ogólne

Karta Audytu Wewnętrznego

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin

Załącznik Nr 2 do Zarządzenia Burmistrza Miasta Jawora z dn r. AW CZĘŚĆ OGÓLNA

System Kontroli Wewnętrznej w Banku BPH S.A.

REGULAMIN AUDYTU WEWNĘTRZNEGO W NARODOWYM FUNDUSZU ZDROWIA. 1. Celem przeprowadzania audytu wewnętrznego jest usprawnianie funkcjonowania NFZ.

I. Ogólne cele i zasady audytu wewnętrznego

INFORMACJA O REALIZACJI ZADAŃ Z ZAKRESU AUDYTU WEWNĘTRZNEGO W ROKU 2016

ZARZĄD WOJEWÓDZTWA ZACHODNIOPOMORSKIEGO INSTYTUCJA ZARZĄDZAJĄCA REGIONALNYM PROGRAMEM OPERACYJNYM WOJEWÓDZTWA ZACHODNIOPOMORSKIEGO

PROGRAM ZAPEWNIENIA I POPRAWY JAKOŚCI AUDYTU WEWNĘTRZNEGO W GMINIE OLECKO KWESTIONARIUSZ SAMOOCENY

Rektora Uniwersytetu Warmińsko-Mazurskiego w Olsztynie z dnia 14 października 2010 roku

Polityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu. Definicje

Wartość audytu wewnętrznego dla organizacji. Warszawa,

dokonać ustalenia kategorii zdarzenia/ryzyka, wg. podziału określonego w kolumnie G arkusza.

MAGISTERSKIE STUDIA FINANSÓW, RACHUNKOWOŚCI I UBEZPIECZEŃ

STANOWISKO IIA DLACZEGO ZGODNOŚĆ MA ZNACZENIE

STRATEGICZNE MYŚLENIE - WYKORZYSTANIU NARZĘDZI IT KONTROLA ZARZĄDCZA PRZY. Szczyrk, 2-3 czerwiec 2016

ZARZĄDZENIE NR 483/14 PREZYDENTA MIASTA ZDUŃSKA WOLA z dnia 22 grudnia 2014 r.

ZARZĄDZENIE NR 111/2011 PREZYDENTA MIASTA TOMASZOWA MAZOWIECKIEGO z dnia 2 maja 2011 roku

Karta audytu wewnętrznego w Uniwersytecie Mikołaja Kopernika w Toruniu

z dnia 2015 r. w sprawie przeprowadzania audytu wewnętrznego oraz przekazywania informacji o pracy i wynikach audytu wewnętrznego

Karta audytu Uniwersytetu Śląskiego

KARTA AUDYTU WEWNĘTRZNEGO

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.

System kontroli wewnętrznej

Organizacja i funkcjonowanie Systemu Kontroli Wewnętrznej w HSBC Bank Polska S.A.

Zarządzenie nr 155/2011 Burmistrza Ozimka z dnia 1 grudnia 2011 roku

Opis systemu kontroli wewnętrznej funkcjonującego w Banku Pocztowym S.A.

Warszawa, dnia 30 grudnia 2011 r. Nr 9* )

Corporate governance wpływ na efektywność i minimalizację ryzyka procesów biznesowych

Zarządzenie Nr 1152/2014 Prezydenta Miasta Sopotu z dnia 24 stycznia 2014 r.

System kontroli zarządczej obejmuje wszystkie jednostki sektora finansów publicznych.

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

KWESTIONARIUSZ SAMOOCENY AUDYTU WEWNETRZNEGO ZA ROK

Procedura zarządzania ryzykiem w Sądzie Okręgowym w Białymstoku

OPRACOWANIE ROCZNEGO PLANU AUDYTU ORAZ TRYB SPORZĄDZANIA SPRAWOZDANIA Z WYKONANIA PLANU AUDYTU

KARTA AUDYTU WEWNĘTRZNEGO

Instrukcja Audytu Wewnętrznego

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin akceptowalny poziom ryzyka

Komitety Audytu rola, oczekiwania i najlepsze praktyki 8 listopada 2011 r.

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A.

SPRAWOZDANIE. z przeprowadzenia oceny zewnętrznej prowadzenia audytu wewnętrznego przez komórkę audytu wewnętrznego. Urzędzie Miejskim w Będzinie

Efektywne i skuteczne zarządzanie ryzykiem

SYSTEM KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W LUBAWIE

Zarządzenie Rektora Politechniki Gdańskiej nr 36/2012 z 14 listopada 2012 r.

Samoocena w systemie kontroli zarządczej z perspektywy audytora wewnętrznego

II. Organizacja audytu wewnętrznego w AM

INFORMACJA POLSKIEGO BANKU SPÓŁDZIELCZEGO W WYSZKOWIE

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Karta audytu wewnętrznego na Uniwersytecie Ekonomicznym w Poznaniu

System kontroli zarządczej w praktyce polskiej administracji publicznej

ROZPORZĄDZENIE MINISTRA FINANSÓW. z dnia 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ

Szczegółowe wytyczne w zakresie samooceny kontroli zarządczej dla jednostek sektora finansów publicznych

Ministerstwo Finansów Departament Ochrony Interesów Finansowych Unii Europejskiej - Instytucja Audytowa -

Zestawienie metod, technik i narzędzi badawczych wykorzystywanych przez urzędy podczas przeprowadzania diagnozy

ZARZĄDZENIE NR 1/2016 STAROSTY POLKOWICKIEGO. z dnia 11 stycznia 2016 r.

Poz. 9 ZARZĄDZENIE NR 9 MINISTRA CYFRYZACJI 1) z dnia 5 kwietnia 2016 r. w sprawie Karty Audytu Wewnętrznego w Ministerstwie Cyfryzacji

Sprawozdanie z zadania zapewniającego

ZARZĄDZENIE NR 9 DYREKTORA GENERALNEGO MINISTERSTWA ŚRODOWISKA z dnia 12 maja 2009 r. w sprawie wprowadzenia Karty audytu wewnętrznego

Zarządzanie ryzykiem jako kluczowy element kontroli zarządczej 2 marca 2013 r.

Rola audytu wewnętrznego w tworzeniu ładu organizacyjnego

Funkcja audytu wewnętrznego w świetle projektu nowej ustawy o działalności ubezpieczeniowej oraz wytycznych KNF

Transkrypt:

MAPA ZAPEWNIENIA W ORGANIZACJI tel.: 22 694 30 93 fax: 22 694 33 74 e-mail: sekretariat.da@mofnet.gov.pl www.mofnet.gov.pl Ministerstwo Finansów/ Działalność/ Finanse publiczne/kontrola zarządcza i audyt wewnętrzny OPRACOWANIE: DEPARTAMENT AUDYTU SEKTORA FINANSÓW PUBLICZNYCH WARSZAWA, WRZESIEŃ 2012

Zapewnienie 1 Jedną z podstawowych powinności ciążących na kierownictwie organizacji jest uzyskanie zapewnienia, że procesy w kierowanej organizacji przebiegają zgodnie z założeniami i prowadzą do zamierzonych celów. Kierownictwo projektuje i używa różnorodnych źródeł uzyskania wiarygodnego zapewnienia. Słownik Międzynarodowych Standardów Praktyki Zawodowej u Wewnętrznego Instytutu orów Wewnętrznych (dalej jako Standardy IIA) definiuje usługi zapewniające jako obiektywne badanie dowodów w celu dostarczenia niezależnej oceny procesów zarządzania ryzykiem, kontroli oraz ładu organizacyjnego. Współistnienie w organizacji wielu różnych źródeł zapewnienia (wykonawców usług zapewniających) może prowadzić do tego, że niektóre obszary będą badane przez kilka podmiotów, zaś inne nie będą objęte badaniem w ogóle. Wykonawcy usług zapewniających i źródła zapewnienia Poradnik IIA 2050-2 - Mapy zapewnienia 2 definiuje 3 klasy wykonawców usług zapewniających, zróżnicowane z uwagi na odbiorców, dla których świadczą czynności zapewniające, poziom niezależności w działaniach oraz siłę dostarczanego zapewnienia: wykonawcy raportujący do kierownictwa lub członkowie kierownictwa (tzw. zapewnienie zarządzających); do tej pierwszej grupy zalicza się m. in. osoby, które dokonują samooceny i audytorów jakości, wykonawcy raportujący bezpośrednio do rady 3, w tym audytorzy wewnętrzni, wykonawcy raportujący do zewnętrznych interesariuszy (tzw. zapewnienie audytu zewnętrznego). Poziom wymaganego zapewnienia oraz wykonawca usług zapewniających jest zróżnicowany zależnie od ryzyka. Poniższe wyliczenie zawiera przykłady wykonawców usług zapewniających oraz źródła zapewnienia zarówno z sektora publicznego, jak i prywatnego, z różnych krajów: liniowe kierownictwo oraz pracownicy (w pierwszej linii obrony kierownictwo dostarcza zapewnienia dotyczącego obszarów i ryzyk, za które jest odpowiedzialne), 1 Terminy zapewnienie, usługi zapewniające oraz wykonawcy usług zapewniających są w niniejszym opracowaniu użyte zgodnie z tłumaczeniem terminów assurance, assurance services oraz assurance providers, dokonanym w Międzynarodowych Standardach Praktyki Zawodowej u Wewnętrznego Instytutu orów Wewnętrznych (The IIA), dostępnym na stronie: http://www.iia.org.pl/index.php?option=com_content&view=article&id=930:standardy&catid=88&itemid=249 2 Practice Advisory 2050-2: Assurance Maps, dostępny na stronie internetowej www.theiia.org (dla członków IIA nieodpłatnie, dla pozostałych osób za odpłatnością) 3 Przypominamy, że pod pojęciem rady, zgodnie ze Słownikiem Standardów IIA, rozumie się organ zarządzający organizacji np. radę dyrektorów. Za radę można uznać także organ stanowiący, radę zarządzającą lub powierniczą w organizacjach non profit. Radą może też być inna dedykowana jednostka organizacyjna, w tym komitet audytu, któremu funkcjonalnie może podlegać zarządzający audytem wewnętrznym. Strona 2 z 7

wyższe kierownictwo, zewnętrzni oraz wewnętrzni audytorzy, komórki, których celem jest zapewnienie funkcjonowania organizacji zgodnie z przepisami prawa (tzw. funkcja compliance), komórki dostarczające zapewnienia jakości, zarządzanie ryzykiem, audytorzy higieny i bezpieczeństwa pracy, zespoły dokonujące przeglądu sprawozdań finansowych, podkomitety rady (np. ds. audytu, ubezpieczeń, ładu organizacyjnego), zewnętrzni wykonawcy usług zapewniających i źródła zapewnienia (włączając badania, specjalistyczne przeglądy). Zazwyczaj zapewnienie audytu wewnętrznego całej organizacji, włączając w to proces zarządzania ryzykiem. Wiele organizacji funkcjonuje z tradycyjnym, rozłącznym podziałem źródeł zapewnienia między audyt wewnętrzny, zarządzanie ryzykiem oraz badanie zgodności. Takie organizacje posiadają kilka oddzielnych zespołów wykonujących niezależnie od siebie czynności związane z tymi trzema sferami. W rezultacie odpowiedzialność za usługi zapewniające dzielona jest pomiędzy kierownictwo a wymienione zespoły. Bez efektywnej koordynacji wyżej wymienionych obszarów, czynności zespołów oraz systemu raportowania, działania w organizacji mogą być duplikowane, a kluczowe ryzyka nieprawidłowo zidentyfikowane lub ocenione. Koordynacja ma zapewnić wykorzystanie zasobów organizacji w najbardziej wydajny i skuteczny sposób. Mapa zapewnienia Koncepcja mapy zapewnienia powstała w oparciu o Standard IIA 2050 Koordynowanie, w którym jest sformułowany następujący postulat: W celu zapewnienia odpowiedniego zakresu audytu oraz minimalizacji powielania wysiłków, zarządzający audytem wewnętrznym powinien wymieniać informacje i koordynować działania zarówno z wewnętrznymi, jak i zewnętrznymi wykonawcami usług zapewniających i doradczych. Zgodnie z Poradnikiem IIA 2050-2 mapa jest doskonałym narzędziem koordynującym działania wykonawców usług zapewniających, gwarantującym ujęcie kluczowych obszarów ryzyk wraz ze wskazaniem istniejących źródeł zapewnienia. Mapa zapewnienia może z jednej strony umożliwić identyfikację obszarów nieobjętych zapewnieniem i nakierować na nie działania, np. audytu wewnętrznego, z drugiej wyeliminować dublowanie usług zapewniających. Proces mapowania umożliwia określenie: obszarów ryzyka, ról zapewniających, odpowiedzialności poszczególnych zespołów/wykonawców usług zapewniających lub źródeł zapewnienia. Mapowanie jest wykonywane dla całej organizacji, dzięki czemu minimalizuje się ryzyko dublowania wysiłku poszczególnych wykonawców usług zapewniających lub występowania potencjalnych błędów. Mapa zapewnienia jest zazwyczaj prezentowana w formie tabeli, w której są przedstawione kluczowe obszary działania jednostki lub ryzyka wraz ze wskazaniem Strona 3 z 7

różnych źródeł zapewnienia lub wykonawców usług zapewniających. Tabela może być przedstawiana z użyciem kolorów, które ilustrują poziom i jakość zapewnienia. Opracowanie mapy zapewnienia Zgodnie z Poradnikiem IIA 2050-2, organizacja opracowując mapę zapewnienia może wykorzystać kluczowe kategorie ryzyka zidentyfikowane w rejestrze ryzyka. W takich przypadkach wiersze mapy zapewnienia będą ujmować kluczowe ryzyka wynikające z ww. rejestru, zaś kolumny mogą uwzględniać na przykład: kategorie znaczącego ryzyka, właściciela ryzyka, wartość ryzyka inherentnego, wartość ryzyka rezydualnego (szczątkowego), zakres audytu wewnętrznego, zakres audytu zewnętrznego, zakres działania innego wykonawcy usług zapewniających. Zwykle każde znaczące ryzyko posiada właściciela lub osobę odpowiedzialną za koordynację usług zapewniających w zakresie tego ryzyka, zatem właściciel ryzyka powinien wypełniać kolumnę zakres działania innego wykonawcy usług zapewniających. Natomiast na bazie tego przykładu zarządzający audytem powinien wypełniać kolumnę zakres audytu wewnętrznego. Każda znacząca komórka w organizacji może mieć swoją mapę zapewnienia. Alternatywnie, komórka audytu wewnętrznego może pełnić rolę koordynatora w opracowywaniu mapy zapewnienia dla całej organizacji. W wyniku sporządzeniu mapy zapewnienia mogą zostać zidentyfikowane ryzyka z nieadekwatnym lub ze zduplikowanym zapewnieniem. Na tej podstawie kierownictwo i rada może rozważyć zmiany/uzupełnienia w zakresie usług zapewniających dla tych ryzyk. Jest to także informacja dla komórki audytu wewnętrznego, która może objąć szczególną uwagą obszary nieadekwatnego zapewnienia w organizacji przy opracowywaniu planu audytu. Rola zarządzającego audytem Zgodnie z Poradnikiem IIA 2050-2 obowiązkiem zarządzającego audytem jest zrozumienie wymagań organizacji co do niezależnego zapewnienia oraz objaśnienie roli audytu wewnętrznego i poziomu zapewnienia, który dostarcza audyt. Kierownictwo musi być pewne, że proces zapewnienia jest adekwatny i wystarczająco silny, by zapewnić efektywne zarządzanie oraz proces raportowania w zakresie ryzyk zidentyfikowanych w organizacji. W organizacji, w której od zarządzającego audytem wymaga się całościowej opinii na temat ładu organizacyjnego, zarządzania ryzykiem i kontroli, zarządzający audytem przed prezentacją ww. opinii musi zrozumieć naturę, zakres i zasięg zintegrowanej mapy zapewnienia, uwzględnić działania innych wykonawców usług zapewniających i ustalić, czy może polegać na ich opinii jako odpowiedniej. Strona 4 z 7

W przypadku, gdy organizacja nie wymaga całościowej opinii, zarządzający audytem może występować jako koordynator wykonawców usług zapewniających zapewniając, że nie ma braków w zapewnieniu lub braki są znane i akceptowane. Jeżeli zarządzający audytem stwierdzi, że zapewnienie jest nieadekwatne lub nieefektywne, musi niezwłocznie poinformować o tym kierownictwo. Zarządzający audytem, koordynując działania wykonawców usług zapewniających, kieruje się Standardem IIA 2050. Źródła Przy opracowywaniu niniejszego dokumentu korzystaliśmy z następujących materiałów: 1. Międzynarodowe Standardy Praktyki Zawodowej u Wewnętrznego Instytutu orów Wewnętrznych (The Institute of Internal Auditors) 2. Poradnik IIA Practice Advisory 2050-2: Assurance Maps Załącznik Przykładowe mapy zapewnienia Strona 5 z 7

Przykładowe mapy zapewnienia 1. MAPA ZAPEWNIENIA W AGENCJACH UE Załącznik do opracowania Mapa zapewnienia w organizacji Źródło: prezentacja przedstawicieli Komisji Europejskiej - Agnieszki Kaźmierczak, Dyrektor Służb u w Agencjach oraz Ciarana Spillane a, Dyrektora Służb u Komisji pt. Relacja pomiędzy Służbą u Wewnętrznego Komisji a innymi wykonawcami usług zapewniających ze spotkania organizowanego przez Służby u Wewnętrznego Komisji Europejskiej w dniu 21 czerwca 2012 r. w Brukseli Obszar Funkcja działalności Komórka kontroli ex-post Komitet legislacyjny (Legislative Committee) or ISO Urzędnik ochrony danych (Data Protection Officer) wewnętrzny zewnętrzny Ustawodawstwo X < X > (X) Rejestracja leków X < X > (X) Wsparcie badawcze X < X > (X) Zarządzanie grantami X < X > X HR X < X > (X) IT < X > (X) Zarządzanie jakością X < X > (X) Objaśnienie: X oznacza, że obszar jest objęty zapewnieniem przez daną funkcję (X) oznacza, że audyt zewnętrzny może audytować wszystkie procesy, ale nie wykonuje tego systematycznie <X> oznacza, że audytor wewnętrzny musi zdecydować, gdzie potrzebne jest zapewnienie, patrząc na zapewnienie ze strony służb wewnętrznych i audytora zewnętrznego oznacza, że te procesy są połączone, np. audytor ISO obejmuje zapewnieniem obszar system zarządzania jakością, a system ten obejmuje rejestrację leków Strona 6 z 7

2. MAPA ZAPEWNIENIA W ORGANIZACJI opracowana na podstawie materiałów PricewaterhouseCoopers pn. Internal Audit in Brief. Broadening Our Horizons, November 2009 (Źródło: http://www.pwc.com/ca/en/risk/internal-audit/in-brief/publications/in-brief-october-2009-en.pdf) LEGENDA: wysokie zapewnienie średnie zapewnienie niskie zapewnienie brak zapewnienia nie ZARZĄDZANIE OPARTE NA ZAPEWNIENIU NIEZALEŻNE ZAPEWNIENIE Samoocena Zarządzanie ryzykiem Specjalny projekt Przegląd zarządzania Sekretariat prawny Rada zewnętrzny wewnętrzny Sprawozdawczość finansowa Kontrole finansowe Zgodność z prawem IT Skarb Państwa Podatki, emerytury, ubezpieczenia Zasoby ludzkie Oszustwa/Wyłudzenia Zdrowie i bezpieczeństwo Strona 7 z 7