MAPA ZAPEWNIENIA W ORGANIZACJI tel.: 22 694 30 93 fax: 22 694 33 74 e-mail: sekretariat.da@mofnet.gov.pl www.mofnet.gov.pl Ministerstwo Finansów/ Działalność/ Finanse publiczne/kontrola zarządcza i audyt wewnętrzny OPRACOWANIE: DEPARTAMENT AUDYTU SEKTORA FINANSÓW PUBLICZNYCH WARSZAWA, WRZESIEŃ 2012
Zapewnienie 1 Jedną z podstawowych powinności ciążących na kierownictwie organizacji jest uzyskanie zapewnienia, że procesy w kierowanej organizacji przebiegają zgodnie z założeniami i prowadzą do zamierzonych celów. Kierownictwo projektuje i używa różnorodnych źródeł uzyskania wiarygodnego zapewnienia. Słownik Międzynarodowych Standardów Praktyki Zawodowej u Wewnętrznego Instytutu orów Wewnętrznych (dalej jako Standardy IIA) definiuje usługi zapewniające jako obiektywne badanie dowodów w celu dostarczenia niezależnej oceny procesów zarządzania ryzykiem, kontroli oraz ładu organizacyjnego. Współistnienie w organizacji wielu różnych źródeł zapewnienia (wykonawców usług zapewniających) może prowadzić do tego, że niektóre obszary będą badane przez kilka podmiotów, zaś inne nie będą objęte badaniem w ogóle. Wykonawcy usług zapewniających i źródła zapewnienia Poradnik IIA 2050-2 - Mapy zapewnienia 2 definiuje 3 klasy wykonawców usług zapewniających, zróżnicowane z uwagi na odbiorców, dla których świadczą czynności zapewniające, poziom niezależności w działaniach oraz siłę dostarczanego zapewnienia: wykonawcy raportujący do kierownictwa lub członkowie kierownictwa (tzw. zapewnienie zarządzających); do tej pierwszej grupy zalicza się m. in. osoby, które dokonują samooceny i audytorów jakości, wykonawcy raportujący bezpośrednio do rady 3, w tym audytorzy wewnętrzni, wykonawcy raportujący do zewnętrznych interesariuszy (tzw. zapewnienie audytu zewnętrznego). Poziom wymaganego zapewnienia oraz wykonawca usług zapewniających jest zróżnicowany zależnie od ryzyka. Poniższe wyliczenie zawiera przykłady wykonawców usług zapewniających oraz źródła zapewnienia zarówno z sektora publicznego, jak i prywatnego, z różnych krajów: liniowe kierownictwo oraz pracownicy (w pierwszej linii obrony kierownictwo dostarcza zapewnienia dotyczącego obszarów i ryzyk, za które jest odpowiedzialne), 1 Terminy zapewnienie, usługi zapewniające oraz wykonawcy usług zapewniających są w niniejszym opracowaniu użyte zgodnie z tłumaczeniem terminów assurance, assurance services oraz assurance providers, dokonanym w Międzynarodowych Standardach Praktyki Zawodowej u Wewnętrznego Instytutu orów Wewnętrznych (The IIA), dostępnym na stronie: http://www.iia.org.pl/index.php?option=com_content&view=article&id=930:standardy&catid=88&itemid=249 2 Practice Advisory 2050-2: Assurance Maps, dostępny na stronie internetowej www.theiia.org (dla członków IIA nieodpłatnie, dla pozostałych osób za odpłatnością) 3 Przypominamy, że pod pojęciem rady, zgodnie ze Słownikiem Standardów IIA, rozumie się organ zarządzający organizacji np. radę dyrektorów. Za radę można uznać także organ stanowiący, radę zarządzającą lub powierniczą w organizacjach non profit. Radą może też być inna dedykowana jednostka organizacyjna, w tym komitet audytu, któremu funkcjonalnie może podlegać zarządzający audytem wewnętrznym. Strona 2 z 7
wyższe kierownictwo, zewnętrzni oraz wewnętrzni audytorzy, komórki, których celem jest zapewnienie funkcjonowania organizacji zgodnie z przepisami prawa (tzw. funkcja compliance), komórki dostarczające zapewnienia jakości, zarządzanie ryzykiem, audytorzy higieny i bezpieczeństwa pracy, zespoły dokonujące przeglądu sprawozdań finansowych, podkomitety rady (np. ds. audytu, ubezpieczeń, ładu organizacyjnego), zewnętrzni wykonawcy usług zapewniających i źródła zapewnienia (włączając badania, specjalistyczne przeglądy). Zazwyczaj zapewnienie audytu wewnętrznego całej organizacji, włączając w to proces zarządzania ryzykiem. Wiele organizacji funkcjonuje z tradycyjnym, rozłącznym podziałem źródeł zapewnienia między audyt wewnętrzny, zarządzanie ryzykiem oraz badanie zgodności. Takie organizacje posiadają kilka oddzielnych zespołów wykonujących niezależnie od siebie czynności związane z tymi trzema sferami. W rezultacie odpowiedzialność za usługi zapewniające dzielona jest pomiędzy kierownictwo a wymienione zespoły. Bez efektywnej koordynacji wyżej wymienionych obszarów, czynności zespołów oraz systemu raportowania, działania w organizacji mogą być duplikowane, a kluczowe ryzyka nieprawidłowo zidentyfikowane lub ocenione. Koordynacja ma zapewnić wykorzystanie zasobów organizacji w najbardziej wydajny i skuteczny sposób. Mapa zapewnienia Koncepcja mapy zapewnienia powstała w oparciu o Standard IIA 2050 Koordynowanie, w którym jest sformułowany następujący postulat: W celu zapewnienia odpowiedniego zakresu audytu oraz minimalizacji powielania wysiłków, zarządzający audytem wewnętrznym powinien wymieniać informacje i koordynować działania zarówno z wewnętrznymi, jak i zewnętrznymi wykonawcami usług zapewniających i doradczych. Zgodnie z Poradnikiem IIA 2050-2 mapa jest doskonałym narzędziem koordynującym działania wykonawców usług zapewniających, gwarantującym ujęcie kluczowych obszarów ryzyk wraz ze wskazaniem istniejących źródeł zapewnienia. Mapa zapewnienia może z jednej strony umożliwić identyfikację obszarów nieobjętych zapewnieniem i nakierować na nie działania, np. audytu wewnętrznego, z drugiej wyeliminować dublowanie usług zapewniających. Proces mapowania umożliwia określenie: obszarów ryzyka, ról zapewniających, odpowiedzialności poszczególnych zespołów/wykonawców usług zapewniających lub źródeł zapewnienia. Mapowanie jest wykonywane dla całej organizacji, dzięki czemu minimalizuje się ryzyko dublowania wysiłku poszczególnych wykonawców usług zapewniających lub występowania potencjalnych błędów. Mapa zapewnienia jest zazwyczaj prezentowana w formie tabeli, w której są przedstawione kluczowe obszary działania jednostki lub ryzyka wraz ze wskazaniem Strona 3 z 7
różnych źródeł zapewnienia lub wykonawców usług zapewniających. Tabela może być przedstawiana z użyciem kolorów, które ilustrują poziom i jakość zapewnienia. Opracowanie mapy zapewnienia Zgodnie z Poradnikiem IIA 2050-2, organizacja opracowując mapę zapewnienia może wykorzystać kluczowe kategorie ryzyka zidentyfikowane w rejestrze ryzyka. W takich przypadkach wiersze mapy zapewnienia będą ujmować kluczowe ryzyka wynikające z ww. rejestru, zaś kolumny mogą uwzględniać na przykład: kategorie znaczącego ryzyka, właściciela ryzyka, wartość ryzyka inherentnego, wartość ryzyka rezydualnego (szczątkowego), zakres audytu wewnętrznego, zakres audytu zewnętrznego, zakres działania innego wykonawcy usług zapewniających. Zwykle każde znaczące ryzyko posiada właściciela lub osobę odpowiedzialną za koordynację usług zapewniających w zakresie tego ryzyka, zatem właściciel ryzyka powinien wypełniać kolumnę zakres działania innego wykonawcy usług zapewniających. Natomiast na bazie tego przykładu zarządzający audytem powinien wypełniać kolumnę zakres audytu wewnętrznego. Każda znacząca komórka w organizacji może mieć swoją mapę zapewnienia. Alternatywnie, komórka audytu wewnętrznego może pełnić rolę koordynatora w opracowywaniu mapy zapewnienia dla całej organizacji. W wyniku sporządzeniu mapy zapewnienia mogą zostać zidentyfikowane ryzyka z nieadekwatnym lub ze zduplikowanym zapewnieniem. Na tej podstawie kierownictwo i rada może rozważyć zmiany/uzupełnienia w zakresie usług zapewniających dla tych ryzyk. Jest to także informacja dla komórki audytu wewnętrznego, która może objąć szczególną uwagą obszary nieadekwatnego zapewnienia w organizacji przy opracowywaniu planu audytu. Rola zarządzającego audytem Zgodnie z Poradnikiem IIA 2050-2 obowiązkiem zarządzającego audytem jest zrozumienie wymagań organizacji co do niezależnego zapewnienia oraz objaśnienie roli audytu wewnętrznego i poziomu zapewnienia, który dostarcza audyt. Kierownictwo musi być pewne, że proces zapewnienia jest adekwatny i wystarczająco silny, by zapewnić efektywne zarządzanie oraz proces raportowania w zakresie ryzyk zidentyfikowanych w organizacji. W organizacji, w której od zarządzającego audytem wymaga się całościowej opinii na temat ładu organizacyjnego, zarządzania ryzykiem i kontroli, zarządzający audytem przed prezentacją ww. opinii musi zrozumieć naturę, zakres i zasięg zintegrowanej mapy zapewnienia, uwzględnić działania innych wykonawców usług zapewniających i ustalić, czy może polegać na ich opinii jako odpowiedniej. Strona 4 z 7
W przypadku, gdy organizacja nie wymaga całościowej opinii, zarządzający audytem może występować jako koordynator wykonawców usług zapewniających zapewniając, że nie ma braków w zapewnieniu lub braki są znane i akceptowane. Jeżeli zarządzający audytem stwierdzi, że zapewnienie jest nieadekwatne lub nieefektywne, musi niezwłocznie poinformować o tym kierownictwo. Zarządzający audytem, koordynując działania wykonawców usług zapewniających, kieruje się Standardem IIA 2050. Źródła Przy opracowywaniu niniejszego dokumentu korzystaliśmy z następujących materiałów: 1. Międzynarodowe Standardy Praktyki Zawodowej u Wewnętrznego Instytutu orów Wewnętrznych (The Institute of Internal Auditors) 2. Poradnik IIA Practice Advisory 2050-2: Assurance Maps Załącznik Przykładowe mapy zapewnienia Strona 5 z 7
Przykładowe mapy zapewnienia 1. MAPA ZAPEWNIENIA W AGENCJACH UE Załącznik do opracowania Mapa zapewnienia w organizacji Źródło: prezentacja przedstawicieli Komisji Europejskiej - Agnieszki Kaźmierczak, Dyrektor Służb u w Agencjach oraz Ciarana Spillane a, Dyrektora Służb u Komisji pt. Relacja pomiędzy Służbą u Wewnętrznego Komisji a innymi wykonawcami usług zapewniających ze spotkania organizowanego przez Służby u Wewnętrznego Komisji Europejskiej w dniu 21 czerwca 2012 r. w Brukseli Obszar Funkcja działalności Komórka kontroli ex-post Komitet legislacyjny (Legislative Committee) or ISO Urzędnik ochrony danych (Data Protection Officer) wewnętrzny zewnętrzny Ustawodawstwo X < X > (X) Rejestracja leków X < X > (X) Wsparcie badawcze X < X > (X) Zarządzanie grantami X < X > X HR X < X > (X) IT < X > (X) Zarządzanie jakością X < X > (X) Objaśnienie: X oznacza, że obszar jest objęty zapewnieniem przez daną funkcję (X) oznacza, że audyt zewnętrzny może audytować wszystkie procesy, ale nie wykonuje tego systematycznie <X> oznacza, że audytor wewnętrzny musi zdecydować, gdzie potrzebne jest zapewnienie, patrząc na zapewnienie ze strony służb wewnętrznych i audytora zewnętrznego oznacza, że te procesy są połączone, np. audytor ISO obejmuje zapewnieniem obszar system zarządzania jakością, a system ten obejmuje rejestrację leków Strona 6 z 7
2. MAPA ZAPEWNIENIA W ORGANIZACJI opracowana na podstawie materiałów PricewaterhouseCoopers pn. Internal Audit in Brief. Broadening Our Horizons, November 2009 (Źródło: http://www.pwc.com/ca/en/risk/internal-audit/in-brief/publications/in-brief-october-2009-en.pdf) LEGENDA: wysokie zapewnienie średnie zapewnienie niskie zapewnienie brak zapewnienia nie ZARZĄDZANIE OPARTE NA ZAPEWNIENIU NIEZALEŻNE ZAPEWNIENIE Samoocena Zarządzanie ryzykiem Specjalny projekt Przegląd zarządzania Sekretariat prawny Rada zewnętrzny wewnętrzny Sprawozdawczość finansowa Kontrole finansowe Zgodność z prawem IT Skarb Państwa Podatki, emerytury, ubezpieczenia Zasoby ludzkie Oszustwa/Wyłudzenia Zdrowie i bezpieczeństwo Strona 7 z 7