MAPA

ZAPEWNIENIA

W ORGANIZACJI

O

PRACOWANIE

:

D

EPARTAMENT

A

UDYTU

S

EKTORA

F

INANSÓW

P

UBLICZNYCH

WARSZAWA, WRZESIEŃ 2012

tel.: 22 694 30 93

fax: 22 694 33 74

e-mail:

sekretariat.DA@mofnet.gov.pl

www.mofnet.gov.p

l

Ministerstwo Finansów/
Działalno

ść

/ Finanse

publiczne/Kontrola zarz

ą

dcza

i audyt wewn

ę

trzny

Strona 2 z 7

Zapewnienie

1

Jedną z podstawowych powinności ciążących na kierownictwie organizacji jest
uzyskanie zapewnienia, że procesy w kierowanej organizacji przebiegają zgodnie
z założeniami i prowadzą do zamierzonych celów. Kierownictwo projektuje i używa
różnorodnych źródeł uzyskania wiarygodnego zapewnienia.

Słownik Międzynarodowych Standardów Praktyki Zawodowej Audytu Wewnętrznego
Instytutu Audytorów Wewnętrznych (dalej jako Standardy IIA) definiuje usługi
zapewniające jako obiektywne badanie dowodów w celu dostarczenia niezależnej oceny
procesów zarządzania ryzykiem, kontroli oraz ładu organizacyjnego.

Współistnienie w organizacji wielu różnych źródeł zapewnienia (wykonawców usług
zapewniających) może prowadzić do tego, że niektóre obszary będą

badane przez kilka

podmiotów, zaś inne nie będą objęte badaniem w ogóle.

Wykonawcy usług zapewniających i źródła zapewnienia

Poradnik IIA 2050-2 - Mapy zapewnienia

2

definiuje 3 klasy wykonawców usług

zapewniających, zróżnicowane z uwagi na odbiorców, dla których świadczą czynności
zapewniające, poziom niezależności w działaniach oraz siłę dostarczanego zapewnienia:

•

wykonawcy raportujący do kierownictwa lub członkowie kierownictwa
(tzw. zapewnienie zarządzających); do tej pierwszej grupy zalicza się
m. in.

osoby, które dokonują samooceny i audytorów jakości,

•

wykonawcy raportujący bezpośrednio do rady

3

, w tym audytorzy wewnętrzni,

•

wykonawcy raportujący do zewnętrznych interesariuszy (tzw. zapewnienie
audytu zewnętrznego).

Poziom wymaganego zapewnienia oraz wykonawca usług zapewniających jest
zróżnicowany zależnie od ryzyka.

Poniższe wyliczenie zawiera przykłady wykonawców usług zapewniających oraz źródła
zapewnienia zarówno z sektora publicznego, jak i prywatnego, z różnych krajów:

•

liniowe kierownictwo oraz pracownicy (w pierwszej linii obrony kierownictwo
dostarcza zapewnienia dotyczącego obszarów i ryzyk, za które jest
odpowiedzialne),

1

Terminy zapewnienie, usługi zapewniające oraz wykonawcy usług zapewniających są w niniejszym opracowaniu

użyte

zgodnie

z

tłumaczeniem

terminów

assurance,

assurance

services

oraz

assurance

providers,

dokonanym w Międzynarodowych Standardach Praktyki Zawodowej Audytu Wewnętrznego Instytutu Audytorów
Wewnętrznych (The IIA), dostępnym na stronie:

http://www.iia.org.pl/index.php?option=com_content&view=article&id=930:standardy&catid=88&Itemid=249

2

Practice Advisory 2050-2: Assurance Maps, dostępny na stronie internetowej

www.theiia.org

(dla członków IIA

nieodpłatnie, dla pozostałych osób za odpłatnością)

3

Przypominamy, że pod pojęciem rady, zgodnie ze Słownikiem Standardów IIA, rozumie się organ zarządzający

organizacji np. radę dyrektorów. Za radę można uznać także organ stanowiący, radę zarządzającą lub powierniczą
w organizacjach non profit. Radą może też być inna dedykowana jednostka organizacyjna, w tym komitet audytu,
któremu funkcjonalnie może podlegać zarządzający audytem wewnętrznym.

Strona 3 z 7

•

wyższe kierownictwo,

•

zewnętrzni oraz wewnętrzni audytorzy,

•

komórki, których celem jest zapewnienie funkcjonowania organizacji zgodnie
z przepisami prawa (tzw. funkcja compliance),

•

komórki dostarczające zapewnienia jakości,

•

zarządzanie ryzykiem,

•

audytorzy higieny i bezpieczeństwa pracy,

•

zespoły dokonujące przeglądu sprawozdań finansowych,

•

podkomitety rady (np. ds. audytu, ubezpieczeń, ładu organizacyjnego),

•

zewnętrzni wykonawcy usług zapewniających i źródła zapewnienia (włączając
badania, specjalistyczne przeglądy).

Zazwyczaj zapewnienie audytu wewnętrznego dotyczy całej organizacji, włączając w to
proces zarządzania ryzykiem.

Wiele organizacji funkcjonuje z tradycyjnym, rozłącznym podziałem źródeł zapewnienia
między audyt wewnętrzny, zarządzanie ryzykiem oraz badanie zgodności. Takie
organizacje posiadają kilka oddzielnych zespołów wykonujących niezależnie od siebie
czynności związane z tymi trzema sferami. W rezultacie odpowiedzialność za usługi
zapewniające dzielona jest pomiędzy kierownictwo a wymienione zespoły.
Bez efektywnej koordynacji wyżej wymienionych obszarów, czynności zespołów oraz
systemu raportowania, działania w organizacji mogą być duplikowane, a kluczowe
ryzyka nieprawidłowo zidentyfikowane lub ocenione. Koordynacja ma zapewnić
wykorzystanie zasobów organizacji w najbardziej wydajny i skuteczny sposób.

Mapa zapewnienia

Koncepcja mapy zapewnienia powstała w oparciu o Standard

IIA

2050 Koordynowanie,

w którym jest sformułowany następujący postulat: W celu zapewnienia odpowiedniego
zakresu audytu oraz minimalizacji powielania wysiłków, zarządzający audytem
wewnętrznym powinien wymieniać informacje i koordynować działania zarówno
z wewnętrznymi, jak i zewnętrznymi wykonawcami usług zapewniających i doradczych.

Zgodnie z Poradnikiem IIA 2050-2 mapa jest doskonałym narzędziem koordynującym
działania wykonawców usług zapewniających, gwarantującym ujęcie kluczowych
obszarów ryzyk wraz ze wskazaniem istniejących źródeł zapewnienia. Mapa
zapewnienia może z jednej strony umożliwić identyfikację obszarów nieobjętych
zapewnieniem i nakierować na nie działania, np. audytu wewnętrznego, z drugiej
wyeliminować dublowanie usług zapewniających.

Proces „mapowania” umożliwia określenie: obszarów ryzyka, ról zapewniających,
odpowiedzialności poszczególnych zespołów/wykonawców usług zapewniających lub
źródeł zapewnienia. „Mapowanie” jest wykonywane dla całej organizacji, dzięki czemu
minimalizuje się ryzyko dublowania wysiłku poszczególnych wykonawców usług
zapewniających lub występowania potencjalnych błędów.

Mapa zapewnienia jest zazwyczaj prezentowana w formie tabeli, w której są
przedstawione kluczowe obszary działania jednostki lub ryzyka wraz ze wskazaniem

Strona 4 z 7

różnych źródeł zapewnienia lub wykonawców usług zapewniających. Tabela może być
przedstawiana z użyciem kolorów, które ilustrują poziom i jakość zapewnienia.

Opracowanie mapy zapewnienia

Zgodnie z Poradnikiem IIA 2050-2, organizacja opracowując mapę zapewnienia może
wykorzystać kluczowe kategorie ryzyka zidentyfikowane w rejestrze ryzyka. W takich
przypadkach wiersze mapy zapewnienia będą ujmować kluczowe ryzyka wynikające
z ww. rejestru, zaś kolumny mogą uwzględniać na przykład:

•

kategorie znaczącego ryzyka,

•

właściciela ryzyka,

•

wartość ryzyka inherentnego,

•

wartość ryzyka rezydualnego (szczątkowego),

•

zakres audytu wewnętrznego,

•

zakres audytu zewnętrznego,

•

zakres działania innego wykonawcy usług zapewniających.

Zwykle każde znaczące ryzyko posiada właściciela lub osobę odpowiedzialną za
koordynację usług zapewniających w zakresie tego ryzyka, zatem właściciel ryzyka
powinien

wypełniać

kolumnę

„zakres

działania

innego

wykonawcy

usług

zapewniających”. Natomiast na bazie tego przykładu zarządzający audytem powinien
wypełniać kolumnę „zakres audytu wewnętrznego”.

Każda znacząca komórka w organizacji może mieć swoją mapę zapewnienia.
Alternatywnie, komórka audytu wewnętrznego może pełnić rolę koordynatora
w opracowywaniu mapy zapewnienia dla całej organizacji.

W wyniku sporządzeniu mapy zapewnienia mogą zostać zidentyfikowane ryzyka
z nieadekwatnym lub ze zduplikowanym zapewnieniem. Na tej podstawie kierownictwo
i rada może rozważyć zmiany/uzupełnienia w zakresie usług zapewniających dla tych
ryzyk. Jest to także informacja dla komórki audytu wewnętrznego, która może objąć
szczególną uwagą obszary nieadekwatnego zapewnienia w organizacji przy
opracowywaniu planu audytu.

Rola zarządzającego audytem

Zgodnie z Poradnikiem IIA 2050-2 obowiązkiem zarządzającego audytem jest
zrozumienie wymagań organizacji co do niezależnego zapewnienia oraz objaśnienie roli
audytu wewnętrznego i poziomu zapewnienia, który dostarcza audyt. Kierownictwo
musi być pewne, że proces zapewnienia jest adekwatny i wystarczająco silny,
by zapewnić efektywne zarządzanie oraz proces raportowania w zakresie ryzyk
zidentyfikowanych w organizacji.

W organizacji, w której od zarządzającego audytem wymaga się całościowej opinii na
temat ładu organizacyjnego, zarządzania ryzykiem i kontroli, zarządzający audytem
przed prezentacją ww. opinii musi zrozumieć naturę, zakres i zasięg zintegrowanej
mapy zapewnienia, uwzględnić działania innych wykonawców usług zapewniających
i ustalić, czy może polegać na ich opinii jako odpowiedniej.

Strona 5 z 7

W przypadku, gdy organizacja nie wymaga całościowej opinii, zarządzający audytem
może występować jako koordynator wykonawców usług zapewniających zapewniając,
że nie ma braków w zapewnieniu lub braki są znane i akceptowane. Jeżeli zarządzający
audytem stwierdzi, że zapewnienie jest nieadekwatne lub nieefektywne, musi
niezwłocznie poinformować o tym kierownictwo.

Zarządzający audytem, koordynując działania wykonawców usług zapewniających,
kieruje się Standardem IIA 2050.

Źródła

Przy opracowywaniu niniejszego dokumentu korzystaliśmy z następujących
materiałów:

1.

Międzynarodowe

Standardy

Praktyki

Zawodowej

Audytu

Wewnętrznego

Instytutu Audytorów Wewnętrznych (The Institute of Internal Auditors)

2.

Poradnik IIA Practice Advisory 2050-2: Assurance Maps

Załącznik – Przykładowe mapy zapewnienia

Strona 6 z 7

Załącznik do opracowania

Mapa zapewnienia w organizacji

Przykładowe mapy zapewnienia

1.

MAPA ZAPEWNIENIA W AGENCJACH UE

Źródło: prezentacja przedstawicieli Komisji Europejskiej - Agnieszki Kaźmierczak, Dyrektor Służb Audytu
w Agencjach oraz Ciarana Spillane’a, Dyrektora Służb Audytu Komisji pt. „Relacja pomiędzy Służbą Audytu
Wewnętrznego Komisji a innymi wykonawcami usług zapewniających” ze spotkania organizowanego przez
Służby Audytu Wewnętrznego Komisji Europejskiej w dniu 21 czerwca 2012 r. w Brukseli

Objaśnienie:

X

oznacza, że obszar jest objęty zapewnieniem przez daną funkcję

(X)

oznacza, że audyt zewnętrzny może audytować wszystkie procesy, ale nie wykonuje tego systematycznie

<

X

>

oznacza, że audytor wewnętrzny musi zdecydować, gdzie potrzebne jest zapewnienie, patrząc na

zapewnienie ze strony służb wewnętrznych i audytora zewnętrznego

oznacza, że te procesy są połączone, np. audytor ISO obejmuje zapewnieniem obszar system zarządzania
jakością, a system ten obejmuje rejestrację leków

Funkcja

Obszar

działalności

Komórka
kontroli
ex-post

Komitet
legislacyjny
(Legislative
Committee)

Audytor ISO Urzędnik

ochrony
danych
(Data
Protection
Officer)

Audyt
wewnętrzny

Audyt
zewnętrzny

Ustawodawstwo

X

< X >

(X)

Rejestracja leków

X

< X >

(X)

Wsparcie badawcze

X

< X >

(X)

Zarządzanie
grantami

X

< X >

X

HR

X

< X >

(X)

IT

< X >

(X)

Zarządzanie
jakością

X

< X >

(X)

Strona 7 z 7

2.

MAPA ZAPEWNIENIA W ORGANIZACJI

opracowana na podstawie materiałów PricewaterhouseCoopers pn. Internal Audit in Brief. Broadening Our Horizons, November 2009
(Źródło:

http://www.pwc.com/ca/en/risk/internal-audit/in-brief/publications/in-brief-october-2009-en.pdf)

LEGENDA:

wysokie zapewnienie średnie zapewnienie niskie zapewnienie brak zapewnienia nie dotyczy

ZARZĄDZANIE OPARTE NA ZAPEWNIENIU

NIEZALEŻNE

ZAPEWNIENIE

Samoocena

Zarządzanie

ryzykiem

Specjalny

projekt

Przegląd

zarządzania

Sekretariat

prawny

Rada

Audyt

zewnętrzny

Audyt

wewnętrzny

Sprawozdawczość

finansowa

Nie dotyczy

Nie

dotyczy

Nie dotyczy

Kontrole finansowe

Zgodność z prawem

Nie

dotyczy

Nie dotyczy

IT

Nie dotyczy

Nie dotyczy

Skarb Państwa

Nie dotyczy

Podatki, emerytury,

ubezpieczenia

Nie

dotyczy

Zasoby ludzkie

Nie dotyczy

Nie dotyczy

Oszustwa/Wyłudzenia

Nie

dotyczy

Zdrowie i bezpieczeństwo

Nie

dotyczy

Nie dotyczy