MAPA
ZAPEWNIENIA
W ORGANIZACJI
O
PRACOWANIE
:
D
EPARTAMENT
A
UDYTU
S
EKTORA
F
INANSÓW
P
UBLICZNYCH
WARSZAWA, WRZESIEŃ 2012
tel.: 22 694 30 93
fax: 22 694 33 74
e-mail:
sekretariat.DA@mofnet.gov.pl
www.mofnet.gov.p
l
Ministerstwo Finansów/
Działalno
ść
/ Finanse
publiczne/Kontrola zarz
ą
dcza
i audyt wewn
ę
trzny
Strona 2 z 7
Zapewnienie
1
Jedną z podstawowych powinności ciążących na kierownictwie organizacji jest
uzyskanie zapewnienia, że procesy w kierowanej organizacji przebiegają zgodnie
z założeniami i prowadzą do zamierzonych celów. Kierownictwo projektuje i używa
różnorodnych źródeł uzyskania wiarygodnego zapewnienia.
Słownik Międzynarodowych Standardów Praktyki Zawodowej Audytu Wewnętrznego
Instytutu Audytorów Wewnętrznych (dalej jako Standardy IIA) definiuje usługi
zapewniające jako obiektywne badanie dowodów w celu dostarczenia niezależnej oceny
procesów zarządzania ryzykiem, kontroli oraz ładu organizacyjnego.
Współistnienie w organizacji wielu różnych źródeł zapewnienia (wykonawców usług
zapewniających) może prowadzić do tego, że niektóre obszary będą
badane przez kilka
podmiotów, zaś inne nie będą objęte badaniem w ogóle.
Wykonawcy usług zapewniających i źródła zapewnienia
Poradnik IIA 2050-2 - Mapy zapewnienia
2
definiuje 3 klasy wykonawców usług
zapewniających, zróżnicowane z uwagi na odbiorców, dla których świadczą czynności
zapewniające, poziom niezależności w działaniach oraz siłę dostarczanego zapewnienia:
•
wykonawcy raportujący do kierownictwa lub członkowie kierownictwa
(tzw. zapewnienie zarządzających); do tej pierwszej grupy zalicza się
m. in.
osoby, które dokonują samooceny i audytorów jakości,
•
wykonawcy raportujący bezpośrednio do rady
3
, w tym audytorzy wewnętrzni,
•
wykonawcy raportujący do zewnętrznych interesariuszy (tzw. zapewnienie
audytu zewnętrznego).
Poziom wymaganego zapewnienia oraz wykonawca usług zapewniających jest
zróżnicowany zależnie od ryzyka.
Poniższe wyliczenie zawiera przykłady wykonawców usług zapewniających oraz źródła
zapewnienia zarówno z sektora publicznego, jak i prywatnego, z różnych krajów:
•
liniowe kierownictwo oraz pracownicy (w pierwszej linii obrony kierownictwo
dostarcza zapewnienia dotyczącego obszarów i ryzyk, za które jest
odpowiedzialne),
1
Terminy zapewnienie, usługi zapewniające oraz wykonawcy usług zapewniających są w niniejszym opracowaniu
użyte
zgodnie
z
tłumaczeniem
terminów
assurance,
assurance
services
oraz
assurance
providers,
dokonanym w Międzynarodowych Standardach Praktyki Zawodowej Audytu Wewnętrznego Instytutu Audytorów
Wewnętrznych (The IIA), dostępnym na stronie:
http://www.iia.org.pl/index.php?option=com_content&view=article&id=930:standardy&catid=88&Itemid=249
2
Practice Advisory 2050-2: Assurance Maps, dostępny na stronie internetowej
www.theiia.org
(dla członków IIA
nieodpłatnie, dla pozostałych osób za odpłatnością)
3
Przypominamy, że pod pojęciem rady, zgodnie ze Słownikiem Standardów IIA, rozumie się organ zarządzający
organizacji np. radę dyrektorów. Za radę można uznać także organ stanowiący, radę zarządzającą lub powierniczą
w organizacjach non profit. Radą może też być inna dedykowana jednostka organizacyjna, w tym komitet audytu,
któremu funkcjonalnie może podlegać zarządzający audytem wewnętrznym.
Strona 3 z 7
•
wyższe kierownictwo,
•
zewnętrzni oraz wewnętrzni audytorzy,
•
komórki, których celem jest zapewnienie funkcjonowania organizacji zgodnie
z przepisami prawa (tzw. funkcja compliance),
•
komórki dostarczające zapewnienia jakości,
•
zarządzanie ryzykiem,
•
audytorzy higieny i bezpieczeństwa pracy,
•
zespoły dokonujące przeglądu sprawozdań finansowych,
•
podkomitety rady (np. ds. audytu, ubezpieczeń, ładu organizacyjnego),
•
zewnętrzni wykonawcy usług zapewniających i źródła zapewnienia (włączając
badania, specjalistyczne przeglądy).
Zazwyczaj zapewnienie audytu wewnętrznego dotyczy całej organizacji, włączając w to
proces zarządzania ryzykiem.
Wiele organizacji funkcjonuje z tradycyjnym, rozłącznym podziałem źródeł zapewnienia
między audyt wewnętrzny, zarządzanie ryzykiem oraz badanie zgodności. Takie
organizacje posiadają kilka oddzielnych zespołów wykonujących niezależnie od siebie
czynności związane z tymi trzema sferami. W rezultacie odpowiedzialność za usługi
zapewniające dzielona jest pomiędzy kierownictwo a wymienione zespoły.
Bez efektywnej koordynacji wyżej wymienionych obszarów, czynności zespołów oraz
systemu raportowania, działania w organizacji mogą być duplikowane, a kluczowe
ryzyka nieprawidłowo zidentyfikowane lub ocenione. Koordynacja ma zapewnić
wykorzystanie zasobów organizacji w najbardziej wydajny i skuteczny sposób.
Mapa zapewnienia
Koncepcja mapy zapewnienia powstała w oparciu o Standard
IIA
2050 Koordynowanie,
w którym jest sformułowany następujący postulat: W celu zapewnienia odpowiedniego
zakresu audytu oraz minimalizacji powielania wysiłków, zarządzający audytem
wewnętrznym powinien wymieniać informacje i koordynować działania zarówno
z wewnętrznymi, jak i zewnętrznymi wykonawcami usług zapewniających i doradczych.
Zgodnie z Poradnikiem IIA 2050-2 mapa jest doskonałym narzędziem koordynującym
działania wykonawców usług zapewniających, gwarantującym ujęcie kluczowych
obszarów ryzyk wraz ze wskazaniem istniejących źródeł zapewnienia. Mapa
zapewnienia może z jednej strony umożliwić identyfikację obszarów nieobjętych
zapewnieniem i nakierować na nie działania, np. audytu wewnętrznego, z drugiej
wyeliminować dublowanie usług zapewniających.
Proces „mapowania” umożliwia określenie: obszarów ryzyka, ról zapewniających,
odpowiedzialności poszczególnych zespołów/wykonawców usług zapewniających lub
źródeł zapewnienia. „Mapowanie” jest wykonywane dla całej organizacji, dzięki czemu
minimalizuje się ryzyko dublowania wysiłku poszczególnych wykonawców usług
zapewniających lub występowania potencjalnych błędów.
Mapa zapewnienia jest zazwyczaj prezentowana w formie tabeli, w której są
przedstawione kluczowe obszary działania jednostki lub ryzyka wraz ze wskazaniem
Strona 4 z 7
różnych źródeł zapewnienia lub wykonawców usług zapewniających. Tabela może być
przedstawiana z użyciem kolorów, które ilustrują poziom i jakość zapewnienia.
Opracowanie mapy zapewnienia
Zgodnie z Poradnikiem IIA 2050-2, organizacja opracowując mapę zapewnienia może
wykorzystać kluczowe kategorie ryzyka zidentyfikowane w rejestrze ryzyka. W takich
przypadkach wiersze mapy zapewnienia będą ujmować kluczowe ryzyka wynikające
z ww. rejestru, zaś kolumny mogą uwzględniać na przykład:
•
kategorie znaczącego ryzyka,
•
właściciela ryzyka,
•
wartość ryzyka inherentnego,
•
wartość ryzyka rezydualnego (szczątkowego),
•
zakres audytu wewnętrznego,
•
zakres audytu zewnętrznego,
•
zakres działania innego wykonawcy usług zapewniających.
Zwykle każde znaczące ryzyko posiada właściciela lub osobę odpowiedzialną za
koordynację usług zapewniających w zakresie tego ryzyka, zatem właściciel ryzyka
powinien
wypełniać
kolumnę
„zakres
działania
innego
wykonawcy
usług
zapewniających”. Natomiast na bazie tego przykładu zarządzający audytem powinien
wypełniać kolumnę „zakres audytu wewnętrznego”.
Każda znacząca komórka w organizacji może mieć swoją mapę zapewnienia.
Alternatywnie, komórka audytu wewnętrznego może pełnić rolę koordynatora
w opracowywaniu mapy zapewnienia dla całej organizacji.
W wyniku sporządzeniu mapy zapewnienia mogą zostać zidentyfikowane ryzyka
z nieadekwatnym lub ze zduplikowanym zapewnieniem. Na tej podstawie kierownictwo
i rada może rozważyć zmiany/uzupełnienia w zakresie usług zapewniających dla tych
ryzyk. Jest to także informacja dla komórki audytu wewnętrznego, która może objąć
szczególną uwagą obszary nieadekwatnego zapewnienia w organizacji przy
opracowywaniu planu audytu.
Rola zarządzającego audytem
Zgodnie z Poradnikiem IIA 2050-2 obowiązkiem zarządzającego audytem jest
zrozumienie wymagań organizacji co do niezależnego zapewnienia oraz objaśnienie roli
audytu wewnętrznego i poziomu zapewnienia, który dostarcza audyt. Kierownictwo
musi być pewne, że proces zapewnienia jest adekwatny i wystarczająco silny,
by zapewnić efektywne zarządzanie oraz proces raportowania w zakresie ryzyk
zidentyfikowanych w organizacji.
W organizacji, w której od zarządzającego audytem wymaga się całościowej opinii na
temat ładu organizacyjnego, zarządzania ryzykiem i kontroli, zarządzający audytem
przed prezentacją ww. opinii musi zrozumieć naturę, zakres i zasięg zintegrowanej
mapy zapewnienia, uwzględnić działania innych wykonawców usług zapewniających
i ustalić, czy może polegać na ich opinii jako odpowiedniej.
Strona 5 z 7
W przypadku, gdy organizacja nie wymaga całościowej opinii, zarządzający audytem
może występować jako koordynator wykonawców usług zapewniających zapewniając,
że nie ma braków w zapewnieniu lub braki są znane i akceptowane. Jeżeli zarządzający
audytem stwierdzi, że zapewnienie jest nieadekwatne lub nieefektywne, musi
niezwłocznie poinformować o tym kierownictwo.
Zarządzający audytem, koordynując działania wykonawców usług zapewniających,
kieruje się Standardem IIA 2050.
Źródła
Przy opracowywaniu niniejszego dokumentu korzystaliśmy z następujących
materiałów:
1.
Międzynarodowe
Standardy
Praktyki
Zawodowej
Audytu
Wewnętrznego
Instytutu Audytorów Wewnętrznych (The Institute of Internal Auditors)
2.
Poradnik IIA Practice Advisory 2050-2: Assurance Maps
Załącznik – Przykładowe mapy zapewnienia
Strona 6 z 7
Załącznik do opracowania
Mapa zapewnienia w organizacji
Przykładowe mapy zapewnienia
1.
MAPA ZAPEWNIENIA W AGENCJACH UE
Źródło: prezentacja przedstawicieli Komisji Europejskiej - Agnieszki Kaźmierczak, Dyrektor Służb Audytu
w Agencjach oraz Ciarana Spillane’a, Dyrektora Służb Audytu Komisji pt. „Relacja pomiędzy Służbą Audytu
Wewnętrznego Komisji a innymi wykonawcami usług zapewniających” ze spotkania organizowanego przez
Służby Audytu Wewnętrznego Komisji Europejskiej w dniu 21 czerwca 2012 r. w Brukseli
Objaśnienie:
X
oznacza, że obszar jest objęty zapewnieniem przez daną funkcję
(X)
oznacza, że audyt zewnętrzny może audytować wszystkie procesy, ale nie wykonuje tego systematycznie
<
X
>
oznacza, że audytor wewnętrzny musi zdecydować, gdzie potrzebne jest zapewnienie, patrząc na
zapewnienie ze strony służb wewnętrznych i audytora zewnętrznego
oznacza, że te procesy są połączone, np. audytor ISO obejmuje zapewnieniem obszar system zarządzania
jakością, a system ten obejmuje rejestrację leków
Funkcja
Obszar
działalności
Komórka
kontroli
ex-post
Komitet
legislacyjny
(Legislative
Committee)
Audytor ISO Urzędnik
ochrony
danych
(Data
Protection
Officer)
Audyt
wewnętrzny
Audyt
zewnętrzny
Ustawodawstwo
X
< X >
(X)
Rejestracja leków
X
< X >
(X)
Wsparcie badawcze
X
< X >
(X)
Zarządzanie
grantami
X
< X >
X
HR
X
< X >
(X)
IT
< X >
(X)
Zarządzanie
jakością
X
< X >
(X)
Strona 7 z 7
2.
MAPA ZAPEWNIENIA W ORGANIZACJI
opracowana na podstawie materiałów PricewaterhouseCoopers pn. Internal Audit in Brief. Broadening Our Horizons, November 2009
(Źródło:
http://www.pwc.com/ca/en/risk/internal-audit/in-brief/publications/in-brief-october-2009-en.pdf)
LEGENDA:
wysokie zapewnienie średnie zapewnienie niskie zapewnienie brak zapewnienia nie dotyczy
ZARZĄDZANIE OPARTE NA ZAPEWNIENIU
NIEZALEŻNE
ZAPEWNIENIE
Samoocena
Zarządzanie
ryzykiem
Specjalny
projekt
Przegląd
zarządzania
Sekretariat
prawny
Rada
Audyt
zewnętrzny
Audyt
wewnętrzny
Sprawozdawczość
finansowa
Nie dotyczy
Nie
dotyczy
Nie dotyczy
Kontrole finansowe
Zgodność z prawem
Nie
dotyczy
Nie dotyczy
IT
Nie dotyczy
Nie dotyczy
Skarb Państwa
Nie dotyczy
Podatki, emerytury,
ubezpieczenia
Nie
dotyczy
Zasoby ludzkie
Nie dotyczy
Nie dotyczy
Oszustwa/Wyłudzenia
Nie
dotyczy
Zdrowie i bezpieczeństwo
Nie
dotyczy
Nie dotyczy