Audyt wewnętrzny i kontrola finansowa (praca dyplomowa)

background image

Międzynarodowe

Centrum

Instytut

Organizacji

Szkolenia i Doradztwa

i Zarządzania w Przemyśle

w Warszawie

„Orgmasz”


Studium „Audyt wewnętrzny i kontrola finansowa”












RODZAJE AUDYTU

Barbara Dmowska - Stefanowska

praca dyplomowa napisana pod

kierunkiem dr Piotra Ostaszewicza


















Warszawa, kwiecień 2005

background image

SPIS TREŚCI

WSTĘP …………………………………………………….

1. PODSTAWOWE POJĘCIA Z ZAKRESU AUDYTU…

1.1. DEFINICJA AUDYTU ………………………………..

1.2. ZADANIA AUDYTU …………………………………..

1.3. METODY PRZEPROWADZANIA AUDYTU ……….

1.4. RAPORT Z PRZEPROWADZONEGO AUDYTU …

2. CHARAKTERYSTYKA WYBRANYCH RODZAJÓW

AUDYTU …………………………………………………

2.1. AUDYT INFORMATYCZNY …………………………

2.1.1. AUDYT LEGALNOŚCI ……………………………..

2.1.2. AUDYT OPROGRAMOWANIA …………………...

2.1.3. AUDYT SPRZĘTU ………………………………….

2.1.4. AUDYT ZABEZPIECZEŃ ………………………….

2.2. AUDYT FINANSOWY ………………………………..

2.3. AUDYT OPERACYJNY ………………………………

2.4. AUDYT WYNAGRODZEŃ …………………………..

2.5. AUDYT PERSONALNY ……………………………...

2.6. AUDYT MENEDŻERSKI ……………………………..

2.7. AUDYT KOMUNIKACYJNY …………………………

2.8. AUDYT MARKETINGOWY ………………………….

2.9. AUDYT LOGISTYCZNY ……………………………..

PODSUMOWANIE ………………………………………...

BIBLIOGRAFIA …………………………………………….

ZAŁĄCZNIKI ………………………………………………..

2

background image

1. PODSTAWOWE POJĘCIA Z ZAKRESU AUDYTU

1.1. DEFINICJA

AUDYTU

Słowo audyt pochodzi od łacińskiego „auditor”, czyli słuchacz, słuchający. Jak

można przeczytać w Wielkiej Encyklopedii PWN, audyt (z ang. auditing) to system

rewizji gospodarczej i doradztwa ekonomicznego, realizowany przez

wyspecjalizowanych ekspertów. Jest on realizowany według określonych wzorców,

zaleceń i standardów, polega na rewizji ksiąg rachunkowych i innych dokumentów.

Jego celem jest stwierdzenie, czy dokumenty dają prawdziwy i jasny obraz sytuacji

finansowej danego podmiotu gospodarczego oraz wykazanie ewentualnych

niedociągnięć.

Na rynku możemy spotkać wiele różnych definicji audytu. Najbardziej

znaną jest definicja zaproponowana przez Instytut Audytorów Wewnętrznych (skrót

IIA od angielskiej nazwy Institute of Internal Auditors). Zgodnie z tą definicją „audyt

wewnętrzny jest niezależną, obiektywną działalnością o charakterze zapewniającym

i doradczym, prowadzoną w celu wniesienia do organizacji wartości dodanej

i usprawnienia jej funkcjonowania. Audyt wewnętrzny wspiera organizację

w osiąganiu wytyczonych celów poprzez systematyczne i konsekwentne działanie

służące ocenie i poprawie efektywności zarządzania ryzykiem, systemu kontroli oraz

procesów zarządzania organizacją.”

1

Przy realizacji zadań audytorzy powinni kierować się Standardami

Profesjonalnej Praktyki Audytu Wewnętrznego, w skrócie SPPAW. Standardy te

dzielą się na:

2

- standardy atrybutów – ich zadaniem jest zdefiniowanie wymagań wobec audytu

jako jednostki organizacyjnej oraz audytora jako reprezentanta grupy zawodowej;

- standardy działania – ich zadaniem jest zdefiniowanie wymagań dotyczących

sposobu realizacji zadań audytu oraz zakresu zadań;

- standardy wdrożenia – przypisują one Standardy Atrybutów oraz Standardy

Realizacji określonym typom działań (np. audytowi zgodności, operacyjnemu,

finansowemu).


1

K. Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 r.

2

jw.

3

background image

Oprócz wyżej wymienionych standardów audytorzy mogą kierować się także

innymi standardami, wśród których najpopularniejszymi są:

- standardy INTOSAI,

- standardy ISACA,

- standard COBiT,

- standard COSO,

- standard COCO.

Jak wiadomo, zadanie audytora polega na zapewnieniu, iż świadczona

usługa zostanie przeprowadzona profesjonalnie i zgodnie ze standardami. Realizacja

tego celu wymaga spełnienia następujących zasad:

3

- wiarygodność,

- zapewnienie wysokiej jakości świadczonych usług,

- obiektywizm,

- unikanie konfliktu interesów,

- zachowanie bezstronności,

- przestrzeganie tajemnicy zawodowej,

- zachowanie należytej staranności zawodowej,

- umiejętność rozwiązywania konfliktów natury etycznej,

- profesjonalizm.

Według innych opinii pod pojęciem audyt należy rozumieć kontrolę. Istnieją

dwa rodzaje kontroli: wewnętrzna (dana firma kontrolowana jest przez własnych

pracowników) oraz zewnętrzna (polega na badaniu przez osoby spoza kontrolowanej

firmy). Kluczowym elementem struktury kontroli wewnętrznej jest audyt wewnętrzny.

Odpowiedzialność za dostarczenie odpowiedniej i skutecznej struktury kontroli

wewnętrznej spoczywa na kierownictwie jednostki. Szef każdej instytucji rządowej

musi zapewnić, aby struktura kontroli wewnętrznej powstała, była poddawana

przeglądowi i uaktualniana, żeby utrzymać jej skuteczność. Niezwykle ważnym

elementem jest pozytywne i wspierające nastawienie ze strony menadżerów.

Kierownictwo ustanawia też niezależną funkcję audytu jako kluczowy element

struktury kontroli wewnętrznej. Ponadto kierownictwo powinno także ustalić cele dla

funkcji audytu i nie nakładać żadnych ograniczeń na audytorów mających je osiągać.

W celu zapewnienia niezależności, kierujący jednostką audytu powinien być podległy

3

www.nik.gov.pl

Europejskie wytyczne dla stosowania standardów kontroli INTOSAI

4

background image

bezpośrednio szefowi instytucji. Rolą audytorów jest z kolei audyt strategii, sposobów

postępowania i procedur kontroli wewnętrznej instytucji w celu zapewnienia, by

kontrola ta była odpowiednia dla zrealizowania misji instytucji. Celami audytu

wewnętrznego są:

4

- identyfikacja i analiza ryzyk związanych z działalnością jednostki, a w

szczególności ocena efektywności zarządzania ryzykiem oraz ocena systemu

kontroli wewnętrznej;

- wyrażanie opinii na temat skuteczności mechanizmów kontrolnych w badanym

systemie;

- dostarczanie kierownikowi jednostki, w oparciu o ocenę systemu kontroli

wewnętrznej, racjonalnego zapewnienia, że jednostka działa prawidłowo;

- składanie sprawozdań z poczynionych ustaleń, oraz tam gdzie jest to właściwe,

przedstawianie uwag i wniosków dotyczących poprawy skuteczności działania

jednostki w danym obszarze.

Pojęcie audytu zdefiniował także polski ustawodawca. Zgodnie z artykułem

35c ustawy o finansach publicznych audytem jest ogół działań, przez które kierownik

jednostki uzyskuje obiektywną i niezależną ocenę funkcjonowania jednostki

w zakresie gospodarki finansowej pod względem legalności, gospodarności,

celowości, rzetelności, a także przejrzystości I jawności. Audyt ten realizowany jest

na podstawie i zgodnie z zasadami określonymi w art. 35a – 35t ustawy o finansach

publicznych oraz innymi przepisami dotyczącymi sposobu i trybu przeprowadzania

audytu wewnętrznego. W zamyśle Ministra Finansów standardy mają być podstawą

do tworzenia lub opisywania bardziej szczegółowych i precyzyjnych procedur czy

zasad dobrej praktyki, które jednostki sektora finansów publicznych będą tworzyć

adekwatnie do swoich potrzeb. Ponadto wprost z przepisów ustawy oraz

z rozporządzenia Ministra Finansów z dnia 20 grudnia 2002 r. wynika zakres

podmiotów, które mają obowiązek prowadzenia audytu wewnętrznego - są to

jednostki, w których kwota przychodów środków publicznych uzyskiwanych w ciągu

roku kalendarzowego oraz kwota wydatków środków publicznych dokonywanych

w ciągu roku kalendarzowego przekracza 35 000 tys. zł.

5

4

www.mof.gov.pl

5

Rozporządzenie Ministra Finansów z 20 grudnia 2002 r. w sprawie określenia kwot przychodów oraz

wydatków środków publicznych dokonywanych w ciągu roku kalendarzowego, których przekroczenie
powoduje obowiązek prowadzenia audytu wewnętrznego w jednostkach sektora finansów publicznych
Dz.U. nr 234 poz. 1970

5

background image

Według polskiego ustawodawstwa audyt wewnętrzny obejmuje

w szczególności:

6

- badanie dowodów księgowych oraz zapisów w księgach rachunkowych;

- ocenę systemu gromadzenia środków publicznych i dysponowania nimi oraz

gospodarowania mieniem;

- ocenę efektywności I gospodarności zarządzania finansowego.

Audyt wewnętrzny, jako stosunkowo młoda koncepcja wspierania

zarządzania, ciągle jeszcze nie jest w pełni rozumiany. Bardzo często przyjmuje się,

że jest to unowocześnienie kontroli wewnętrznej lub kontrola zewnętrzna od

wewnątrz. M. Sekuła, Prezes Najwyższej Izby Kontroli, twierdzi, że „audyt oznacza

nic innego jak kontrolę”

7

. Wynika z tego, iż zainteresowania audytora wewnętrznego

ukierunkowuje się albo w stronę kontroli wewnętrznej, co byłoby powielaniem zadań

dwóch różnych form organizacyjnych albo w stronę certyfikowania sprawozdań

finansowych, co z kolei jest zastępowaniem działań biegłych rewidentów. Jak łatwo

wywnioskować z powyższej opinii, minie jeszcze trochę czasu zanim audyt

wewnętrzny zostanie właściwie zrozumiały i znajdzie ostatecznie swoje miejsce.

1.2. ZADANIA

AUDYTU

W celu określenia zakresu prac audytu wewnętrznego wykorzystuje się

Standardy Profesjonalnej Praktyki Audytu Wewnętrznego IIA:

8

SPPAW ZARZĄDZANIE ORGANIZACJĄ

Audyt

wewnętrzny powinien wnieść swój wkład do procesu zarządzania

poprzez ocenę oraz usprawnienia systemu za pomocą którego:

- są ustalane i komunikowane cele I wartości,

- monitorowane jest osiąganie celów,

- zapewnia się przypisanie odpowiedzialności,

- zachowywane są wartości.

Audytorzy powinni dokonywać przeglądu działań operacyjnych oraz

6

Ustawa o finansach publicznych z dnia 26 listopada 1998 r. Dz.U. z 2003 r. nr 15 poz 148 + późn.

zmiany

7

M. Sekuła „Jaka jest różnica między audytem a kontrolą” Gazeta Prawna z 23 czerwca 2004 r.

8

K. Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 r.

6

background image

programów w celu zapewniania spójności z systemem wartości

organizacji

SPPAW CHARAKTER

PRACY

Audytor

powinien

oceniać ekspozycję na ryzyko związane z zarządzaniem

organizacją, działalnością operacyjną oraz systemami IT biorąc pod

uwagę:

- wiarygodność I integralność informacji,

- skuteczność i wydajność operacji,

- zabezpieczenie aktywów,

- zgodność z prawem, przepisami i umowami.

Ponadto zakres prac audytu wewnętrznego w jednostkach sektora finansów

publicznych został zdefiniowany w Rozporządzeniu Ministra Finansów z dnia 5 lipca

2002 roku w sprawie szczegółowego sposobu i trybu przeprowadzania audytu

wewnętrznego. W paragrafie 2 można przeczytać, iż „audytor wewnętrzny,

przeprowadzając audyt wewnętrzny:

1. Bada wiarygodność sprawozdania finansowego oraz sprawozdania z wykonania

budżetu przez następcze sprawdzenia:

1.1.

Przestrzegania zasad rachunkowości,

1.2. Zgodności zapisów w księgach rachunkowych z dowodami księgowymi,

1.3. Zgodności sprawozdania finansowego oraz sprawozdania z wykonania

budżetu z zapisami w księgach rachunkowych;

2. Dokonuje oceny adekwatności, efektywności i skuteczności systemów kontroli,

w tym przestrzegania procedur, zarządzania ryzykiem i kierowania organizacją;

3. Dokonuje oceny przestrzegania zasady celowości i oszczędności w dokonywaniu

wydatków, uzyskiwania możliwie najlepszych efektów w ramach posiadanych

środków oraz przestrzegania terminów realizacji zadań i zaciągniętych

zobowiązań.”

9

Zakres prac audytu wewnętrznego obejmuje badanie i ocenę jakości, skuteczności

i adekwatności systemu kontroli wewnętrznej oraz jakości wykonywania

powierzonych zadań przez poszczególne jednostki organizacyjne. Do zadań

podstawowych oraz szczegółowych audytu wewnętrznego należą:

10

1. przeprowadzanie analizy i oceny systemu kontroli wewnętrznej:

9

K. Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 r.

10

K. Czerwiński, H. Grochowski „Podstawy Audytu Wewnętrznego” Link Szczecin 2003 r.

7

background image

- identyfikacja i ocena poszczególnych kontroli istniejących w systemie. Zadaniem

tych kontroli jest realizacja celów biznesowych organizacji w sposób najbardziej

efektywny i ekonomiczny.

- przedstawianie opinii o wiarygodności badanych systemów kontroli wewnętrznej,

- doradzanie kierownictwu w projektowaniu systemu kontroli wewnętrznej;

2. Przedstawianie opinii o wiarygodności sprawozdań finansowych organizacji

w oparciu o ocenę wiarygodności całego systemu kontroli wewnętrznej;

3. Przedstawianie opinii dotyczących efektywności zarządzania ryzykiem;

4. Przedstawianie opinii dotyczących efektywności i racjonalności zarządzania

(audyt operacyjny). Doradztwo w tym zakresie;

5. Wykonanie identyfikacji i analizy ryzyka w zakresie niezbędnym w planowaniu

długoterminowym i planowaniu zadania audytowego;

6. Przeprowadzenie oceny efektywności zarządzania ryzykiem;

7. Badanie i ocena adekwatności i efektywności systemu kontroli wewnętrznej.

Ocena jakości pracy kontroli wewnętrznej;

8. Doradzanie przy projektowaniu systemów kontroli;

9. Przeprowadzanie audytów finansowych, obejmujących badanie wiarygodności

i kompletności informacji służących sporządzaniu raportów na temat sprawozdań

finansowych oraz badanie i sporządzanie raportów na temat systemów

księgowych i płatniczych organizacji. Ocena systemów księgowo-finansowych

pod względem dokładności, kompletności, terminowości i realności

dokonywanych transakcji oraz zgodności z zasadami rachunkowości (audyt

finansowy);

10. Ochrona majątku poprzez kontrolę systemów zabezpieczających aktywa oraz

w razie potrzeby weryfikację istnienia tegoż majątku;

11. Ocena efektywności i wydajności wykorzystania zasobów. Dokonywanie oceny

działań jednostek organizacyjnych oraz podmiotów zależnych pod względem

efektywności i wydajności (audyt operacyjny);

12. Przeprowadzanie audytów systemów informatycznych;

13. Kontrola przestrzegania przez pracowników procedur bezpieczeństwa systemów

informatycznych;

14.

Ocena procedur tworzonych w organizacji. Ustalenie, czy obowiązujące

procedury zapewniają osiąganie zamierzonych celów i czy zapewniają zgodność

z przepisami (audyt zgodności). Pisemne procedury są niezbędnym elementem

systemu zarządzania. Audytor nie może sam napisać procedur dla całej

instytucji, ale może i powinien opiniować wszystkie procedury. Opinia powinna

uwzględniać wszelkie stwierdzone braki w zakresie kontroli wewnętrznej. Audytor

8

background image

nie może napisać procedur, gdyż jego pierwszym obowiązkiem jest wydanie

opinii;

15. Dokonywanie

oceny

funkcjonujących systemów zapobiegania

nieprawidłowościom i podejmowania działań korygujących;

16. Ocena systemu przepływu informacji pod kątem jego dokładności, rzetelności,

terminowości, użyteczności i spójności;

17. Audyt zarządzania projektami, w tym informatycznymi;

18. Przeprowadzanie ewidencji audytów oraz nadzór nad dokumentami roboczymi

i ich archiwizacją;

19. Współdziałanie z podmiotami upoważnionymi do przeprowadzania kontroli

w jednostce;

20. Wykonanie i stała aktualizacja Oceny Potrzeb Audytu;

21. Opracowanie rocznego i wieloletniego planu audytu;

22. Opracowanie raportu rocznego.

Ocena systemów kontroli wewnętrznej w zakresie ich efektywności

i niezawodności powinna być oparta na wynikach działań audytu wewnętrznego oraz

wynikach pracy zespołu kontroli wewnętrznej pod względem wykrywania

nieprawidłowości i oszustw. Analiza źródeł powstawania nieprawidłowości i efektów

działań wyjaśniających powinna zostać uwzględniona w analizie ryzyka. Ponadto

zakres działań audytu wewnętrznego obejmuje wszystkie jednostki organizacyjne,

oddziały terenowe i podmioty zależne.

Dokumenty, które powstają w jednostce dzieli się na 3 poziomy:

11

- dokumenty ogólne definiujące cele – np. statut Zespołu Audytu Wewnętrznego,

- procedury – umożliwiają realizację polityki,

- instrukcje i inne tego typu szczegółowe dokumenty uzupełniające w stosunku do

procedur.

Zadania audytowe realizowane są na podstawie upoważnienia Kierownika

organizacji, z tego względu bardzo istotną rzeczą jest taka organizacja Zespołu

Audytu Wewnętrznego, która będzie dostosowana do wyznaczonych zadań.

W zależności od wielkości i potrzeb organizacji oraz wielkości zespołu możliwe jest

wiele rozwiązań:

- audytorzy nie specjalizują się w poszczególnych typach audytu – taka struktura

ma tę zaletę, iż umożliwia wykonywanie różnorodnych zadań co wpływa na

11

K. Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 r.

9

background image

uzyskanie wszechstronnych kwalifikacji. Niestety w rozwiązaniu tym są dwie

istotne wady: audytorzy muszą przeznaczyć stosunkowo dużo czasu na

zapoznanie się z jednostkami audytowanymi oraz trudne jest uzyskanie

specjalizacji w takich dziedzinach jak audyt finansowy czy informatyczny;

- utworzenie wyspecjalizowanych zespołów – cała trudność polega na ustaleniu ilu

audytorów powinna zatrudniać jednostka organizacyjna. Decyzja o wielkości

Zespołu Audytu Wewnętrznego powinna być uzasadniona ilością

i skomplikowaniem zadań, które mają być realizowane przez zespół audytu.

Rys nr 1

STANOWISKO PRACY DS. KANCELARYJNO-BIUROWYCH

AUDYTORZY

KIEROWNIK SEKCJI

AUDYTORZY

KIEROWNIK SEKCJI

Z-CA DYREKTORA

DYREKTOR ZESPOLU AUDYTORÓW WEWNETRZNYCH

Przykładowy schemat organizacyjny Zespołu Audytu Wewnętrznego – Krzysztof

Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 r.

10

background image

1.3. FAZY PRZEPROWADZANEGO AUDYTU

W realizacji zadania, które stanowi podstawę przeprowadzenia audytu,

wyróżnić można kilka faz, które mogą się na siebie nakładać. Są one podzielone

w sposób następujący:

12

- faza wstępna;

- planowanie;

- wstępne zapoznanie z jednostką audytowaną;

- realizacja czynności audytowych;

- raport z audytu;

- monitorowanie wykonania rekomendacji.

W fazie wstępnej audytor powinien przeprowadzić następujące czynności:

13

- określić okres, jaki ma objąć audyt oraz przewidywaną datę jego zakończenia;

- założyć akta stałe i bieżące;

- zebrać informacje dotyczące jednostki audytowanej – m.in. liczba pracowników,

zakresy obowiązków, opisy stanowisk, informacje o finansach jednostki, itp.;

- wstępnie ocenić system kontroli wewnętrznej;

- przeanalizować ryzyko;

- wstępnie określić obiekt audytu;

- wstępnie określić cel audytu;

- ocenić potrzeby kadrowe i budżet audytu;

- przygotować harmonogram audytu.

W fazie wstępnej audytor powinien skoncentrować się na zebraniu jak największej

ilości informacji wykorzystywanych następnie do planowania zadania audytowego.

Zebranie i dokonanie wstępnej oceny informacji, które są dostępne bez formalnego

powiadomienia kierownika jednostki o rozpoczęciu audytu, ma pomóc

w przeprowadzeniu analizy ryzyka oraz w przygotowaniu planu audytu.

Przeprowadzając wstępną analizę ryzyka audytor powinien wziąć pod uwagę

czynniki ryzyka wewnętrznego oraz takie czynniki, jak: funkcjonowanie kontroli

i pisemne procedury, częste zmiany kadrowe, zakres delegowania funkcji, skłonność

do zmian, kwalifikacje pracowników i osób zarządzających, rezultaty poprzednich

audytów. Przegląd taki może wiązać się z następującymi sposobami zbierania

12

K. Czerwiński “Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 r.

13

jw

11

background image

informacji:

14

- analiza sprawozdań i studiów dokonanych przez kierownictwo i pracowników

jednostki oraz innych jednostek organizacyjnych;

- diagramy’

- testy przeglądowe;

- obserwacja środowiska i metod pracy;

- rozmowy z pracownikami;

- wykorzystanie kwestionariuszy samooceny.

Nie wolno zapominać o fakcie, iż wszystkie czynności należy zapisać

w dokumentacji audytu. Ponadto koniecznie należy rozważyć doświadczenie

audytorów i ocenić charakter i stopień trudności zadania, które audytor ma

przeprowadzić, ograniczenia czasowe i finansowe.

Na etapie planowania wyróżnić możemy 3 główne etapy zadania:

przygotowanie planu audytu, zatwierdzenia planu przez kierującego jednostką oraz

zawiadowmienie kierownika jednostki audytowanej o dacie rozpoczęcia audytu. Faza

ta polega na zrozumieniu przez audytora zasad funkcjonowania jednostki, gdyż to

pozwoli mu na określenie poziomu istotności.

Pierwszym krokiem jest tu opracowanie planu audytu. Jest to dokument

przygotowywany przed rozpoczęciem audytu, który powinien zawierać przynajmniej

takie czynności, jak:

15

- wyliczenie obiektów audytu;

- cele i zakres audytu;

- przewidywana metodyka;

- skład zespołu prowadzącego audyt;

- budżet czasowy i zasoby potrzebne do przeprowadzenia audytu.

Podczas planowania audytor powinien zapoznać się z zasadami funkcjonowania

jednostki oraz z jej głównymi procesy biznesowe. Ułatwi to mu określenie poziomu

istotności.

W tej fazie zadania audytowego bardzo istotną czynnością jest przygotowanie

planu audytu , który jest ogólnym dokumentem przygotowywanym przed

14

K. Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 r.

15

jw.

12

background image

rozpoczęciem audytu. Plan ten powinien zawierać następujące informacje:

16

- wyliczenie obiektów audytu,

- cele i zakres audytu,

- przewidywaną metodykę,

- skład zespołu prowadzącego audyt,

- budżet czasowy i zasoby potrzebne do przeprowadzenia audytu.

Przygotowany plan powinien zostać zatwierdzony przez Dyrektora Zespołu Audytu

Wewnętrznego. Ponadto na spotkaniu całego zespołu powinien on zostać

przedyskutowany oraz powinno się ustalić, na których etapach audytor będzie

kontrolował stan zaawansowania, kompletność dokumentacji oraz istotność ustaleń.

Proces planowania powinien być w pełni udokumentowany. Następnie powinno

zostać ustalone, w jaki sposób, kiedy i komu zostanie przekazany raport z audytu.

Kolejnym krokiem jest powiadomienie jednostki o rozpoczęciu audytu.

Powiadomienie takie powinno mieć formę pisemną z podpisem Dyrektora Zespołu

Audytu Wewnętrznego.

Kolejnym etapem, który przeprowadza się w ramach zadania audytowego jest

wstępne zapoznanie się z jednostką audytowaną. W trakcie narady wstępnej

z kierownictwem jednostki audytowanej audytor powinien osiągnąć następujące

cele:

17

- możliwość wzajemnego poznania się audytorów i audytowanych;

- zapoznanie audytowanych z obiektami I celami audytu;

- uzgodnienie kryteriów oceny;

- uzgodnienie harmonogramu I rozwiązań organizacyjnych;

- uzyskanie informacji od kierownictwa jednostki na temat ryzyk związanych

z działalnością jednostki oraz realizacji rekomendacji z poprzednio

przeprowadzanych audytów.

Tematy omawiane na naradzie mogą obejmować następujące zakresy:

planowane nadrzędne cele audytu, harmonogram, przydzielenie audytorów do

konkretnych zadań, sposób oraz metody wymiany informacji, osoby odpowiedzialne

za informacje, warunki funkcjonowania jednostki, opis procedury wykonania raportu,

przebieg działań monitorujących, terminy i czas trwania poszczególnych prac

audytowych.

16

K. Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 r.

17

jw.

13

background image

Następnym etapem zadania audytowego są czynności u klienta. Po przybyciu

do audytowanej jednostki audytor powinien skontaktować się z kierownictwem.

Audytor powinien omówić sprawy, które nie zostały poruszone na naradzie wstępnej

oraz ustalić terminy spotkań z pracownikami jednostki. Następną czynnością, którą

audytor musi przeprowadzić jest badanie dokumentów takich, jak: przepisy prawne,

schematy organizacyjne, księgi procedur i instrukcje biurowe. Informacje o tym, jak

system funkcjonuje w praktyce dostarczają wywiady z kierownictwem i personelem

oraz obserwacja środowiska i metod pracy.. W celu opisania systemu środków

kontroli audytor sporządza następujące dokumenty:

18

- kwestionariusze samooceny;

- notatki ze spotkań, wywiadów i dyskusji;

- ogólny opis systemu;

- opisowy lub sporządzony w formie diagramu szczegółowy opis systemu, który

określa sieć współzależności i najważniejsze obiekty kontroli.

Kolejnym krokiem w trakcie przeprowadzania zadania audytowego jest

przygotowanie programu audytu. Program ten powinien określać procedury

wymagane przy identyfikacji, analizie, ocenie oraz sporządzaniu dokumentacji

podczas realizacji prac przez audytora. Powinien on zostać opracowany na

podstawie przeprowadzonej przez audytora oceny słabych i mocnych stron systemu

i jego kontroli wewnętrznej, jak również oceny ryzyka. Program audytu jest

przygotowywany przez koordynatora audytu i ma postać procedury typu „krok po

kroku”. Ponadto do programu musi zostać załączony wykaz oraz szczegółowy opis

planowanych testów, których szczegółowość zależy od przeprowadzającego zadania

audytowe. Program ten spełnia następujące funkcje:

19

1. zestawienie informacji typu kto, co, kiedy i z czyjego upoważnienia;

2. kontrola wykonanych prac – program zawiera listę kontrolną czynności, które

musi wykonać audytor w czasie zadania;

3. analiza ryzyka – pozwala na określenie szczegółowego zakresu audytu;

4. opis zaplanowanych testów i wyjaśnienie, jak będziemy realizować cele

audytu.

Następnym etapem jest realizacja czynności audytowych, którego celem jest

zebranie, analiza, interpretacja i utrwalenie informacji uzasadniających wyniki

18

K. Czerwiński, H. Grocholski „Podstawy Audytu Wewnętrznego” Link Szczecin 2003 r.

19

K. Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 r.

14

background image

przeprowadzonego audytu. Przed zakończeniem tej fazy audytu należy

poinformować kierownictwo jednostki o terminie wydania raportu wstępnego.

W celu przedstawienia wyników pracy stosuje się w audycie pisemny raport,

która to forma jest wymagana przez międzynarodowe standardy. Raport powinien

być przedstawiony po zakończeniu każdego zadania audytowego i powinien

zawierać ustalenia, wnioski audytorów oraz rekomendacje: Za sporządzenie raportu

odpowiedzialny jest koordynator audytu, ale udział we wszystkich pracach jest

obowiązkiem wszystkich audytorów. Cele sporządzenia tego rodzaju raportu są

następujące:

20

- raport dostarcza zapewnienia o adekwatności, efektywności i poziomie zaufania,

jakim można obdarzyć system kontroli wewnętrznej;

- ocenia efektywność, oszczędność i wydajność operacji realizowanych przez

jednostkę poprzez analizę i ocenę;

- wskazuje możliwość lub też wymusza usprawnienia systemu;

- zwraca uwagę na ryzyka wynikające z różnic pomiędzy kryteriami a ustaleniami

poczynionymi w trakcie audytu;

- umożliwia kontrolę wykonania rekomendacji dzięki zapisaniu ich w raporcie wraz

z uzgodnieniami dotyczącymi sposobu i terminu ich wdrażania przez

kierownictwo jednostki.

Wyróżnić można różne rodzaje raportów, m.in.:

1. raport końcowy – zawiera ocenę audytowanego systemu kontroli i realizacji

celów biznesowych. Powinny być w nim przedstawione wszystkie fakty

świadczące

o słabościach systemu wraz z powiązanymi ryzykami. Raport ten powinien być

krótki a rekomendacje jasne i jednoznaczne;

2. raport przejściowy – stosowany jest przy następujących sytuacjach: w trakcie

prac audytowych zostały poczynione ustalenia wymagające pilnej reakcji oraz

czas realizacji audytu jest długi, zaś ustalenia powinny być przedstawione przed

upływem planowanego terminu zakończenia audytu.

3. raport ustny – zwraca uwagę na zagrożenia wymagające natychmiastowej

reakcji;

4. raport fragmentaryczny – jego celem jest skoncentrowanie się na wybranych

zagadnieniach;

20

K.Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 r.

15

background image

5. raport wstępny – ten typ raportu jest opracowywany po zakończeniu testów.

W skład tego rodzaju raportu wchodzą: część ogólna (opis obiektów, cele

i zakres audytu), ogólny opis jednostki lub badanego systemu, ustalenia

potwierdzone takimi dowodami na podstawie, których osoba trzecia nie będzie

miała wątpliwości, co do istnienia opisanych faktów, sformułowanie wniosków,

które stanowią ocenę audytora dotyczącą wpływu ustaleń na działalność,

rekomendacje – wskazują sposoby naprawy lub usprawnienia działalności,

słownik użytych zwrotów i skrótów oraz załączniki – standardy IIA opisują

wymagania dotyczące raportu, za sporządzenie raportu odpowiedzialny jest

koordynator audytu, udział w pracach jest obowiązkiem wszystkich audytorów,

raport powinien być zrozumiały, przejrzysty, bezstronny i obiektywny, przed

napisaniem raportu należy spotkać się z kierownictwem jednostki w celu

omówienia ustaleń I rekomendacji, itp;

6. raport końcowy – jednostka audytowana jest zobowiązana do przedstawienia

swoich komentarzy w formie pisemnej w określonym terminie. W celu uniknięcia

komplikacji

w liście przewodnim dołączonym do raportu wstępnego należy zaznaczyć, że

brak odpowiedzi w podanym terminie oznacza zgodę kierownictwa jednostki ze

wszystkimi ustaleniami raportu i spowoduje jego zatwierdzenie.

O tym, kto jest adresatem raportów decyduje Dyrektor Zespołu Audytu

Wewnętrznego, jeżeli raport opisuje działania kilku komórek organizacyjnych

możliwe jest podzielenie go na kilka fragmentów. Adresatem raportu jest zwykle

przełożony jednostki, w której przeprowadza się audyt.

Po analizie odpowiedzi i uwag jednostki, audytor powinien upewnić się, że

istnieją odpowiednie mechanizmy zapewniające, że przyjęte rekomendacje zostaną

wdrożone we właściwym czasie. Najważniejsze jest bowiem wskazanie w raporcie

terminu wykonania rekomendacji. Kontrola wykonania rekomendacji powinna zostać

skoncentrowana na ustaleniu, czy podjęto odpowiednie działania, eliminujące

uprzednio zidentyfikowane nieprawidłowości. Prace audytowe i wynikające z nich

wnioski powinny zostać w pełni udokumentowane i zweryfikowane przez

koordynatora zadania audytowego.

16

background image

2. CHARAKTERYSTYKA WYBRANYCH RODZAJÓW AUDYTU

2.1. AUDYT INFORMATYCZNY

W każdej firmie wykorzystującej komputery do codziennej pracy, mogą

pojawić się problemy z ich funkcjonowaniem. Przyczyny powstania takich sytuacji

mogą być różne, np. niewłaściwa obsługa, źle dobrany sprzęt, oprogramowanie lub

wiek urządzeń. Sytuacje takie przynoszą negatywne skutki dla firmy, bowiem zwykle

zdarzają się w nieodpowiednim momencie lub dotyczą krytycznego punktu

infrastruktury informatycznej. Wiele z tych sytuacji można jednak przewidzieć i im

zapobiec, przeprowadzając audyt informatyczny. Audyt ten obejmuje następujące

zagadnienia:

21

- identyfikacja najczęstszych problemów – dzięki audytowi można zidentyfikować

najczęściej pojawiające się problemu na poszczególnych stanowiskach

komputerowych i w sieci lokalnej, dzięki czemu w przyszłości można zapobiegać

wielu krytycznym sytuacjom lub unikać powtarzających się błędów. Na tej

podstawie można także określić zapotrzebowanie firmy na obsługę

informatyczną.

- zebranie i uporządkowanie informacji na temat posiadanych zasobów

sprzętowych – opracowanie dokumentacji i raportu z dokładnego przeglądu

wszystkich stanowisk i punktów sieci, pozwoli na dokładną inwentaryzację

posiadanych zasobów, a co za tym idzie będzie można zoptymalizować ich

wykorzystanie oraz zarządzać nimi. Działanie to umożliwi zaplanowanie

harmonogramu inwestycji lub modernizacji i konserwacji bazy sprzętowej.

- przegląd oprogramowania – weryfikacja poprawności instalacji oprogramowania

oraz jego legalności, zmniejszy awaryjność i usprawni pracę stanowisk, pozwoli

ustrzec się przed łamaniem prawa, a co za tym idzie przykrymi konsekwencjami

karnymi. Dzięki temu działaniu będzie można określić jedne spójne rozwiązanie

w zakresie wykorzystania oprogramowania.

- określenie rodzaju/modernizacji infrastruktury – przeprowadzony audyt pozwoli

oszacować potrzeby organizacji w zakresie informatyki. Wnioski po wykonanych

analizach dostarczą informacji na temat konieczności konserwacji

poszczególnych elementów infrastruktury, ich modernizacji czy wprowadzenia

21

www.infovide.pl

17

background image

nowych rozwiązań. Raporty z audytu ułatwią opracowanie szczegółowych

procedur oraz polityki informatycznej firmy.

- zwiększenie efektywności pracy – po wnikliwej analizie, opracowywane są

odpowiednie rozwiązania. Wskazuje się na obszary, gdzie jest możliwe ich

zastosowanie lub gdzie dostępne zasoby mogą być wykorzystane

w efektywniejszy sposób.

W audycie informatycznym występują cztery zasadnicze fazy: planowanie,

ocena mechanizmów kontrolnych, testowanie i raportowanie. Według Jerzego

Korytowskiego, Przewodniczącego Zarządu Stowarzyszenia ds. Audytu i Kontroli

Systemów Informatycznych, proces audytowy powinien przebiegać w sposób

następujący:

22

- szacowanie ryzyka i wstępne planowanie audytu,

- zapoznanie się z audytowanym obszarem (zrozumienie natury procesów i ryzyk

poprzez wywiady i pozyskanie odpowiednich dokumentów),

- szczegółowe planowanie audytu,

- przeprowadzenie szczegółowych prac audytowych w tym: zapoznanie się

z procesem (poznanie jakie mechanizmy kontrolne zaplanowano), wywiady

i pozyskiwanie dokumentów),

- ocena zaplanowanych, przewidzianych mechanizmów kontrolnych pod kątem ich

adekwatności (wystarczalności i siły) w stosunku do potrzeb,

- ocena zgodności zastanej praktyki z planami i przewidywaniami (czy

mechanizmy są stosowane i jak działają),

- testowanie dowodowe,

- przygotowanie i zakomunikowanie raportu.

W ramach audytu informatycznego wyróżnić można następujące części:

- audyt legalności oprogramowania,

- audyt sprzętu,

- audyt zabezpieczeń.

22

www.frso.pl

18

background image

2.1.1. AUDYT LEGALNOŚCI OPROGRAMOWANIA

Konieczność optymalizowania kosztów w firmach i wzrost liczby przestępstw

komputerowych sprawiają, że jednym z istotnych działań w zarządzaniu staje się

sprawne zarządzanie jej zasobami informatycznymi i sposobem ich wykorzystania

przez pracowników. Audyt oprogramowania obejmuje całość oprogramowania

używanego w firmie. W wyniku audytu powstaje raport przedstawiający stan

oprogramowania I jego licencjonowania. Audyt oprogramowania realizowany jest

zazwyczaj w kilku fazach, a uzyskane w ich trakcie informacje są podstawą

sporządzania raportu audytowego. Fazy te są następujące:

23

- faza I – zebranie podstawowych informacji o zasobach informatycznych w firmie,

a w szczególności: ilość, rodzaj i rozmieszczenie serwerów i stacji roboczych,

oprogramowanie sieciowe i systemy operacyjne, istnienie procedur dotyczących

zarządzania oprogramowaniem (organizacja zakupu oprogramowania, reguły

dotyczące instalacji, użytkowania i deinstalacji oprogramowania), polityka

zarządzania licencjami w firmie;

- faza II a – fizyczne skanowanie serwerów i stacji roboczych (skanowanie jest

przeprowadzane przy pomocy specjalistycznego oprogramowania i umożliwia

zinwentaryzowanie oprogramowania);

- faza II b – weryfikacja licencji na oprogramowanie;

- faza III – analiza danych i sporządzenie raportu audytowego – następuje

porównanie liczby posiadanych licencji z liczbą instalacji poszczególnych

rodzajów oprogramowania. Poza tym porównaniem raport audytowy zawiera

informacje odnośnie miejsca instalacji poszczególnych programów.

W ciągu ostatnich miesięcy zauważyć można istotny wzrost

zainteresowania sprawą legalności oprogramowania komputerowego, o czym może

świadczyć duża liczba publikacji prasowych, relacje radiowe i telewizyjne oraz

ogromna liczba pytań adresowanych do producentów oprogramowania. Największa

liczba pytań dotyczy weryfikacji legalności oprogramowania. O ile w przypadku firm

posiadających niewielkie ilości komputerów takie zadanie nie jest skomplikowane,

o tyle firmy używające sieci komputerowe i kilkadziesiąt lub więcej komputerów,

często w różnych miejscach I budynkach, stają przed problemem, któremu trudno

sprostać. W celu usprawnienia przeprowadzanego audytu, można przeprowadzić

23

www.ckzeto.com.pl

19

background image

proces inwentaryzacji komputerów. Inwentaryzacja taka powinna być jak

najdokładniejsza i odpowiadać na pytania dotyczące sprzętowej konfiguracji PC.

Kolejnymi celami audytu, bezpośrednio wiążącymi się z inwentaryzacją sprzętu,

może być oznaczenie wszystkich komputerów unikalnymi numerami

identyfikacyjnymi, a także oczyszczenie listy środków trwałych komputerów, które nie

są już w rzeczywistości wykorzystywane.

Z audytem wiążą się także inne cele, np. wprowadzenie nowych procedur

dotyczących nazewnictwa i przechowywania poufnych dokumentów w formie

elektronicznej, wprowadzenie nowych przepisów w umowach o pracę, które

sprecyzują zasady wykorzystania komunikatorów i oprogramowania, czy też

opracowanie i wdrożenie procedur regulujących zasady zakupu nowego

oprogramowania w firmie. Prawidłowo przeprowadzony audyt gwarantuje:

24

- pełne, odpowiednio uporządkowanie i zarchiwizowane informacje o posiadanych

zasobach sprzętowych i oprogramowania,

- przeniesienie odpowiedzialności karnej na osoby bezpośrednio odpowiedzialne

za określone stanowiska komputerowe,

- monitoring czynności wykonywanych przez pracowników na poszczególnych

stacjach komputerowych,

- wytyczenie procedur zakupu i archiwizowania oprogramowania mających wpływ

na porządek i efektywność pracy,

- poczucie bezpieczeństwa związanego z kontrolą uprawnionych organów

dotyczących legalności oprogramowania i konsekwencjami w postaci konfiskaty

sprzętu i wysokich kar w przypadku wykrycia nieprawidłowości,

- poczucie bezpieczeństwa związanego z ochroną komputerów przed potencjalnie

niebezpiecznymi aplikacjami powodującymi niekontrolowany wypływ poufnych

informacji lub będących źródłem w nieoczekiwanym momencie awarii

wpływających na przerwy w pracy,

- poczucie porządku wpływającego pozytywnie na efektywność pracy oraz

stwarzającego dobre podstawy pod procedury wdrożenia certyfikatu jakości.

Istotą audytu legalności oprogramowania jest skonfrontowanie liczby

i typu licencji z informacjami zebranymi w trakcie audytu. W rezultacie otrzymuje się

odpowiedź na pytania: na które aplikacje firma posiada zbyt mała liczbę licencji, na

które w ogóle ich nie posiada i w ilu przypadkach posada więcej licencji niż

zainstalowanych w sieci aplikacji. Z tych powodów istotnymi elementami są:

24

www.promedia.iap.pl

20

background image

- kontrola sieci – zarząd oraz dział informatyki powinny sprawować pełną kontrolę

nad danymi w firmowej sieci komputerowej,

- inwentaryzacja oprogramowania – ryzyko używania nielegalnego

oprogramowania jest tym większe, im mniejsza wiedza o zasobach

zgromadzonych w komputerach,

- weryfikacja legalności oprogramowania,

- porozumienie z pracownikami – warto zapoznać pracowników z zasadami

użytkowania oprogramowania oraz podpisać porozumienie określające

odpowiedzialność osób zatrudnionych w zakresie przestrzegania autorytetu,

- odpowiedzialność za oprogramowanie.

Bogactwo i duża dostępność nielegalnego oprogramowania powoduje, iż

nawet w firmach, które szczególnie dbają o prowadzenie działalności w zgodzie

z obowiązującym prawem, zjawisko instalowania pirackich kopii programów przez

pracowników jest powszechne. Aby zautomatyzować proces zarządzania zasobami

programowymi w firmie, w tym sprawdzania zgodności oprogramowania

z posiadanymi przez firmę licencjami, powstały programy audytujące. Pozwalają one

również optymalizować wykorzystywanie poszczególnych aplikacji i eliminować

aplikacje niepożądane w firmie. Do najczęściej stosowanych programów należą:

- uplook – daje on możliwość audytu oprogramowania, sprawdzania zgodności

programów z licencjami, zarządzania oprogramowaniem w firmie. Dzięki temu

programowi proces audytu oprogramowania na poszczególnych firmowych

komputerach przestaje być czasochłonny i nie powoduje przestoju w pracy na

poszczególnych stanowiskach.

25

Program ten posiada także dwa dodatkowe

moduły:

a) Statlook – moduł ten służy do monitorowania pracy na komputerach przez

pracowników firmy;

b) Weblook – moduł ten służy do monitorowania odwiedzanych stron

internetowych.

- program „Legalna Firma” – dzięki temu programowi możliwe jest wdrożenie

procedur zarządzania licencjami i oprogramowaniem, ograniczenie

odpowiedzialności kierownictwa w sytuacji wykrycia nieprawidłowości, tworzenie

aktualnych raportów w przypadku planów migracyjnych, wyszukiwanie kopii

poufnych dokumentów, śledzenie zmian w konfiguracji sprzętowej komputerów

firmowych, stała kontrola nad oprogramowaniem zainstalowanym na

25

www.cezar.waw.pl

21

background image

komputerach firmowych, weryfikacja i możliwość stałej aktualizacji bazy środków

trwałych sprzętu komputerowego.

26

- GASP – oprogramowanie przeznaczone do przeprowadzania audytu

oprogramowania i sprzętu w instalacjach obejmujących od kilkunastu do kilkuset

tysięcy komputerów. Program ten występuje w trzech wersjach:

27

a) GASP Suite – oprogramowanie przeznaczone do przeprowadzania audytu

oprogramowania i sprzętu w firmach, w których sieć informatyczną tworzy do

kilkuset komputerów. Umożliwia ono wykonanie audytu manualne lub za

pośrednictwem skryptów podczas logowania użytkownika do sieci.

b) GASP Plus Suite – oprogramowanie przeznaczone do przeprowadzania

audytu oprogramowania i sprzętu w firmach, w których sieć informatyczną

tworzy do 1000 komputerów. Umożliwia ono centralne zarządzanie

skanowaniem komputerów i okresowe uruchamianie procedury audytowej za

pośrednictwem określonego oprogramowania.

c)

GASP Enterprise Suite – oprogramowanie przeznaczone do

przeprowadzania audytu oprogramowania i sprzętu w firmach, w których sieć

informatyczną tworzy nawet 100 tysięcy komputerów. Dzięki gromadzeniu

informacji w bazie SQL umożliwia równoczesną analizę danych przez wielu

operatorów.

W obliczu prawa polskiego audyt legalności oprogramowania jest jedynie

narzędziem weryfikującym zgodność posiadanego oprogramowania z zakupionymi

licencjami. W Polsce nie ma obowiązku przeprowadzenia audytu legalności

oprogramowania, zależy to wyłącznie od potrzeby i dobrej woli właściciela lub

dyrektora firmy. Nie wolno jednak zapominać o tym, iż konsekwencje wynikające

z posiadania nielegalnych programów są bardzo poważne, m.in. są to kwestie

finansowe, odpowiedzialność cywilna i karna za naruszenie praw autorskich, utrata

wiarygodności firmy i jej zarządu, zagrożenie utraty informacji i danych, zwiększenie

ryzyka nieautoryzowanego dostępu do zasobów firmy, brak dostępu do pomocy

technicznej i aktualizowanych wersji programów itp.

26

www.dcs.pl

27

www.audytoprogramowania.pl

22

background image

2.1.2. AUDYT SPRZĘTU

Każda firma okresowo przeprowadza inwentaryzację posiadanych zasobów.

Inwentaryzacja ma na celu dostarczenie informacji nie tylko o tym, że w firmie

występują komputery, ale także powinna odpowiedzieć na następujące pytania:

28

- jaka jest przeciętna konfiguracja komputerów w całej firmie lub w poszczególnych

jego komórkach organizacyjnych?

- które z komputerów w znacznym stopniu odbiegają od tych przeciętnych?

- czy konfiguracja komputerów pokrywa się s ich konfiguracją w chwili zakupu lub

ostatnimi odnotowanymi modyfikacjami?

- jaka jest konfiguracja poszczególnych stacji roboczych i serwerów?

Na podstawie tych informacji można stwierdzić, czy posiadane komputery

mają parametry odpowiednie do zmiany na nową platformę systemową lub

wdrożenia nowych aplikacji, czy na stacjach roboczych pozostają w niezmienionym

stanie takie komponenty jak: dyski twarde, procesory, karty rozszerzeń czy też inne

części składowe.

Audyt sprzętu komputerowego polega na uruchomieniu na każdym

komputerze znajdującym się w firmie odpowiedniej aplikacji inwentaryzacyjnej, która

dokładnie identyfikuje konfigurację komputera. Wyniki audyt są umieszczane w

centralnej bazie danych, która służy do opracowywania wszelkich wymaganych

raportów. W przypadku starszych komputerów w wielu przypadkach system może

stwierdzić, że przesyłane do centrali informacje mogą być obarczone pewnym

stopniem niepewności – w takiej sytuacji należy fizycznie sprawdzić zasoby

sprzętowe.

Wyniki audytu mogą być wykorzystane przez:

29

- działy finansowe i administracyjne – do weryfikacji informacji inwentaryzacyjnych,

- kadrę menedżerską – dzięki elektronicznej formie umożliwia szybkie i łatwe

generowanie dowolnych zestawień i raportów,

- administratorów systemów – do śledzenia zmian w konfiguracji sprzętowej

komputerów, co ułatwi wystawienie diagnozy w przypadku ewentualnych

problemów i przywrócenie stanowiska do normalnej pracy.

28

www.edusoft.pl

23

background image

2.1.3. AUDYT ZABEZPIECZEŃ

Audyt bezpieczeństwa jest podstawą Polityki Bezpieczeństwa Informacji.

Pozwala on kontrolować, wzbogacać i doskonalić zasady ochrony informacji. Nie

wolno zapominać, iż bezpieczeństwo nie jest czymś stałym, ciągle pojawiają się

nowe zagrożenia, zwłaszcza dla informacji przetwarzanych w systemach

informatycznych. Z tego powodu konieczna jest stała lub okresowa weryfikacja

założeń przyjętej w firmie Polityki Bezpieczeństwa Informacji.

Istotnym elementem jest ponadto identyfikacja zagrożeń i analiza ryzyka

przetwarzanych informacji, jest ona bowiem wymogiem prawnym, gdyż obowiązek jej

przeprowadzenia nakładają zarówno Ustawa o ochronie danych osobowych oraz

Ustawa o ochronie informacji niejawnych. Rozporządzenie Ministra Spraw

Wewnętrznych i Administracji z dnia 3 czerwca 1998 roku w sprawie określenia

podstawowych warunków technicznych i organizacyjnych, jakim powinny

odpowiadać urządzenia i systemy informatyczne nakłada na Administratora danych

osobowych następujące wymogi, które są elementami audytu bezpieczeństwa

systemu informatycznego:

30

- zidentyfikowanie i przeanalizowanie zagrożeń i ryzyka, na które może być

narażone przetwarzanie danych osobowych,

- określenie potrzeb w zakresie zabezpieczenia zbiorów danych osobowych

i systemów informatycznych, z uwzględnieniem potrzeby kryptograficznej

ochrony danych osobowych, w szczególności podczas ich przesyłania za

pomocą urządzeń teletransmisji danych,

- określenie zabezpieczeń adekwatnych do zagrożeń i ryzyka,

- monitorowanie działania zabezpieczeń wdrożonych w celu ochrony danych

osobowych i ich przetwarzania.

Z wyżej wymienionych przepisów wynika wniosek, iż audyt bezpieczeństwa systemu

informatycznego jest obowiązkiem przy formułowaniu, modyfikowaniu

i doskonaleniu szczególnych wymagań bezpieczeństwa dla systemu

informatycznego przetwarzającego informacje niejawne. Identyfikacja zagrożeń

i ryzyka składa się zwykle z kilku etapów:

31

- rozpoznanie problemu przetwarzania danych osobowych lub informacji

niejawnych w firmie,

29

www.edusoft.pl

30

www.ensi.net.pl

31

jw.

24

background image

- rozpoznanie zbiorów danych osobowych lub grup informacji niejawnych

przetwarzanych w firmie,

- rozpoznanie systemów przetwarzających dane osobowe lub informacje

niejawne,

- ocenę zastosowanych systemów zabezpieczeń,

- testy penetracyjne systemów przetwarzających dane osobowe lub informacje

niejawne,

- identyfikację zagrożeń i oszacowanie ryzyka przetwarzania zbiorów danych

osobowych lub informacji niejawnych.

Testy penetracyjne systemów informatycznych polegają na przeprowadzaniu

symulacji ataków na systemy informatyczne przy użyciu znanych i powszechnie

stosowanych metod włamań. Celem jest sprawdzenie możliwości

nieautoryzowanego dostępu do danych w systemie, destabilizacji systemu oraz

przejęcia nad nim kontroli. Tego rodzaju testy są koniecznością jeżeli firma chce

mieć rzetelną analizę zagrożeń, a jej system jest podłączony do Internetu. Już sam

fakt podłączenia do Internetu powinien zwrócić uwagę na potencjalne

niebezpieczeństwo penetracji systemów firmy, m.in. zbiorów danych osobowych,

informacji niejawnych przez nieznane osoby z zewnątrz. Większość firm stara się

zabezpieczyć przed atakami z zewnątrz stosując systemy kontroli dostępu firewall.

Jednak niebezpieczeństwo tkwi także wewnątrz firmy – według statystyk ok. 75 %

incydentów związanych z bezpieczeństwem ma miejsce wewnątrz firmy. Niestety

wiele firm zabezpiecza jedynie dostęp z zewnątrz i zapomina o bezpieczeństwie

wewnętrznym. Z problemem tym wiąże się drugi element testu penetracyjnego,

którym jest sprawdzenie możliwości dostępu do informacji z wnętrza sieci, ze

stanowiska użytkownika (możliwość zwiększania uprawnień, podszywanie się pod

innych użytkowników, podsłuchiwanie informacji przesyłanych przez sieć, możliwości

sabotażu itp.). W załączniku nr 1 zaprezentowany został przykładowy program

przeprowadzania testów penetracyjnych opracowany przez firmę EXE Group.

Podstawowym zadaniem wewnętrznego audytu informatycznego jest

zidentyfikowanie i zinwentaryzowanie „najsłabszych” elementów sieci

komputerowych w firmie. Audytowi poddawane są urządzenia i zasoby sieciowe całej

firmy pod kątem określenia ich aktualnego poziomu zabezpieczeń oraz

zidentyfikowania obszarów sieci komputerowych dla właściwego i bezpiecznego

funkcjonowania sieci komputerowej, które jako najsłabsze ogniwa mogą stać się

przyczyną nieautoryzowanego pozyskiwania informacji. W wyniku audytu zostanie

dostarczone kierownictwu firmy szczegółowe opracowanie, ukazujące wykryte

25

background image

nieprawidłowości w funkcjonowaniu całego systemu informatycznego oraz poziom

wykrytych zagrożeń w świetle aspektów bezpieczeństwa firmy. Ponadto zostaną

zaproponowane działania, które należy podjąć w celu dobezpieczenia infrastruktury

sieciowej i sprzętowej. Zakres audytu obejmuje następujące elementy:

32

- analiza architektury sieci i możliwych dróg do systemów;

- testy istniejących zabezpieczeń sprzętowych;

- sprawdzenie bezpieczeństwa systemów backup’u;

- ochrona współdzielonych zasobów systemowych;

- sprawdzenie skuteczności działania systemów antywirusowych;

- uwierzytelnianie i autoryzacja haseł użytkowników;

- kontrola dostępu przed dostępem użytkowników nieuprawnionych;

- analiza zabezpieczeń programowych;

- skanowanie systemu w celu oceny jego szczelności;

- testy bezpieczeństwa serwera WWW;

- testy systemu obsługi poczty;

- testy pozostałych dostępnych usług;

- identyfikacja i analiza zagrożeń.

Reasumując praca osób odpowiedzialnych za bezpieczeństwo systemu

informatycznego sprowadza w praktyce do takich czynności, jak:

- zabezpieczenie – oprócz specjalistycznej wiedzy na temat bezpieczeństwa,

wymaga doskonałej znajomości systemu operacyjnego i pracujących na nim

aplikacji oraz infrastruktury systemu informatycznego. Polega głównie na

odpowiedniej zgodnej z polityką bezpieczeństwa i standardami, konfiguracji

urządzeń sieciowych, systemów operacyjnych i aplikacji. Istnieją programy

umożliwiające automatyczną lub prawie automatyczną konfigurację

i zabezpieczenie serwerów i stacji roboczych, np. Security Configuration

Manager;

- monitorowanie – w małej sieci przeważnie ogranicza się to zadanie do

regularnego czytania logów systemowych, aplikacji, routerów I firewall’i. Większe

sieci najczęściej zabezpieczone są firewall’em na styku LAN z Internetem, zwykle

posiadają dobre programy antywirusowe;

- sprawdzenie (testowanie) – weryfikacja poprawności zabezpieczeń,

przeprowadzana w odniesieniu do zasad zdefiniowanych w polityce

bezpieczeństwa i do obowiązujących standardów. Dostępnych jest wiele

32

www.safecomp.com

26

background image

programów, zarówno darmowych jak i komercyjnych, do sprawdzania stanu

zabezpieczeń, począwszy od poleceń systemowych uruchamianych z linii

komend, poprzez proste programy lub skrypty, aż do skomplikowanych,

wielofunkcyjnych programów sprawdzających system operacyjny i aplikacje;

- poprawienie zabezpieczeń – polega na dokonaniu zmian w konfiguracji lub

zainstalowaniu odpowiednich poprawek dostarczonych przez producenta.

Niezwykle istotnym warunkiem jest dokumentowanie wszelkich zmian w systemie

i przechowywanie listy kontrolnej wypełnionej podczas konfigurowania systemu.


Zabezpieczanie

Zarządzanie

Polityka

Bezpieczeństwa




Zarządzanie

Monitorowanie

Rys. 2

Cykl utrzymania bezpieczeństwa

Źródło: www.it-scs.com.pl

Po zakończeniu audytu przestawiany jest szczegółowy raport końcowy, który

zawiera następujące punkty:

33

- opis, zakres i cel przeprowadzonych analiz,

- listę zaobserwowanych nieprawidłowości w budowie sieci komputerowej,

- listę zaobserwowanych nieprawidłowości w funkcjonowaniu sieci

komputerowych,

27

33

www.safecomp.com

background image

- wykaz wykrytych nieprawidłowości.

- opis zagrożeń i ich konsekwencje dla bezpieczeństwa sieci,

- propozycje zaleceń pozwalających na usunięcie wykrytych nieprawidłowości,

- zalecenia dotyczące procedur Bezpieczeństwa Informatycznego w firmie.

2.2. AUDYT FINANSOWY

Głównym celem audytu finansowego jest zyskanie pewności, iż sprawozdania

finansowe są poprawne i kompletne. Zakres audytu finansowego jest określony

w ustawie.

Audytor wewnętrzny powinien znać zasady sporządzania sprawozdań

finansowych oraz obowiązujące w tym zakresie przepisy. Ponadto powinien on

dysponować wiedzą z dziedziny księgowości, a zwłaszcza znać standardy, które

określają jak należy zarejestrować w sprawozdaniach finansowych skutki transakcji

i wydarzeń. Zadaniem audytora jest ustalenie, czy stosowane przez organizację

zasady księgowe stanowią część spójnego, uznanego zestawu standardów,

przystosowanego do działalności danej instytucji. Ponadto, musi stwierdzić, czy

obejmują one wszystkie ważne aspekty działalności oraz czy są stosowane zasady

polityki księgowej takie, jak: ciągłość, niezmienność, ostrożność, przewaga treści nad

formą, istotność.

Głównym celem sprawozdań finansowych każdej firmy jest dostarczenie

odbiorcom informacji na temat sytuacji finansowej oraz wykonania zadać. Do innych

celów, które realizują sprawozdania finansowe można zaliczyć:

34

- dostarczenie odbiorcom potrzebnych informacji, gdyż zdefiniowanie potrzeb

odbiorców stanowi punkt wyjścia do opracowania sprawozdań finansowych;

- poinformowanie odbiorców, czy budżet i operacje przeprowadzone w trakcie roku

obrotowego były realizowane zgodnie z wymaganiami prawa. Same

sprawozdania finansowe nie udzielają takiej informacji – powinna ona być

zawarta w raporcie sporządzanym przez audyt wewnętrzny;

- pomoc odbiorcom w zrozumieniu charakteru, wielkości i zakresu działań firmy

oraz jej sytuacji finansowej;

- pomoc odbiorcom w lepszym zrozumieniu i prognozowaniu, w jaki sposób firma

finansuje swoją działalność;

34

K. Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005

28

background image

- pomoc odbiorcom w zrozumieniu i prognozowaniu wyników działalności

organizacji;

- pomoc odbiorcom sprawozdań w ustaleniu, czy organizacja osiąga swe cele

i określeniu kosztów działalności, informowanie o ilościowych aspektach realizacji

budżetu.

Sprawozdania finansowe powinny posiadać cechy, które czynią

przedstawione przez nie informacje przydatnymi dla odbiorców. Cechy te są

następujące:

- zrozumiałe,

- istotne,

- wiarygodne,

- ważne,

- terminowe,

- konsekwentne,

- porównywalne.

Celem audytu sprawozdań finansowych jest sformułowanie opinii, audytor

powinien ocenić dokładność i zgodność wszystkich informacji, które są w nich

zawarte. Błąd lub niezgodność jest istotne w sytuacji, kiedy istnieje duże

prawdopodobieństwo, że będą miały wpływ na osoby, które są użytkownikami

sprawozdań finansowych. Audytor ponadto powinien zwracać szczególną uwagę na

sytuacje, w których błędy lub niezgodności zostały spowodowane w sposób celowy

przez kierownictwo jednostki. Kolejną rzeczą, która należy do zadań audytora jest

podjęcie decyzji, jaki jest maksymalny poziom tolerancji w sytuacji, w której

występują błędy w sprawozdaniach, lecz są one akceptowalne. Taka liczba błędów

nazywana jest progiem istotności. Im wyższy jest próg istotności, tym mniejszą liczbę

testów rzeczywistych należy przeprowadzić. Próg istotności określa się w dwojaki

sposób:

35

- bezpośrednio przez ustalenie maksymalnej kwoty;

- pośrednio – czyli procentowo, np. % wydatków brutto.

Próg istotności pełni istotną rolę w ocenie wagi wpływu, jaki mają odkryte

w czasie audytu błędy, przez szacowanie prawdopodobnego ogólnego błędu

występującego w sprawozdaniach finansowych i porównywanie go z progiem

35

K. Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 r.

29

background image

istotności. Opinie te powinny być oparte na dokumentach roboczych. Proces audytu

finansowego przebiega w następujący sposób:

36

1. identyfikacja oraz ocena istotnych elementów systemu kontroli wewnętrznej oraz

oszacowanie zakresu w jakim audytor może na nich polegać, pod warunkiem, że

zostanie ustalona ich skuteczność (testy przeglądowe);

2. sprawdzenie działania tych elementów systemu kontroli wewnętrznej w celu

ustalenia, czy przez cały badany okres działały one skutecznie (testy zgodności);

3. ocena wyników badań funkcjonowania systemu kontroli wewnętrznej w celu

ustalenia, czy można przyjąć zakładany stopień wiarygodności na podstawie

przebadania tego systemu;

4. przeprowadzenie testów rzeczywistych. Jeśli audytor może ograniczyć się do

oceny systemów kontroli wewnętrznej, wówczas można zredukować liczbę

testów rzeczywistych.

Obiektami audytu finansowego są:

37

- kontrola środków pieniężnych,

- kontrola rozrachunków i roszczeń,

- windykacja należności,

- kontrola zapasów,

- aktywa trwałe,

- kontrola zatrudnienia i wynagrodzeń,

- kontrola kosztów,

- kontrola przychodów,

- kontrola inwestycji,

- kontrola funduszy specjalnych i kapitałów zasadniczych,

- inwentaryzacja,

- finansowe systemy informatyczne.

Badanie sprawozdania finansowego zazwyczaj składa się z dwóch etapów,

które nie muszą być wyraźnie rozdzielone:

38

I etap – prace wstępne – ich celem jest: zbadanie systemu ewidencji badanej

jednostki, sposobu rejestracji operacji gospodarczych, systemu kontroli wewnętrznej

i rzetelności ksiąg rachunkowych oraz analizę planu kont, sprawdzenie

36

. K. Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 r.

37

jw.

38

jw.

30

background image

prawidłowości stosow anych procedur dotyczących sposobu ustalania i ewidencji

podatku od towarów i usług, kontrolę prawnych podstaw działalności;

II etap – prace zasadnicze – składają się na nie następujące czynności:

sprawdzenie prawidłowości wyceny aktywów i pasywów na dzień bilansowy oraz

ustalenia wyniku finansowego za rok obrotowy, badanie sprawozdań finansowych

z uwzględnieniem kryterium realności i kompletności zawartych w nich informacji,

badanie prawidłowości i sporządzenia informacji dodatkowej, badanie sprawozdania

z działalności jednostki za dany okres obrachunkowy, sporządzonego przez Zarząd

badanego poziomu pod kątem zgodności ze sprawozdaniem finansowym oraz

wymogami prawa (dotyczy organizacji prowadzących działalność gospodarczą).

Rezultatami przeprowadzenia badania są;

- opinia o prawidłowości i rzetelności sprawozdania finansowego;

- raport z badania sporządzony w formie określonej normą nr 2 krajowej Rady

Biegłych Rewidentów.

Zgodnie z nowelizacją ustawy o rachunkowości w opinii powinna być

Zawarta ocena prawidłowości i rzetelności sprawozdania finansowego, jasności

przedstawienia sytuacji finansowej i majątkowej jednostki oraz osiągniętego wyniku

finansowego. Ponadto wg art. 65 ust. 2 ustawy w opinii powinny być zawarte także

informacje o tym, czy badane sprawozdanie zostało sporządzone na podstawie

prawidłowo prowadzonych ksiąg rachunkowych, przygotowano je zgodnie

z określonymi w ustawie zasadami rachunkowości, jest zgodne co do formy i treści

z obowiązującymi przepisami prawa, statutem lub umową, jak również zawiera

rzetelnie przygotowane wszystkie informacje istotne dla oceny jednostki.

Istnieje kilka rodzajów opinii, np.:

- opinia bez zastrzeżeń;

- opinia bez zastrzeżeń z dodatkowymi objaśnieniami;

- opinia z zastrzeżeniami;

- opinia negatywna.

W załączniku nr 2 przedstawiono przykłady różnych opinii wystawionych przez

audytora.

Raport, zgodnie z ustaleniami art. 65 ust. 4 ustawy o rachunkowości,

powinien zawierać zwięzłe informacje o badanej jednostce oraz przedstawiać istotne

wyniki szczegółowego badania, stanowiące uzasadnienie wyrażonej opinii,

31

background image

względnie odmowy wyrażenia opinii. Raport może zostać podzielony na następujące

działy:

39

- część ogólna – obejmuje ona m.in.:





tytuł (raport z badania sprawozdania finansowego);

dane identyfikujące badaną jednostkę;

dane identyfikujące zbadane sprawozdanie finansowe;

powołanie się na umowę zawartą z jednostką przez podmiot uprawniony do

badania;

stwierdzenie, że badana jednostka udostępniła żądane dane i informacje;

informacje o zatwierdzeniu bilansu zamknięcia za rok poprzedzający rok

badany i wprowadzeniu go do ksiąg jako bilansu otwarcia;

informacje o sposobie podziału zysku (pokrycia straty), a także złożeniu

sprawozdania finansowego we właściwym sądzie lub innym organie

prowadzącym rejestr lub ewidencję działalności gospodarczej oraz

ogłoszeniu go w sposób przewidziany przepisami;

- analiza sytuacji jednostki – w jej skład wchodzi:

informacje o kształtowaniu się najważniejszych wskaźników (takich jak wynik,

wskaźniki rentowności, finansowania działalności, płynności, sprawności) oraz o

sytuacji majątkowej i finansowej, w tym o wypłacalności w badanym roku (w

porównaniu do dwóch lub więcej lat poprzedzających);

wskazanie ewentualnych zagrożeń dla możliwości kontynuowania przez

jednostkę działalności w roku następnym;

- część szczegółowa raportu – w tej część nacisk położony jest na prawidłowość

ksiąg rachunkowych, a zwłaszcza na:

posiadanie przez jednostkę dokumentacji opisującej przyjęte zasady

rachunkowości;

kompletność i przejrzystość dokumentowania operacji gospodarczych oraz

ich poprawne zakwalifikowanie do ujęcia w księgach rachunkowych;

prawidłowość otwarcia ksiąg rachunkowych oraz kompletność i poprawność

dokonanych zapisów i ich powiązanie z dokumentami oraz sprawozdaniem

finansowym;

spełnienie warunków, jakim powinny odpowiadać księgi rachunkowe (w tym

także całkowicie lub częściowo prowadzone przy pomocy komputera);

39

www.audyt.ngo.pl

32

background image

właściwe przechowywanie ksiąg rachunkowych, działanie systemu kontroli

wewnętrznej w powiązaniu z systemem księgowości, zwłaszcza na procedury

kontroli wewnętrznej i sposób ich stosowania.

2.3. AUDYT OPERACYJNY

Audyt operacyjny obejmuje badanie wydajności i skuteczności systemów

i jednostek organizacyjnych, ocenę efektywności zarządzania, czyli ocenę sposobu,

w jaki kierownictwo jednostki planuje swoje działania, a następnie kontroluje

realizację planów. Celem audytu jest ocenienie oszczędności i wydajności. Pojęcie

wydajności odnosi się do osiągania przez jednostkę założonych wyników w relacji do

kosztów. Analiza wydajności to badanie relacji między kosztem projektu a wynikami.

Wydajność może obejmować także porównanie rzeczywistego czasu realizacji

zadania z jego harmonogramem. Z kolei ocena skuteczności obejmuje natomiast

ustalenie, czy osiągnięto planowane cele, oraz relacji pomiędzy zamierzonym

a faktycznym rezultatem. Oszczędność natomiast może odznaczać maksymalizację

czy optymalizację przychodów z badanej działalności. Celem analizy wydajności jest

ustalenie, czy korzyści odnoszone przez jednostkę, program lub przedsięwzięcie

przekraczają jego koszty. Analizę wydajności audytor przeprowadza porównując

koszty I rezultaty, gdy można je wyliczyć lub oszacować. Powinien on uwzględniać

nie tylko dane finansowe, ale także niematerialne koszty i korzyści, np. koszty

społeczne, koszty związane ze środowiskiem mailowym.

Koncepcja wydajności ma zastosowanie we wszystkich procesach, nawet

takich, których rezultaty są niejednolite i przez to trudne do oceny. Planując audyt

wydajności należy wziąć pod uwagę wszystkie czynniki wpływające na relację

pomiędzy uzyskanymi rezultatami a nakładami poniesionymi na ich uzyskanie. Nie

zapominajmy, że wydajność jest pojęciem względnym. Mierzona jest ona przez

porównywanie osiągniętej produktywności z wyznaczoną normą. Ilość produkcji

i osiągnięta jakość jest porównana do przyjętych norm, aby określić do jakiego

stopnia można poprawić wydajność. Wydajność powiększa się w następujących

przypadkach:

40

- jest większa produkcja przy danym zużyciu zasobów,

- przy takiej samej produkcji nastąpiło ograniczenie zużycia zasobów,

- przy nie zmienionej wielkości produkcji i zużyciu zasobów poprawiła się jakość.

40

K. Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005

33

background image

Ponadto zwiększeniu wydajności służą następujące czynności:

41

- przeprowadzanie okresowych przeglądów w celu wyeliminowania pośrednich

i zbytecznych operacji, które nie przyczyniają się do uzyskiwania końcowych

produktów i usług;

- wykorzystanie analizy porównawczej do oceny wydajności;

- stosowanie zasad zarządzania projektami;

- ograniczanie kosztów kontroli, przyspieszanie lub usprawnianie procesu

podejmowania decyzji;

- modernizacja produktów i usług tak, aby lepiej zaspokajały potrzeby wewnętrzne

i zewnętrzne;

- zaprzestanie produkcji I usług, na które nie ma zapotrzebowania;

- ograniczanie kosztów przez zlecanie prac firmom zewnętrznym wtedy, kiedy jest

to uzasadnione;

- poprawa jakości produktów i usług bez powiększania kosztów;

- stosowanie nowoczesnych rozwiązań w zarządzaniu operacyjnym , np. TQM;

- zastosowanie nowych technologii;

- wykorzystywanie szkoleń w celu zwiększania wydajności, poprawa warunków

pracy, motywowanie pracowników.

Celem audytu wydajności są:

42

- sformułowanie rekomendacji umożliwiających dokonanie niezbędnych zmian

i poprawę wydajności;

- bezpośrednia lub pośrednia pomoc w zidentyfikowaniu możliwości dostarczania

więcej albo lepszych produktów i usług po takim samym koszcie lub taniej;

- wsparcie kierownictwa operacyjnego w wysiłkach zmierzających do poprawy

wydajności;

- podkreślenie znaczenia pomiaru wydajności i używanie uzyskanych informacji

dla lepszego zarządzania operacyjnego, w tym do przypisania odpowiedzialności

za wydajność;

- identyfikacja metod poprawy wydajności, nawet w operacjach, gdzie wydajność

jest trudna do zmierzenia;

- zademonstrowanie możliwości obniżania kosztów produkcji i usług bez

zmniejszana ilości i jakości produkcji albo poziomu usług;

41

K. Czerwiński „Audyt Wewnętrzny – wydanie II” InfoAudit Warszawa 2005 r.

42

jw.

34

background image

- wzrost lub poprawa jakości produkcji oraz usług bez powiększania wydatków;

- identyfikacja słabości w istniejących kontrolach i procesach w celu lepszego

użycia zasobów.

2.4. AUDYT WYNAGRODZEŃ

W obecnych czasach obszar wynagrodzeń jest jednym

z najpoważniejszych elementów kosztów operacyjnych firmy, z tego też względu

dogłębna analiza tych kosztów oraz umiejętność wykorzystania przepisów prawa

pracy i ubezpieczeń społecznych staje się niezbędną wiedzą do prawidłowego

funkcjonowania w przedsiębiorstwie. Ponadto system wynagrodzeń stosowany

w firmie jest jednym z elementów budowania trwałych i dobrych relacji między

pracodawcą a pracownikiem.

Audyt wynagrodzeń polega na precyzyjnym i wnikliwym odniesieniu

poziomów i zakresów wynagrodzeń do oferty uposażeń sektorów, które stanowią

bezpośrednią konkurencję na rynku pracy. Audyt wynagrodzeń pozwala na:

43

- racjonalizację budżetu wynagrodzeń;

- ocenę konkurencyjności oferty wynagrodzeń całej organizacji, poszczególnych

działów oraz pojedynczych stanowisk;

- weryfikację skuteczności wykorzystywanych elementów motywacyjnych z punktu

widzenia celów organizacji i potrzeb jej pracowników;

- ocenę efektywności budżetu wynagrodzeń firmy na tle rynkowych stawek płac.

Kierownictwo firmy, które chce przewartościować swoją politykę płacową lub

zweryfikować poprawność funkcjonującego systemu motywującego, może zwrócić

się do audytorów z prośbą o przeprowadzenie audytu wynagrodzeń. Audytorzy mogą

zasugerować następujące rodzaje programów:

44

1. Program pierwszy (model istniejący) – analiza istniejącego systemu

wynagrodzeń, której wynikiem jest raport diagnostyczny ze szczególnym

uwzględnieniem układu oraz wysokości kosztów wynagrodzeń wraz z propozycją

kierunku zmian;

2. Program drugi (model docelowy) – zaprojektowanie systemów wynagrodzeń,

zintegrowanych z pozostałymi elementami systemu motywacyjnego

43

http://hrk.pl

44

jw.

35

background image

a jednocześnie uwzględniającymi możliwości finansowe firmy oraz oczekiwania

kierownictwa odnośnie konkurencyjności ich wynagrodzeń w porównaniu

z liderami w branży. Wynikiem prac jest przedstawienie kilku wariantowych

propozycji proponowanego systemu płacowego na bazie dotychczasowych

rozwiązań w zakresie wynagrodzeń;

3. Program trzeci – pomoc w tworzeniu wewnętrznych aktów normatywnych

regulujących problematykę kadrowo-płacową firmy z uwzględnieniem zmian

w prawie pracy. Na podstawie Regulaminu Pracy , Zakładowego

Układowego Zbiorowego Pracy lub Regulaminu Wynagradzania audytor stara

się wygenerować takie podstawy prawne, które nie pozostawią luk i nieścisłości

w systemie oraz zapewnią wszystkim zainteresowanym stronom (pracownikom

i pracodawcom) sprawiedliwe i satysfakcjonujące warunki pracy;

4. Program czwarty – istotną rolę w procesie zmian pełni odpowiednio

przygotowana kampania informacyjna. Wdrażanie nowych rozwiązań bez

pełnego wsparcia zmian ze strony zainteresowanych nie ma racji bytu w dłuższej

perspektywie czasowej. Z tego też względu może zostać zaproponowane

przeprowadzenie szkolenia przygotowującego do wprowadzanych zmian oraz

umożliwiające zrozumienie ich kierunku i charakteru;

5. Program piąty – sprawdzenie poprawności prowadzonej dokumentacji

pracowniczej oraz rozliczeniowej pod kątem zgodności z obowiązującymi w tym

zakresie przepisami dotyczących pracowników.

2.5. AUDYT PERSONALNY

Od wielu lat podkreśla się, że kapitał ludzki ma decydujący wpływ na

osiągane przez firmę wyniki. Pracownicy są najważniejszym, a zarazem nieustannie

zmieniającym się potencjałem przedsiębiorstwa. Cała sztuka zarządzania

personelem polega na tym, aby właściwie rozpoznawać i wykorzystywać ten

potencjał. Z tego też względu każde przedsiębiorstwo powinno regularnie sprawdzać

w jakim stopniu pracownicy kwalifikują się do zajmowania określonych stanowisk.

Szczegółowa i dogłębna analiza potencjału pracowników wskazana jest zwłaszcza

w sytuacjach, gdy firma chce lub musi podjąć ważne decyzje kadrowe dotyczące jej

obecnych pracowników. Dokonana w ten sposób ocena pozwala na obiektywne

spojrzenie na umiejętności i kwalifikacje własnych pracowników. Ocenie mogą być

poddawane całe grupy lub pojedynczy pracownicy, bowiem cytując Philipa

Crosby’ego „najważniejsze jest dobranie właściwej osoby do właściwego zadania”.

36

background image

Procedura oceny potencjału powinna być dostosowana do specyfiki firmy.

Poniżej zaprezentowany został przykładowy projekt audytu, obejmujące następujące

etapy:

45

1. etap I – wywiad kwalifikacyjny ukierunkowany na ocenę przebiegu kariery

zawodowej, aspiracji zawodowych, motywacji do podjęcia nowych obowiązków,

diagnozę umiejętności interpersonalnych i radzenia sobie w trudnych sytuacjach.

Dane z wywiadu stanowią podstawę do weryfikacji wniosków z diagnozy

uzyskanej przy pomocy testów psychologicznych;

2. etap II – ocena poziomu przygotowania merytorycznego poprzez weryfikację

deklarowanego przygotowania zawodowego i kwalifikacji zawodowych

w stosunku do stanowiska pracy oraz potencjalnych możliwości pracownika;

3. etap III – sprawdzanie znajomości języków obcych w zakresie biernym

i czynnym, porównanie uzyskanych wyników z deklarowaną znajomością języka;

4. etap IV – na ten etap mogą składać się m.in.:

- test służący do oceny stylu kierowania – umożliwia on ocenę preferowanego

przez menadżera stylu kierowania, zdefiniowanie jego stosunku do zespołu

pracowniczego oraz do realizowanych przez niego zadań, a także

zdiagnozowanie przyszłych konsekwencji wyboru osoby na stanowisko

kierownicze;

- test ukierunkowany na diagnozę umiejętności poznawczych – pozwala on na

określenie poziomu wiedzy ogólnej, umiejętnościami rozumienia i logicznego

interpretowania sytuacji;

- test do pomiaru poziomu inteligencji ogólnej – bada inteligencję płynną

niezależną od wpływów kulturowych z głównym ukierunkowaniem na diagnozę

umiejętności analitycznych;

- test temperamentu – pozwala na określenie podstawowych wymiarów

osobowości opisujących formalne aspekty zachowania, który umożliwia ponadto

ocenę przydatności zawodowej do prac wymagających określonych

predyspozycji;

- test osobowości – pozwala na pełny opis osobowości oraz ocenę możliwości

adaptacyjnych w środowisku zawodowym, pozwala na określenie umiejętności

społecznych oraz predyspozycji do pracy w zespole lub indywidualnie.

- test diagnozujący umiejscowienie poczucia kontroli w sytuacji zawodowej –

pozwala na wyselekcjonowanie osób o wysokim poczuciu kontroli nad

rzeczywistością o dużej sprawności i skuteczności działania;

45

www.bdi.com.pl

37

background image

- test umiejętności interpersonalnych – pozwala na ocenę kompetencji

społecznych w różnych sytuacjach życiowych, określa poziom kompetencji w

sytuacji ekspozycji społecznej, sytuacjach wymagających asertywności oraz

bliskiego kontaktu interpersonalnego.

Na zakończenie projektu oceny potencjału sporządzany jest kompleksowy

raport obejmujący jednocześnie analizę wyników testów oraz szczegółową relację

z ustrukturyzowanego wywiadu. Jakościowa i ilościowa analiza testowa jest

ukierunkowana na diagnozę kompetencji i predyspozycji na obszarach:

funkcjonowanie intelektualne, funkcjonowanie społeczne oraz ocenę

osobowościową. Raport na temat kapitału ludzkiego firmy obejmuje:

46

- analizę kompetencji menedżerskich i psychologicznych;

- analizę słabych i mocnych stron personelu;

- omówienie wyników poszczególnych grup menedżerów sztabowych i liniowych;

- wnioski dotyczące możliwości osiągnięcia przez pracowników celów organizacji;

- sugestie dotyczące kierunku rozwoju poszczególnych grup pracowników.

Ponadto w raporcie końcowym może zostać przedstawiona charakterystyka

profilu poszczególnego pracownika umożliwiająca dokonanie łatwego porównania

z innymi ocenianymi pracownikami. Indywidualna ocena pracownika to:

47

- ocena potencjału intelektualnego;

- charakterystyka osobowości;

- ocena funkcjonowania społecznego;

- zdefiniowanie słabych i mocnych stron;

- sporządzenie profilu kariery zawodowej;

- podsumowanie.

Jak widać z powyższych rozważań audyt personalny to usługa diagnozy i

oceny umiejętności zawodowych, składników osobowości oraz motywacji budujących

kompetencje pracownika. Usługa ta przynosi korzyści zarówno pracodawcy, jak

i pracownikowi. Do korzyści osiąganych przez pracodawcę można zaliczyć:

48

- uzyskanie informacji na temat posiadanego potencjału;

- możliwość wykorzystania posiadanej wiedzy w planowaniu ścieżek rozwoju czy

awansu;

46

www.sedlak.com.pl

47

jw.

38

background image

- możliwość wykorzystania posiadanej wiedzy w obszarze działu kadr: planowanie

szkoleń, planowanie redukcji zatrudnienia, oceny okresowe;

- obsada stanowisk zgodnie z potencjałem pracowników;

- możliwość optymalnego wykorzystania kompetencji pracowników.

Z kolei korzyściami uzyskanymi przez pracownika są:

- posiadanie rzetelnej wiedzy na temat własnych kompetencji i umiejętności;

- poznanie obszarów wymagających poprawy;

- możliwość zaplanowania kierunku dokształcania, szkolenia.

2.6. AUDYT MENEDŻERSKI

Według definicji przedstawionej przez G.A. Cole’a audyt menedżerski jest

metodą rozpoznawania kompetencji zawodowych i behawioralnych kadry

kierowniczej oraz dostosowywania ich do pożądanych profili kompetencji dla

poszczególnych stanowisk kierowniczych tak, aby zapewnić realizację strategii

przedsiębiorstwa.

49

Rozpoznawanie kompetencji zawodowych i behawioralnych

kadry kierowniczej służy dążeniu do wzmocnienia efektywności działania kluczowych

osób w danej firmie.

Ten rodzaj audytu stosowany jest od początku lat osiemdziesiątych jako

metoda, która pozwala określić potrzeby szkoleniowe kierowników, planować ich

rozwój, przygotowywać plany sukcesji na stanowiskach kierowniczych oraz stosować

odpowiednio dobrane instrumenty wzmacniania potencjału kadrowego firmy. Do

głównych przyczyn przeprowadzania audytu menedżerskiego zaliczyć można:

50

- połączenia i przejęcia przedsiębiorstw,

- internacjonalizacji działalności przedsiębiorstw,

- nowe strategie rozwoju,

- formowanie nowej kultury przedsiębiorstwa,

- przekształcenia strukturalne,

- kryzysy,

- prywatyzacja przedsiębiorstwa,

- identyfikacja menedżerów zdolnych zarządzać firmą,

- przygotowywanie planów sukcesji stanowiskowej,

- wzmacnianie potencjału kadrowego,

48

www.inwenta.pl

49

Cole G.A. “Personnel Management” Letts Educational Aldine Place, Londyn 1997 r.

50

http://www.kadry.info.pl

39

background image

- określanie potrzeb szkoleniowych i rozwojowych.

Zadaniem audytu menedżerskiego , podobnie jak audytu personalnego ,

jest charakterystyka obszarów badawczych i planowanego zastosowania metod

testowych w celu przedstawienia analizy potencjału zawodowego kadry kierowniczej

poprzez analizę kompetencji, umiejętności, cech osobowych i potencjału

rozwojowego. Z tego względu istotnym elementem przeprowadzanego audytu staje

się psychologiczne przygotowanie audytu menedżerskiego, czyli:

51

- zapoznanie kierowników z celami, zasadami I metodami audytu;

- przeprowadzenie konsultacji, wzbudzenie zaufania kierowników do audytu,

uzyskanie poparcia osób znaczących w organizacji;

- zapewnienie kierowników, iż szczegółowe wyniki audytu będą utajnione;

- zapewnienie o realnych korzyściach z przeprowadzanego audytu – audyt

dostarczy przecież kierownikom informacji o ich kompetencjach, słabych

i mocnych stronach oraz możliwościach szkolenia I rozwoju indywidualnego;

- unikanie posunięć gwałtownych.

W tym miejscu chciałabym przedstawić przykładowe obszary badania w

audycie menedżerskim. Są to:

Umiejętności I predyspozycje

ogólne:

Umiejętności związane z

zarządzaniem:

Pogłębione badanie

kompetencji osobistych:

• kompetencje społeczne
• komunikacja
• zdolności analityczne

i syntetyczne

• umiejętność adaptacji
• otwartość na zmiany
• zdolności przyswajania

sobie nowej wiedzy

• kreatywność
• inicjatywa

• styl zarządzania
• umiejętność wyboru

priorytetów

• umiejętność diagnozy

i oceny sytuacji

• zdolności negocjacyjne
• ustalanie celów krótko-

i długoterminowych

• umiejętność zarządzania

czasem

• delegowanie zadań
• umiejętność

rozwiązywania konfliktów

• zrównoważenie

emocjonalne

• umiejętność perswazji

i pewność siebie

• wytrwałość
• odpowiedzialność
• samodzielność myślenia
• umiejętność organizacji

zadań

• entuzjazm i elastyczność

w działaniu

• autonomia
• poziom uwewnętrznienia

51

http://www.kadry.info.pl

40

background image

• odporność na stres

norm społecznych

• rodzaj motywacji

Źródło: Opracowanie własne na podstawie procedury badawczej znajdującej się na

stronie

http://www.hric.pl

.

Efektem przeprowadzonego audytu menedżerskiego jest możliwość

opracowania indywidualnych planów rozwoju dla poszczególnego kierownika.. Plany

te dotyczą głównie takich zakresów, jak: zarządzanie personelem, komunikowanie,

zdolności interpersonalne, umiejętność pracy w zespole, umiejętność podejmowania

decyzji etc., zarządzanie jakością, umiejętność obsługi komputera, informacje

z zakresu ekonomii oraz prawa pracy.

2.7. AUDYT KOMUNIKACYJNY

W procesie zarządzania komunikacją wewnętrzną pierwszoplanową rolę

odgrywa analiza jej obecnego stanu, czyli tego, jakie są jej silne i słabe strony. Nie

wolno zapomnieć o podstawowej zasadzie dotyczącej efektywności komunikacji –

efektywna, to znaczy odpowiadająca potrzebom pracowników, czyli analiza stanu

komunikacji wewnętrznej powinna być prowadzona z punktu widzenia ich potrzeb.

Narzędziem, które służy szczegółowej i wszechstronnej analizie komunikacji

wewnętrznej, jest audyt komunikacyjny.

Audyt komunikacyjny polega na systematycznym i kompletnym badaniu

sposobów i efektów komunikowania się firmy ze swoim otoczeniem wewnętrznym

i zewnętrznym. Jego przedmiotem jest dokumentacja potrzeb, polityki, praktyk

i możliwości komunikacyjnych oraz przedstawienie niezbędnych danych

pozwalających zarządowi podjąć skuteczne decyzje wobec przyszłych celów

komunikacji organizacji. Metody badań są dobierane stosownie do potrzeb, mogą to

być np. wywiady z pracownikami różnych szczebli tak dobranymi ilościowo, aby ich

odpowiedzi odzwierciedlały trendy występujące w organizacji (zwykle audyt dotyczy

25 % zatrudnionych).

Moment rozpoczęcia audytu jest dla pracowników sygnałem: „firma chce

usłyszeć nasze opinie”. Wiąże się to z motywacyjnym działaniem audytu, zwykle

bowiem pracownicy nie mają zbyt dużych możliwości wypowiedzenia się na temat

swojej firmy. Ponadto w sytuacji, gdy firma jest już w trakcie zmian, audty

41

background image

komunikacyjny może służyć jako „katalizator” opinii, gdyż zmiany zawsze powodują

napięcia w firmie, pracownicy często nie są pewni swojej przyszłości. Możliwość

porozmawiania z kimś może przyczynić się do zmniejszenia napięcia, pracownicy

czują, że wreszcie ktoś zechciał wysłuchać ich uwag na temat zmian. Wykorzystanie

w/w wartości wymaga spełnienia kilku warunków, bez których audyt w wielu

wypadkach nie ma szans powodzenia.

Pierwszym warunkiem powodzenia audytu jest zbadanie komunikacji

w firmie. Bardzo ważnym elementem jest akcja nagłaśniająca badanie – informacja

o audycie powinna o kilka dni poprzedzać rozpoczęcie badania. Ponadto informacja

powinna krótko opisywać cele i sposób badania oraz zawiadomić pracowników

o gwarancji zachowania przez nich anonimowości. Konieczne jest również

zbudowanie jak najszerszego wsparcia dla badań, aby jak najwięcej pracowników

zechciało w nich uczestniczyć. Szczególnie istotną sprawą jest zaangażowanie

kierowników.

Poza komunikacją audyt powinien obejmować te obszary, które są silnie

z komunikacją powiązane, m. in: kulturę firmy, relacje z przełożonym, satysfakcję

z pracy, identyfikację z firmą, nastawienie do oferowanych produktów. Tylko przy

uwzględnieniu wszystkich tych obszarów badanie można uznać za

pełnowartościowe, nie da się bowiem przeciąć wzajemnego wpływu jakości

komunikacji oraz wymienionych obszarów. Dodatkowo istotną sprawą jest, aby nie

korzystać w takim badaniu z gotowych wzorców ankiet. Nie wolno zapominać o tym,

iż im ankieta dłuższa, tym mniej chętnie będzie wypełniana. Ankieta powinna z reguły

dać się wypełnić w 10 – 15 minut oraz musi zawierać tylko to, co rzeczywiście jest

istotne z punktu widzenia firmy. Przykładowe pytania w wywiadach z pracownikami

lub w ankietach mogą brzmieć w sposób następujący:

52

- czy otrzymujesz wszystkie informacje niezbędne do wykonywania powierzonej

pracy?;

- czy notatki służbowe i komunikaty są jasne i zrozumiałe?;

- jaką drogą docierają aktualizacje I informacje o zmianach w firmie lub wydziale?;

- co funkcjonuje dobrze, a co źle w obecnym systemie przepływu informacji? Jak

można to poprawić? Czy już próbowałeś to zrobić? Z jakim efektem?;

- do kogo masz większe zaufanie – do swoich współpracowników, bezpośrednich

przełożonych, kierowników wydziałów, dyrektorów czy samego prezesa?;

- czy rozmawiasz o pracy lub firmie poza zakładem? Co mówisz?.

52

www.pressence.com.pl

42

background image

Przy audycie komunikacyjnym istotną rolę odgrywa też sposób

opracowywania wyników z przeprowadzonego badania. Zadaniem audytora nie jest

bowiem zinterpretowanie otrzymanych wyników w procentach, powinien on

skoncentrować swoje wysiłki na uchwyceniu zależności pomiędzy odpowiedziami

w różnych grupach pracowników, np. w następujących kategoriach: centrala – teren,

kierownicy – pracownicy szeregowi. Sumy danych dla wszystkich pracowników nie

dostarczają zbyt wiele informacji, natomiast wyniki dla różnych grup pracowników

mogą okazać się pełniejsze, np. czy pracownicy w centrali są lepiej poinformowani

niż w terenie czy też odwrotnie, jakie są potrzeby informacyjne w poszczególnych

grupach pracowników.

Przedstawiony powyżej sposób przeprowadzania audytu komunikacyjnego

można odnieść raczej większych firm zatrudniających większą liczbę pracowników

i posiadających swoje oddziały w różnych częściach kraju lub w różnych krajach.

Mniejsze firmy mogą także przeprowadzić analizę przepływu komunikacji, np.

poprzez osobiste zbieranie opinii. Dzięki zbudowaniu jak najlepszych relacji

z pracownikami można się dużo dowiedzieć na temat efektywności działań

komunikacyjnych.

53

Jedną z firm, która położyła duży nacisk na komunikację wewnętrzną jest

Bank Przemysłowo-Handlowy. Za tę sferę odpowiada w nim kilkuosobowy zespół,

działający we współpracy z Departamentem Promocji, co umożliwia pełną

koordynację komunikacji zarówno wewnętrznej, jak i zewnętrznej. W roku 2000

zespół ten rozpoczął przygotowania planu działań komunikacyjnych związanych

z planowaną restrukturyzacją w firmie.

Pierwszym krokiem był właśnie audyt komunikacyjny, który został

przeprowadzony na przełomie września i października 2000 roku. Było to badanie,

które miało pomóc w poznaniu silnych i słabych stron komunikacji wewnętrznej

i nastawień pracowników (metoda ta jest często wykorzystywana przez firmy na

zachodzie Europy i w USA, natomiast w Polsce stosuje ją niewiele firm). Przed

przeprowadzeniem audytu odbyło się szkolenie wszystkich dyrektorów oddziałów

banku na temat znaczenia komunikacji wewnętrznej w mających nastąpić zmianach.

W badaniu wykorzystano dwa narzędzia. W pierwszym etapie przeprowadzono 61

wywiadów z pracownikami różnych szczebli. Otrzymany materiał posłużył do

przygotowania ankiety, którą objęto 2235 pracowników, w tym wszystkich w centrali

i wybranych pracowników w co piątym oddziale banku. Ankiety były anonimowe, ich

dystrybucję i zbieranie przeprowadzali wybrani pracownicy poszczególnych

53

www.opoka.org.pl

43

background image

departamentów. Ankiety wypełniło w sumie 1400 osób, czyli 62,2 % badanych. Audyt

pokazał zróżnicowanie opinii: 63 % deklarowało zadowolenie z pracy, 8 % -

niezadowolenie. Ponadto w czasie badań okazało się, że w przypadku zmian

zachodzących w firmie pracownicy oczekują otrzymywania coraz więcej informacji.

Na ogół potrzeby te trudno zaspokoić, ludzie czują się niedoinformowani, szerzą się

plotki – właśnie na te zjawiska wskazali pracownicy BPH, którzy od swoich

bezpośrednich przełożonych oczekiwali informacji na temat celów i przyszłości

swoich departamentów i oddziałów.

Wyniki ankiety zostały przedstawione zarządowi banku, który pod ich

wpływem podjął decyzje dotyczącą potrzeby przeprowadzenia działań

doskonalących komunikację. W grudniu firma zorganizowała warsztaty dla

wszystkich dyrektorów na temat komunikowania zmian pracownikom. Dyrektorzy

otrzymali wyniki audytu w formie prezentacji, ponadto we współpracy

z departamentem zarządzania zasobami ludzkimi zostały zorganizowane warsztaty

dla dyrektorów, którzy dzięki temu mieli możliwość praktycznego przećwiczenia

trudnych rozmów z pracownikami. Inscenizowane, nagrywane na wideo

i szczegółowo omawiane były scenki, w których przełożony przekazywał

pracownikowi negatywną informację. Ponadto z wynikami audytu zostali zapoznani

także wszyscy pracownicy banku na łamach specjalnego wydania wewnętrznego

biuletyny BPH.

Audyt komunikacyjny w Banku Przemysłowo-Handlowym potwierdził, iż

należy wzmocnić rolę kierowników w komunikacji wewnętrznej. Wcześniej główną

rolę przekaźnika informacji pełnił firmowy biuletyn składający się z kilkudziesięciu

stron informacji o firmie, zawierający m.in. wywiady z członkami zarządu

o aktualnych wydarzeniach, teksty edukacyjne itp. Audyt komunikacyjny wskazał

konieczność rozwoju nowych narzędzi komunikacji wewnętrznej, na potrzeby

pracowników powstał inny biuletyn, który wysyłany jest do elektronicznych skrzynek

departamentów, a stąd rozsyłany jest do skrzynek pracowników oraz wywieszany

jest na tablicy ogłoszeń. Informacje rozsyłane są dzień wcześniej do menedżerów,

dzięki czemu otrzymują oni je przed podwładnymi oraz mają możliwość przekazania

ich pracownikom. Następnie informacja zostaje rozesłana do pracowników, którzy

powinni już zostać poinformowani o nadchodzących zmianach przez swoich

przełożonych. Jeśli informacja nie dotarła do pracowników od ich bezpośrednich

zwierzchników, to świadczy to o nie wykorzystaniu przez przełożonych możliwości

wzmocnienia swojego autorytetu. Ponadto działania te miały dać pracownikom

poczucie, że nikt nie ukrywa przed nimi informacji, a firma dba o to, by na bieżąco

byli zorientowani w działaniach dyrekcji, co w przypadku restrukturyzacji było bardzo

44

background image

ważne. Pracownicy regularnie otrzymywali wiedzę o związanych z firmą planach,

negocjacjach ze związkami zawodowymi, działaniach wobec osób zwalnianych.

54

2.8. AUDYT MARKETINGOWY

W wyniku przekształceń ustrojowych i przemian gospodarczych

zachodzących w Polsce w latach 90-tych, wiele firm utworzyło działy marketingu

i sprzedaży. W wyniku rozwoju tych działów zmieniały się ich obowiązki oraz rola

w firmie. Dla usystematyzowania podejmowanych działań, istniejącej wiedzy

rynkowej oraz roli działu marketingu w firmach niezbędny stał się audyt

marketingowy. Audyt ten jest przeglądem istniejącej organizacji i sposobu realizacji

funkcji marketingowej firmy. Jego celem jest ocena:

55

- misji, celów i strategii marketingowej firmy,

- sprawności organizacji służb marketingu i sprzedaży,

- istniejących systemów marketingowych (planowania, kontroli, informacji

marketingowej, rozwoju produktów),

- efektywności realizowanych działań marketingowych,

- realizacji funkcji marketingowych firmy,

- identyfikacja trudności i szans rozwojowych oraz sformułowanie planów

mających na celu poprawę marketingu przedsiębiorstwa.

Audyt marketingowy stanowi podstawowe narzędzie służące do oceny

stanu funkcjonowania przedsiębiorstwa, jest podstawą w budowaniu przez zarząd

firmy strategii marketingowej oraz w wyborze najwłaściwszego kierunku w procesie

ewentualnej restrukturyzacji. W ramach audytu marketingowego wyróżnić można

następujące rodzaje badań:

56

- makrośrodowiska (demograficzne, ekonomiczne, ekologiczne, technologiczne);

- środowiska, w którym prowadzona jest działalność (rynki, klienci, konkurenci,

dystrybucja i dealerzy, dostawcy, usługodawcy, społeczeństwo);

- audyt strategii marketingowej (misja biznesu, cele i zadania marketingu,

strategia);

54

opracowano na podstawie materiałów wewnętrznych Banku Przemysłowo-Handlowego oraz na

podstawie artykułu autorstwa W. Staruchowicza Rzeczpospolita z 1sierpnia 2001 r.

55

www.doradca.com

56

www.sandner.com.pl

45

background image

- audyt organizacji marketingu (struktura formalna, efektywność funkcjonalna,

efektywność współpracy działu marketingu z innymi działami firmy);

- audyt systemów marketingu (system informacji marketingowej, systemy

planowania marketingowego, system kontroli marketingu, system rozwoju

nowego produktu);

- audyt produktywności marketingu (analiza rentowności, analiza efektywności);

- audyt funkcji marketingu (produkty, cena, dystrybucja, reklama i promocja

sprzedaży, personel sprzedaży, internetowe strony www);

- wspomaganie w wyborze systemu do wspomagania procesu sprzedaży CRM

(Customer Relationship Management);

- audyt informatyczny w zakresie wyboru systemu do wspomagania zarządzania

przedsiębiorstwem.

Audyt marketingowy obejmuje ponadto źródła i nośniki informacji, procedury

pozyskiwania, przetwarzania i analizowania danych oraz rozwiązania organizacyjne

sytuujące ją w strukturze zarządzania firmą. Generowane informacje stanowią

podstawę do badania dotychczasowych kierunków działań, zmian zachodzących

w przedsiębiorstwie i jego otoczeniu, analizy silnych i słabych stron firmy oraz

osiągniętych wyników, jak również przyczyniają się do ulepszania zarządzania

marketingowego, a co za tym idzie przyczyniają się do ulepszania zarządzania całym

przedsiębiorstwem.

Korzyści z audytu marketingowego dla przedsiębiorstwa mogą okazać się

bardzo ważne, gdyż audyt ten może np. zidentyfikować nowe potencjalne dziedziny

biznesu, zasugerować nowy rodzaj usług dla klientów, ujawnić luki w kompetencjach

technicznych i szkoleniach pracowników, poczynić wiele praktycznych sugestii,

a także może służyć jako pierwszy krok na drodze do analizy ogólnej strategii firmy

i systematycznego zastosowania zarządzania strategicznego.

2.9. AUDYT LOGISTYCZNY

W czasach zahamowania rozwoju gospodarczego, spadku sprzedaży

praktycznie we wszystkich branżach firmy zmuszone są do szukania oszczędności

i ograniczenia kosztów, są okazją do zrewidowania i raportowania

i zoptymalizowania procesów biznesowych. Z uwagi na znaczny udział w kosztach

operacyjnych i wpływ na efektywność przedsiębiorstwa procesy logistyczne mają tu

kluczowe znaczenie.

46

background image

Logistykę przedsiębiorstwa należy rozpatrywać w kilku aspektach, które

brane są pod uwagę podczas przeprowadzania audytu:

57

- jakość – wartościowanie jakościowe całego łańcucha dostaw: od zaopatrzenia,

planowania produkcji, składowania po dystrybucję, przeanalizowanie wskaźników

i przyczyn błędów, kompletności dostaw, wielkości zapasów;

- technika – ocena przydatności i dyspozycyjności posiadanych instalacji,

ergonomii stanowisk pracy I zachowania norm bezpieczeństwa;

- procesy – ocena wydajności procesów, analiza przepływu dóbr pod względem

zamówień, klientów lub grup produktów, czasy poszczególnych operacji, ilość

personelu, koszty logistyczne;

- powierzchnie – optymalne wykorzystanie powierzchni produkcyjnych

i logistycznych jest kluczem do uniknięcia zbędnych kosztów lub dodatkowych

nakładów inwestycyjnych. Audytor dysponując bazą wielkości porównawczych

wykazuje nieefektywne wykorzystanie powierzchni i określa możliwości poprawy

uzyskując tą drogą potencjały oszczędności;

- informatyka – system informatyczny powinien w maksymalnym stopniu

eliminować czynności ręcznego wprowadzania danych, kontrolowania stanów

i wysyłki. Podczas audytu bada się architekturę systemu włącznie z komunikacją

z klientami, sterowaniem procesami przyjęcia, składowania, kompletacji i wysyłki,

tzn. zarządzaniem magazynem. Audytor koncentruje się na bezpieczeństwie

funkcyjnym połączeń i protokołów oraz ewentualnych ograniczeniach dla logistyki

wynikających z błędów lub braku określonych funkcji systemu informatycznego;

- czynniki zewnętrzne – wymagania klientów, struktura, wielkość i ilość zamówień,

warunki transportu, techniki produkcji, opakowań itp. Podlegają ciągłym zmianom

mającym wpływ na logistykę przedsiębiorstwa. W ramach audytu precyzuje się

wskaźniki zewnętrzne, takie jak struktura zamówień, parametry artykułów, czasy

dostaw, poziom obsługi rynku (czas od zamówienia do dostawy do klienta) oraz

określa się stopień spełnienia wymagań klientów I możliwości jego poprawy.

Kompleksowy audyt systemu logistycznego przedsiębiorstwa zwykle polega

na przeprowadzeniu następujących czynności:

58

- identyfikacja i ocena stanu istniejącego,

- określenie przyczyn nieprawidłowości,

- wskazanie zmian poprawiających funkcjonowanie systemu logistycznego,

- określenie sposobu i kolejności wdrażanych zmian.

57

www.logistykafirm.com

47

background image

W załączniku nr 3 przedstawiono przykład opracowania audytu systemu

logistycznego dla firmy X.

Celem audytu jest dostarczenie zarządowi przedsiębiorstwa podstaw do

podejmowania decyzji strategicznych w zakresie zarządzania procesami przepływów

logistycznych. Najczęściej największy nacisk położony jest na przepływ informacji

towarzyszący przepływom od zaopatrzenia, poprzez produkcję i procesy

magazynowe obejmujące: przyjęcie, składowanie i kompletację towarów, aż po ich

dystrybucję do ostatecznego odbiorcy. Korzyści z przeprowadzenia audytu

logistycznego są bardzo duże. Po pierwsze usprawnienie logistyki skutkuje

obniżeniem jej kosztów i poprawą jej jakości. W wielu firmach koszty logistyczne nie

są odrębnie monitorowane i dopiero audyt logistyczny wykazuje możliwy potencjał

oszczędności w tym zakresie.

58

www.wandalex.pl

48

background image

PODSUMOWANIE

Audyt wewnętrzny w przepisach ustawy o finansach publicznych został

określony jako ogół działań, przez które kierownik jednostki uzyskuje obiektywną

i niezależną ocenę funkcjonowania jednostki w zakresie gospodarki finansowej pod

względem legalności, gospodarności, celowości, rzetelności, a także przejrzystości

i jawności. Stosowanie powyższych mierników, służących jako kryteria oceny

gospodarki finansowej jednostki sektora finansów publicznych wymaga pogłębionej

analizy w odniesieniu do celów i działań audytu wewnętrznego. Audytorzy

wewnętrzni, badając kolejno poszczególne wskaźniki w obszarach obarczonych

najwyższym ryzykiem, poszukują odpowiedzi na pytania, czy podjęte działania nie

naruszały obowiązujących przepisów prawa, spełniały określone kryteria kosztów,

były uzasadnione i potrzebne, zadania i działania nie były fikcyjne, tzn, że

poszczególne operacje wystąpiły w rzeczywistości, zostały poprawnie

udokumentowane i poddane określonym procedurom formalnym.

Instytucja audytu istnieje od XIX wieku. Początkowo audyt miał jedynie

charakter zewnętrzny, jednak wraz z rozwojem ekonomicznym podmiotów

działających na rynku – wzrostem organizacji, ich rosnącym skomplikowaniem,

a także specjalizacją technologiczną operacji, zrodziła się konieczność stworzenia

audytu wewnętrznego. Powstanie pierwszych komórek audytu wewnętrznego

odnotowuje się po II wojnie światowej. Pierwotnie audyt wewnętrzny koncentrował

się na sprawach związanych z finansami i księgowością, dopiero później zaczął

obejmować całość zagadnień związanych z funkcjonowaniem organizacji świadcząc

usługi zapewniające oraz doradcze. Wynikało to głównie z potrzeby dokonywania

w miarę obiektywnej oceny systemu zarządzania ryzykiem, kontroli i procesów

nadzoru.

59

Audyt wewnętrzny był początkowo powoływany w podmiotach

prywatnych, z czasem jednak zaczął pojawiać się w ramach organizacji administracji

publicznej, dla przykładu, w Komisji Europejskiej audyt wewnętrzny pojawił się na

skutek zmian i reformy istniejących struktur kontroli wewnętrznej. Wyodrębniona rola

audytu wewnętrznego została usankcjonowana w 2001 roku.

60

Zgodnie z art. 85 i 86

rozporządzenia „każda z instytucji Unii Europejskiej ma ustanowić funkcję audytu

wewnętrznego, która musi być wykonywana zgodnie z właściwymi

międzynarodowymi standardami. Zadaniem audytora wewnętrznego jest wspieranie

instytucji w zakresie zarządzania ryzykiem poprzez wydawanie niezależnej opinii

59

Praca zbiorowa “Audyt wewnętrzny – spojrzenie praktyczne” Stowarzyszenie Księgowych w Polsce

Warszawa 2003

60

Rozporządzenie Rady Unii Europejskiej nr 762/2001 z 9 kwietnia 2001 r.

49

background image

o jakości systemów zarządzania i kontroli oraz wydawanie rekomendacji w celu

usprawnienia realizacji operacji”. Podstawową cechą wprowadzonych zmian było

wyodrębnienie funkcji audytu wewnętrznego od funkcji kontroli finansowej, w formie

dotychczas występującej w Komisji Europejskiej. Opracowania Komisji Europejskiej

na temat wzajemnych relacji pomiędzy systemem kontroli wewnętrznej a audytem

wewnętrznym wskazują na przejście z dotychczasowego systemu kontroli

wewnętrznej opartej głównie na kontroli ex-ante i typowych mechanizmach kontroli

zarządczej, jak i z elementami kontroli ex-post w postaci audytu wewnętrznego.

61

Argumentem za takim kierunkiem zmian podejścia do systemu kontroli wewnętrznej

była przede wszystkim nieefektywność dotychczasowego systemu. Kwestią

o zasadniczym znaczeniu dla skuteczności funkcjonowania kontroli wewnętrznej

w Komisji Europejskiej jest wyraźny rozdział kompetencji pomiędzy komórki kontroli

wewnętrznej działające w dyrekcjach generalnych a Urząd Audytu Wewnętrznego.

Wyraźnie silniejszą pozycję ma Urząd Audytu Wewnętrznego, który ma kontrolować

jakość systemów kontroli wewnętrznej w dyrekcjach generalnych.

62

Wprowadzenie idei audytu środków publicznych w państwach członkowskich

przyniosło wymierne korzyści, polegające między innymi na zmniejszeniu możliwości

dokonywania finansowych manipulacji tymi środkami. Nie istnieje jeden model

audytu, który miałby obowiązywać państwa członkowskie. Tym niemniej, można

zauważyć dwa zasadnicze modele: północy i południowy. W modelu południowym

audyt wewnętrzny utożsamiany jest z kontrolą. Przykładowo we Francji nie istnieje

typowy system audytu wewnętrznego. W większości instytucji dokonywane są

inspekcje lub prowadzona jest stała kontrola finansowa przeprowadzonych operacji

przez tzw. weryfikatorów. Model północny audytu Wewnętrznego bardziej odpowiada

międzynarodowym standardom audytu wewnętrznego. Obowiązuje on np. w takich

krajach jak Wielka Brytania czy Niemcy. Audyt wewnętrzny zajmuje się tam w istocie

oceną systemów, a nie transakcji, dokonując analizy możliwych usprawnień

w istniejącym systemie kontroli na potrzeby kierownictwa.

63

W załączniku nr 4

przedstawiono przykładowe sposoby organizacji audytu wewnętrznego w krajach

członkowskich Unii Europejskiej. W Polsce istnieje już kilka organizacji zajmujących

się problematyką audytu wewnętrznego, między innymi Polski Instytut Kontroli

Wewnętrznej z siedzibą w Warszawie (zrzesza audytorów i kontrolerów

61

Communication to the Commission, Clarification of the responsibilities of the key factors in the domain of

internal audit and internal control in the Commission – Sec 59 z 17 stycznia 2003 r. oraz A New Framework for
Resource Management and Internal Auditing in the Commission z 22 lutego

2000 r.

62

M.Kazimierczak “Reforma systemu kontroli wewnętrznej i audytu w Komisji Europejskiej: IX Konferencja

Absolwentów KSAP, Warszawa 2002 r.

63

L.Smolak “Audyt w Unii Europejskiej” Gazeta Prawna z 3 czerwca 2003 r.

50

background image

wewnętrznych, istnieje od 1999 r. z inicjatywy Brytyjskiego Funduszu Know-How),

Oddział Międzynarodowego Stowarzyszenia Audytu Wewnętrznego w Polsce, zwany

IIA-Polska.

Nowoczesna firma nie może funkcjonować bez sprawnie zarządzanej

komórki audytu wewnętrznego, który koncentruje się na analizie ryzyk powstających

w firmie, bowiem to właśnie rozwój praktyk zarządzania wykreował ideę audytu.

W polskiej rzeczywistości jest to jeszcze zjawisko nowe, wzbudza więc uzasadnione

zainteresowanie szczególnie w środowisku audytorów sektora publicznego,

wywołując wiele dyskusji na temat jego roli i miejsca. Niezwykle ważne jest więc

prawidłowe ukształtowanie zasad wykonywania tego zawodu. Polski ustawodawca

składnia się w stronę wykorzystania audytu w administracji publicznej jako narzędzia

służącego ulepszaniu organizacji, a przede wszystkim wspomaganiu w osiąganiu

przez nią celu, do jakiego została powołana. Ramy prawne stwarzają tu dużą

swobodę wyboru odpowiedniego sposobu podejścia. Otwiera to z jednej strony wiele

możliwości, ale jednocześnie stwarza też zagrożenia.

Z uwagi na fakt, iż audyt wewnętrzny nie ogranicza się wyłącznie do obszaru

finansowego, daje to możliwość spojrzenia na całość jednostki w celu poszukiwania

i eliminowania słabych jej stron. Działanie to w zasadzie służy wspomaganiu

kierownictwa całego sektora publicznego w osiągnięciu jego misji, a zwłaszcza

w uzyskiwaniu satysfakcji obywateli poprzez dostarczanie dóbr i usług o najwyższej

jakości.

W Polsce obserwujemy swoistą powściągliwość w tempie wprowadzania

audytu, co ma również swoje źródło w niepełnym zrozumieniu jego istoty. Jedynie

nieliczne jednostki sektora publicznego mają gotowy pomysł na wdrożenie nowego

stanowiska czy komórki organizacyjnej, co spowodowane jest głównie tym, że

jednostki te mają swoje określone warunki działania. Nie należy jednak w tym

wszystkim zapominać o służbie społeczeństwu, a takie funkcje wspomagające ma

pełnić właśnie audyt wewnętrzny.

64

64

J. Filipiuk, G. Gołębiowski “Audytor to nie wróg” Gazeta Prawna z 20 listopada 2002 r.

51

background image

BIBLIOGRAFIA

1. A New Framework for Resource Management and Internal Auditing in the

Commission” z dnia 22 lutego 2000 r.

2. Cole G.A. „Personnel Management” Letts Educational Aldine Place Londyn

1997 r.

3. Communication to the Commisssion, Clarification of the responsibilities of the key

factors in the domain of internal audit and internal control in the Commisision –

sec. 59 z dnia 17 stycznia 2002 r,

4. Czerwiński Krzysztof „Audyt Wewnętrzny – wydanie II” InfoAudit Sp. z o.o.

Warszawa 2005

5. Czerwiński Krzysztof, Henryk Grocholski „Podstawy Audytu Wewnętrznego” Link

Szczecin 2000 r.

6. Filipiuk Jolanta, Gołębiowski Grzegorz „Audytor to nie wróg” Gazeta Prawna

z dnia 20 listopada 2002 r.

7. Gazeta Prawna z 23.06.2004 r.

8. Gołębiowski Grzegorz „Audyt wewnętrzny w administracji publicznej –

kontrowersje wobec jego roli” Kontrola Państwowa nr 5/2003 r.

9. Kazimierczak M. „Reforma systemu kontroli wewnętrznej i audytu w Komisji

Europejskiej” IX Konferencja Absolwentów KSAP Warszawa 2002 r.

10. materiały wewnętrzne Banku Przemysłowo-Handlowego

11. Praca zbiorowa „Audyt wewnętrzny – spojrzenie praktyczne” Stowarzyszenie

Księgowych w Polsce Warszawa 2003 r.

12. Rozporządzenie Ministra Finansów z 5 lipca 2002 r. w sprawie szczegółowego

sposobu i trybu przeprowadzania audytu wewnętrznego Dz. U. nr 111 poz. 973

13. Rozporządzenie Ministra Finansów z 20 grudnia 2002 r. w sprawie określenia

kwot przychodów oraz wydatków środków publicznych dokonywanych w ciągu

roku kalendarzowego, których przekroczenie powoduje obowiązek prowadzenia

audytu wewnętrznego w jednostkach sektora finansów publicznych Dz. U. nr 234

poz. 1970

14. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca

1998 r. w sprawie określenia podstawowych warunków technicznych

i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy

informatyczne

15. Rozporządzenie Rady Unii Europejskiej nr 762/2001 z 9 kwietnia 2001 r.

52

background image

16. Saunders Edmund „Audyt I kontrola wewnętrzna w przedsiębiorstwie” Educator

Akademia Polonijna w Częstochowie Częstochowa 2002 r.

17. Sekuła M. „Jaka jest różnica między audytem a kontrolą” Gazeta Prawna z 23

czerwca 2004 r.

18. Smolak Leszek. „Audyt w Unii Europejskiej” Gazeta Prawna z dnia 3 czerwca

2003 r.

19. Smolak Leszek „Kontrola I audyt w administracji publicznej – stan I perspektywy”

materiały z konferencji odbywającej się w dniach 3-4 czerwca 2004 r.

organizowanej przez MSWiA

20. Standards for the Professional Practice of Internal Auditing The Institute of

Internal Auditors 2001 r.

21. Ustawa o finansach publicznych z 26 listopada 1998 r. Dz. U. z 2003 r nr 15 poz.

148 + późniejsze zmiany

22. Ustawa z dnia 29 września 1994 r. o rachunkowości Dz. U. z 2002 r. nr 76 poz.

694 + późniejsze zmiany

23. Wielka Encyklopedia PWN tom 2 Warszawa 2001 r.

24.

www.audyt.ngo.pl

25.

www.audytoprogramowania.pl

26.

www.bdi.com.pl

27.

www.cezar.waw.pl

28.

www.ckzeto.com.pl

29.

www.dcs.pl

30.

www.doradca,com

31.

www.edusoft.pl

32.

www.ensi.net.pl

33.

www.exegroup.pl

34.

www.frso.pl

35.

www.hric.pl

36.

www.hrk.pl

37.

www.infovide.pl

38.

www.inwenta.pl

39.

www.it-scs.com.pl

40.

www.kadry.info.pl

41.

www.logistykafirm.com

42.

www.mf.gov.pl

43.

www.nbp.pl

44.

www.nik.gov.pl

53

background image

45.

www.opoka.org.pl

46.

www.pressence.com.pl

47.

www.promedia.iap.pl

48.

www.safecomp.pl

49.

www.sandner.com.pl

50.

www.sedlak.com.pl

51. www.wandalex.pl

54

background image

SPIS RYSUNKÓW

1. Przykładowy schemat organizacyjny Zespołu Audytu Wewnętrznego – str. 10

2. Cykl utrzymania bezpieczeństwa – str. 27

55

background image


















ZAŁĄCZNIKI

56

background image

ZAŁĄCZNIK NR 1

PROGRAM BADANIA BEZPIECZEŃSTWA INFORMATYCZNEGO

(PLAN PRZEPROWADZANIA TESTÓW PENETRACYJNYCH)

1. Etap przygotowawczy – na tym etapie powstaje wstępny harmonogram

zawierający zakres prac:

• przygotowanie i analiza dokumentacji,
• wstępne testy penetracyjne zasobów (serwery oraz transmisja danych),

skanowanie sieci

• szczegółowe skanowanie systemów,
• przygotowanie raportu z wykonanych testów.

2. Uzyskanie dostępu do dokumentacji systemu oraz zapoznanie się z testowanym

systemem – na tym etapie zostają również zidentyfikowane istniejące ryzyka,

mechanizmy je ograniczające oraz następuje określenie narzędzi niezbędnych

do przeprowadzenia skanowania. Dostarczona dokumentacja powinna zawierać:

• protokoły oraz procedury instalacyjne poszczególnych serwerów,
• adresacja IP i schemat komunikacji sieciowej w systemie – przepływ danych,
• informację dotyczącą otwartych portów TCP/UDP z informacją o procesach

nasłuchujących,

• konfiguracja istotnych procesów i parametrów systemu,
• reguły programowe urządzeń filtrujących.

3. Testy penetracyjne środowiska – (wewnętrzne i zewnętrzne) proces ten ma na

celu inwentaryzację systemów i aplikacji widocznych z sieci zewnętrznej

i wewnętrznej, oraz identyfikację zasobów systemu. W skład testów

penetracyjnych wchodzi:

• Rekonesans sieci:

badanie odpowiedzi DNS,

badanie sieci metodami typu traceroute,

poszukiwanie wycieków w architekturze sieci (np. źródła serwisów WWW

i w nagłówkach e-mail),

bierny podsłuch i analiza ruchu sieciowego.

• Skanowanie sieci:

badanie ścieżki dostępu do atakowanego obiektu (traceroute, pakiety

ICMP, inne),

próby obejścia zapory firewall,

57

background image

odnalezienie aktywnych systemów,

skanowanie w poszukiwaniu otwartych portów.

• Identyfikacja usług:

identyfikacja wg numeru portu,

analiza nagłówków serwisu,

wykrycie i analiza potencjalnie niebezpiecznych serwisów (np. ftp, telnet),

wykrycie i analiza zbędnych komponentów serwisów.

• Identyfikacja systemów:

stack fingerprinting,

passive fingerprinting,

wyciągnięcie wniosków z rezultatów identyfikowanych usług.

• Badania zidentyfikowanych uprzednio ryzyk oraz wykrywanie

potencjalnych nowych zagrożeń i ich weryfikacja:

weryfikacja zaimplementowanych metod kontroli przepływu danych oraz

ochrony serwerów,

zidentyfikowanie potencjalnych możliwości eskalacji przywilejów,

pozyskania danych oraz ataków Dos,

próby wykorzystania potencjalnie niebezpiecznych konfiguracji usług,

analiza bezpieczeństwa skanerami automatycznymi.

4. Skanowanie serwerów – proces ten ma na celu wykrycie luk i podatności

związanych z działaniem aplikacji internetowych, serwerów MYSQL, i innych

usług, oraz uzyskanie nieautoryzowanego dostępu, identyfikację systemu w

szczególności identyfikacja usług I uruchomionych aplikacji co prowadzi do

wykrycia w nich luk lub też oczekiwanie na wykrycie podatności. W trakcie testów

serwera przeprowadzane są ataki typu:

• Denial of Service,
• Man-In-The-Middle,
• Cross Site Scripting,
• SQL Injection,
• i inne.

5. Analiza wyników – ma na celu zebranie informacji, analizę wykonanych

czynności audytorskich oraz określenie rekomendacji i przygotowanie raportu z

badania.

• Zebrany raport zawiera:

całościowa ocena bezpieczeństwa informatycznego,

analiza ryzyka związanego z bezpieczeństwem oraz wykrytymi lukami,

58

background image

rekomendacje i zalecenia służące zwiększeniu bezpieczeństwa,

wnioski i wytyczne do wykorzystania podczas kolejnych testów.

65

65

www.exegroup.pl

59

background image

ZAŁĄCZNIK NR 2

PRZYKŁADY OPINII

66

A. PRZYKŁAD OPINII BEZ ZASTRZEŻEŃ

I.

Dla …………. (nazwa adresata opinii) …………….

II. Przeprowadziliśmy badanie sprawozdania finansowego …………… (nazwa

badanej jednostki) ……………., na które składa się:

bilans sporządzony na dzień ………………., który po stronie aktywów i

pasywów wykazuje sumę ………….. zł,

rachunek zysków i strat za rok obrotowy ………….

(za okres od do) ………….. wykazujący zysk/stratę netto ………….. zł,

informacja dodatkowa,

sprawozdanie z przepływu środków pieniężnych, wykazujące zmianę stanu

środków pieniężnych netto w ciągu roku obrotowego …………. na sumę

………….. zł.

III.

Badanie to przeprowadziliśmy stosownie do postanowień :

rozdziału 7 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. Nr

121, poz. 591),

norma wykonywania zawodu biegłego rewidenta, wydanych przez Krajową

Radę Biegłych Rewidentów …………….

IV.

Naszym zdaniem, załączone sprawozdanie finansowe sporządzone zostało,

we wszystkich istotnych aspektach, zgodnie z określonymi u powołanej wyżej

ustawie zasadami rachunkowości, stosowanymi w sposób ciągły, na

podstawie prawidłowo prowadzonych ksiąg rachunkowych. Jest ono zgodne

co do formy i treści z obowiązującymi przepisami prawa i statutem (umową)

jednostki i przedstawia rzetelnie i jasno wszystkie informacje istotne dla

oceny rentowności oraz wyniku finansowego działalności gospodarczej za

okres od …………… do ……………, jak też sytuacji majątkowej i finansowej

badanej jednostki na dzień ……………. Informacje zawarte w sprawozdaniu z

działalności są zgodne z informacjami zawartymi w zbadanym sprawozdaniu

finansowym.

V. Imię i nazwisko, nr ewidencyjny oraz podpis biegłego rewidenta

przeprowadzającego badanie sprawozdania finansowego lub kierującego

badaniem.

66

www.audyt.ngo.pl

60

background image

Imiona, nazwiska i podpisy osób reprezentujących podmiot uprawniony, który

zawarł umowę o badanie

VI.

Siedziba podmiotu uprawnionego i data

Pieczęć podmiotowa uprawnionego z adresem

B. PRZYKŁAD KLAUZULI ZAWIERAJĄCEJ OBJAŚNIENIE, JEDNAK BEZ

ZGŁASZANIA ZASTRZEŻEŃ

I.

Dla …………. (nazwa adresata opinii) …………….

II. Przeprowadziliśmy badanie sprawozdania finansowego …………… (nazwa

badanej jednostki) ……………., na które składa się:

bilans sporządzony na dzień ………………., który po stronie aktywów i

pasywów wykazuje sumę ………….. zł,

rachunek zysków i strat za rok obrotowy ………….

(za okres od do) ………….. wykazujący zysk/stratę netto ………….. zł,

informacja dodatkowa,

sprawozdanie z przepływu środków pieniężnych, wykazujące zmianę stanu

środków pieniężnych netto w ciągu roku obrotowego …………. na sumę

………….. zł.

III.

Badanie to przeprowadziliśmy stosownie do postanowień :

rozdziału 7 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. Nr

121, poz. 591),

norma wykonywania zawodu biegłego rewidenta, wydanych przez Krajową

Radę Biegłych Rewidentów …………….

IV.

Naszym zdaniem, załączone sprawozdanie finansowe sporządzone zostało,

we wszystkich istotnych aspektach, zgodnie z określonymi u powołanej wyżej

ustawie zasadami rachunkowości, stosowanymi w sposób ciągły, na

podstawie prawidłowo prowadzonych ksiąg rachunkowych. Jest ono zgodne

co do formy i treści z obowiązującymi przepisami prawa i statutem (umową)

jednostki i przedstawia rzetelnie i jasno wszystkie informacje istotne dla

oceny rentowności oraz wyniku finansowego działalności gospodarczej za

okres od …………… do ……………, jak też sytuacji majątkowej i finansowej

badanej jednostki na dzień ……………. Informacje zawarte w sprawozdaniu z

działalności są zgodne z informacjami zawartymi w zbadanym sprawozdaniu

finansowym.

IVa. Nie zgłaszając zastrzeżeń do prawidłowości i rzetelności zbadanego

sprawozdania finansowego zwracamy uwagę, że przeciwko jednostce toczy się

proces o rzekome naruszenie praw do znaku towarowego. Jednostka odrzuciła to

61

background image

oskarżenie, a sprawa jest w toku. Obecnie nie da się określić ostatecznego rezultatu

sprawy, stąd w sprawozdaniu finansowym nie można wykazać żadnego

zabezpieczenia bądź zobowiązania wynikającego

z rozstrzygnięcia sprawy.

V.

Imię i nazwisko, nr ewidencyjny oraz podpis biegłego rewidenta

przeprowadzającego badanie sprawozdania finansowego lub kierującego

badaniem.

Imiona, nazwiska i podpisy osób reprezentujących podmiot uprawniony, który

zawarł umowę o badanie

VI.

Siedziba podmiotu uprawnionego i data

Pieczęć podmiotowa uprawnionego z adresem

C. PRZYKŁADY OPINII Z ZASTRZEŻENIAMI

I.

Dla …………. (nazwa adresata opinii) …………….

II. Przeprowadziliśmy badanie sprawozdania finansowego …………… (nazwa

badanej jednostki) ……………., na które składa się:

bilans sporządzony na dzień ………………., który po stronie aktywów

i pasywów wykazuje sumę ………….. zł,

rachunek zysków i strat za rok obrotowy ………….

(za okres od do) ………….. wykazujący zysk/stratę netto ………….. zł,

informacja dodatkowa,

sprawozdanie z przepływu środków pieniężnych, wykazujące zmianę stanu

środków pieniężnych netto w ciągu roku obrotowego …………. na sumę

………….. zł.

III.

Badanie to przeprowadziliśmy stosownie do postanowień :

rozdziału 7 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. Nr

121, poz. 591),

norma wykonywania zawodu biegłego rewidenta, wydanych przez Krajową

Radę Biegłych Rewidentów …………….

IV.

Naszym zdaniem, załączone sprawozdanie finansowe sporządzone zostało,

we wszystkich istotnych aspektach, zgodnie z określonymi u powołanej wyżej

ustawie zasadami rachunkowości, stosowanymi w sposób ciągły, na

podstawie prawidłowo prowadzonych ksiąg rachunkowych. Jest ono zgodne

co do formy i treści z obowiązującymi przepisami prawa i statutem (umową)

jednostki i przedstawia rzetelnie i jasno wszystkie informacje istotne dla

oceny rentowności oraz wyniku finansowego działalności gospodarczej za

okres od …………… do ……………, jak też sytuacji majątkowej i finansowej

62

background image

badanej jednostki na dzień ……………. Informacje zawarte w sprawozdaniu

z działalności są zgodne z informacjami zawartymi w zbadanym

sprawozdaniu finansowym.

IVa. Nie obserwowaliśmy jednak spisu z natury produkcji nie zakończonej,

ponieważ umowa o badanie sprawozdania finansowego jednostki została

zawarta po terminie spisu. Sposób prowadzenia ksiąg rachunkowych nie

pozwala zaś na stwierdzenie wielkości stanu produkcji nie zakończonej na

ostatni dzień roku za pomocą innych procedur aniżeli spis z natury. Naszym

zdaniem, po uwzględnieniu skutków ewentualnych korekt stanu produkcji nie

zakończonej (stanowi ona ……….% zapasów) i wyniku działalności

gospodarczej, które mogłyby być konieczne, aby być pewnym, że stan ten

został poprawnie wykazany na koniec roku obrotowego.

V. Imię i nazwisko, nr ewidencyjny oraz podpis biegłego rewidenta

przeprowadzającego badanie sprawozdania finansowego lub kierującego

badaniem.

Imiona, nazwiska i podpisy osób reprezentujących podmiot uprawniony, który

zawarł umowę o badanie

VI.

Siedziba podmiotu uprawnionego i data

Pieczęć podmiotowa uprawnionego z adresem

D. PRZYKŁADY OPINII NEGATYWNEJ

I. Dla …………. (nazwa adresata opinii) …………….

II.

Przeprowadziliśmy badanie sprawozdania finansowego …………… (nazwa

badanej jednostki) ……………., na które składa się:

bilans sporządzony na dzień ………………., który po stronie aktywów i

pasywów wykazuje sumę ………….. zł,

rachunek zysków i strat za rok obrotowy ………….

(za okres od do) ………….. wykazujący zysk/stratę netto ………….. zł,

informacja dodatkowa,

sprawozdanie z przepływu środków pieniężnych, wykazujące zmianę stanu

środków pieniężnych netto w ciągu roku obrotowego …………. na sumę

………….. zł.

III.

Badanie to przeprowadziliśmy stosownie do postanowień :

rozdziału 7 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. Nr

121, poz. 591),

norma wykonywania zawodu biegłego rewidenta, wydanych przez Krajową

Radę Biegłych Rewidentów …………….

63

background image

IV.

Waga i skutki stwierdzonych w toku badania uchybień, polegających na

nieprawidłowościach inwentaryzacji zapasów, które stanowią ……………… %

sumy bilansowej, oraz niekompletnym ujęciu kosztów usług obcych na ok.

…………………. zł, powodują, że w świetle przepisów:

………………………………………………………………..

………………………………………………………………..

powołanej wyżej ustawy o rachunkowości nie możemy uznać załączonego

sprawozdania finansowego za zapewniające prawidłowe i rzetelne

przestawienie wyniku działalności gospodarczej i rentowności za rok

obrotowy ………………….. oraz sytuacji majątkowej i finansowej badanej

jednostki na dzień ………………………

V. Imię i nazwisko, nr ewidencyjny oraz podpis biegłego rewidenta

przeprowadzającego badanie sprawozdania finansowego lub kierującego

badaniem.

Imiona, nazwiska i podpisy osób reprezentujących podmiot uprawniony, który

zawarł umowę o badanie

VI.

Siedziba podmiotu uprawnionego i data

Pieczęć podmiotowa uprawnionego z adresem

E. PRZYKŁAD ZRZECZENIA SIĘ WYRAŻENIA OPINII

I. Dla …………. (nazwa adresata opinii) …………….

II. Przeprowadziliśmy badanie sprawozdania finansowego …………… (nazwa

badanej jednostki) ……………., na które składa się:

bilans sporządzony na dzień ………………., który po stronie aktywów

i pasywów wykazuje sumę ………….. zł,

rachunek zysków i strat za rok obrotowy ………….

(za okres od do) ………….. wykazujący zysk/stratę netto ………….. zł,

informacja dodatkowa,

sprawozdanie z przepływu środków pieniężnych, wykazujące zmianę stanu

środków pieniężnych netto w ciągu roku obrotowego …………. na sumę

………….. zł.

III.

Badanie to przeprowadziliśmy stosownie do postanowień :

rozdziału 7 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. Nr

121, poz. 591),

norma wykonywania zawodu biegłego rewidenta, wydanych przez Krajową

Radę Biegłych Rewidentów …………….

IV. Podaje

się tu podstawowe wątpliwości, a dalej:

64

background image

Uwzględniając wagę problemów omówionych wyżej i ich wpływ na

podstawowe wskaźniki charakteryzujące rentowność, wynik działalności

gospodarczej za rok obrotowy ………………. oraz sytuację majątkową

i finansową badanej jednostki na dzień ………………………….. nie możemy

wyrazić opinii o załączonym sprawozdaniu finansowym.

V. Imię i nazwisko, nr ewidencyjny oraz podpis biegłego rewidenta

przeprowadzającego badanie sprawozdania finansowego lub kierującego

badaniem.

Imiona, nazwiska i podpisy osób reprezentujących podmiot uprawniony, który

zawarł umowę o badanie

VI.

Siedziba podmiotu uprawnionego i data

Pieczęć podmiotowa uprawnionego z adresem

65

background image

ZAŁĄCZNIK NR 3

AUDYT SYSTEMU LOGISTYCZNEGO FIRMY X

6. Określenie stanu istniejącego w systemie logistycznym firmy

6.1.

Opracowanie graficznego modelu systemu logistycznego firmy X (dostawcy,

poszczególne komórki firmy, odbiorcy) wraz o opisem;

6.2. Zestawienie zadań logistycznych obowiązujących obecnie dla

poszczególnych komórek firmy;

6.2.1. Identyfikacja obecnego przepływy materiałów (wejście, zapas, wyjście) ze

względu na postać, objętość, masę, ilości i czas (w postaci graficznej

z opisem);

6.2.2. Identyfikacja programu transportu, magazynowania i komisjonowania

(kompletacji) – co? ile? Skąd? Dokąd? Kiedy? Jak? (w postaci tabelarycznej);

6.2.3. Identyfikacja danych o organizacji pracy systemu logistycznego firmy, np.

liczba zmian, kategorie pracy, współczynniki wykorzystania czasu pracy dla

poszczególnych kategorii, liczba ludzi i urządzeń itp;

6.3. Identyfikacja

uwarunkowań funkcjonalnych i przestrzennych pomieszczeń

produkcyjnych i magazynowych (szerokość korytarzy transportowych,

długość dróg transportowych, podział pomieszczeń na strefy, możliwość

rozbudowy itp);

6.4. Identyfikacja

występujących obecnie procesów przepływu materiałów (ich

organizacja I technologia);

6.5.

Identyfikacja stosowanego obecnie w firmie systemu przepływu informacji –

model graficzny z opisem.

7. Wnioski płynące z analizy stanu istniejącego;

7.1. Określenie parametrów i mierników do oceny stanu istniejącego systemu

logistycznego;

7.2.

Dokonanie oceny oraz wskazanie elementów systemu i relacji między nimi,

wymagających poprawy.

8. Sporządzenie projektu technologicznego systemu logistycznego firmy X

z uwzględnieniem wniosków z analizy stanu istniejącego – wykonuje się 3

warianty projektowe, zróżnicowane pod względem możliwości technologicznych,

nakładów lub kosztów;

8.1.

Opracowanie poprawionego graficznego modelu systemu logistycznego firmy

wraz z opisem;

8.2. Określenie nowych zadań logistycznych dla poszczególnych komórek firmy;

66

background image

8.2.1. Opracowanie nowego przepływu materiałów (w postaci graficznej z opisem):

8.2.2. Określenie nowego programu transportu, magazynowania I komisjonowania

(w postaci tabelarycznej);

8.2.3. Weryfikacja danych o organizacji pracy systemu logistycznego;

3.3. Ukształtowanie procesów logistycznych w poszczególnych komórkach

przedsiębiorstwa przy istniejących uwarunkowaniach funkcjonalnych i

przestrzennych;

3.3.1. Komórka PRODUKCJA

- określenie czynności związanych z przepływem materiałów na produkcji i

ustalenie ich sekwencji w postaci analitycznej lub graficznej;

- wyznaczenie potrzebnych przestrzeni produkcyjnych i buforów

międzyoperacyjnych;

3.3.2. Komórka MAGAZYN

- określenie czynności oraz ustalenie ich sekwencji (od rampy wejściowej do

rampy wyjściowej) ze szczególnym uwzględnieniem procesu kompletacji (model

graficzny procesów przepływu materiałów);

- wyznaczenie stref przyjęcia, składowania, kompletacji i wydania;

- określenie użytych środków transportu, wyposażenia magazynowego i urządzeń

pomocniczych a także wskazanie sposobu ich pracy (np. ustawienie regałów);

3.3.3. Komórka TRANSPORT

- określenie optymalnych w sensie technologicznym środków transportu

wewnętrznego I zewnętrznego;

- dokonanie optymalizacji tras i oceny efektywności transportu samochodowego;

3.4. Sporządzenie zapytania ofertowego do dostawców urządzeń i środków

transportu;

3.5. Wybór najbardziej odpowiednich urządzeń i środków transportu;

3.6. Zwymiarowanie procesów przepływu materiałów w systemie logistycznym

(poszczególnych komórkach przedsiębiorstwa) ze względu na:

- potrzebną liczbę urządzeń I środków transportu;

- potrzebną liczbę pracowników;

- szacunkowe nakłady (tzw. „ślepy” kosztorys);

- szacunkowe roczne koszty eksploatacyjne realizacji procesów magazynowych

(w przypadku kosztów utrzymania wyposażenia magazynowego będą to koszty

przybliżone, w przypadku kosztów pracy ludzkiej będą to dokładne wartości

liczbowe);

3.7. Obliczenie wskaźników użytkowych i kosztowych (w tym tzw. Wskaźnika

przejścia jednostki ładunkowej przez magazyn) stanowiących kryteria oceny

67

background image

kompleksowej wariantów projektowych;

3.8 Dokonanie oceny kompleksowej wariantów projektowych, wybór wariantu

optymalnego;

3.9. Opracowanie dla wybranego wariantu procedur kontroli wewnętrznej i zasad

stosowania odpowiedzialności testu;

3.10. Sporządzenie dla wybranego wariantu projektu przepływu informacji w postaci

zbliżone do algorytmu komputerowego umożliwiającej jego implementację jako

programu komputerowego;

4. Określenie sposobu i kolejności wdrażania zmian, zaproponowanych w wybranym

do realizacji wariancie projektowym

4.1 Wyznaczenie krytycznych momentów w procesie wdrażania

4.2. Opracowanie harmonogramu wdrożenia wybranego wariantu projektu.

67

67

www.wandalex.pl

68

background image

ZAŁĄCZNIK NR 4

AUDYT W UNII EUROPEJSKIEJ

68

FRANCJA

Francuski system kontroli tworzą cztery inspekcje: Generalna Inspekcja

Finansów, Generalna Inspekcja Administracji, Generalna Inspekcja Spraw

Społecznych i Generalna Inspekcja przy Prezesie Rady Ministrów. Generalna

Inspekcja Administracji realizuje np. 7 misji, jednak tylko w jednostkach samorządu

na wniosek radnych przeprowadza się tzw. Audyt strukturalny polegający na analizie

finansowej I organizacyjnej badanego podmiotu. Wszystkie inne misje zbliżone są

w trybie postępowania do kontroli przeprowadzanych w Polsce. Pewnym

charakterystycznym rodzajem misji są tzw. analizy całościowe poświęcone

problemom występującym na terenie kilku jednostek organizacyjnych, np.

w przypadku budowy dróg czy stacji narciarskich. W innych misjach, np.

problemowych, czynności kieruje się na działania wspólne kilku inspekcji. Końcowym

efektem tej misji jest kompleksowa propozycja dotycząca kompetencji kilku

ministrów.

PORTUGALIA

Kontrola portugalska stanowi praktycznie kopię systemu kontroli francuskiej.

Krajowy System Kontroli Wewnętrznej Administracji Państwowej został uchwalony

przez parlament portugalski w 1998 r. System stanowią 3 inspekcje tworzące

kontrolę strategiczną, sektorową i operacyjną. Najskuteczniejszym elementem tego

systemu jest kontrola strategiczna, którą w sensie wykonawczym prowadzą:

Generalna Inspekcja Finansowa – odpowiedzialna za kontrolę wszystkich wydatków

i dochodów państwa, Generalna Dyrekcja Budżetowa oraz Instytut Finansowego

Zarządzania Ubezpieczeniem Społecznym. Generalna Dyrekcja Budżetowa

kontroluje wykonanie budżetu państwa, natomiast Instytut Finansowego Zarządzania

Ubezpieczeniem Społecznym odpowiedzialny jest za kontrole budżetu ubezpieczenia

społecznego.

Drugim szczeblem kontroli wewnętrznej jest kontrola sektorowa, którą tworzy

15 inspekcji istniejących w ministerstwach. Z kolei kontrola operacyjna prowadzona

jest w ramach departamentów poszczególnych ministerstw. Procedura planowania

i przeprowadzania kontroli nie różni się znacząco od polskich uregulowań. Raport

69

background image

pokontrolny jest dokumentem znormalizowanym i nie może przekraczać 30 – 37

stron.

WIELKA BRYTANIA

Odmiennym modelem kontroli jest audyt brytyjski. Szeroki zakres kompetencji

w dziedzinie zarządzania audytu posiada dyrektor generalny jednostki administracji.

Elementem systemu hierarchicznego są dyspozycje dotyczące opracowywania

i przekazywania standardów przez Ministerstwo Skarbu. Kwantyfikatorem

postępowania jest tradycja i doświadczenie audytorów (audytor brytyjski musi

posiadać świadectwo rządowego audytora wewnętrznego określające minimalny

poziom umiejętności, wiedzy i doświadczenia koniecznych do wykonywania

obowiązków). Audytor brytyjski powinien przede wszystkim wpływać na usprawnienie

pracy, na jej doskonalenie i korekcję postaw pracowniczych, natomiast dalszym

etapem postępowania jest oddziaływanie na urzędnika przez przełożonego.

W standardach opracowanych przez Instytut Administracji Publicznej wskazuje się,

że audytor nie może przywiązywać wagę do drobnych błędów, będących wynikiem

ludzkiej pomyłki, powinien on wykazywać zrozumienie dla problemów, z którymi

borykają się pracownicy audytowanych komórek, powinien także zwracać uwagę na

słabości systemu wskazywane przez pracowników oraz omawiać błędy

i niesprawności z pracownikami przez opisaniem ich w raporcie.

IRLANDIA

Audyt irlandzki polega na decentralizacji komórek audytu wewnętrznego oraz

odpowiedzialności za określenie szczegółowych zasad wykonywania audytu. Ten

rodzaj kontroli wewnętrznej w administracji irlandzkiej pojawił się dopiero na

początku lat 90-tych, a jego wprowadzenie podyktowane było koniecznością

usprawnienia pracy administracji państwowej, a przede wszystkim było implikacją

wymogów stawianych przez Wspólnoty Europejskie. Dotyczą one zwłaszcza kontroli

nad wydatkowaniem środków pochodzących z Funduszy Strukturalnych i Funduszu

Spójności.

W Irlandii nie ma aktów prawnych wprowadzających obowiązek audytu

wewnętrznego w administracji publicznej. Standardy w tym obszarze wyznaczają trzy

instytucje: Ministerstwo Finansów, Irlandzki Oddział Instytutu Audytorów

Wewnętrznych oraz Instytut Administracji Publicznej. Komórki audytu działają

głównie na podstawie standardów opracowanych przez Instytut Administracji

68

L. Smolak “Kontrola i audyt w administracji publicznej – stan i perspektywy” materiały

70

background image

Publicznej. Wytyczne te stanowią adaptację standardów obowiązujących w sektorze

prywatnym do specyfiki pracy administracji publicznej. Procedury Finansów

Publicznych Ministerstwa Finansów określają audyt wewnętrzny jako wewnętrzną

informację na temat systemu kontroli zarządczej w instytucji, mającą charakter stałej

I niezależnej oceny jego efektywności. Audyt pełni tu funkcję pomocniczą dla

kierownictwa instytucji, w szczególności dla jej dysponenta.

NIEMCY

Instytut Audytu Wewnętrznego we Frankfurcie nad Menem istnieje od 1958 r.

Pomimo tego, iż podstawowym jego zadaniem jest rozpowszechnianie informacji na

temat audytu wewnętrznego oraz wypracowywanie zasad i metod przeprowadzania

audytu, dopiero w 1998 r. rząd niemiecki rozpoczął na szerszą skalę wdrażanie

audytu wewnętrznego. Do tego czasu we wszystkich ministerstwach federalnych

funkcjonowały komórki kontroli finansowej, które miały specyficzną pozycję. Były to

jednostki zewnętrznej kontroli finansowej, podporządkowane Federalnemu

Trybunałowi Obrachunkowemu. Jednostki te były jednak włączone w strukturę

ministerstw. Na podstawie ustawy o rozwoju federalnego i krajowego prawa

budżetowego dokonano zmian w systemie kontroli finansowej. Zadania

ministerialnych jednostek kontroli finansowej przejęło od 1 stycznia 1998 r. dziewięć

federalnych urzędów kontroli, podlegających bezpośrednio Trybunałowi

Obrachunkowemu. Urzędy te znajdują się w Berlinie, Frankfurcie nad Menem,

Hamburgu, Hanowerze, Koblencji, Kolonii, Magdeburgu, Monachium i Stuttgarcie.

W czerwcu 1998 r. rząd federalny wydał dyrektywę w sprawie zapobiegania

korupcji w administracji rządowej. Dokument ten zalecił wprowadzenie

w administracji rządowej czasowo lub na stałe komórek audytu wewnętrznego.

Dyrektywa była na tyle ogólna, że dawała swobodę ministrom w zakresie

szczegółowych decyzji dotyczących utworzenia komórek audytu, zatem w każdym

ministerstwie federalnym audyt wewnętrzny został zorganizowany w inny sposób.

Zadania Komórki Audytu Wewnętrznego określono w sposób ogólny jako

kontrolowanie praworządności, bezpieczeństwa, gospodarności i celowości działań

administracji oraz wypracowanie koncepcji działań prewencyjnych. Komórka może

prowadzić audyt wewnątrz ministerstwa, a w instytucjach podporządkowanych tylko

wtedy, gdy jest to niezbędne do prawidłowego przeprowadzenia audytu

w ministerstwie. Celem audytu wewnętrznego jest wykrycie słabości, braków

i błędnych postępowań oraz zainicjowanie działań zmierzających do ich zmiany.


z konferencji odbywającej się w dniach 3-4 czerwca 2004 r. organizowanej przez MSWiA

71

background image

72

Komórka Audytu Wewnętrznego ma także wspierać inne jednostki organizacyjne

ministerstwa w efektywnym wypełnianiu zadań przez przekazywanie wszelkich ocen,

zaleceń oraz informacji na temat kontrolowanych działań.

Po

zakończeniu audytu jego wyniki przedstawia się kierownikowi komórki

poddanej audytowi, który ma prawo się do nich ustosunkować. Audytorzy

sporządzają protokół pokontrolny zawierający opis stwierdzonych nieprawidłowości,

zalecenia oraz opinię kierownika komórki audytowanej. Protokół podpisany przez

audytorów i kierownika komórki audytowanej przedkłada się właściwemu

sekretarzowi stanu. Po upływie określonego czasu audytorzy sprawdzają, czy

komórka wprowadziła w życie wszystkie zalecania. Komórka Audytu Wewnętrznego

sporządza ponadto corocznie raport dotyczący swej działalności i przedkłada go

sekretarzowi stanu.


Wyszukiwarka

Podobne podstrony:
sprawozdanie audyt wewnetrzny i kontrola finansowa w 2007 roku
– wewnętrzna kontrola finansowa i audyt wewnętrzny
– wewnętrzna kontrola finansowa i audyt wewnętrzny
O Martyniuk Audyt wewnetrzny a kontrola wew
informacja na temat kontroli finansowej i audytu wewnętrznego
AUDYT SYSTEMU KONTROLI WEWNĘTRZNEJ
przykładowa praca kontrolna z finansów, Finanse, Finanse publiczne
TEST AUDYT WEW, Studia, Finanse i rachunkowość, Semestr V, Podstawy Audytu Wewnętrznego (Pffaf)
program studiów Kontrola i audyt wewnętrzny w ŚWSZ w katowicach, Audyt Wewnętrzny, Audyt Wewnętrzny
Audyt wewnętrzny w przedsiębiorstwie (praca zaliczeniowa) 25 stron
Komunikacja niewerbalna - SPRAWOZDAWCZOŚĆ I ANALIZA FINANSOWA, PRACA MAGISTERSKA INŻYNIERSKA DYPLOM
praca kontrolna z finansów publicznych
Kontrola wewnetrzna a audyt wewnetrzny w administracji publicznej
praca kontrolna z finansów publicznych

więcej podobnych podstron