Co to jest ścieżka audytu?
Marcin Szemraj
Polska Akademia Rachunkowości SA
Realizacja przez jednostki sektora finansów publicznych projektów częściowo finansowanych z funduszy strukturalnych stało się okazją do wprowadzenia wielu zmian w zarządzaniu tymi jednostkami.
I. Jednym z przejawów tych zmian, towarzyszących korzystaniu ze środków pomocowych Unii Europejskiej jest nałożony na kierowników jednostek obowiązek m.in. sporządzania pisemnych procedur postępowania. Zgodnie z art. 47 oraz art. 63 ustawy o finansach publicznych, kierownik jednostki sektora finansów publicznych jest odpowiedzialny za opracowanie i wdrożenie procedur, instrukcji i mechanizmów składających się na system kontroli finansowej. Ustanawia on cele, wprowadza mechanizmy, ustala w formie pisemnej procedury kontroli oraz monitoruje i ocenia system kontroli finansowej. Procedury powinny być sporządzane z uwzględnieniem standardów kontroli finansowej, ogłoszonych komunikatem przez Ministra Finansów.
Termin pisemnych procedur kontroli jest ściśle związany z terminem "ścieżka audytu", który pojawił się w dokumentach programowych programów operacyjnych, wdrażanych w Polsce.
Zgodnie z treścią między innymi Uzupełnienia Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich oraz Zintegrowanego Programu Operacyjnego Rozwój Regionalny jednym z zadań komórki audytu wewnętrznego Instytucji Zarządzającej ww. programami operacyjnymi jest między innymi:
określenie wytycznych dotyczących przygotowania "ścieżek audytu",
opracowanie wytycznych określających jednolity wzór "ścieżek audytu" i ich prezentacji (...)
Wyjaśnienie terminu "ścieżka audytu" należy rozpocząć od wyjaśnienia terminów "proces" i "procedura".
Proces - jest to uporządkowany logicznie ciąg czynności, działań, decyzji i uzgodnień, których efektem jest powstanie pewnej wartości dodanej w postaci dającej się określić zmiany w środowisku zewnętrznym, którą określa się efektem pracy jednej lub kilku komórek organizacyjnych jednostki. W procesie mamy punkt wejścia, okoliczności rozpoczynające działania ukierunkowane na osiągnięcie określonego skutku oraz punkt wyjścia.
Procedura - jest to tryb postępowania w danej sprawie, w sprawie danego typu; prawidłowy tok jej załatwiania.
Zgodnie z jedną z definicji, ścieżka audytu jest uproszczoną formą zapisu procedur obowiązujących w wybranej komórce organizacyjnej w ramach pojedynczego procesu.
Według definicji Ministerstwa Finansów ścieżka audytu to narzędzie wspomagające zarządzanie w jednostce. Służy dokumentowaniu wszystkich procesów zachodzących w danej organizacji oraz opisaniu kontroli wewnętrznej.
Innymi słowy, to przede wszystkim dokument wspomagający zarządzanie w jednostce. Służy on dokumentowaniu realizowanych procesów, a przede wszystkim opisaniu systemu kontroli wewnętrznej.
Dobrze skonstruowana ścieżka audytu pozwala na prześledzenie drogi podejmowania decyzji lub załatwienia danej sprawy, jak również powinna umożliwić odtworzenie przebiegu procesu na podstawie dostępnej w tej jednostce dokumentacji. Dobry zapis procedury powinien pozwolić na ocenę przeprowadzenia opisanych czynności po dłuższym okresie czasu. Należy podkreślić, że ścieżka audytu jako dokument powinna podlegać aktualizacji w przypadku modyfikacji przebiegu procedury lub jej elementów, np. zmiany dokumentu, adresata lub formy dokonywanej kontroli.
Wymieńmy, do czego potrzebna jest nam ścieżka audytu:
pozwala określić mechanizmy kontrolne w danym procesie,
pozwala na lepsze zrozumienie procesu,
daje nowym pracownikom prosty opis zadań, które będą realizować,
wskazuje słabe punkty procesu.
Przedstawienie kontroli istniejących w danym procesie, procedurach jego realizacji jest kwintesencją ścieżki audytu.
Ścieżka audytu służy kadrze zarządzającej do sprawowania kontroli, chociaż może też służyć funkcjom audytowym w ocenie i ewaluacji efektywności kontroli i procesów oraz w celu podjęcia specyficznych badań.
Jako środek:
monitorowania efektywności kontroli,
identyfikacji kroków czy procesów, przez które przeszły transakcje czy dane,
identyfikacji źródeł błędów,
dostarczania informacji o dostępach do systemów komputerowych i danych, gdzie istnieją odpowiednie systemy kontroli identyfikacji dostępu,ścieżki audytu służą kierownictwu danego podmiotu. W pewnych przypadkach mogą one również służyć przydzieleniu odpowiedzialności osobom czy procesom za zmiany, które nastąpiły w danych czy transakcjach.
Ścieżka audytu powinna wskazywać między innymi:
czynności, które są wykonywane w ramach danego procesu;
wykonawców czynności - osoby realizujące poszczególne działania i odpowiedzialne za ich wykonanie w procesie;
odbiorców czynności - punkt wyjścia z procesu i jego zakończenie;
czas trwania poszczególnych działania - terminy, ramy czasowe dla wykonania poszczególnych czynności (jeśli jest to możliwe);
dokumenty źródłowe - dokumenty otrzymane przez wykonawcę na wejściu do procesu (listy, wnioski i inne);
dokumenty wtórne - dokumenty powstałe w ramach procesu będące jego efektem (pisma wychodzące, listy sprawdzające, notatki służbowe, protokoły i inne);
miejsce dokonywania czynności i przechowywania ww. dokumentów;
formę przechowywania ww. dokumentów - forma elektroniczna czy tradycyjna, papierowa;
systemy informatyczne wspierające realizację procesu na poszczególnych etapach, w trakcie wykonywania poszczególnych czynności;
kolejność księgowania na poszczególnych kontach (w przypadku przepływu środków finansowych),
mechanizmy kontroli, rodzaje i etapy kontroli czynności dokonywanych w trakcie realizacji procesu i dokumentów źródłowych lub wtórnych.
Najpopularniejsze mechanizmy kontrolne, to:
autoryzacja,
nadzór,
procedury,
ograniczenie dostępu,
podział obowiązków,
zatwierdzenie,
weryfikacja.
Rozpoczynając pracę nad przygotowaniem ścieżki należy określić następujące dane:
Czynność - określenie czynności, etapu procesu.
Podmiot - pracownicy zaangażowani w realizacje procesu. Należy wskazywać stanowiska lub funkcję, a nie dane personalne czy nazwę jednostki organizacyjnej. Konkretnych czynności dokonują poszczególni ludzie, a nie podmioty zbiorowe.
Miejsce - zwykle w proces zaangażowanych może być więcej komórek organizacyjnych,
Sposób - dotyczący wykonania danej czynności, w tym wytworzone dokumenty, adnotacje, wpisy oraz wykorzystane systemy informatyczne. W tym miejscu wykazuje się mechanizmy kontroli sprawowanej w ramach realizacji opisywanej czynności.
Czas - przewidywany do wykonania zadania niezbędny dla jego realizacji.
Ścieżka audytu jest narzędziem służącym do wykrywania wrażliwych punktów procesu - dlatego, z uwzględnieniem specyfiki działalności danego podmiotu, powinna:
być opracowana odrębnie dla każdego procesu,
uwzględniać powiązania pomiędzy komórkami organizacyjnymi instytucji,
pokazywać, kto jest odpowiedzialny za daną jego część,
wskazywać systemy informatyczne wspierające realizację procesu,
dokładnie obrazować sposób zarządzania, kontrolowania i monitorowania procesu, w tym środków finansowych,
wskazywać, kto sporządza jakie dokumenty i kto te dokumenty sprawdza, akceptuje i przesyła dalej,
dla przepływu środków finansowych, przedstawić kolejność księgowania na poszczególnych kontach, najlepiej ilustrując przepływy diagramem pokazującym, na jakich kontach środki finansowe są księgowane na poszczególnych etapach procesu,
uwzględniać procedury alternatywne, tzn. takie które są stosowane przy zmianie toku załatwiania sprawy.
II. Należy także pamiętać także o tym, że termin "ścieżka audytu" może być rozumiany nieco inaczej. Rozporządzenie Komisji (WE) nr 438/ 2001 z dnia 2 marca 2001 r. ustanawiające szczegółowe zasady wdrożenia rozporządzenia Rady 1260/1999 w sprawie systemów zarządzania i kontroli w zakresie pomocy udzielanej w ramach funduszy strukturalnych stwierdza m.in., iż "system zarządzania i kontroli Państw Członkowskich zapewni odpowiedni ślad rewizyjny".
W angielskiej wersji językowej rozporządzenia używa się terminu "audit trial"- a więc terminu - "ścieżka audytu", który raczej powinien być w tym przypadku przetłumaczony raczej jako właśnie " ślad rewizyjny".
Wyżej wymienione rozporządzenie uznaje ścieżkę audytu za dostateczną, jeżeli pozwala na:
porównanie całkowitych udokumentowanych kwot z księgami rachunkowymi uwzględniającymi poszczególne wydatki i odpowiednimi dokumentami otrzymanymi od wszystkich podmiotów uczestniczących w realizacji działań;
sprawdzenie alokacji funduszy krajowych i unijnych;
dostarczanie przez księgi rachunkowe szczegółowych informacji na temat faktycznie poniesionych wydatków przy każdej operacji współfinansowanej przez końcowych beneficjantów;
jasne wskazanie częściowego współfinansowania danej operacji i udokumentowanie kryteriów, jakie były stosowane przy podziale;
weryfikację poniesionych wydatków w oparciu o szczegółowe deklaracje wydatków poparte przechowywaną dokumentacją dotyczącą współfinansowanych operacji.
Podstawowym zadaniem ścieżki audytu w tym znaczeniu jest utrzymanie, skompletowanie dokumentacji na każdym etapie wdrażania funduszy strukturalnych, które zapewni możliwość śledzenia wydatków. W tym przypadku ścieżka audytu jest przede wszystkim dla audytorów, a nie dla jednostki.
Kiedy ścieżka jest wystarczająca?
Gdy istnieje szczegółowa dokumentacja księgowa (data, wykonawca, kwoty, data płatności, potwierdzenie płatności itd.),
Jest dokładne rozróżnienie dofinansowania,
Wszystkie inne dokumenty, stworzone w ramach projektu są dostępne: raporty, sprawozdania, informacje z kontroli, dokumenty z przetargów itp.