Co to jest ścieżka audytu?

Marcin Szemraj

Polska Akademia Rachunkowości SA

Realizacja przez jednostki sektora finansów publicznych projektów częściowo finansowanych z funduszy strukturalnych stało się okazją do wprowadzenia wielu zmian w zarządzaniu tymi jednostkami.

I. Jednym z przejawów tych zmian, towarzyszących korzystaniu ze środków pomocowych Unii Europejskiej jest nałożony na kierowników jednostek obowiązek m.in. sporządzania pisemnych procedur postępowania. Zgodnie z art. 47 oraz art. 63 ustawy o finansach publicznych, kierownik jednostki sektora finansów publicznych jest odpowiedzialny za opracowanie i wdrożenie procedur, instrukcji i mechanizmów składających się na system kontroli finansowej. Ustanawia on cele, wprowadza mechanizmy, ustala w formie pisemnej procedury kontroli oraz monitoruje i ocenia system kontroli finansowej. Procedury powinny być sporządzane z uwzględnieniem standardów kontroli finansowej, ogłoszonych komunikatem przez Ministra Finansów.

Termin pisemnych procedur kontroli jest ściśle związany z terminem "ścieżka audytu", który pojawił się w dokumentach programowych programów operacyjnych, wdrażanych w Polsce.

Zgodnie z treścią między innymi Uzupełnienia Sektorowego Programu Operacyjnego Rozwój Zasobów Ludzkich oraz Zintegrowanego Programu Operacyjnego Rozwój Regionalny jednym z zadań komórki audytu wewnętrznego Instytucji Zarządzającej ww. programami operacyjnymi jest między innymi:

• określenie wytycznych dotyczących przygotowania "ścieżek audytu",

• opracowanie wytycznych określających jednolity wzór "ścieżek audytu" i ich prezentacji (...)

Wyjaśnienie terminu "ścieżka audytu" należy rozpocząć od wyjaśnienia terminów "proces" i "procedura".

Proces - jest to uporządkowany logicznie ciąg czynności, działań, decyzji i uzgodnień, których efektem jest powstanie pewnej wartości dodanej w postaci dającej się określić zmiany w środowisku zewnętrznym, którą określa się efektem pracy jednej lub kilku komórek organizacyjnych jednostki. W procesie mamy punkt wejścia, okoliczności rozpoczynające działania ukierunkowane na osiągnięcie określonego skutku oraz punkt wyjścia.

Procedura - jest to tryb postępowania w danej sprawie, w sprawie danego typu; prawidłowy tok jej załatwiania.

Zgodnie z jedną z definicji, ścieżka audytu jest uproszczoną formą zapisu procedur obowiązujących w wybranej komórce organizacyjnej w ramach pojedynczego procesu.

Według definicji Ministerstwa Finansów ścieżka audytu to narzędzie wspomagające zarządzanie w jednostce. Służy dokumentowaniu wszystkich procesów zachodzących w danej organizacji oraz opisaniu kontroli wewnętrznej.

Innymi słowy, to przede wszystkim dokument wspomagający zarządzanie w jednostce. Służy on dokumentowaniu realizowanych procesów, a przede wszystkim opisaniu systemu kontroli wewnętrznej.

Dobrze skonstruowana ścieżka audytu pozwala na prześledzenie drogi podejmowania decyzji lub załatwienia danej sprawy, jak również powinna umożliwić odtworzenie przebiegu procesu na podstawie dostępnej w tej jednostce dokumentacji. Dobry zapis procedury powinien pozwolić na ocenę przeprowadzenia opisanych czynności po dłuższym okresie czasu. Należy podkreślić, że ścieżka audytu jako dokument powinna podlegać aktualizacji w przypadku modyfikacji przebiegu procedury lub jej elementów, np. zmiany dokumentu, adresata lub formy dokonywanej kontroli.

Wymieńmy, do czego potrzebna jest nam ścieżka audytu:

• pozwala określić mechanizmy kontrolne w danym procesie,

• pozwala na lepsze zrozumienie procesu,

• daje nowym pracownikom prosty opis zadań, które będą realizować,

• wskazuje słabe punkty procesu.

Przedstawienie kontroli istniejących w danym procesie, procedurach jego realizacji jest kwintesencją ścieżki audytu.

Ścieżka audytu służy kadrze zarządzającej do sprawowania kontroli, chociaż może też służyć funkcjom audytowym w ocenie i ewaluacji efektywności kontroli i procesów oraz w celu podjęcia specyficznych badań.

Jako środek:

• monitorowania efektywności kontroli,

• identyfikacji kroków czy procesów, przez które przeszły transakcje czy dane,

• identyfikacji źródeł błędów,

• dostarczania informacji o dostępach do systemów komputerowych i danych, gdzie istnieją odpowiednie systemy kontroli identyfikacji dostępu,ścieżki audytu służą kierownictwu danego podmiotu. W pewnych przypadkach mogą one również służyć przydzieleniu odpowiedzialności osobom czy procesom za zmiany, które nastąpiły w danych czy transakcjach.

Ścieżka audytu powinna wskazywać między innymi:

• czynności, które są wykonywane w ramach danego procesu;

• wykonawców czynności - osoby realizujące poszczególne działania i odpowiedzialne za ich wykonanie w procesie;

• odbiorców czynności - punkt wyjścia z procesu i jego zakończenie;

• czas trwania poszczególnych działania - terminy, ramy czasowe dla wykonania poszczególnych czynności (jeśli jest to możliwe);

• dokumenty źródłowe - dokumenty otrzymane przez wykonawcę na wejściu do procesu (listy, wnioski i inne);

• dokumenty wtórne - dokumenty powstałe w ramach procesu będące jego efektem (pisma wychodzące, listy sprawdzające, notatki służbowe, protokoły i inne);

• miejsce dokonywania czynności i przechowywania ww. dokumentów;

• formę przechowywania ww. dokumentów - forma elektroniczna czy tradycyjna, papierowa;

• systemy informatyczne wspierające realizację procesu na poszczególnych etapach, w trakcie wykonywania poszczególnych czynności;

• kolejność księgowania na poszczególnych kontach (w przypadku przepływu środków finansowych),

• mechanizmy kontroli, rodzaje i etapy kontroli czynności dokonywanych w trakcie realizacji procesu i dokumentów źródłowych lub wtórnych.

Najpopularniejsze mechanizmy kontrolne, to:

• autoryzacja,

• nadzór,

• procedury,

• ograniczenie dostępu,

• podział obowiązków,

• zatwierdzenie,

• weryfikacja.

Rozpoczynając pracę nad przygotowaniem ścieżki należy określić następujące dane:

1. Czynność - określenie czynności, etapu procesu.

2. Podmiot - pracownicy zaangażowani w realizacje procesu. Należy wskazywać stanowiska lub funkcję, a nie dane personalne czy nazwę jednostki organizacyjnej. Konkretnych czynności dokonują poszczególni ludzie, a nie podmioty zbiorowe.

3. Miejsce - zwykle w proces zaangażowanych może być więcej komórek organizacyjnych,

4. Sposób - dotyczący wykonania danej czynności, w tym wytworzone dokumenty, adnotacje, wpisy oraz wykorzystane systemy informatyczne. W tym miejscu wykazuje się mechanizmy kontroli sprawowanej w ramach realizacji opisywanej czynności.

5. Czas - przewidywany do wykonania zadania niezbędny dla jego realizacji.

Ścieżka audytu jest narzędziem służącym do wykrywania wrażliwych punktów procesu - dlatego, z uwzględnieniem specyfiki działalności danego podmiotu, powinna:

• być opracowana odrębnie dla każdego procesu,

• uwzględniać powiązania pomiędzy komórkami organizacyjnymi instytucji,

• pokazywać, kto jest odpowiedzialny za daną jego część,

• wskazywać systemy informatyczne wspierające realizację procesu,

• dokładnie obrazować sposób zarządzania, kontrolowania i monitorowania procesu, w tym środków finansowych,

• wskazywać, kto sporządza jakie dokumenty i kto te dokumenty sprawdza, akceptuje i przesyła dalej,

• dla przepływu środków finansowych, przedstawić kolejność księgowania na poszczególnych kontach, najlepiej ilustrując przepływy diagramem pokazującym, na jakich kontach środki finansowe są księgowane na poszczególnych etapach procesu,

• uwzględniać procedury alternatywne, tzn. takie które są stosowane przy zmianie toku załatwiania sprawy.

II. Należy także pamiętać także o tym, że termin "ścieżka audytu" może być rozumiany nieco inaczej. Rozporządzenie Komisji (WE) nr 438/ 2001 z dnia 2 marca 2001 r. ustanawiające szczegółowe zasady wdrożenia rozporządzenia Rady 1260/1999 w sprawie systemów zarządzania i kontroli w zakresie pomocy udzielanej w ramach funduszy strukturalnych stwierdza m.in., iż "system zarządzania i kontroli Państw Członkowskich zapewni odpowiedni ślad rewizyjny".

W angielskiej wersji językowej rozporządzenia używa się terminu "audit trial"- a więc terminu - "ścieżka audytu", który raczej powinien być w tym przypadku przetłumaczony raczej jako właśnie " ślad rewizyjny".

Wyżej wymienione rozporządzenie uznaje ścieżkę audytu za dostateczną, jeżeli pozwala na:

• porównanie całkowitych udokumentowanych kwot z księgami rachunkowymi uwzględniającymi poszczególne wydatki i odpowiednimi dokumentami otrzymanymi od wszystkich podmiotów uczestniczących w realizacji działań;

• sprawdzenie alokacji funduszy krajowych i unijnych;

• dostarczanie przez księgi rachunkowe szczegółowych informacji na temat faktycznie poniesionych wydatków przy każdej operacji współfinansowanej przez końcowych beneficjantów;

• jasne wskazanie częściowego współfinansowania danej operacji i udokumentowanie kryteriów, jakie były stosowane przy podziale;

• weryfikację poniesionych wydatków w oparciu o szczegółowe deklaracje wydatków poparte przechowywaną dokumentacją dotyczącą współfinansowanych operacji.

Podstawowym zadaniem ścieżki audytu w tym znaczeniu jest utrzymanie, skompletowanie dokumentacji na każdym etapie wdrażania funduszy strukturalnych, które zapewni możliwość śledzenia wydatków. W tym przypadku ścieżka audytu jest przede wszystkim dla audytorów, a nie dla jednostki.

Kiedy ścieżka jest wystarczająca?

• Gdy istnieje szczegółowa dokumentacja księgowa (data, wykonawca, kwoty, data płatności, potwierdzenie płatności itd.),

• Jest dokładne rozróżnienie dofinansowania,

• Wszystkie inne dokumenty, stworzone w ramach projektu są dostępne: raporty, sprawozdania, informacje z kontroli, dokumenty z przetargów itp.

---