przykład audytu, audyt systemów zarządzania


Wprowadzenie

1. Zakres działania Powiatu Oleśnickiego(tekst jednolity ogłoszony w 2001r. Dz. U. Nr 142, poz. 1592, z późniejszymi zmianami).

Powiat wykonuje określone ustawami zadania publiczne w imieniu własnym i na własną odpowiedzialność.

2. Powiat ma osobowość prawną.

3. Samodzielność powiatu podlega ochronie sądowej.

4. O ustroju powiatu stanowi jego statut.

Powiat Oleśnicki, w myśl art. 5 pkt 1 oraz 35 d, ust. 2 ustawy z dnia 26 listopada 1998 r. o finansach publicznych (tekst jednolity ogłoszony w 2003r. Dz. U. Nr 15, poz.148 z późniejszymi zmianami) jest jednostką sektora finansów publicznych zobowiązaną do prowadzenia audytu wewnętrznego.

Zarząd Powiatu Oleśnickiego sprawuje władzę wykonawczą w powiecie przy pomocy Urzędu Starostwa Powiatowego, zgodnie z art. 33 ustawy z 5 czerwca 1998r. o samorządzie powiatowym (tekst jednolity ogłoszony w 2001r. Dz. U. Nr 142, poz. 1592, z późniejszymi zmianami).

Powiat Oleśnicki wykonuje w szczególności zadania:

Zadania publiczne o charakterze ponadgminnym (powiatowym) dotyczą:

1. Edukacji publicznej,

2. Promocji i ochrony zdrowia,

3. Pomocy społecznej,

4. Polityki prorodzinnej,

5. Wspierania osób niepełnosprawnych,

6. Transportu zbiorowego i dróg publicznych,

7. Kultury i ochrony dóbr kultury,

8. Kultury fizycznej i turystyki,

9. Geodezji, kartografii i katastru,

10. Gospodarki nieruchomościami,

11. Administracji architektoniczno-budowlanej,

12. Gospodarki wodnej,

13. Ochrony środowiska i przyrody,

14. Rolnictwa, leśnictwa i rybactwa śródlądowego,

15. Porządku publicznego i bezpieczeństwa obywateli,

16. Ochrony przeciwpowodziowej, w tym wyposażenia i utrzymania powiatowego magazynu przeciwpowodziowego, przeciwpożarowej i zapobiegania innym nadzwyczajnym zagrożeniom życia i zdrowia ludzi oraz środowiska,

17. Przeciwdziałania bezrobociu oraz aktywizacji lokalnego rynku pracy,

18. Ochrony praw konsumenta,

19. Utrzymania powiatowych obiektów i urządzeń użyteczności publicznej oraz obiektów administracyjnych,

20. Obronności,

21. Promocji powiatu,

22. Współpracy z organizacjami pozarządowymi,

23. Zapewnienie wykonania określonych w ustawach zadań i kompetencji kierowników powiatowych służb, inspekcji i straży.

.

2. Audyt wewnętrzny w Starostwie Powiatowym i Jednostkach Organizacyjnych Powiatu Olesnickiego

Na podstawie art. 35j ustawy o finansach publicznych, Minister Finansów wydał Rozporządzenie w sprawie szczegółowego sposobu i trybu przeprowadzania audytu wewnętrznego (Dz. U. nr 111, poz. 973), które reguluje tryb przeprowadzania audytu wewnętrznego w jednostkach sektora finansów publicznych.

Powiat Oleśnicki na podstawie art. 35d ust. 3 ustawy z dnia 26.11.1998r. o finansach publicznych oraz Rozporządzenia Ministra Finansów z dnia 20.12.2002r. w sprawie określenia kwot przychodów oraz wydatków środków publicznych dokonywanych w ciągu roku kalendarzowego, których przekroczenie powoduje obowiązek prowadzenia audytu wewnętrznego w jednostkach sektora finansów publicznych (Dz.U. nr 234 poz.1970), został zobligowany do wprowadzenia w swoje struktury organizacyjne stanowiska ds. audytu wewnętrznego, na które powołano z dniem 01.12.2004 pana Stanisława Kuświka. W uchwale Zarządu Powiatu Oleśnickiego z dnia 29.09.2004 nr 484/2004 został wprowadzony Regulamin przeprowadzenia audytu wewnętrznego określający prawa i obowiązki audytora wewnętrznego .

2.1. Cele audytu wewnętrznego w Starostwie Powiatowym i Jednostkach Organizacyjnych Powiatu Oleśnickiego

Zgodnie z art. 35c ust.1 ustawy o finansach publicznych audytem wewnętrznym jest ogół działań, przez które kierownik jednostki uzyskuje obiektywną i niezależną ocenę funkcjonowania jednostki w zakresie gospodarki finansowej pod względem legalności, gospodarności, celowości, rzetelności, a także przejrzystości i jawności. Definicję tę należy postrzegać poprzez pryzmat Standardów Profesjonalnej Praktyki Audytu Wewnętrznego, opracowanych przez Instytut Audytorów Wewnętrznych, które definiują audyt wewnętrzny jako: „niezależne, obiektywne działania
o charakterze zapewniającym i doradczym, zaprojektowane w celu przysporzenia dodatkowej wartości i usprawnienia działalności danej instytucji. Pomaga on danej organizacji
w osiąganiu jej celów poprzez wprowadzenie systematycznego, zdyscyplinowanego podejścia
do oceny i poprawy skuteczności w zakresie procesów zarządzania ryzykiem, kontroli
i kierowania (governance) organizacją”.

Celem audytu wewnętrznego w Starostwie Powiatowym i Jednostkach Organizacyjnych Powiatu Oleśnickiego jest przeprowadzanie niezależnej i obiektywnej oceny systemów kontroli wewnętrznej i funkcjonowania komórek organizacyjnych Powiatu Oleśnickiego w tym prowadzonej przez nie gospodarki finansowej, za pomocą wszechstronnych procedur audytu opartych na powszechnie uznanych i obowiązujących standardach, w tym międzynarodowych standardach audytu wewnętrznego.

Zadaniem audytora wewnętrznego jest zgodnie z ustawą o finansach publicznych przeprowadzanie audytu wewnętrznego w Starostwie Powiatowym i Jednostkach Organizacyjnych Powiatu Oleśnickiego. Audyt wewnętrzny stanowi system wspierający osiąganie wytyczonych celów w Powiecie Oleśnickim, poprzez systematyczne i konsekwentne działanie służące ocenie
i poprawie skuteczności zarządzania ryzykiem występującym w działalności Starostwa Powiatowego i Jednostek Organizacyjnych Powiatu, jego systemu kontroli oraz procesów zarządzania.

Do celów audytu wewnętrznego w Powiecie Oleśnickim, należy między innymi dbałość o interesy Unii Europejskiej, poprzez prowadzenie audytu procesów zachodzących w związku z przepływem środków finansowych z funduszy pomocy bezzwrotnej oraz funduszy strukturalnych i innych środków finansowych pochodzących z Unii Europejskiej. Profesjonalny audytor, który dąży do stałego rozwoju zawodowego, jest istotnym czynnikiem, umożliwiającym osiągnięcie tego celu.

2.2. Relacje pomiędzy audytem wewnętrznym a kadrą kierowniczą Starostwa Powiatowego i Jednostek Organizacyjnych Powiatu Oleśnickiego

Audyt wewnętrzny poprzez ocenę systemów kontroli wewnętrznej, za które kadra kierownicza jest odpowiedzialna oraz ocenę efektywności zarządzania ryzykiem, wspiera kadrę kierowniczą w wypełnianiu powierzonych zadań. Ocena taka i komunikowanie rezultatów nie jest uczestnictwem w procesie zarządzania. W tym miejscu należy wspomnieć, że zgodnie ze „Standardami audytu wewnętrznego w jednostkach sektora finansów publicznych”, audytor wewnętrzny musi być niezależny także w sferze operacyjnej. Oznacza to, że nie powinien być narażony na próby narzucenia obszarów audytu, wpływania na sposób wykonywania pracy
i przekazywania wyników.

Decyzja dotycząca akceptacji rekomendacji audytora a następnie ich wdrożenia spoczywa na kadrze kierowniczej. Alternatywą jest zaakceptowanie ryzyka związanego z wstrzymaniem wykonania rekomendacji. Ostateczna decyzja o akceptacji zidentyfikowanych przez audytora ryzyk lub wdrożenia rekomendacji należy do Starosty Powiatu Oleśnickiego.

2.3. Współpraca z audytorami zewnętrznymi

Poszczególne obszary działalności Powiatu Oleśnickiego i zachodzące w nich procesy lub komórki organizacyjne Powiatu Oleśnickiego będą poddawane audytowi zewnętrznemu, w tym ze strony audytorów Komisji Europejskiej.

Relacje pomiędzy kontrolerami i audytorami zewnętrznymi nie uregulowane w odpowiednich aktach prawnych, umowach międzynarodowych bądź umowach cywilnych będą wymagały każdorazowo odpowiednich dyspozycji Starosty z jednej strony a audytorami zewnętrznymi lub kontrolerami z drugiej, określających zasady współpracy i współdziałania oraz wzajemnego korzystania z wyników swojej pracy.

3. Książka procedur

Książka procedur została ona opracowana w oparciu o obowiązujące akty prawne oraz standardy, tj.:

Ustawa z dnia 26 listopada 1998r.,o finansach publicznych, Dz.U. Ministra 2003r. nr 15, poz.148 z późn. zm.,

Rozporządzenie Ministra Finansów w sprawie szczegółowego sposobu i trybu przeprowadzania audytu wewnętrznego, DZ.U. nr 111 poz. 973 z dnia 5 lipca 2002r.,

Komunikat nr 2 Ministra Finansów z dnia 30 stycznia 2003r. w sprawie ogłoszenia „Standardów audytu wewnętrznego w jednostkach sektora finansów publicznych”, Dz.Urz. MF nr 3, poz.14) ,

Komunikat nr 6/KF/2004 Ministra Finansów z dnia 28 kwietnia 2004r. w sprawie ogłoszenia „Kodeksu etyki audytora wewnętrznego w jednostkach sektora finansów publicznych” i karty audytu wewnętrznego w jednostkach sektora finansów publicznych”,

Niniejszą książkę procedur należy traktować jako szczegółową instrukcję przeprowadzania audytu wewnętrznego w Starostwie Powiatowym w Oleśnicy i Jednostkach Organizacyjnych Powiatu Oleśnickiego, mającą zastosowanie do wszystkich czynności audytowych przeprowadzanych przez audytora wewnętrznego.

4. Zarządzanie dokumentacją

Dokumentacja z zadań audytowych, z analizy ryzyka oraz wszelkie inne dokumenty dotyczące prac audytorskich są przechowywane i archiwizowane w zamykanych szafach. Obejmują one stałe i bieżące akta audytu.

4.1. Stałe akta audytu

Stałe akta audytu prowadzone są w celu gromadzenia informacji dotyczących obszarów, które mogą być przedmiotem audytu i obejmują w szczególności:

akty normatywne związane z zakresem działania Starostwa Powiatowego i Jednostek Organizacyjnych Powiatu Oleśnickiego, regulującym ich funkcjonowanie :

Ustawa z dnia ustawy z 5 czerwca 1998r. o samorządzie powiatowym (tekst jednolity ogłoszony w 2001r. Dz. U. Nr 142, poz. 1592, z późniejszymi zmianami)..

Akty wewnętrzne regulujące funkcjonowanie Starostwa Powiatowego i Jednostek Organizacyjnych Powiatu Oleśnickiego, a dotyczące tematyki m.in.:

Dotyczące zamówień publicznych,

Dokumenty zawierające opis procedur kontroli, w tym:

Regulamin Organizacyjny,

Instrukcja Obiegu i Kontroli Dokumentów Księgowych,

Dotyczące kontroli finansowej, zasad rachunkowości, zakładowego planu kont, instrukcji kontroli Instrukcja inwentaryzacyjna,

Regulamin Procedury i Działania Komisji Przetargowej,

Regulamin Kontroli Wewnętrznej

Schemat organizacyjny,

Informacje dotyczące zatrudnienia (aktualizowane kwartalnie),

Informacje dotyczące zidentyfikowanych ryzyk w Starostwie i Jednostkach Organizacyjnych, wraz z uwagami ze strony pracowników złożonymi w formie pisemnej.

Szczegółowe informacje o Starostwie Powiatowym i Jednostek Organizacyjnych opracowywane przez pracowników,

Roczne plany audytu wewnętrznego,

Wykaz skrótów stosowanych w audycie wewnętrznym,

Akty prawne dotyczące audytu wewnętrznego:

Wyciąg z ustawy o finansach publicznych,

Rozporządzenie MF w sprawie szczegółowego sposobu i trybu przeprowadzania audytu wewnętrznego. Dz.U. nr 111, poz. 973, z 5 lipca 2002r.,

Standardy audytu wewnętrznego w j.s.f.p.,

Kodeks etyki audytora wewnętrznego w j.s.f.p.,

Karta audytu wewnętrznego w j.s.f.p.,

Standardy kontroli finansowej w j.s.f.p.

Regulamin przeprowadzenia audytu wewnętrznego w Powiecie Oleśnickim,

Materiały prasowe związane z tematyką audytu wewnętrznego.

Stałe akta audytu podlegają aktualizacji. Dla każdego z typu dokumentów prowadzi się oddzielny zbiór oznaczony symbolem AS (gdzie AS oznacza akta stałe audytu) oraz ewentualnie szczegółowym opisem, np. AS- regulaminy wewnętrzne. Stałe akta audytu podlegają okresowym przeglądom przez audytora wewnętrznego.

4.2. Bieżące akta audytu

Audytor Wewnętrzny uczestniczący w zadaniach audytowych dokumentuje przebieg
i wyniki tych zadań, zakładając i prowadząc w tym celu bieżące akta audytu. Każda informacja dotycząca zadania audytowego jest dokumentowana w bieżących aktach audytu.

Bieżące akta audytu obejmują:

  1. imienne upoważnienia do przeprowadzenia audytu wewnętrznego,

  2. programy zadań audytowych,

  3. dokumentacja zebrana w trakcie realizacji zadań audytowych,

  4. korespondencja związana z realizacją zadań audytowych.

Wszystkie wyżej wymienione dokumenty, włącza się do bieżących akt audytu w kolejności wynikającej z toku dokonywanych czynności, numerując strony akt i zamieszczając, na początku każdej teczki akt, wykaz materiałów zawartych w danej teczce z podaniem ich nazwy
i odpowiedniej strony akt.

Dla każdego zadania audytowego prowadzi się oddzielny zbiór dokumentów oznaczony symbolem „AB” wraz z oznaczeniem numeru zadania audytowego oraz roku jego przeprowadzenia, np. 5/4/NA/AB/XX/numer kolejny dokumentu, gdzie poszczególne pozycje oznaczają:

W skład zbioru dokumentów wchodzą dokumenty sporządzone na piśmie oraz dokumenty umieszczone na elektronicznych nośnikach informacji.

Planowanie

1. Wprowadzenie

Planowanie to podstawowy etap czynności audytowych. Jest to proces ciągły, który obejmuje:

zebranie informacji o działalności jednostki, w tym poznanie procesów w obszarach działania Starostwa Powiatowego i Jednostek Organizacyjnych Powiatu Oleśnickiego,

identyfikacja systemów kontroli, systemów funkcjonalnych i obszarów ryzyka

udokumentowanie zebranych informacji,

dokonanie wstępnej analizy ryzyka,

określenie potrzeb audytu,

opracowanie planu audytu.

Audytor Wewnętrzny przygotowuje roczny plan audytu stosując analizę ryzyka w celu określenia priorytetowej listy procesów, które podlegają audytowi. Analizę ryzyka i planowanie przeprowadza się w okresach rocznych.

2. Zebranie informacji o działalności Starostwa Powiatowego i Jednostek Organizacyjnych Powiatu Oleśnickiego oraz poznanie zachodzących w nim procesów

Przez obszar działania należy rozumieć jednorodny fragment działalności Starostwa Powiatowego i Jednostek Organizacyjnych Powiatu Olesnickiego, dający się wyodrębnić ze względu na przedmiot, zaangażowane komórki organizacyjne oraz rezultat tej działalności. W obszarze można wyodrębnić procesy. Przez proces należy rozumieć pewien uporządkowany logicznie ciąg czynności, działań, decyzji i uzgodnień, których efektem jest powstanie pewnej wartości dodanej w postaci, dającej się określić zmiany w środowisku zewnętrznym, jako efekt pracy jednej lub kilku komórek organizacyjnych Starostwa Powiatowego i Jednostek Organizacyjnych Powiatu Oleśnickiego . W procesie może brać udział więcej niż jedna komórka organizacyjna Starostwa Powiatowego i Jednostek Organizacyjnych Powiatu Oleśnickiego .

W celu poznania obszaru, audytor musi zapoznać się z Regulaminem Starostwa Powiatowego i Jednostek Organizacyjnych Powiatu Oleśnickiego całością, dokonując analizy:

wewnętrznego regulaminu organizacyjnego poszczególnych komórek organizacyjnych Starostwa Powiatowego i Jednostek Organizacyjnych Powiatu Oleśnickiego , uchwała Rady Powiatowej w Oleśnicy oraz zakresami obowiązków służbowych, innych wewnętrznych procedur, zarządzeń i instrukcji, regulujących działanie Starostwa Powiatowego i Jednostek Organizacyjnych Powiatu Oleśnickiego , lub określonego procesu,

danych z wewnętrznych inspekcyjnych kontroli,

wszelkich danych pochodzących z monitoringów,

informacji od audytorów zewnętrznych,

wyników kontroli NIK,

sprawozdań,

odnośnych ustaw, rozporządzeń i umów, w tym umów międzynarodowych i memorandów finansowych,

Analizę tę należy powtarzać, aby była systematycznie uaktualniania. Konieczność ta wynika ze zmian oceny ryzyka, istotności, poziomu ryzyka akceptowanego przez Kierownictwo oraz
z zachodzących zmian organizacyjnych.

2.1. Rozmowy i wywiady

W Starostwie Powiatowym i Jednostkach Organizacyjnych Powiatu Oleśnickiego audytor wewnętrzny w celu dokładnego zapoznania się z procesami realizowanymi w jednostce a także zapoznania pracowników z celami i zadaniami audytu wewnętrznego, informacje zbiera się głównie poprzez rozmowy i wywiady prowadzone z kierownikami komórek oraz pracownikami. Daje to możliwość wnikliwego i pełnego zidentyfikowania szczególnych obszarów działania jednostki, mogących zostać poddanych badaniu przez audytora wewnętrznego.

Zasady przeprowadzania rozmów i wywiadów:

lista pytań - zagadnienia planowane do omówienia na spotkaniu powinny być sformułowane w formie listy pytań - przedkładanej do informacji kierującego audytem wewnętrznym, przykładową listę pytań przedstawia zał. nr 1,

termin spotkania - powinien być każdorazowo uzgodniony ze wszystkimi stronami spotkania, w taki sposób aby nie zakłócać wykonywania bieżących obowiązków,

przygotowanie - uczestnika/ów spotkania należy, odpowiednio wcześniej, poinformować
o tematyce spotkania oraz o niezbędnych dokumentach, o które audytor ewentualnie może prosić,

wywiad lub rozmowa - powinno zawsze uczestniczyć przynajmniej dwóch audytorów lecz ze względu na braki kadrowe wywiad jest przeprowadzany osobiście przez audytora wewnętrznego.

szczegółowe rozwiązania - wywiady / rozmowy z Kierownictwem Starostwa Powiatowego oraz kierownictwem audytowanych komórek organizacyjnych organizuje, ustala i przeprowadza audytor wewnętrzny.

Tematy omawiane na spotkaniu powinny obejmować:

cel i zakres działania komórki organizacyjnej,

procesy zachodzące w danym obszarze,

cele przypisane danemu obszarowi,

problemy, jakie napotyka komórka organizacyjna przy wykonywaniu swoich zadań,

zmiany organizacyjne i personalne, jakie zaszły w komórce od czasu przeprowadzenia ostatniego audytu,

zarządzanie ryzykiem,

istniejące w komórce procedury kontroli wewnętrznej,

ścieżkę audytu wewnętrznego - jeżeli została sporządzona przez właściciela procesu,

nieprawidłowości w funkcjonowaniu komórki organizacyjnej,

funkcjonowanie systemów informatycznych,

inne kwestie będące przedmiotem szczególnego zainteresowania audytorów lub kierownictwa komórki organizacyjnej.

Z powyższych wywiadów/rozmów audytor wewnętrzny sporządza notatkę zawierającą podsumowanie kwestii omówionych na spotkaniu, łącznie z wynikającymi z nich wnioskami
i ustaleniami. Notatka może być okazana przez audytora wewnętrznego kierownictwu komórki organizacyjnej, z którym został przeprowadzony wywiad/rozmowa. Notatkę przechowuje się
w stałych aktach audytu. Osobom, którym powyższa notatka została okazana, audytor wyznacza termin na zgłoszenie ewentualnych uwag (wzór notatki przedstawia zał. nr 2).

3. Identyfikacja systemów kontroli

Skutki wystąpienia ryzyka mogą być zredukowane przez implementacje odpowiednio zaprojektowanych kontroli. Kontrole te najczęściej wynikają z prawdopodobieństwa wystąpienia niepożądanych zdarzeń lub sytuacji i służą obniżeniu tego prawdopodobieństwa.

Identyfikując kontrole audytor określa czy jest to kontrola:

Prewencyjna - jej celem jest zapobieganie błędom, zanim się pojawią, m.in. autoryzacja.

Detekcyjna (wykrywająca) - stworzona, by wykryć błędy, kiedy się pojawią, stosowana
po zakończeniu procesu, dozwolona, gdy jest akceptowana strata.

Uzupełniająca - dodatkowa kontrola, której celem jest zmniejszenie ryzyka przy zawodności kontroli wewnętrznej.

Zarządcza - zawiera często wszystkie rodzaje kontroli realizowanych przez kierownictwo, m.in. przez szkolenia, nagrody, przeglądy, bezpośrednie zarządzanie.

Należy zwrócić uwagę na istnienie następujących procedur kontroli:

składanie sprawozdań, przeglądanie, aprobowanie uzgodnień,

sprawdzanie arytmetycznej poprawności dokumentów,

sprawdzanie merytorycznej poprawności dokumentów,

akceptowanie (autoryzacja) i kontrola dokumentów,

porównywanie wewnętrznych danych z zewnętrznymi źródłami informacji,

kontrolowanie programów komputerowych i środowiska informatycznego,

ograniczanie bezpośredniego dostępu do aktywów, dokumentów i systemu komputerowego,

porównywanie i analizowanie rzeczywistych wyników finansowych z zaplanowanymi w budżecie, inne stosowane w danej komórce organizacyjnej Starostwa Powiatowego i Jednostek Organizacyjnych Powiatu Oleśnickiego.

4. Wstępny przegląd systemów kontroli

Na podstawie zebranych informacji, na etapie planowania audytor dokonuje przeglądu systemów kontroli wewnętrznej identyfikując istniejące kontrole.

Poprzez system kontroli rozumieć należy ogół działań podejmowanych przez kierownictwo w komórkach organizacyjnych zaangażowanych w dany proces w obszarze audytu w celu poprawy zarządzania ryzykiem i zwiększenia prawdopodobieństwa zrealizowania ustalonych celów i działań. Kierownictwo planuje, organizuje i kieruje realizacją takich działań, które w odpowiednim stopniu zapewniają wykonanie zadań i celów. Na kontrolę wewnętrzną składają się zarówno elementy środowiska kontrolnego (czyli filozofia zarządzania, podział odpowiedzialności w systemach zarządzania oraz polityka procedur kontrolnych), jak również procedury kontrolne (wprowadzone przez Kierownictwo dla ochrony przeciwko defraudacji, nieprawidłowościom i błędom).

Na etapie planowania przedmiotem sprawdzenia będzie upewnienie się, czy istnieją narzędzia kontroli wewnętrznej w danym procesie. Ocena następuje na podstawie analizy dokumentacji poszczególnych procesów, zwłaszcza podziału obowiązków pomiędzy stanowiskami pracy oraz wszelkich procedur wprowadzających kontrolę wewnętrzną.

Na etapie planowania audytor nie ocenia czy kontrola jest skuteczna i wystarczająca.

Zrozumienie natury i odpowiedniej efektywności systemu kontroli stosowanego przez komórkę audytowaną jest niezbędne do przedstawienia adekwatnych informacji na temat funkcjonowania kontroli - na przykład do zidentyfikowania efektów zaobserwowanych słabości w systemie kontroli.

4.1. Udokumentowanie zebranych informacji

Dokumentując dany proces, audytor może posługiwać się następującymi technikami:

a) Opisem:

- wskazującym na formalne i nieformalne powiązania i przepływ informacji,

- określającym formy i narzędzia kontroli,

- wskazującym na zauważone na tym etapie odstępstwa od określonych zasad.

b) Diagramem pionowym (schematem struktury organizacyjnej):

- prezentującym relacje między poszczególnymi stanowiskami w Starostwie Powiatowym i Jednostkach Organizacyjnych Powiatu Oleśnickiego ,

- pokazującym linie raportowania, delegacji obowiązków i zatwierdzania decyzji,

- nie pokazującym jednak relacji nieformalnych i nie określającym szczegółowo procedur raportowania.

c) Diagramem poziomym:

- pokazującym proces w formie obrazkowej,

- ilustrującym przepływ dokumentów w procesie, co umożliwia audytorowi wstępne odniesienie się do procedur i kontroli istniejących w procesie,

- pozwalającym na stwierdzenie, skąd pochodzą i dokąd idą dokumenty,

- pozwalającym na wskazanie słabości w systemie kontroli wewnętrznej organizacji.

Symbole wykorzystywane przy konstruowaniu schematów zawiera zał. 3.

Audytor w swojej pracy może wykorzystać wszystkie opisane wyżej metody, samodzielnie dokonując oceny, która z nich w danym przypadku będzie najwłaściwsza
do prawidłowego udokumentowania obszaru/procesu. Zaleca się łączenie techniki opisowej
z diagramami. Audytor może wykorzystać diagramy komórek organizacyjnych, jednakże musi dokonać oceny czy diagram/schemat jest poprawny, kompletny i aktualny.

Audytor dokumentuje zaistniałe zmiany, potwierdza je, i włącza je do stałych akt audytu.

5. Analiza ryzyka na etapie planowania

Proces analizy ryzyka jest kluczową fazą procesu planowania audytu. Analiza ryzyka
to ocena podatności procesu lub obszaru na czynniki ryzyka.

Przygotowując roczny plan audytu należy oprzeć się na analizie obszarów ryzyka w zakresie działania jednostki sektora finansów publicznych (§ 3 rozporządzenia w sprawie szczegółowego sposobu i trybu przeprowadzania audytu wewnętrznego). Praca audytora wewnętrznego na tym etapie obejmuje, między innymi, identyfikowanie i ocenę ryzyka istniejącego w procesach zidentyfikowanych w Starostwie Powiatowym i Jednostach Organizacyjnych Powiatu Oleśnickiego oraz prawdopodobieństwo jego wystąpienia.

Podstawowe definicje:

Ryzyko

Możliwość wystąpienia zdarzenia, które będzie miało niepożądany wpływ na organizację

Ocena ryzyka

Identyfikacja i ocena ryzyk i ich potencjalnych skutków.

Analiza ryzyka

Metoda oceny podatności systemu lub grupy systemów na czynniki ryzyka.

Czynniki ryzyka

Fakty, którym należy przyporządkować określone wagi w celu wyliczenia ryzyka i istotności w planowaniu

Waga ryzyka

Wpływ danego czynnika ryzyka na badany system wyrażony poprzez przypisanie temu czynnikowi relatywnej wagi. Wyrażenie względnego znaczenia danego zjawiska w kontekście organizacji jako całości. Jest sprawą profesjonalnego osądu i obejmuje rozważenie wywieranego na organizację jako całość wpływu błędów, zaniedbań, nieprawidłowości lub niedozwolonych czynów, czy działań, które mogą mieć miejsce jako rezultat słabości kontroli w ramach audytowanego obszaru. Podczas oceny wagi audytor powinien rozważyć, całkowity poziom błędów możliwy do zaakceptowania przez kierownictwo i audytora oraz zdolność do kumulowania się małych błędów i słabości (tworzenia tzw. efektu kumulatywnego) i stawania się przez to znacznymi.

Ryzyko audytu (RA)

Ryzyko sformułowania błędnej opinii przez audytora. 

RA = RK x RW x RD

Ryzyko kontroli (RK)

Ryzyko wystąpienia sytuacji, w której istniejący system kontroli wewnętrznej nie zapobiegnie lub nie wykryje błędu o znaczącej wadze.

Ryzyko wewnętrzne(RW)

Ryzyko wystąpienia błędu o znaczącej wadze przy założeniu, że system kontroli wewnętrznej nie funkcjonuje. Jest to podatność na wystąpienie istotnego błędu, który sam lub w połączeniu z innymi błędami będzie miał istotny wpływ na analizowany obszar, przy braku odpowiednich kontroli wewnętrznych.

Ryzyko detekcji (RD)

Ryzyko, że przeprowadzone przez audytora testy, analityczne procedury nie wykryją błędów, który sam lub w połączeniu z innymi błędami będzie miał istotny wpływ na analizowany obszar.

Ryzyko może wiązać się z: błędną decyzją, wynikającą z wykorzystania nieprawdziwych, nieterminowych, niepełnych lub w inny sposób nierzetelnych informacji,

błędnym rejestrowaniem danych, niewłaściwym księgowaniem, zafałszowanymi sprawozdaniami, stratami finansowymi lub możliwościami ich zaistnienia,

niedopełnieniem właściwej ochrony majątku,

niezadowoleniem klientów/interesantów, szkodliwym rozgłosem, możliwością ujawnienia informacji prawem chronionych,

niezrealizowaniem obowiązującej polityki, strategii Starostwa Powiatowego i Jednostek Organizacyjnych Powiatu Oleśnickiego , planów i procedur lub nieprzestrzeganiem obowiązujących przepisów i regulacji,

nieekonomicznym nabywaniem środków lub wykorzystywaniem ich w sposób mało wydajny lub nieefektywny,

nie osiąganiem ustalonych celów i zadań dla operacji lub programów,

słabością lub brakiem kontroli w procesach,

niedostatecznym uświadomieniem sobie przez kierownictwo znaczenia istnienia kontroli w procesie i potrzeby zarządzania ryzykiem.

Poszczególne zachowania / zdarzenia mogą zaistnieć w konkretnym obszarze działania Starostwa Powiatowego i Jednostek Organizacyjnych Powiatu Oleśnickiego lub procesie zachodzącym w tym obszarze ewentualnie w części tego procesu.

6. Identyfikacja obszarów ryzyka i czynników ryzyka

Procesy, zjawiska i problemy, w których istnieje prawdopodobieństwo wystąpienia niekorzystnego zjawiska jest obszarem ryzyka. W obszarze ryzyka należy wyodrębnić, zidentyfikować czynniki ryzyka.

Ryzyko należy rozpatrywać w dwóch płaszczyznach, prawdopodobieństwa zaistnienia danego zdarzenia oraz skutków, które to zdarzenie za sobą pociągnie.

Wstępną analizę ryzyka w procesie przeprowadza audytor zajmujący się obszarem (obszarami),
w którym dany proces funkcjonuje.

Zagadnienia, jakie należy brać pod uwagę przy identyfikowaniu obszarów ryzyka
i czynników ryzyka: podejście do przestrzegania etyki w Starostwie Powiatowym i Jednostkach Organizacyjnych Powiatu Oleśnickiego oraz osiąganie przez kierownictwo komórek organizacyjnych określonych celów, zaufanie do kierownictwa operacyjnego. Kryterium to odzwierciedla zaufanie, jakim pracownicy darzą kadrę kierowniczą bezpośrednio odpowiedzialną za daną komórkę audytowaną i jej zaangażowanie w system, (czyli mechanizmy i elementy) kontroli wewnętrznej. Charakteryzują je czynniki takie jak: współdziałanie przy poprzednich audytach, praktyka kadry kierowniczej w danym środowisku pracy oraz wrażenia, co do jakości i poziomu personelu,

kompetencje, adekwatność i uczciwość pracowników,

wielkość powierzonego majątku, którą można wprost przełożyć na prawdopodobieństwo wystąpienia nieprawidłowości oraz na wielkość ewentualnych strat,

skomplikowanie lub zmienność wykonywanej działalności. Czynnik ryzyka, który odzwierciedla możliwość przeoczenia błędów lub nieprawidłowości z powodu złożoności środowiska. Ocena złożoności zależy od wielu czynników. Zakres automatyzacji, skomplikowane obliczenia, wzajemnie powiązane i współzależne działania, liczba usług, horyzont czasowy szacunków, uzależnienie od osób trzecich, oczekiwania opinii publicznej, czas przetwarzania, odnośne prawa i przepisy oraz wiele innych czynników, w tym czynniki nieuświadamiane, wpływa na ocenę złożoności danego audytu,

poziom skomputeryzowania komórki organizacyjnej, jako element istotny dla audytu informatycznego,

umiejętności pracowników w zakresie wykorzystania sprzętu komputerowego, jako element istotny dla audytu informatycznego,

adekwatność i skuteczność systemu kontroli wewnętrznych. Środowisko kontrolne reprezentuje łącznie zasady, procedury, rutynowe działania, zabezpieczenia fizyczne oraz zaangażowany personel. W korzystnym środowisku kontrolnym najważniejsze jest nastawienie kierownictwa, przestrzeganie udokumentowanych zasad i procedur, niezawodne systemy, bezzwłoczne wykrywanie i naprawa błędów, odpowiedni personel o kontrolowanej rotacji. Odwrotnie, brak nadzoru, liczne błędy, brak dokumentacji, niekontrolowane zaległości w pracy, wysoka rotacja oraz nie rutynowe działania to objawy złego środowiska kontrolnego,

zmiany organizacyjne, operacyjne, prawne lub ekonomiczne. Doświadczenie uczy, że zmiany wywierają duży wpływ na system kontroli wewnętrznej i sprawozdawczość finansową. Zwykle zmiany wywierają korzystne skutki długoterminowe, ale często miewają krótkoterminowe skutki uboczne, które wymagają nasilenia prac audytowych. Zmiany takie to reorganizacje, nagłe i częste wahania obciążenia pracą, nowe systemy, przejęcia, pozbywanie się obowiązków, nowe przepisy lub ustawy oraz rotacja personelu. Jednostki organizacyjne niepodlegające zmianom wymagają mniejszego nasilenia prac audytowych,

terminy i wyniki poprzednich audytów oraz akceptacja ustaleń audytu i podejmowane działania naprawcze. Ustalenia poprzednich audytów świadczą o dyscyplinie systemu kontroli wewnętrznej w instytucji. Istotne odstępstwa, znaczne korekty, większa niż zwykle liczba wniosków oraz ich bezskuteczna powtarzalność często znamionują problemy. Odwrotnie, brak wniosków albo bezzwłoczna reakcja na poprzednie ustalenia świadczy o dyscyplinie systemu kontroli wewnętrznej.

W analizie ryzyka dokonywanej na potrzeby planowania strategicznego i rocznego, audytor bierze pod uwagę dwa rodzaje ryzyka:

ryzyko wewnętrzne (Inherent Risk),

ryzyko kontroli (Control Risk) - audytor powinien oceniać ryzyko kontroli, jako wysokie dopóki odpowiednie kontrole wewnętrzne nie zostaną:

zidentyfikowane,

ocenione, jako efektywne,

przetestowane i sprawdzone, jako działające prawidłowo.

Trzeci rodzaj ryzyka - detekcji (Detection Risk) będzie brany pod uwagę przy analizie ryzyka dokonywanej przed sporządzaniem programu audytu.

Audytor musi zdefiniować właścicieli czynników ryzyka i ustalić poziom ryzyka akceptowanego przez Kierownictwo.

7. Identyfikacja obszarów ryzyka systemów informatycznych

Na poziomie ogólnych kontroli systemów informatycznych, audytor oprócz zagadnień wskazanych w poprzednim rozdziale, powinien wziąć pod uwagę następujące kwestie, uwzględniając jednocześnie specyfikę danego audytu:

spójność zarządzania systemami informatycznymi, jak również doświadczenie i wiedzę związaną z zarządzaniem systemami informatycznymi,

zmiany w zarządzaniu systemami informatycznymi,

presję na osoby zarządzające systemami informatycznymi, która może powodować ukrywanie, bądź nieprawdziwą prezentację posiadanych informacji ,

istotę prowadzonej działalności i systemów obecnych w Starostwie Powiatowym i Jednostkach organizacyjnych Powiatu Oleśnickiego (poziom skomplikowania systemów i nie zintegrowane systemy),

czynniki wpływające na działalność (np. dostępność pracowników związanych z systemami informatycznymi).

Na poziomie szczegółowej kontroli systemów informatycznych, audytor systemów informatycznych powinien rozważyć następujące kwestie, uwzględniając jednocześnie specyfikę danego audytu:

poziom skomplikowania systemów,

poziom wymaganej manualnej interwencji w systemach informatycznych,

podatność na utratę lub sprzeniewierzenie aktywów kontrolowanych przez system
(np. zapasy, lista płac).

8. Analiza ryzyka

Wszystkie metodologie oceny ryzyka zawierają element subiektywnej oceny na pewnym etapie procesu (np. przydział wag poszczególnym parametrom). Przy wyborze metodologii oceny ryzyk rozważono następujące kwestie:

rodzaj informacji, którą należy zgromadzić, z uwagi na zakres audytu w Starostwie Powiatowym i Jednostkach Organizacyjnych Powiatu Oleśnickiego, audytor będzie korzystał zarówno ze wskaźników finansowych, jak i poza finansowych, jako miernika,

koszt oprogramowania lub innych licencji niezbędnych do zastosowania określonej metodologii,

dostępność wymaganej informacji,

ilość dodatkowych informacji niezbędnych do osiągnięcia wiarygodnego wyniku oceny łącznie z kosztem uzyskania tych informacji,

opinie innych użytkowników danej metodologii i ich zdanie na temat przydatności danej metodologii w zwiększeniu efektywności przeprowadzonych audytów,

gotowość kierownictwa do zaakceptowania danej metodologii, jako środka określającego sposób i zakres przeprowadzanych prac audytowych,

ilość, wielkość i skomplikowanie obszarów wymagających audytu.

W Starostwie i Jednostkach Powiatu Oleśnickiego analiza ryzyka na etapie planowania dokonywana jest na podstawie przyjętych kategorii ryzyk, tj.:

Kryteria ryzyka.

Kryteriom ryzyka zostały nadane wagi, wynikające z profesjonalnej oceny Audytora wewnętrznego.

Materialność, rozumiana jako efektywność wykorzystania środków finansowych

i możliwość wystąpienia strat materialnych, przy ustalaniu wysokości wagi uwzględniono

możliwość wystąpienia lub braku implikacji finansowych oraz stopień skomplikowania

systemu finansowego - waga 0,25,

Wrażliwość systemu, rozumiana jako postrzeganie funkcjonowania samorządu przez

mieszkańców powiatu, przy ustalaniu wysokości wagi uwzględniono rzetelność danych,

wpływ błędu na inny system, znaczenie polityczne, wrażliwość petentów, podatność na naciski korupcyjne- waga 0,15,

Kontrola wewnętrzna, czyli ocena systemu procedur funkcjonujących w Starostwie i jednostkach organizacyjnych Powiatu Oleśnickiego, przy ustalaniu wysokości wagi wzięto pod uwagę wnioski z poprzednich kontroli wewnętrznych, rozdział obowiązków, jakość i morale oraz rotacja kadr, istnienie regulacji i procedur kontroli - waga 0,25,

Stabilność, czyli podatność na zmiany systemu i wszelkich uregulowań prawnych,

na podstawie których realizowane są zadania, uwzględniono przewidywane zmiany

przepisów prawnych i ich wpływ na funkcjonujący system - waga 0,15,

Stopień skomplikowania, czyli stopień skomplikowania przepisów i procedur, wpływ na wysokość wagi miał poziom skomplikowania regulacji prawnych, liczba subsystemów, granice systemu, liczba etapów procedowania. - waga 0,20.

Każde zadanie audytowe otrzymało w odniesieniu do każdego wyżej wymienionego

kryterium określoną ilość punktów w skali od 1 do 4. Punkty zostały przydzielone w oparciu o profesjonalny osąd audytora przygotowującego plan audytu (1 to wartość minimalna a 4 to wartość maksymalna jaką można przyznać dla danego kryterium).

W stosowanej analizie priorytetowi kierownictwa zostały przyznane następujące wagi:

- duży - 0,30 (tj. 30%),

- średni - 0,15 (tj. 15%),

- niski - 0,00 (tj. 0%).

Dla czynnika ryzyka, którym jest - czas, jaki upłynął od ostatniego audytu przyznane wagi wynoszą:

- nigdy - 0,3 (tj. 30%),

- 3 lata temu - 0,2 (tj. 20%),

- 2 lata temu - 0,1 (tj. 10%),

- rok temu - 0,0 (tj. 0%).

W analizie ryzyka w celu wybrania zadań audytowych do wykonania w planie rocznym Powiatu Oleśnickiego i Jednostek Powiatu Olesnickiego stosowana jest metoda matematyczna
z wykorzystaniem arkusza kalkulacyjnego (zał. nr 4 i 4a).

9. Opracowanie planu audytu

Ustawa o finansach publicznych w art. 35f wprowadza pojęcie planu audytu. Definiuje pojęcie rocznego planu audytu, który powinien zostać przedstawiony do akceptacji kierownikowi jednostki w terminie do końca października każdego roku - w przypadku planu audytu na rok następny.

Szczegółowe warunki planowania audytu wewnętrznego zawierają §3 i §4 rozporządzenia w sprawie szczegółowego sposobu i trybu przeprowadzania audytu wewnętrznego. Wzór rocznego planu audytu zawiera załącznik nr 1 do rozporządzenia.

Planowanie audytu w Powiecie Oleśnickim opiera się na cyklu rocznym. Decyzja o umieszczeniu konkretnego procesu/zadania audytowego w rocznym planie audytu - podejmowana jest na podstawie wyników metody opartej na analizie ryzyka według modelu zasobów. Oznacza to, że szereguje się obszary według ryzyka (malejąco), a następnie wybiera się ilość (od góry listy ryzyka) ustaloną w oparciu o wyliczenia zgodne z przyjętą metodyką (zał.5 ).

Roczny plan audytu przygotowuje audytor wewnętrzny i przekazuje Zarządowi Powiatu Oleśnickiego w celu zapoznania się z nim.

Wzór planu rocznego zawiera (zał.6).

10. Audyt poza planem

Zgodnie z zapisami Rozporządzenia audytor wewnętrzny na wniosek kierownika jednostki może przeprowadzić audyt wewnętrzny poza planem. Odbywa się to na skutek istotnych zdarzeń mających wpływ na funkcjonowanie jednostki, takich jak np.:

Przepisy prawne dotyczące działania jednostki ( np. prawo zamówień publicznych, ustawa o finansach publicznych, itd.),

Wyniki przeprowadzonych kontroli, audytów,

Uwagi pracowników jednostki,

Działania jednostki mające wpływ na opinię publiczną,

Uwarunkowania polityczne.

Audytor może odmówić wykonania audytu poza planem jeśli będzie to niezgodne ze Standardami audytu wewnętrznego dotyczącymi chociażby niezależności operacyjnej i bezstronności. O odmowie przeprowadzenia audytu audytor wewnętrzny informuje na piśmie kierownika jednostki.

III. Metodyka przeprowadzania zadania audytowego

Rozporządzenie Ministra Finansów z dnia 5.07.2002r. wskazuje w § 6, wymogi, jakie audytor powinien spełnić planując zadanie audytowe, w tym dane jakie powinien zgromadzić oraz czynności, jakie powinien wykonać przed sporządzeniem programu zadania. W związku z powyższym przyjmuje się, że zadanie audytowe przeprowadzane jest w 3 etapach:

planowanie - obejmujące fazę wstępną i sporządzenie programu,

realizację zadania,

sporządzenie i przekazanie sprawozdania kierownictwu komórki audytowanej, rozpatrzenie ewentualnych zastrzeżeń oraz przekazanie ostatecznego sprawozdania kierownikowi jednostki.

Ponieważ w Starostwie Powiatowym w Oleśnicy utworzono jednoosobowe stanowisko ds. Audytu Wewnętrznego całokształt zadań należy do jego zakresu obowiązków.

1. Upoważnienie do przeprowadzenia audytu

Przed realizacją zadania audytowego audytor otrzymuje pisemne upoważnienie wystawione przez kierownika jednostki. Dotyczy ono zadań ujętych w rocznym planie audytu wewnętrznego.

Wzór imiennego upoważnienia do przeprowadzenia audytu określa załącznik nr 2
do  Rozporządzenia w sprawie szczegółowego sposobu i trybu przeprowadzania audytu wewnętrznego.

2. Program zadania audytowego

Przed przystąpieniem do realizacji zadania audytowego, audytor wewnętrzny upoważniony do wykonania danego audytu, opracowuje program zadania audytowego.

2.1. Etap planowania

Przed sporządzeniem i zatwierdzeniem programu zadania audytowego należy dokonać szeregu czynności, których celem jest zgromadzenie niezbędnej wiedzy na temat komórki, w której będzie przeprowadzone zadanie audytowe, dokonanie wyboru zagadnień , które będą przedmiotem badań, określenie sposobu przeprowadzenia czynności, w tym niezbędnych dowodów oraz technik ich pozyskiwania i przetwarzania, a także przyjęcie określonych założeń organizacyjno-technicznych, zapewniających sprawne i efektywne zrealizowanie zadania.

W trakcie planowania audytor powinien osiągnąć stan wiedzy, który pozwoli mu zrozumieć zasady funkcjonowania komórki audytowanej oraz występujące w niej główne procesy, związane
z wykonywaniem zadań.

Planowanie można podzielić na dwie fazy: wstępną oraz sporządzanie i zatwierdzanie programu.

2.1.1. Faza wstępna

W tym miejscu należy zapoznać się z celami i zadaniami audytowanej komórki, aktami wewnętrznymi i zewnętrznymi określającymi prawne ramy jej działalności (zarządzenia, regulaminy, instrukcje, ustawy, rozporządzenia), przeanalizować wyniki wcześniej przeprowadzonych kontroli. Następnie opracować założenia metodyczne (metody, problemy, dowody, dokumenty robocze, wzory zestawień i wykazów), przygotować ścieżkę audytu i plan kontroli (z określeniem odpowiedzialności). Czyli są to następujące czynności:

określenie celu zadania oraz okresu poddanego badaniu - cele prac audytorskich powinny odnosić się do ryzyka, systemów kontroli, procesów zarządzania związanych z badaną działalnością. Należy pamiętać, by cele były wyrażone w sposób jednoznaczny, zrozumiały i precyzyjny, tak aby możliwe było określenie, czy zostały one osiągnięte.

zebranie informacji dotyczących komórki audytowanej - należy dążyć do zgromadzenia danych obrazujących najważniejsze procesy i zjawiska związane z tematem zadania, a więc dane finansowe, kadrowe, operacyjne oraz informacje na temat systemów zarządzania, organizacji, systemów kontroli wewnętrznej.

analiza systemu kontroli - należy określić zasady konstrukcji systemu kontroli wewnętrznej oraz słabe i mocne strony, w tym funkcjonowanie kontroli i pisemnych procedur.

analiza ryzyka - należy obszarów tym miejscu przeprowadzić analizę ryzyka występującego obszarów komórce audytowanej oraz obszarów obszarze będącym przedmiotem konkretnego zadania audytowego. Analiza to obejmuje następujące czynności:

identyfikacja obszarów ryzyka na poziomie zadania audytowego, czyli obiektów audytu. Są to fragmenty zadania audytowego, które definiują obszary poddawane badaniu. Mogą to być poszczególne podsystemy, albo też poszczególne zadania realizowane przez audytowaną komórkę. Obiekty audytu muszą być istotne dla realizacji celów zadania audytowego;

określenie ryzyk, jakie występują w zidentyfikowanych obszarach;

zdefiniowanie właścicieli ryzyk,

określenie poziomu ryzyka akceptowanego przez kierownika jednostki,

przyjęcie metody analizy ryzyka - na etapie programowania zadania audytowego stosowana jest metoda matematyczna z wykorzystaniem arkusza kalkulacyjnego oraz kategorii ryzyk i nadanych im wag podobnie jak na etapie planowania rocznego;

przeprowadzenie analizy ryzyka,

interpretacja wyników - uszeregowanie zidentyfikowanych obiektów audytu wg podatności na występujące w nich czynniki ryzyka.

analiza wyników wcześniejszych audytów i kontroli - dostarczy danych na temat stwierdzonych wówczas uchybień, a także procesów i zjawisk generujących, czy też narażonych na ryzyka

badania analityczne określonych problemów, opinie ekspertów - analizy sprawozdań finansowych oraz sprawozdań z wykonania budżetu, a także innych opracowań i studiów dokonanych w komórce organizacyjnej

określenie zakresu podmiotowego i przedmiotowego

opracowanie założeń metodycznych - planuje się tu metody, jakimi będą uzyskiwane dane niezbędne do ustaleń, problemy, na które należy zwracać szczególną uwagę oraz dowody jakie należy zdobyć w celu dokonania zaplanowanych ustaleń, biorąc pod uwagę ich dostępność.

opracowanie harmonogramu.

2.1.2. Sporządzenie programu

Program zadania audytowego zawiera wyniki tych czynności wykonanych w toku planowania, które bezpośrednio wpływają na sposób i zakres realizacji zadania. Zaleca się, aby miał on postać procedury „krok po kroku”, będącej katalogiem poszczególnych czynności do wykonania. Wzór programu zadania audytowego w Powiecie Oleśnickim zawiera (zał. 7).

Zgodnie z rozporządzeniem w programie zadania audytowego zamieszcza się
w szczególności:

oznaczenia zadania audytowego, ze wskazaniem jego numeru i tematu

cela zadania audytowego

analizę ryzyka

podmiotowy i przedmiotowy zakres zadania audytowego

wskazówki metodyczne, w tym:

techniki przeprowadzania zadania audytowego

sposób przeprowadzania zadania audytowego

problemy, na które należy zwrócić szczególną uwagę w badaniach

dowody niezbędne do dokonania ustaleń i sposób ich badania

wskazówki o charakterze techniczno-organizacyjnym

wzory wykazów i zestawień

założenia organizacyjne

harmonogram przeprowadzenia zadania audytowego.

3. Realizacja zadania audytowego

3.1. Rozpoczęcie zadania - narada otwierająca

Przed przystąpieniem do realizacji zadania audytowego, audytor wewnętrzny przeprowadza naradę otwierającą z udziałem kierownictwa komórki organizacyjnej Starostwa Powiatowego i Jednostek Organizacyjnych Powiatu Olesnickiego poddawanej audytowi. Termin spotkania powinien być uzgodniony ze wszystkimi stronami spotkania, w taki sposób, aby w miarę możliwości, nie kolidował z innymi, bieżącymi zadaniami komórki audytowanej.

Podczas narady audytor wewnętrzny przedstawia cel, tematykę i założenia organizacyjne zadania audytowego, zaś kierownik komórki organizacyjnej , w której przeprowadzany jest audyt, przedstawia informacje dotyczące jej funkcjonowania oraz uzgadnia z audytorem sposoby unikania zakłóceń w jej pracy w trakcie przeprowadzania zadania audytowego.

Przebieg narady dokumentuje audytor wewnętrzny w formie protokołu, wg wzoru (zał. 8).
Podpisany protokół audytor dołącza do bieżących akt danego zadania audytowego. W razie odmowy podpisania protokołu przez kierownika komórki, w której jest przeprowadzany audyt wewnętrzny, albo przez osobę przez niego wskazaną, audytor wewnętrzny czyni o tym wzmiankę w protokole.

4. Dokumentowanie czynności audytorskich

Standard właściwej staranności zawodowej wymaga, aby ustalenia audytu były poparte dowodami.

Dowodem audytowym jest każdy środek, zawierający informacje na temat badanych przez audytora zagadnień, stanowiący materialną podstawę dokonywanych ustaleń, a jednocześnie potwierdzenie ich prawdziwości. Każda ocena i wniosek formułowane przez audytora
w sprawozdaniu z audytu powinny wynikać z uzyskanych dowodów oraz znajdować uzasadnienie
w dowodach, jakie zgromadzone zostały w bieżących aktach audytu.

4.1. Dowody potwierdzające ustalenia audytu

Dowody zgromadzone w trakcie prowadzenia audytu powinny spełniać następujące wymagania :

Dostateczne

oparte na faktach, adekwatne, i przekonujące na tyle, że inna wystarczająco kompetentna osoba dojdzie na ich podstawie do takich samych wniosków

Kompetentne

rzetelne i najlepsze możliwe do uzyskania przy użyciu właściwej techniki

Istotne

dowód wspiera ustalenia audytu i jest powiązany z obiektami audytu

Użyteczne

użyteczny dowód pozwala zrealizować cele audytu

4.2. Porównanie wartości dowodów

Silne

Słabe

Obiektywne

Subiektywne

Niezależne od operacji audytowanego

Przygotowane przez audytowanego

Potwierdzone

Niepotwierdzone

Z dokumentów przygotowanych terminowo

Z dokumentów przygotowanych po terminie

Dokumenty

Opinie

Opinie ekspertów

Opinie osób słabo poinformowanych

Bezpośrednie

Pośrednie

Dowody uzyskane przy silnej kontroli wewnętrznej

Dowody uzyskane przy słabej kontroli wewnętrznej

Próbkowania statystyczne

Próbkowania niestatystyczne

Źródła i rodzaje dowodów.

Podział dowodów ze względu na pochodzenie oraz na dostęp do nich

Źródła Dowodu

Charakterystyka

dowody wewnętrzne

tworzone przez audytowanego i pozostające pod jego kon­trolą

dowody wewnętrzne - zewnętrzne

tworzone przez audytowanego a następnie pozostające pod kontrolą zewnętrzną

dowody zewnętrzne - wewnętrzne

tworzone przez jednostkę zewnętrzną a następnie pozo­stające pod kontrolą audytowanego

dowody zewnętrzne

tworzone przez jednostkę zewnętrzną i pozostające pod jej kontrolą

Największą wiarygodność mają dowody zewnętrzne, gdyż audytowany nie ma możliwości ich zmiany. Dowody wewnętrzne mają mniejszą wartość, gdyż audytowany może nimi manipulować. Dowody wewnętrzne w pewnych sytuacjach nie są dostateczne i wymagają potwierdzenia pozytywnego lub negatywnego.

4.3. Rodzaje i pozyskiwanie dowodów

Najczęściej dowodami są dokumenty wytworzone przez komórkę audytowaną albo przez inne podmioty, a dotyczące tej komórki. Są to faktury i inne dowody księgowe, sprawozdania finansowe,
z realizacji zadań, bilans, korespondencja prowadzona przez komórkę oraz wszelkie inne dokumenty obrazujące działalność komórki. Zadaniem audytora jest dotrzeć do tych dokumentów, które dotyczą zagadnienia poddawanego badaniu.

Dowodami audytowymi są też efekty zastosowania technik badawczych, służących uzyskiwaniu informacji na temat interesujących audytora aspektów działania komórki, które nie istnieją w postaci i zakresie oczekiwanych przez audytora. Wówczas dowody te opisywane są
w dokumentach roboczych audytu. Czyli dokumenty robocze audytu staja się dowodami. Takich dowodów dostarczają techniki, o których mowa w § 7 ust. 2 Rozporządzenia Ministra finansów
z 5.07.2002r. Są to więc:

Dowodami są też dokumenty oraz inne materiały związane z funkcjonowaniem komórki audytowanej, jak również kopie, odpisy, wyciągi, zestawienia i obliczenia, o których jest mowa w § 9 Rozporządzenia.

Dowody audytowe pochodzą bezpośrednio z komórki audytowanej lub z innych zewnętrznych podmiotów, które dysponują pośrednią lub bezpośrednią wiedzą na jej temat.

4.4. Dokumenty robocze audytu

Audytor ma obowiązek dokumentowania wszelkich czynności podejmowanych w toku zadania audytowego, a także zdarzeń, które mają istotne znaczenie dla ustaleń audytu.

Wszelkie dokumenty sporządzone przez audytora to dokumenty robocze audytu. Zawierają one opis wykonywanych czynności oraz uzyskane w ich wyniku ustalenia.

Celami tworzenia dokumentów roboczych jest:

a) Poparcie dowodami ustaleń zawartych w raporcie,

b) Udokumentowanie wykonanej pracy,

c) Umożliwienie osobom upoważnionym kontroli,

d) Usprawnienie wykonywanej pracy.

Dokumenty robocze mogą stanowić dowody audytowe, jeśli stanowią zapis wyników technik zastosowanych w celu otrzymania dowodów, które samoistnie nie istnieją i powstały wyłącznie podczas i na potrzeby audytu. Jeśli więc dokumenty robocze stanowią podstawę dokonywanych ustaleń oraz formułowanych wniosków, wówczas są dowodami audytowymi i należy powoływać się na nie w sprawozdaniu. Pozostałe dokumenty robocze stanowią zapis czynności wykonywanych przez audytora podczas realizacji zadania i nie dostarczają bezpośrednio danych służących formułowaniu wniosków. Zawierają one dane obrazujące proces wykonywania audytu od strony technicznej, pozwalając ocenić prawidłowość wykonywanych czynności. Są to:

program zadania audytowego,

protokół z narady otwierającej i zamykającej,

macierz ryzyka

lista kontrolna.

4.5. Cechy dokumentu roboczego

Każdy dokument roboczy powinien zawierać następujące cechy:

  1. Nagłówek z nazwą JA, tytułem, celem sporządzenia i datą,

  2. Podpis audytora wewnętrznego sporządzającego dokument,

  3. Numer referencyjny,

  4. Wykaz użytych skrótów i symboli

4.6. Dokumenty robocze stosowane w Starostwie Powiatowym i Jednostkach organizacyjnych Powiatu Oleśnickiego.

1. Kwestionariusz kontroli wewnętrznej (KKW) jest dokumentem roboczym zawierającym pytania dotyczące systemu kontroli wewnętrznej. Odpowiedzi pomagają w ocenie systemu kontroli wewnętrznej. Audytor wykorzystuje KKW zadając kierownictwu i pracownikom JA pytania otwarte i zamknięte. Pytania zamknięte są tak formułowane, że można na nie odpowiedzieć tylko tak/nie. Kwestionariusz kontroli wewnętrznej przedstawia zał. nr 9.

2. Lista kontrolna (check list) pomaga w zwiększeniu jednolitości uzyskanych informacji. Zapewnia standardowe podejście do przeprowadzanego badania i pomaga w zminimalizowaniu możliwości ominięcia pewnych przewidywalnych faktów. Przedmiotem zainteresowania audytora jest sposób wykonywania i rejestrowania czynności nadzoru. Listy kontrolne powinny zawierać rubryki wypełniane przez pracowników JA oraz rubryki wypełniane przez przełożonego w ramach nadzoru. Audytor powinien ustalić czy nadzór jest wykonywany rzeczywiście czy jest tylko formalny.

3. Kwestionariusz samooceny jest dokumentem pozwalającym na ocenę zgodności tworzonych procedur oraz kontroli z kryteriami zawartymi w aktach prawnych, regulacjach wewnętrznych jednostki. Wypełniany jest samodzielnie przez odpowiednie kierownictwo odpowiedzialne za realizację poszczególnych czynności w ramach jednostki organizacyjnej. Jest dokumentem podobnym w układzie do KKW.

4. Plan kontroli jest to mapa pokazująca wszystkie kontrole zastosowane w danym systemie. Podstawową zaletą planu kontroli jest pokazanie zależności pomiędzy wymaganiami wynikającymi z ustaw, procedur, norm branżowych a kontrolami zastosowanymi przez kierownictwo w celu spełnienia tych wymagań. Plan kontroli pokazuje jednocześnie, kto jest odpowiedzialny za daną kontrolę i gdzie znajduje się jej opis. Dysponują planem kontroli można łatwo zaplanować i udokumentować testy przeglądowe i testy zgodności. Wzór określa zał. nr 10

5. Ścieżka audytu - złożony dokument zawierający przejrzysty opis operacji, w tym przepływów finansowych, ich dokumentacje i kontrole. Służy ona dokumentowaniu wszystkich procesów zachodzących w danej organizacji oraz opisaniu systemu kontroli wewnętrznej. Ścieżka powinna umożliwić audytorowi prześledzenie kolejnych faz rejestrowania pojedynczych operacji. Powinna ona wskazywać: procesy, osobę lub organ odpowiedzialny za wdrożenie i funkcjonowanie kontroli, sposób realizacji procedury, dokumenty powstające w trakcie realizacji procedury. Ścieżkę audytu można przygotować w trzech formach:

opisowej - dokonuje się opisu każdego procesu, jego elementów składowych oraz kontroli przeprowadzanych w trakcie kontroli.

graficznej (tzw. flowchart) - za pomocą odpowiednich symboli oraz łączących je linii przedstawia się dany proces oraz poszczególne etapy kontroli wewnętrznej w tym procesie.

tabelarycznej - w kolumnach opisuje się poszczególne etapy procesu i wykonywane czynności, odpowiedzialność za dany etap/czynność, dokuemnty wynikające z danego etapu/czynności.

6. Notatki z wywiadów i obserwacji - (zał. nr 2)

7. Arkusze wykrycia i analizy problemy (FRAP) -(zał. nr 11)

5. Techniki i metody audytorskie stosowane podczas realizacji zadania audytowego
w
Starostwie Powiatowym i Jednostkach organizacyjnych Powiatu Olesnickiego

5.1. Testy audytowe

Jest to ogólne pojecie określające wszelkie techniki służące do bezpośredniego ustalenia stanu faktycznego, niebędące obiektywnie istniejącymi dokumentami źródłowymi.

Większość testów będzie wymagać zastosowania kombinacji następujących metod badania:

zapoznanie się z dokumentami służbowymi

obserwacja i wywiad - należy dokonać obserwacji pracowników systemu kontroli podczas wykonywania ich prac oraz przeprowadzić wywiady, by ustalić, co robią;

rekonstrukcja wydarzeń lub obliczeń - polega ona na zdobywaniu dowodów, że kontrola zadziałała prawidłowo lub nieprawidłowo, np. poprzez sprawdzenie dokumentów potwierdzających przeprowadzenie kontroli, porównanie zapisów księgowych z dowodami księgowymi;

przeprowadzenie oględzin - w przypadku, gdy należy zweryfikować stan lub istnienie zasobów komórki, w której jest przeprowadzany audyt wewnętrzny;

graficzna analiza procesów.

Zestawienie technik testowania zawiera (zał.12) wskazujący wady i zalety poszczególnych technik.

W zależności od celu testu, jego zakresu oraz etapu zadania audytowego, na jakim jest on stosowany, wyróżniamy:

Testy przeglądowe - wykonywane w pierwszej kolejności, na etapie wstępnego zapoznania z jednostką. Stanowią one wstępne, rozpoznawcze badanie systemu i mają one na celu umożliwienie audytorowi zrozumienie systemu i zidentyfikowanie kontroli, które w następnej kolejności należy poddać badaniu przy zastosowaniu testów zgodności. Podstawowym celem testów przeglądowych jest znalezienie dowodów na istnienie kontroli. Dokonuje się tego poprzez wykorzystanie następujących technik: obserwacji, zapoznania się z dokumentacją oraz uzyskiwania informacji od pracowników audytowanej komórki. Dzięki zebranym materiałom, stosując te testy audytor sprawdza, czy system faktycznie funkcjonuje tak jak jest to opisane w procedurach.

Testy zgodności - wyniki testów przeglądowych powinny zostać poddane badaniu przy użyciu testów zgodności. Polegają one na szczegółowym badaniu systemu, w celu uzyskania dowodów na przestrzeganie procedur.

Rodzaj, rozkład czasowy i nasilenie testów zgodności są blisko związane z mechanizmami kontroli badanymi przez audytora. Ponadto, audytor musi brać pod uwagę dostępność materiałów dowodowych oraz wkład pracy audytorskiej koniecznej do przetestowania. Testy zgodności to podstawowe narzędzie do badania, czy w danej komórce organizacyjnej/ procesie istnieją i są przestrzegane procedury kontroli wewnętrznej. Testy zgodności służą do badania i oceny systemu kontroli. W zależności od wyniku tego badania, audytor wewnętrzny zdecyduje, czy w danym procesie system kontroli wewnętrznej istnieje i działa, czy też nie istnieje, a zatem i nie działa i nie występuje wśród kierownictwa świadomość konieczności jego istnienia. Możliwa jest też następująca sytuacja, którą również powinien wziąć pod uwagę audytor wewnętrzny badając system kontroli: nie istnieją formalne i spisane procedury kontroli wewnętrznej, ale audytor w toku badania, dochodzi do wniosku, że system kontroli wewnętrznej funkcjonuje na zasadzie nieformalnych ustaleń.

W trakcie audytu należy zidentyfikować i przetestować wszystkie zidentyfikowane typy kontroli. Należy mieć na uwadze, że żaden system kontrolny nie może zagwarantować prawidłowego administrowania, kompletności i dokładności transakcji. Dokumentacja audytu nie może, zatem być oparta jedynie o dane uzyskane od służb kontroli wewnętrznej, a testy powinny zmierzać do zidentyfikowania zdarzeń, które mogą zredukować skuteczność dokonywanych sprawdzeń i kontroli.

Wspomniane wyżej zdarzenia mogą mieć postać:

nadużycia kontroli przez odpowiedzialnych za jej wzmocnienie,

błędu ludzkiego w stosowaniu kontroli,

niezdolności systemu kontroli do radzenia sobie z niestandardowymi zdarzeniami lub transakcjami,

awarii systemu kontroli z powodu zmian lub wprowadzenia niestandardowych procedur.

Wynikiem testów zgodności może być stwierdzenie, iż system kontroli działa i jest sprawny, to znaczy kierownictwo zaplanowało i zorganizowało kontrolę w sposób rozsądnie zapewniający, że ryzyka są skutecznie zarządzane, a cele i zadania organizacji są ekonomicznie i wydajnie realizowane. Możliwa jest też również sytuacja, gdy w danym procesie system kontroli nie działa i kierownictwo nie ma świadomości potrzeby jego istnienia.

Testy te mogą być przeprowadzone jedynie, gdy na podstawie ww. kwestionariuszy i zgromadzonej dokumentacji o obszarze audytor stwierdzi, iż istnieje system kontroli i jest on udokumentowany. Jeżeli system kontroli nie istnieje lub jest słaby audytor przeprowadza rozszerzone testy wiarygodności.

Testy rzeczywiste (wiarygodności) przeprowadza się po przeprowadzeniu testów zgodności lub, kiedy kontrole nie działają. Polegają one na sprawdzeniu, czy informacje zawarte w dokumentacji są kompletne, dokładne i czy odzwierciedlają stan faktyczny. Zazwyczaj testy te przeprowadza się na poszczególnych operacjach celem stwierdzenia ich poprawności.

Na podstawie testów audytor decyduje, czy kontrole istniejące w Starostwie i Jednostkach organizacyjnych Powiatu Olesnickiego są właściwe w odniesieniu do typu i poziomu zidentyfikowanego ryzyka. Audytor powinien być zainteresowany nie tylko tym, czy mechanizmy kontroli są wystarczające, ale również, czy nie ma miejsca nadmiar kontroli lub nie jest ona prowadzona wydajnie.

Ocena systemu kontroli jest procesem ciągłym. Jeżeli audytor stwierdzi, iż system kontroli nie działa musi przeprowadzić rozszerzone testy wiarygodności.

Każdy test rzeczywisty powinien pozwolić na sprawdzenie, czy spełnione są poniższe kryteria:

Kryterium

Istota i przykład testu rzeczywistego

Legalność i prawidłowość działań

Sprawdzenie, czy aktualnie wykonywane działania dostosowane są do stosownych podstaw prawnych.

Kompletność zapisów finansowych i innych

Sprawdzenie, czy system finansowy i inne systemy informacyjne rejestrują wszystkie stosowne szczegóły.

Rzeczywistość operacji

Sprawdzenie, czy operacje rejestrowane w systemach finansowych i innych naprawdę miały miejsce. Np. test rzeczywisty może sprawdzać, czy opłaty dla indywidualnych osób poddanych szkoleniu zarejestrowane w systemach finansowych rzeczywiście miały miejsce poprzez sprawdzenie arkuszy transakcji, na których osoby poddane szkoleniu złożyły podpisy przy odbieraniu płatności. Podobnie lista środków trwałych może być przeegzaminowana, aby sprawdzić czy dobra były rzeczywiście dostarczone. Mogą być też zastosowane procedury analityczne - szczególnie analiza.

Pomiar działań

Sprawdzenie, czy sumy transakcji są skalkulowane na właściwych podstawach. Np. test rzeczywisty może sprawdzać, czy użyte zostały właściwe stopy wymiany przy zamienianiu wniosków z państwowych jednostek płatności (złoty) na Euro. Stosowne procedury analityczne zawierają testy przewidywań i analizę wskaźników.

Ocena

Sprawdzenie, czy aktywa i inne pozycje zarejestrowane są we właściwych wartościach w zapisach finansowych.

Istnienie

Sprawdzenie, czy aktywa i inne pozycje rzeczywiście istnieją. Np. test rzeczywisty może sprawdzać, czy aktywa zarejestrowane w zapisach finansowych istnieją lub czy przeszkoleni pracownicy rzeczywiście istnieją. Te testy rzeczywiste wymagają fizycznej weryfikacji istnienia - policzenia szkolonych lub obejrzenia aktywów.

Własność

Sprawdzenie, czy zapisane aktywa są rzeczywiście w posiadaniu lub czy są właściwie użytkowane przez ciało poddane audytowi. Np. test rzeczywisty może wymagać sprawdzenia, czy podmiot poddany audytowi posiada ważną dzierżawę lub jest prawnym właścicielem nieruchomości

5.2. Techniki wykorzystywane w trakcie testów

Wielokrotne sprawdzanie - sprawdzanie rzetelności informacji poprzez porównanie jej z informacją pochodzącą z innego źródła.

W czasie przeprowadzania audytu audytor powinien sprawdzać, w miarę możliwości, otrzymywane informacje z  danymi pochodzącymi z innego źródła. Dane z wywiadów przeprowadzanych z pracownikami komórki organizacyjnej Starostwa i Jednostek Organizacyjnych Powiatu Oleśnickiego powinny być konfrontowane z odpowiednią dokumentacją, i odwrotnie, audytor musi sprawdzać, czy udokumentowane czynności w rzeczywistości miały miejsce. Audytor powinien dokonać analizy nawet takiego źródła, jakim jest ewidencja korespondencji i porównać dane z niej otrzymane z odpowiednią ewidencją w innej komórce, która była adresatem korespondencji. Audytor powinien w celu sprawdzenia wiarygodności wykorzystywać także kopie zapasowe plików w komputerach pracowników, przy okazji sprawdzając, jak przestrzegane są procedury bezpieczeństwa w danej komórce. Dane uzyskane na tym etapie badania dokumentuje się w postaci odpowiednich notatek dołączanych do bieżących akt danego audytu.

Przy wielokrotnym sprawdzaniu mamy do czynienia z dwoma rodzajami testów rzeczywistych:

Testami gwarancji (vouching)- gdzie następuje weryfikacja dokumentów wygenerowanych przez komórkę audytowaną, w tym rejestrowanych kwot na podstawie badania dokumentów źródłowych. Celem testu jest uzyskanie dowodu, że dane zawarte w dokumentach odnoszą się do faktów,
a zatwierdzone kwoty odnoszą się do prawidłowych transakcji, nie służą
do określenia jego kompletności. Potwierdzenie prawidłowości sporządzenia lub zarejestrowania pewnych informacji/danych nie dostarcza dowodu, że wszystkie dane zostały wprowadzone
i odpowiednio zapisane.

Testami góra - dół (tracing)- gdzie badanie przeprowadzane jest w odwrotnym kierunku niż w przypadku testu gwarancji. Celem jest stwierdzenie kompletności zjawiska. Polegają
na zbadaniu historii transakcji w systemie, od zaksięgowania do zainicjowania.

Zapoznawanie się z dokumentami służbowymi komórki poddawanej audytowi.

Badanie dokumentów polega na weryfikacji istnienia dokumentu (fizycznego) oraz ocenie formalnej, rachunkowej i merytorycznej. Sprawdzeniu podlega również terminowość wystawienia dokumentu, zgodność z wewnętrzną i zewnętrzną do­kumentacją oraz stanem faktycznym. Dokumenty są generalnie dowodem o wysokiej wiarygodności. Wiarygodność jest uzależniona od tego czy:

są generowane wewnętrznie czy zewnętrznie,

zewnętrzne są otrzymywane z komórki audytowanej lub bezpośrednio,

są oryginałami lub kopiami,

kontrola wewnętrzna jest silna czy słaba,

są sporządzone terminowo lub po terminie.

W przypadku wątpliwości, co do wiarygodności dokumentu audytor dąży do ustalenia stanu faktycznego.

Obserwacja wykonywania zadań, przez pracowników komórki, w której przeprowadzany jest audyt wewnętrzny.

Obserwacja przez audytora wykonywania zadań służbowych, jakie wykonują pracownicy komórki poddawanej audytowi, jest również cennym źródłem informacji. W szczególności może ona dostarczyć cennych danych na temat:

kultury organizacyjnej w danej komórce organizacyjnej,

środowiska kontroli,

przestrzegania procedur,

prawdziwości danych przekazywanych w trakcie rozmów, wywiadów i zawartych w kwestionariuszach,

organizacji pracy i poszanowania obowiązków pracowniczych w danej komórce organizacyjnej.

Wszystkie te elementy decydują o jakości i terminowości pracy.

Audytor dokonuje obserwacji w trakcie przeprowadzania innych czynności audytowych lub też specjalnie w tym celu przypatruje się pracy pracowników danej komórki organizacyjnej przez określony okres czasu. Swoje spostrzeżenia audytor zapisuje w formie notatki z obserwacji lub też uwag, dołączanych do notatek poświęconych innym czynnościom audytowym.

Przeprowadzanie oględzin, w przypadku, gdy należy zweryfikować stan lub istnienie zasobów komórki, w której przeprowadzany jest audyt wewnętrzny.

W każdym przypadku, a w szczególności, gdy należy zweryfikować stan zasobów deklarowanych przez daną komórkę w dokumentach ze stanem rzeczywistym, audytor wewnętrzny zobowiązany jest przeprowadzić oględziny. Jeśli sprawdzenie da inny wynik, audytor ma obowiązek wyjaśnienia rozbieżności i zaznaczenia tego w protokole oględzin. Protokół audytor dołącza do bieżących akt danego audytu.

Należy podkreślić, że nie jest rolą audytora wewnętrznego dokonywanie inwentaryzacji w komórce poddawanej audytowi. Inwentaryzacja jest zadaniem tej komórki. Natomiast w ramach testów wiarygodności audytor wewnętrzny może wybrać sobie próbę wśród już zinwentaryzowanych przedmiotów i dokonać ponownego ich przeliczenia.

Rekonstrukcja wydarzeń lub obliczeń pozwalająca ocenić dokładność i prawidłowość zastosowanych działań oraz wiarygodność wyników.

Stosownie do badanej przez audytora działalności lub dokumentacji, ma on prawo dokonać rekonstrukcji zdarzeń lub odpowiednich obliczeń, które pozwolą mu ocenić wiarygodność i prawidłowość zastosowanych przez daną komórkę organizacyjną technik. Pracownicy tej komórki organizacyjnej są obowiązani dostarczyć audytorowi wszelkich danych oraz przedstawić procedurę, za pomocą której otrzymali takie, a nie inne wyniki. W razie potrzeby, audytor wewnętrzny,
przy pomocy pracowników audytowanej komórki, rekonstruuje, za pomocą schematów lub wykresów, przebieg danej procedury.

Przegląd analityczny - porównanie określonych zbiorów danych w celu wykrycia operacji nieprawidłowych lub wymagających wyjaśnienia.

Metody analityczne to szczególny przypadek testów rzeczywistych.

Uzyskane w trakcie audytu informacje powinny zostać poddane procedurom analitycznym.

Podstawą stosowania metod analitycznych jest założenie, że przy braku znanych uwarunkowań przeciwstawnych, można oczekiwać wystąpienia i dalszego trwania związków pomiędzy zmiennymi.

Na potrzeby testów analitycznych zmienne dzielimy na zmienne niezależne i zmienne zależne.

Metody analityczne są wydajnym i efektywnym narzędziem oceny zebranych informacji. Ocena wynika z porównywania uzyskanych informacji z oczekiwaniami określonymi przez audytora.

Sprawdzeniu przez audytora podlegają wszelkie zbiory danych udostępnione mu przez pracowników komórki audytowanej. Audytor sprawdza je pod kątem wykrycia operacji nieprawidłowych, niejasności, niespójności, braku dostatecznego uzasadnienia itp. Zauważone nieścisłości audytor stara się wyjaśnić na bieżąco z pracownikami i kierownictwem komórki organizacyjnej.

Metody analityczne mogą być pomocne przy wykrywaniu:

nieoczekiwanych różnic;

braku różnic, pomimo, że się ich spodziewano;

błędów, nieprawidłowości i oszustw;

innych wyjątkowych transakcji lub wydarzeń.

Procedury analityczne mogą być wykorzystywane do analizy kwot, wskaźników i procentów.

Stosując, na tym etapie audytu, określone procedury analityczne, audytor powinien wykonać następujące czynności:

ustalić cel testu.

opracować, uporządkować i udokumentować oczekiwania.

odtworzyć i sformatować dane.

przeprowadzić procedurę analityczną.

ocenić wyniki - w tym oszacować przyczynę ewentualnych problemów, określić potrzebę dalszego badania oraz wyciągnąć wnioski końcowe i je udokumentować.

Podstawowe procedury analityczne:

Analiza wskaźnikowa

Indeksacja o wspólnej podstawie

Analiza wskaźników finansowych

Analiza trendu

Metody graficzne

Porównania międzyokresowe

Średnie ważone

Średnie postępujące

Statystyczna analiza szeregów czasowych

Analiza regresji

Analiza prognostyczna

Procedury analityczne mogą obejmować:

porównywanie bieżącej informacji z analogiczną informacją z poprzedniego okresu;

porównywanie bieżącej informacji z istniejącymi planami finansowymi lub prognozami;

badanie powiązań pomiędzy informacjami finansowymi a informacjami pozafinansowymi (np. porównanie ilości wydanych środków na zakup z ilością zakupionego towaru);

porównanie informacji z analogiczną dotyczącą podobnych jednostek.

W przypadku ujawnienia nieoczekiwanych wyników lub zależności należy je zbadać. Mogą być sygnałem błędu, lub oszustwa. O wynikach lub zależnościach niewyjaśnionych
w wystarczającym stopniu należy zasugerować podjęcie stosownych działań.

Po przeprowadzeniu analizy badanego systemu możliwe jest zastosowanie dodatkowych narzędzi pozwalających na kompleksowe ujęcie i zrozumienie zidentyfikowanych problemów.

Uzyskane wyjaśnienia i wnioski audytor zawiera w notatce, którą sporządza na zakończenie tej fazy prac audytowych. Notatkę audytor dołącza do bieżących akt danego audytu.

Po zakończeniu programu testów jego wyniki należy poddać ocenie w celu ustalenia, czy program był wystarczający, czy też należy przeprowadzić dalsze testy. Rezultaty te powinny być brane pod uwagę przy formułowaniu ogólnej opinii o mocnych i słabych stronach systemu oraz realizacji celów kontrolnych. Koordynator powinien przeprowadzić weryfikację dokumentów, które potwierdzają wyniki testów. Dokumenty te stanowić będą podstawę dyskusji z audytowanym
po zakończeniu tej fazy audytu. Wyniki testów, opis systemu kontroli, jego ocena, stanowią podstawę do ponownej analizy ryzyka i przygotowania wstępnych ustaleń.

6. Techniki próbkowania

Audytor rzadko jest w stanie przebadać całą populację. Testowanie polega na określeniu doborze reprezentatywnej próbki operacji, zbadaniu ich, porównaniu wyników z oczekiwaniami oraz dokonaniu ekstrapolacji wyników na badaną populację, czyli dokonaniu wnioskowania o tendencjach rozwojowych, stosunkach, warunkach i wartościach na podstawie zaobserwowanych procesów.

Stosowanie prób statystycznych i losowych opartych na teorii prawdopodobieństwa pozwala audytorowi na stawianie tez dotyczących większych zbiorów z określonym stopniem pewności,
na podstawie badania pewnej części procentowej wszystkich elementów.

Celem badania wyrywkowego jest uzyskanie wyników, które będą możliwie wiernie przedstawiały przeciętny stan całości danych operacji czy działalności. Badanie wyrywkowe jest stosowane w przypadkach, kiedy analiza całej populacji jest utrudniona (np. ze względu na ograniczenia czasowe, nakładów pracy i środków finansowych) lub niecelowa.

Zatem na decyzję o użyciu techniki próbkowania będą miały wpływ następujące czynniki:

liczebność populacji,

poziom ryzyka wewnętrznego,

adekwatność i jakość dowodów badania zebranych przy zastosowaniu procedur innych niż badanie wyrywkowe,

koszty i czas.

6.1. Określenie próby

Próbkowanie statystyczne wymaga użycia technik, z których mogą być matematycznie wyciągnięte wnioski dotyczące populacji.

Próbkowanie niestatystyczne nie jest oparte na statystyce i rezultaty nie powinny być ekstrapolowane na całą populację, jako że mało prawdopodobnym jest, że próbka jest reprezentatywna dla populacji.

Wielkość próby jest uzależniona od poziomu ryzyka audytowego, które audytor ma zamiar zaakceptować. Ryzyko próbkowania powinno być także rozważone w relacji do modelu ryzyka audytowego i jego komponentów, ryzyka wrodzonego (inherent risk), ryzyka kontroli (control risk)
i ryzyka detekcji (detection risk).

Przy określeniu próby do badania audytor przeprowadzający badanie bierze pod uwagę:

cele badania,

populację, z której ma być pobrana próba - dobór próby powinien należycie reprezentować całą populację. Populacja, z której zostanie wybrana próba, może być homogeniczna lub podzielona na grupy (warstwy). Ważne, by zachować jednorodność kryteriów podziału
w badanej populacji,

liczebność próby - określenie liczebności próby wymaga od audytora przeprowadzającego badanie oceny następujących czynników:

pożądany poziom pewności - przy zastosowaniu badań wyrywkowych nigdy nie można osiągnąć 100% pewności - w tym celu należałoby zbadać całą populację. Im niższy będzie pożądany poziom pewności, tym mniejszą próbę trzeba będzie wybrać. Pożądany poziom pewności powinien być ustalony w porozumieniu z właścicielem danego procesu, a w przypadku środków finansowych pochodzących z Unii Europejskiej zgodnie z wytycznymi lub zapisami w umowach międzynarodowych i memorandach finansowych,

dopuszczalny błąd (poziom precyzji) - dopuszczalny błąd jest maksymalnym błędem
w populacji, który audytor zamierza akceptować i nadal wnioskować, że cel audytowy został osiągnięty. Dla testowania rzeczywistego jest powiązany z profesjonalnym osądem audytora, co do istotności. W testowaniu zgodności jest maksymalnym współczynnikiem odchylenia od nakazanej procedury kontrolnej, który audytor zamierza zaakceptować. Poziom precyzji obliczamy dzieląc dopuszczalny błąd przez liczebność populacji. W przypadku audytu finansowego błąd może być tolerowany o ile nie wpłynie on na opinię o wiarygodności sprawozdania finansowego. Błąd wyrażony w złotówkach, który może być zaakceptowany przez audytora to błąd tolerowany. Aby właściwie wyliczyć wielkość próbki audytor powinien ustalić wielkość błędu tolerowanego,

oczekiwany błąd - jest to błąd, którego audytor oczekuje w populacji, jeżeli są takie oczekiwania to audytor musi zbadać większą próbę, niż zwykle w przypadku gdy nie oczekuje błędów, aby wnioskować, że faktyczne błędy w populacji są na poziomie nie większym niż zaplanowany. Mniejszy rozmiar próby jest uzasadniony, gdy oczekuje się, że populacja jest wolna od błędów.

Stratyfikacja populacji - oznacza podział populacji na w miarę homogeniczne grupy, co pozwoli zwiększyć wiarygodność badań wyrywkowych. Stosowana jest, gdy próba nie jest homogeniczna.

Ponieważ celem badania wyrywkowego jest wyciągnięcie wniosków na temat całej populacji na podstawie próby, istotny jest dobór tej próby w taki sposób, by była reprezentatywna dla całej populacji.

6.1.1. Metody próbkowania statystycznego

Próbkowanie losowe - zapewnia, że wszystkie kombinacje jednostek wybieranych z populacji mają taką samą szansę wyboru.

Próbkowanie systematyczne - wymaga selekcji jednostek wybieranych z użyciem stałego interwału pomiędzy wyborami, przy pierwszym wyborze rozpoczynającym się losowo. Próbkowanie obejmuje próbkowanie jednostek pieniężnych lub wybór ważony wartością. Jeśli interwał oznaczymy jako “i”, pierwsza jednostkę do próby jako “p”, a liczebność próby jako “n” to wówczas do próby trafią jednostki o numerach: p, p+i, p+2i, p+3i,...., p+(n-1)i. Metodę losowania systematycznego da się również zastosować przy testach kontroli.

Losowanie systematyczne ważone - jest to szczególny rodzaj losowania systematycznego. Jednostką losowania jest jednostka monetarna (np. złotówka), a nie jednostka populacji mająca postać fizyczną. Oznacza to, że każda złotówka z takim samym prawdopodobieństwem może być wybrana do próby. Ponieważ złotówki nie da się sprawdzić, do próby trafia ta jednostka populacji, która zawierała wybraną złotówkę. Przy zastosowaniu tej metody większą szansę trafienia do próby mają jednostki
o dużej wartości. Ta metoda systematycznie waży wybór faworyzując większe ilości, ale ciągle dając każdej jednostce pieniężnej takie same prawdopodobieństwo wyboru. Innym przykładem może być wybieranie każdej n-tej jednostki.

6.1.2. Metody próbkowania niestatystycznego

Próbkowanie na chybił trafił - w którym audytor wybiera próbę bez posługiwania się techniką strukturalną, chociaż unikając jakiegokolwiek świadomego uprzedzenia lub przewidywania. Jednakże, analiza próbkowania na chybił trafił nie powinna zależeć od formy wniosków na temat populacji

Próbkowanie osądowe - w którym audytor systemów stosuje uprzedzenie do próby (np., wszystkie próbkowane jednostki o określonej wartości, wszystkie o specyficznym typie odchyleń, wszystkie ujemne, wszyscy nowi użytkownicy itp.). Należy zauważyć, że próbkowanie osądowe nie jest statystyczne i jego rezultaty nie powinny być rozszerzane na całą populację, jako że próba nie jest reprezentatywna dla populacji.

6.1.3. Ocena wyników badania metodą statystycznego doboru próby

Audytor wewnętrzny przeprowadzający badanie analizuje wszystkie błędy znalezione
w próbie, co do ich natury, przyczyn powstania i wpływu na organizację. Jeżeli okaże się, że wszystkie błędne jednostki mają jakąś wspólną cechę, być może tworzą one podpopulację, którą należałoby poddać dalszym badaniom. Aby ocenić błąd w całej populacji, należy ekstrapolować wyniki uzyskane w próbie. Można to zrobić na dwa sposoby w zależności od tego, czy błąd jest powiązany z wielkością jednostek w populacji, czy nie. Jeśli błąd jest ściśle powiązany z wielkością populacji, wówczas ekstrapolacji błędu dokonuje audytor w następujący sposób: błąd w populacji
= (błąd w próbie x wartość populacji) /wartość próby. Może się zdarzyć, że błąd nie jest powiązany
z wielkością jednostek w populacji. Wówczas audytor dokonuje ekstrapolacji w następujący sposób: błąd w populacji = (błąd w próbie x liczebność populacji) /liczebność próby.

Metody badania wyrywkowego można również zastosować przy przeprowadzaniu testów kontroli. Przy testach kontroli błąd w populacji jest szacowany nie wartościowo, (co byłoby niemożliwe), ale w ujęciu procentowym. Procent błędnych odpowiedzi jest następnie porównywany z dopuszczalnym błędem. Błąd w populacji (%) = liczba błędnych jednostek w próbie/liczebność próby x 100%.

W celu wyeliminowania wątpliwości i różnic w pracy poszczególnych audytorów przyjmuje się jednolicie, iż na potrzeby dokonywania wszelkich obliczeń w czasie czynności audytowych:

przybliżenia uwzględnia się do drugiego miejsca po przecinku; jeśli cyfra na trzecim miejscu
po przecinku ma wartość większą lub równą “5”, cyfrę na miejscu drugim podwyższa się o jeden; w pozostałych sytuacjach cyfra na miejscu drugim pozostaje bez zmian,

sumy pieniężne zaokrągla się do pełnych dziesiątek groszy, w ten sposób, że kwoty wynoszące: mniej niż 5 groszy pomija się, a 5 i więcej groszy podwyższa się do pełnych dziesiątek groszy.

7. Narada zamykająca

Po zakończeniu zadania audytowego w celu przedstawienia wstępnych ustaleń i wniosków, audytu wewnętrznego, audytor wewnętrzny zwołuje naradę zamykającą z udziałem kierownika komórki organizacyjnej, w której przeprowadzany jest audyt (kierowników komórek zaangażowanych w proces w obszarze będącym przedmiotem audytu) oraz wskazanych przez niego pracowników. Termin narady powinien być uzgodniony ze wszystkimi stronami spotkania, w taki sposób, aby nie kolidował z bieżącymi zadaniami komórek organizacyjnych Starostwa i Jednostek organizacyjnych Powiatu Olesnickiego

Audytor wewnętrzny dokumentuje przebieg narady zamykającej za pomocą protokołu (zał.13). Protokół powinien zostać podpisany przez kierownika komórki audytowanej lub wyznaczoną przez niego osobę oraz dołączany do bieżących akt audytu.

Podczas narady zamykającej audytor przekazuje kierownikowi komórki audytowanej „Wstępne sprawozdanie z audytu” i informuje go, że ma 14 dnia na wniesienie ewentualnych uwag względem poczynionych ustaleń.

IV Sprawozdawczość

1. Zasady ogólne

Po zakończeniu fazy realizacji zadania audytowego należy przedstawić rezultaty wykonanej pracy. W tym celu stosuje się w audycie pisemną formę sprawozdania.

2. Jakość sprawozdania

Sprawozdanie z przeprowadzenia audytu wewnętrznego powinno być dokładne, obiektywne, przejrzyste, zwięzłe, konstruktywne oraz terminowe.

Dokładne to znaczy wolne od błędów i zniekształceń, wiernie odpowiadające faktom. Informacje
i dowody badania powinny być zbierane, oceniane i prezentowane z należytą starannością i precyzją.

Obiektywne, czyli bezstronne i rzeczowe. Sprawozdanie powinno być wynikiem rzetelnej i zrównoważonej oceny wszystkich istotnych faktów i okoliczności. Ustalenia, wnioski nie powinny być tendencyjne ani stronnicze, ani nie powinny uwzględniać interesów osobistych i nacisków zainteresowanych stron.

Przejrzyste - łatwe do zrozumienia i logiczne. Przejrzystość można osiągnąć unikając “technicznego” słownictwa i prezentując wszystkie ważne i potrzebne informacje.

Zwięzłe - na temat, unikające elaboratów, zbędnych szczegółów oraz rozwlekłości. Na etapie tworzenia sprawozdanie powinno być przez cały czas przeglądane przez piszącego go audytora. Celem jest przedstawienie tylko znaczących informacji w sposób zwięzły i treściwy.

Konstruktywne - takie, które dzięki treściom w nim zawartym, pomagają badanej jednostce w organizacji, a także prowadzą do ulepszeń tam, gdzie są one potrzebne. Zawartość i treść prezentacji powinny być użyteczne i pozytywne.

Kompletne - w sprawozdaniu nie brakuje niczego, co byłoby ważne dla odbiorców; zawiera ono wszystkie ważne informacje i ustalenia, stanowiące poparcie zaleceń i wniosków.

Terminowe - na czas, w odpowiednim momencie, zawierające praktyczne wskazówki dla tych, którzy mogą podejmować działanie zgodnie z ustaleniami (wnioskami). Sprawozdania powinny być sporządzane bez zbędnych opóźnień, tak, aby umożliwić podjęcie szybkich i efektywnych działań.

3. Sprawozdanie

Sprawozdanie z przeprowadzenia audytu wewnętrznego opiera się na faktach i ustaleniach. W sprawozdaniu audytor wewnętrzny przedstawia, w sposób uporządkowany, zwięzły i przejrzysty, ustalenia i wnioski poczynione w trakcie audytu wewnętrznego.

Obligatoryjną treść sprawozdania z przeprowadzenia audytu wewnętrznego stanowi:

oznaczenie zadania audytowego,

datę sporządzenia,

nazwę i adres komórki, w której jest przeprowadzany audyt wewnętrzny,

imię i nazwisko audytora wewnętrznego uczestniczącego w zadaniu audytowym,

cel przeprowadzania zadania audytowego,

zakres przedmiotowy zadania audytowego,

zastosowane techniki przeprowadzenia zadania audytowego,

termin, w którym przeprowadzono audyt wewnętrzny,

zwięzły opis zadań komórki, zwłaszcza w obszarze poddanym audytowi,

ustalenie stanu faktycznego,

określenie oraz analizę przyczyn i skutków uchybień,

ryzyka związane z nieusunięciem stwierdzonych uchybień,

uwagi i wnioski w sprawie usunięcia stwierdzonych uchybień,

podpis audytora wewnętrznego.

W sprawozdaniu należy przestrzegać następujących reguł:

pisać krótkimi zdaniami,

unikać żargonu, czy to urzędniczego, czy związanego z techniką,

myśli powinny być przedstawione prosto i bezpośrednio.

Część ogólna sprawozdania

Sprawozdanie w części ogólnej powinno zawierać:

cel badania - w sprawozdaniu należy określić cele audytu; można też w razie konieczności zawrzeć informację, dlaczego przeprowadzono audyt i jakich rezultatów oczekiwano,

zakres badania - sprawozdanie powinno określać rodzaje działalności/procesy/komórki organizacyjne poddawane badaniu oraz - w razie potrzeby - dodatkowe informacje, np. okres objęty badaniem. W sprawozdaniu należy również wymienić rodzaje działalności powiązane z badanymi, ale niepodlegające audytowi tak, aby dokładnie sprecyzować granice zadania audytu. Należy również opisać charakter i zakres przeprowadzonych badań.

Część szczegółowa sprawozdania

Sprawozdanie w części szczegółowej powinno zawierać:

ustalenia: dowody dokumentujące stan faktyczny, ustalony przez audytora wewnętrznego w trakcie badań (jak jest). Szczegółowy opis zidentyfikowanych ustaleń. W sprawozdaniu powinny zostać przedstawione te ustalenia, które są konieczne dla sformułowania lub wyjaśnienia wniosków
i zaleceń audytora. Ustalenia badania i wnioski powstają w wyniku procesu porównywania tego, co powinno być, z tym, co jest. Kiedy stan faktyczny odpowiada wymaganym kryteriom można umieścić w sprawozdaniu informację, że badany obszar funkcjonuje w sposób poprawny,

przyczyna: przyczyny różnic między stanem faktycznym a oczekiwanym, (dlaczego wystąpiły różnice) podane przez komórkę audytowaną,

skutek: zaistniała sytuacja,

ryzyko: zagrożenie dla Starostwa Powiatowego i Jednostek organizacyjnych Powiatu Olesnickiego i/lub innych podmiotów, spowodowane różnicą między stanem faktycznym a oczekiwanym (wpływ tej różnicy),

uwagi i wnioski: zawierają propozycje działań naprawczych, odpowiedź komórki audytowanej.

Wzór sprawozdania zawiera (zał. 14).

4. Przekazanie sprawozdania

Po przeprowadzeniu czynności audytorskich w komórce audytowanej, audytor wewnętrzny sporządza „Sprawozdanie wstępne z audytu” i przekazuje je kierownikowi tej komórki w trakcie narady zamykającej. Kierownik ma 14 dni na zgłoszenie audytorowi wewnętrznemu (w formie pisemnej) dodatkowych wyjaśnień lub umotywowanych zastrzeżeń dotyczących ustaleń stanu faktycznego, analizy przyczyn i skutków stwierdzonych uchybień.

Obowiązkiem audytora jest poddanie wyjaśnień lub zastrzeżeń analizie i ewentualnie przeprowadzenie dodatkowych czynności wyjaśniających. Jeśli uzna je w części lub w całości za uzasadnione zmienia lub uzupełnia odpowiednią część lub całość sprawozdania.

W razie nieuwzględnienia tych dodatkowych wyjaśnień lub zastrzeżeń, audytor wewnętrzny formułuje swoje stanowisko na piśmie, przekazuje je kierownikowi komórki audytowanej a kopię włącza do akt bieżących.

Po przekazaniu swojego stanowiska wobec dodatkowych uwag i zastrzeżeń kierownikowi komórki audytowanej, audytor przekazuje „Sprawozdanie końcowe z audytu” w ostatecznej wersji, po jednym egzemplarzu, Staroście Powiatu Oleśnickiego, kierownikowi komórki audytowanej a trzeci egzemplarz włącza do akt bieżących.

Starosta Powiatu Oleśnickiego podejmuje decyzje dotyczącą terminu, sposobu, zakresu wykonania zaleceń ujętych w Sprawozdaniu końcowym z audytu wewnętrznego.

Obligatoryjną treść sprawozdania z przeprowadzenia audytu wewnętrznego zawiera pkt. 2 § 20 rozporządzenia w sprawie szczegółowego sposobu i trybu przeprowadzania audytu wewnętrznego.

W sprawozdaniu należy przestrzegać następujących reguł:

pisać krótkimi zdaniami,

unikać żargonu, czy to urzędniczego, czy związanego z techniką,

myśli powinny być przedstawione prosto i bezpośrednio.

V Czynności sprawdzające

Audytor wewnętrzny upoważniony jest do przeprowadzenia czynności sprawdzających, dokonując oceny dostosowania działań jednostki do zgłoszonych przez niego uwag.

W Starostwie i Jednostkach organizacyjnych Powiatu Oleśnickiego audytor wewnętrzny
w terminie 2 miesięcy od daty przekazania sprawozdania kierownikowi komórki audytowanej przeprowadza spotkanie w celu zbadania czy i jak zostały wprowadzone w życie zalecenia dotyczące usunięcia lub zminimalizowania stwierdzonych uchybień. Kierownik komórki audytowanej na spotkaniu przekazuje audytorowi dokumenty, korespondencję potwierdzającą wprowadzenie zaleceń lub też motywującą konieczność wydłużenia okresu wprowadzenia zaleceń. Dokumentacja ta jest przechowywana w bieżących aktach audytu.

W przypadku zdecydowanego oporu ze strony kierownika komórki audytowanej dotyczącego wprowadzenia zaleceń, audytor wewnętrzny informuje o tym fakcie Starostę Powiatu Oleśnickiego oraz przeprowadza audyt poza planem celem potwierdzenia ustaleń oraz konsekwencji wynikających z nich ryzyk.

Ustalenia poczynione w trakcie czynności sprawdzających audytor umieszcza w notatce informacyjnej z audytu sprawdzającego (zał. 15), przekazywanej kierownikowi komórki audytowanej i Staroście Powiatu Oleśnickiego. Notatkę dołącza się do akt bieżących jednostki.

Spis załączników do Książki Procedur Audytu Wewnętrznego.

Załącznik 1

Przykładowa lista pytań

Załącznik 2

Notatka z wywiadów / rozmów

Załącznik 3

Zestaw podstawowych symboli służących do graficznej dokumentacji procesu

Załącznik 4,4a

Przykład analizy ryzyka

Załącznik 5

Wyliczenie czasu pracy Audytora Wewnętrznego

Załącznik 6

Roczny plan audytu wewnętrznego

Załącznik 7

Program zadania audytowego

Załącznik 8

Protokół z narady otwierającej

Załącznik 9

Kwestionariusz oceny kontroli wewnętrznej

Załącznik 10

Plan kontroli

Załącznik 11

Arkusz wykrycia i analizy problemu (FRAP)

Załącznik 12

Zestawienie technik testowania

Załącznik 13

Protokół z narady zamykającej

Załącznik 14

Wzór sprawozdania z przeprowadzenia audytu wewnętrznego

Załącznik 15

Notatka z czynności sprawdzających

Załącznik nr 1

Do uchwały Zarządu Powiatu Oleśnickiego

Nr ………… z dnia………………..

Książka Procedur Audytu Wewnętrznego

w

Powiecie Oleśnickim

Opracowanie:

Audytor wewnętrzny - Stanisław Kuświk

(data, podpis……………………………..

(data, podpis Starosty Powiatu Olesnickiego

Oleśnica 25.03.2005 …………………………………………….

Spis treści:

  1. Wprowadzenie………………………………………………………. 3

  2. Audyt wewnętrzny w Starostwie Powiatowym i Jednostkach Organizacyjnych Powiatu Oleśnickiego…………………………….. 4

  3. Książka procedur…………………………………………………….. 5

  4. Zarządzanie dokumentacją…………………………………………… 6

Planowanie………………………………………………………………… 8

    1. Wprowadzenie………………………………………………………... 8

    2. Zebranie informacji o działalności Starostwa Powiatowego i Jednostek Organizacyjnych Powiatu Olesnickiego oraz poznanie zachodzących w nim procesów………………………………………………………………… 8

2.1 Rozmowy i wywiady…………………………………………………9

    1. Identyfikacja systemów kontroli…………………………………….. 10

    2. Wstępny przegląd systemów kontroli………………………………... 10

4.1 Udokumentowanie zebranych informacji…………………………... 11

    1. Analiza ryzyka na etapie planowania…………………………………. 11

    2. Identyfikacja obszarów ryzyka i czynników ryzyka…………………. 13

    3. Identyfikacja obszarów ryzyka systemów informatycznych…………. 14

    4. Analiza ryzyka……………………………………………………….. 14

    5. Opracowanie planu audytu……………………………………………. 15

Metodyka przeprowadzenia zadania audytowego…………………………..17

  1. Upoważnienie do przeprowadzenia………………………………...... 17

  2. Program zadania audytowego…..……………………………………. 17

  3. Realizacja zadania audytowego ……………………………………... 19

3.1 Rozpoczęcie zadania - narada otwierająca…………………………. 19

  1. Dokumentowanie czynności audytowych……………………………. 19

4.1. Dowody potwierdzające ustalenia………………………………….. 19

4.2. Porównywanie wartości dowodów…………………………………. 20

4.3. Rodzaje i pozyskiwanie dowodów…………………………………. 20

4.4. Dokumenty robocze audytu………………………………………… 21

4.5. Cechy dokumentu roboczego……………………………………….. 21

4.6. Dokumenty robocze stosowane w Starostwie Powiatowym i

Jednostkach Organizacyjnych Powiatu Olesnickiego……………… 22

  1. Techniki i metody audytorskie stosowane podczas realizacji zadania audytowego w Starostwie powiatowym i Jednostkach Organizacyjnych Powiatu Oleśnickiego…………………………………………………… 23

5.1. Testy audytowe ……………………………………………………. 23

5.2. Techniki wykorzystywania w trakcie testów……………………… 25

  1. Techniki próbkowania……………………………………………….. 28

6.1. Określenie próby…………………………………………………… 29

6.1.1. Metody próbkowania statystycznego…………………………….. 29

6.1.2. Metody próbkowania niestatystycznego…………………………. 30

6.1.3. Ocena wyników badania statystycznego doboru próby………….. 30

  1. Narada zamykająca…………………………………………………... 31

Sprawozdawczość…………………………………………………………… 32

  1. Zasady ogólne………………………………………………………... 32

  2. Jakość sprawozdania…………………………………………………. 32

  3. Sprawozdanie………………………………………………………… 32

  4. Przekazanie sprawozdania…………………………………………… 33

Czynności sprawdzające…………………………………………………… 34

Spis załączników do Ksiązki Procedur Audytu Wewnętrznego…………… 35

Książka Procedur Audytu Wewnętrznego

w Powiecie Oleśnickim

50

4



Wyszukiwarka

Podobne podstrony:
Audyt strony drugiej, audyt systemów zarządzania
3, audyt systemów zarządzania
Tabela 1, audyt systemów zarządzania
Tabela 1, audyt systemów zarządzania
Deklaracja Prezesa GLOBAL TRANS-1, audyt systemów zarządzania
Audyt strony drugiej, audyt systemów zarządzania
Przykład wykorzystania w praktyce systemów GIS, Zarządzanie i inżynieria produkcji, Semestr 4, Gospo
projektowanie systemów zarządzania - test przykładowy, Zarządzanie(1)
09Kontrole systemow zarzadzania, Audyt Wewnętrzny
Audyt wewnetrzny systemu zarzad Nieznany (2)
PRZYKŁAD AUDYTU SYSTEMU INFORMATYCZNEGO
praca magisterska licencjacka Wdrażanie systemu zarządzania jakością w urzędzie administracyjnym, na
Komputerowe systemy zarządzania produkcją
Projektowanie systemow zarzadzania
informatyczne systemy zarzadzan Nieznany
haccp4, - dietetyka, HACCP -, systemy zarzadzania jakoscia, haccp 1
haccp 6b, - dietetyka, HACCP -, systemy zarzadzania jakoscia, haccp 1

więcej podobnych podstron