Cel procedury.

Celem niniejszej procedury jest określenie misji, zakresu prac, odpowiedzialności i obowiązków oraz zasad prowadzenia postępowań audytowych przez komórkę audytu wewnętrznego w danej organizacji. 

Zakres stosowania.

Niniejsza procedura obowiązuje wszystkie komórki organizacyjne danej organizacji.

Nadzór nad przestrzeganiem niniejszej procedury sprawuje dyrektor komórki audytu wewnętrznego.

Definicje:

  • Analiza ryzyka - określone działania mające na celu obniżenie prawdopodobieństwa wystąpienia i/lub znaczenia ryzyka na funkcjonowanie procesów operacyjnych w danej organizacji.
  • Audytor wewnętrzny – pracownik komórki audytu wewnętrznego.
  • Kierownictwo – osoby pełniące funkcje kierownicze w podstawowych i wewnętrznych komórkach organizacyjnych w danej organizacji.
  • Komórka audytu wewnętrznego – wyspecjalizowany zespół świadczący w danej organizacji
    w sposób niezależny, usługi obiektywnie zapewniające i doradcze, celem przysporzenia wartości oraz usprawnienia działalności operacyjnej organizacji. Ma on za zadanie wspomaganie danej organizacji w osiąganiu jej celów poprzez systematyczne i konsekwentne podejście do oceny i doskonalenia skuteczności procesów zarządzania ryzykiem, kontroli i ładu korporacyjnego.
  • Podstawowa komórka organizacyjna – to wyodrębniony w ramach danej organizacji zespół ludzi zarządzający określonymi procesami, np. komórka audytu wewnętrznego zarządzana przez dyrektora.
  • Kontrola funkcjonalna – zespół zadań w ramach zakresu obowiązków wykonywanych przez osoby nadzorujące czynności w danym procesie biznesowym. Forma wykonywanej kontroli zależy od przydzielonej funkcji i zajmowanego stanowiska, np. dyrektor, kierownik, pracownik.
  • Ład Organizacyjny - zespół powiązanych ze sobą przepisów prawnych i dobrowolnych praktyk, ogólnie przyjętych w danej organizacji wartości i zasad postępowania, obowiązujących procedur wewnętrznych umożliwiających danej organizacji generowania wartości przy jednoczesnym poszanowaniu praw i interesów udziałowców oraz ogólnie przyjętych zasad rządzących życiem gospodarczym i społecznym.
  • Plan postępowania audytowego – opracowany przez komórkę audytu wewnętrznego zestaw informacji, danych i działań mający na celu prawidłowe i sprawne wykonanie badania. Plan postępowania audytowego opracowywany jest dla każdego postępowania audytowego indywidualnie i jest zatwierdzany przez dyrektora komórki audytu wewnętrznego.
  • Plan rocznych postępowań audytowych – zestawienie planowanych postępowań audytowych na dany rok, sporządzane przez komórkę audytu wewnętrznego na okresy roczne, zatwierdzane przez prezesa zarządu. Plan powinien zostać opracowany i zatwierdzony do końca III kwartału na dany rok, w którym postępowania audytowe będą prowadzone.
  • Postępowanie audytowe – prowadzone przez komórkę audytu wewnętrznego działania, których celem jest wydanie usług zapewniających i/lub doradczych w badanym procesie.
  • Postępowanie audytowe o charakterze specjalnym – prowadzone w trybie pilnym (poza planami rocznymi) przez komórkę audytu wewnętrznego działania, których celem jest wydanie usług zapewniających i/lub doradczych w badanym procesie operacyjnym.
  • Proces operacyjny – działanie lub zbiór wzajemnie powiązanych czynności, które wykorzystując zasoby (m. in. ludzkie, rzeczowe, finansowe) prowadzą do osiągnięcia określonego efektu.
  • Przysparzanie wartości (dodawanie wartości) – wartość tworzona jest poprzez polepszenie możliwości realizacji celów organizacji, poprzez identyfikowanie usprawnień działań operacyjnych i/lub ograniczenia ekspozycji na ryzyka w wyniku zarówno usług zapewniających, jak i doradczych.
  • Usługi zapewniające – obiektywne badanie dowodów w celu dostarczenia niezależnej oceny procesów zarządzania ryzykiem, kontroli i ładu korporacyjnego. Przykładowo usługi te mogą obejmować zadania w zakresie finansów, działalności operacyjnej, zgodności, bezpieczeństwa systemów oraz przeglądu typu due diligence. Wykonywane są tylko i wyłącznie w przypadku istnienia opisanych procesów.
  • Usługi doradcze – doradztwo dla danej organizacji, którego celem jest przysporzenie wartości oraz polepszenie ładu korporacyjnego, zarządzania ryzykiem i kontroli z zachowaniem zasady, że audytorzy wewnętrzni nie przejmują na siebie odpowiedzialności kierownictwa danej organizacji. Przykładami takich usług jest opinia aktu wewnętrznego, konsultacja pisemna, doradztwo oraz szkolenie wewnętrzne.
  • Usługi specjalne – usługi doradcze lub zapewniające świadczone przez audytorów wewnętrznych jako część zwykłej lub rutynowej działalności w ramach działalności organizacji. Usługi doradcze mogą być wykonywane poprzez udział audytorów wewnętrznych w zespołach ds. fuzji, stałych komisjach itp.
  • Uzgodnienia pomiędzy stronami postępowania audytowego – dokonanie uzgodnień pomiędzy audytorami wewnętrznymi a kierującymi audytowaną komórką organizacyjną w zakresie stanu badanego obszaru w momencie zakończenia postępowania audytowego. Celem tego postępowania jest stwierdzenie, czy w trakcie prowadzonego postępowania audytowego dokonano działań naprawczych lub optymalizacyjnych.
  • Zarządzanie ryzykiem – proces identyfikacji, oceny, zarządzania i kontroli potencjalnych zdarzeń lub sytuacji, zmierzający do dostarczenia racjonalnego zapewnienia, że cele założone przez organizację zostaną zorganizowane.

Postanowienia ogólne.

Misja komórki audytu wewnętrznego.

Misją komórki audytu wewnętrznego jest świadczenie niezależnych, obiektywnych usług zapewniających i doradczych oraz specjalnych, których celem jest przysporzenie wartości oraz usprawnienie działalności operacyjnej danej organizacji.

Komórka audytu wewnętrznego pomaga organizacji w osiąganiu jej celów poprzez systematyczne
oraz zdyscyplinowane podejście do oceny i doskonalenia skuteczności procesów zarządzania ryzykiem, kontroli i ładu organizacyjnego.

Zakres prac komórki audytu wewnętrznego.

Zakres prac komórki audytu wewnętrznego obejmuje ustalenie, czy opracowana i prezentowana przez kierownictwo sieć procesów zarządzania ryzykiem, kontroli oraz ładu organizacyjnego w danej organizacji jest odpowiednia i funkcjonuje w sposób zapewniający, iż:

  • ryzyka są prawidłowo rozpoznawane i zarządzane,
  • zachodzi interakcja pomiędzy poszczególnymi grupami ładu organizacyjnego zgodnie z potrzebami,
  • istotne informacje finansowe, zarządcze i operacyjne są dokładne, wiarygodne i dostarczane na czas,
  • działania pracowników są zgodne z zasadami, procedurami wewnętrznymi oraz obowiązującym prawem i przepisami w organizacji,
  • zasoby są nabywane w sposób ekonomiczny, efektywnie wykorzystywane i należycie chronione,
  • programy, plany i cele są osiągane,
  • jakość i ciągłe usprawnianie są wspomagane przez system kontroli wewnętrznej w danej organizacji,
  • znaczące zagadnienia o charakterze legislacyjnym i regulacyjnym wpływające na organizację są rozpoznawane i spotykają się z odpowiednią reakcją.

W trakcie prowadzonych przez komórkę audytu wewnętrznego postępowań audytowych oraz postępowań audytowych o charakterze specjalnym, mogą zostać zidentyfikowane istotne możliwości usprawnienia kontroli kierowniczej (funkcjonalnej), rentowności i wizerunku organizacji. Taka informacja o nich musi zostać przekazana do kierownictwa danej organizacji.

Odpowiedzialność dyrektora komórki audytu wewnętrznego.

Dyrektor komórki audytu wewnętrznego, z tytułu wykonywania swoich obowiązków, odpowiada przed prezesem zarządu za:

  • przedkładanie rocznej oceny adekwatności i skuteczności procesów organizacji, mających za zadanie kontrolowanie jej działalności i zarządzania ryzykiem w dziedzinach określonych w misji i zakresie prac,
  • zgłaszanie istotnych kwestii związanych z procesami kontrolowania działalności organizacji, włączając w to potencjalne usprawnienie tych procesów oraz przedkładanie informacji w powyższych sprawach do jego decyzji,
  • okresowe przedkładanie informacji dotyczących statusu i rezultatów realizacji rocznego planu audytów oraz informowanie, czy komórka audytu wewnętrznego dysponuje wystarczającymi zasobami,
  • koordynowanie oraz nadzór nad innymi funkcjami kontrolnymi i monitoringowymi (zarządzanie ryzykiem, zgodność, bezpieczeństwo, sprawy prawne, etyka, audyt i kontrola wewnętrzna i zewnętrzna).

Niezależność komórki audytu wewnętrznego.

W celu zapewnienia niezależności, komórka audytu wewnętrznego i jej personel podlega tylko i wyłącznie dyrektorowi komórki audytu wewnętrznego, który funkcjonalnie i administracyjnie podlega prezesowi zarządu danej organizacji.

Powyższe nie wyklucza składania rocznych sprawozdań z działalności komórki audytu wewnętrznego pozostałemu kierownictwu danej organizacji.

Zakres obowiązków komórki audytu wewnętrznego.

Dyrektor komórki audytu wewnętrznego i audytorzy wewnętrzni mają następujący zakres obowiązków:

  • opracowywanie elastycznego rocznego planu audytów przy zastosowaniu odpowiedniej metodyki bazującej na analizie ryzyka. Plan powinien uwzględniać ryzyka i niepokojące kwestie związane z kontrolą wewnętrzną, zidentyfikowane przez kierownictwo. Plan, a także jego okresowe aktualizacje, powinny być przedkładane do rozpatrzenia oraz zatwierdzenia przez prezesa zarządu danej organizacji,
  • wdrażanie zatwierdzonego rocznego planu audytów oraz w razie potrzeby wykonywanie usług specjalnych na żądanie prezesa zarządu,
  • utrzymywanie profesjonalnego personelu audytu posiadającego odpowiednią wiedzę, umiejętności, doświadczenie i certyfikaty zawodowe umożliwiające spełnienie wymogów niniejszej regulacji,
  • dokonywanie oceny znaczących funkcji w zakresie połączenia/konsolidacji oraz nowych lub zmieniających się usług, procesów, działań, a także związanych z nimi procesów kontroli funkcjonalnej,
  • przedkładanie prezesowi zarządu danej organizacji okresowych sprawozdań na temat wyników działalności komórki audytu wewnętrznego,
  • bieżące informowanie prezesa zarządu danej organizacji o najnowszych trendach i dobrych praktykach audytu wewnętrznego,
  • pomoc przy prowadzeniu postępowania wyjaśniającego w istotnych sprawach o oszustwo w organizacji oraz powiadamianie prezesa zarządu o jego wynikach,
  • uwzględnianie zakresu prac audytorów zewnętrznych i kontrolerów zewnętrznych oraz organów regulacyjnych w celu zapewnienia optymalnego zakresu przedmiotowego wykonywanego audytu dla organizacji przy rozsądnych kosztach ogólnych.

Uprawnienia komórki audytu wewnętrznego.

Dyrektor komórki audytu wewnętrznego i audytorzy wewnętrzni są uprawnieni do:

  • nieograniczonego dostępu do wszelkich funkcji, dokumentacji, mienia i personelu w organizacji, za wyjątkiem informacji płacowych,
  • nieograniczonego dostępu do prezesa zarządu danej organizacji w godzinach pracy prezesa,
  • alokowania zasobów, ustalania częstotliwości, wybierania przedmiotu, ustalania zakresu prac oraz stosowania technik potrzebnych do osiągnięcia celów audytów,
  • uzyskiwania koniecznej pomocy ze strony kierownictwa i personelu komórek organizacyjnych, w których jest przeprowadzane postępowanie audytowe, jak również innych wyspecjalizowanych usług wewnątrz spoza organizacji,

Dyrektor komórki audytu wewnętrznego i audytorzy wewnętrzni nie są uprawnieni do:

  • wykonywania jakichkolwiek zadań i obowiązków operacyjnych na rzecz organizacji, chyba że na wyraźne pisemne polecenie prezesa zarządu,
  • wykonywania zadań zapewniających i/lub doradczych w obszarze, za który byli odpowiedzialni operacyjne przed upływem 12 miesięcy, gdyż łamie to zasadę naruszenia obiektywizmu. W takim przypadku dyrektor komórki audytu wewnętrznego i audytorzy wewnętrzni muszą ujawnić ten fakt w formie pisemnej prezesowi zarządu,
  • inicjowania lub zatwierdzania operacji księgowych poza komórkę audytu wewnętrznego,
  • kierowania działaniem pracownika organizacji nie zatrudnionego w komórce audytu wewnętrznego z wyjątkiem sytuacji, gdy tacy pracownicy zostali we właściwy sposób przydzieleni do komórki audytu wewnętrznego bądź w inny sposób pomagają audytorom wewnętrznym.

Postępowanie audytowe.

Podstawę do przeprowadzenia postępowania audytowego stanowi zatwierdzony przez prezesa zarządu roczny plan postępowań audytowych.

Wzór rocznego planu postępowań audytowych stanowi załącznik nr 1 do niniejszej procedury.

Dodatkowo dyrektor komórki audytu wewnętrznego na podstawie zatwierdzonego planu postępowań audytowych wydaje pisemne zarządzenie postępowania audytowego.

Wzór pisemnego zarządzenia postępowania audytowego stanowi załącznik nr 2 do niniejszej procedury.

Postępowania audytowe przeprowadzane są jednoosobowo lub przez zespół wieloosobowy zwany „zespołem audytowym” z przewodniczącym, którego wyznacza podpisujący zarządzenie przeprowadzenia postępowania audytowego.

Do każdego postępowania audytowego przygotowywany jest przez zespół audytowy plan/program badania audytowego.

Wzór planu postępowania audytowego stanowi załącznik nr 3 do niniejszej procedury.

Plan opracowywany jest na podstawie metodyki badania audytowego oraz doświadczenia audytorów.

O terminie rozpoczęcia postępowania audytowego zawiadamia się kierującego audytowaną komórką organizacyjną na co najmniej 5 dni roboczych przed przewidywanym terminem jego rozpoczęcia.

W uzasadnionych przypadkach dyrektor komórki audytu wewnętrznego może podjąć decyzję o skróceniu czasu pomiędzy powiadomieniem kierującego audytowaną komórką organizacyjną a rozpoczęciem postępowania audytowego.

Postępowania audytowe o charakterze specjalnym nie wymagają zachowania terminu powiadomienia na 5 dni przed rozpoczęciem postępowania audytowego.

Kierujący audytowaną komórką organizacyjną zobowiązany jest zapewnić audytorowi wewnętrznemu lub zespołowi audytowemu odpowiednie warunki pracy, między innymi poprzez udostępnienie odrębnego pomieszczenia oraz udzielenia niezbędnej pomocy technicznej, w celu realizacji zadań przeprowadzanego postępowania audytowego. 

Jeśli w trakcie prowadzonego postępowania audytowego stwierdzone zostaną istotne nieprawidłowości lub uchybienia, informacja o ich stwierdzeniu jest przekazywana niezwłocznie w formie pisemnej do kierującego audytowaną komórką organizacyjną.

W wymienionym przypadku kierujący audytowaną komórką organizacyjną zobowiązany jest do:

  • podjęcia natychmiastowych działań zmierzających do likwidacji przyczyn, powodujących wystąpienie w/w nieprawidłowości lub uchybień,
  • poinformowania w formie pisemnej o podjętych działaniach dyrektora komórki audytu wewnętrznego oraz prezesa zarządu.

Materiały sprawozdawcze z postępowania audytowego.

Każde postępowanie audytowe zostaje zakończone sporządzeniem raportu przez audytora wewnętrznego lub zespół audytowy. 

Wzór raportu z postępowania audytowego stanowi załącznik nr 4 do niniejszej procedury.

Audytor wewnętrzny lub zespół audytowy przygotowuje raport z przeprowadzonego postępowania audytowego w terminie 7 dni roboczych od dnia zakończenia postępowania.

Raport z przeprowadzonego postępowania audytowego przekazywany jest w formie elektronicznej do kierującego audytowaną komórką organizacyjną, celem dokonania uzgodnień pomiędzy stronami postępowania.

Po dokonaniu ewentualnych uzgodnień lub w przypadku ich braku, raport z przeprowadzonego postępowania podpisywany jest przez audytorów wewnętrznych, biorących udział w postępowaniu oraz kierującego audytowaną komórką organizacyjną.

Dodatkowo jest on parafowany (zasada podpisu) przez przewodniczącego zespołu audytowego/audytorów wewnętrznych - każda strona raportu.

Jeden egzemplarz raportu otrzymuje za potwierdzeniem odbioru kierujący audytowaną komórką organizacyjną.

W przypadku, gdy postępowanie audytowe dotyczy wielu komórek organizacyjnych (proces operacyjny przebiegający pomiędzy komórkami organizacyjnymi), raport z przeprowadzonego postępowania podpisywany jest przez audytorów wewnętrznych, biorących udział w postępowaniu oraz kierujących audytowanymi komórkami organizacyjnymi.

W w/w przypadku raport przekazywany jest do zapoznania w formie elektronicznej, a podpisywany w formie papierowej, zgodnie z poniższymi zapisami.

Kierujący audytowaną komórką organizacyjną jest zobowiązany do podpisania raportu w dniu zakończenia postępowania.

W wyjątkowych, uzasadnionych przypadkach (urlop, choroba), podpisanie raportu może nastąpić do 7 dni po zakończeniu postępowania audytowego.

Kierujący audytowaną komórką organizacyjną może dodatkowo (w przypadku braku uzgodnień) przy podpisaniu raportu złożyć na piśmie wyjaśnienia, będące komentarzem do ustaleń raportu lub zastrzec sobie prawo złożenia w ciągu 10 dni na piśmie dodatkowych wyjaśnień.

Postępowanie poaudytowe.

Postępowanie poaudytowe obejmuje:

  • naradę poaudytową,
  • opracowanie i zatwierdzenie zaleceń z postępowania audytowego,
  • kontrolę wykonania wydanych zaleceń z postępowania audytowego.

Jeżeli w wyniku postępowania ujawnione zostaną istotne nieprawidłowości lub uchybienia, dyrektor komórki audytu wewnętrznego zarządza zorganizowanie narady poaudytowej.

Naradę organizuje i przewodniczy jej kierujący audytowaną komórką organizacyjną.

Biorą w niej udział: dyrektor komórki audytu wewnętrznego, zespół audytowy oraz wytypowani pracownicy audytowanej komórki organizacyjnej.

Protokół zawierający wnioski z narady podpisywany jest przez przewodniczącego narady i protokolanta (osoba wyznaczona przez kierującego audytowaną komórką organizacyjną). Stanowi on integralną część materiałów z postępowania audytowego.

Wzór protokołu z narady poaudytowej stanowi załącznik nr 5 do niniejszej procedury.

Na podstawie materiałów z postępowania audytowego oraz ustaleń i wniosków z ewentualnej narady poaudytowej, prezes zarządu organizacji wydaje, nie później niż w ciągu 1 miesiąca od daty podpisania raportu, zalecenia z postępowania audytowego.

Projekt zaleceń z postępowania audytowego przygotowuje dla prezesa zarządu danej organizacji komórka audytu wewnętrznego.

Zalecenia z postępowania audytowego powinny zawierać:

  • polecenia usunięcia stwierdzonych nieprawidłowości w wyznaczonym terminie,
  • wskazanie działań mających zapobiec powtórzeniu się podobnych nieprawidłowości w przyszłości oraz działań zmierzających do wyciągnięcia konsekwencji służbowych w stosunku do osób winnych naruszenia obowiązujących procedur wewnętrznych itp.

Wzór zaleceń z postępowania audytowego stanowi załącznik nr 6 do niniejsze procedury.

Audytowana komórka organizacyjna zobowiązana jest zawiadomić w formie pisemnej prezesa zarządu oraz dyrektora komórki audytu wewnętrznego o sposobie wykonania zaleceń z postępowania audytowego w terminie określonym w zaleceniach.

Jeżeli zalecenia z postępowania audytowego nie zawierają określonego terminu ich wykonania, kierownik audytowanej komórki organizacyjnej zobowiązany jest do samodzielnego określenia terminu wykonania zaleceń, poinformowania o nim prezesa zarządu oraz do zawiadomienia o sposobie wykonania zaleceń, w określonym przez siebie terminie.

Audyt wykonania zaleceń poaudytowych przeprowadzają pracownicy komórki audytu wewnętrznego.

Audyty te przeprowadzane są w tych komórkach organizacyjnych, w których stwierdzono nieprawidłowości i uchybienia.

Tryb postępowania w przypadku audytu wykonania zaleceń poaudytowych jest analogiczny, jak w przypadku postępowania audytowego, czyli obowiązują te same zasady i terminy.

Archiwizacja i rejestracja dokumentacji z postępowań audytowych.

Wszystkie dokumenty związanie z postępowaniem audytowym archiwizowane są przez komórkę audytu wewnętrznego w formie:

  • papierowej – zgodnie z zasadami przechowywania dokumentów papierowych w danej organizacji,
  • elektronicznej – w rejestrze przeprowadzonych postępowań audytowych.

Wzór wymienionego rejestru stanowi załącznik nr 7 do niniejszej procedury.

Wymieniony rejestr należy wypełniać według wzoru i podłączać dokumenty w wersji PDF na zasadzie hiperlinków.

Wykaz załączników.