KSIĄŻKA AUDYTU WEWNĘTRZNEGO – CZĘŚĆ II I. PROCEDURY

Transkrypt

KSIĄŻKA AUDYTU WEWNĘTRZNEGO – CZĘŚĆ II
I. PROCEDURY METODOLOGICZNE (METODOLOGIA AUDYTU)
Książka zawiera procedury metodologiczne (metodologie audytu) dotyczące:
rocznej analizy ryzyka i planowania strategicznego oraz rocznego – wzór A
przygotowania upoważnienia do przeprowadzenia zadania zapewniającego – wzór B
przeprowadzenia wstępnego przeglądu – wzór C
przygotowania programu zadania – wzór D
uzgodnienia, przebiegu i dokumentowania narady otwierającej – wzór E
przeprowadzenia zadania audytowego – zapewniającego – wzór F
przeprowadzenia wywiadu – wzór F.1
przeprowadzenia testów kroczących (walkthrough) – wzór F.2
przeprowadzenia obserwacji/oględzin – wzór F.3
przeprowadzenia badania kwestionariuszami kontroli wewnętrznej – wzór F.4
przeprowadzenia badania kwestionariuszami samooceny – wzór F.5
przeprowadzenia testów zgodności – wzór F.6
przeprowadzenia testów wiarygodności – wzór F.7
uzgodnienia, przebiegu i dokumentowania narady zamykającej – wzór G
sprawozdawczości z zadania audytowego – wzór H
czynności sprawdzających – wzór I
sprawozdawczości z realizacji rocznego i wieloletniego planu audytu – wzór J
zadań doradczych – wzór K
II. SŁOWNIK POJĘĆ
III. ZAŁĄCZNIKI
PROCEDURA PRZEPROWADZENIA ROCZNEJ ANALIZY RYZYKA, PLANOWANIA STRATEGICZNEGO ORAZ ROCZNEGO
Nazwa procedury
ROCZNA ANALIZA RYZYKA, PLANOWANIE STRATEGICZNE ORAZ ROCZNE
Uwarunkowania procedury
STANDARDOWE, PRAWNE
Właściciel procedury
ZARZĄDZAJACY AUDYTEM WEWNĘTRZNYM
L.p
STANOWISKO
.
ODPOWIEDZIALNE
1
ZA DZIAŁANIE
Audytor
CZYNNOŚĆ
OSOBA WERYFIKUJĄCA
zebranie i uzupełnianie informacji o
zarządzający
obszarach działalności, w tym o przepisach
audytem
TERMIN
na bieżąco
PRODUKT
dokumenty,
MIEJSCE DOCELOWE
akta stałe
wewnętrzne
uregulowania,
prawnych dotyczących działania jednostki
opisy systemów
2
Audytor
zapoznanie się z roczną analizą ryzyka
zarządzający
do końca
brak
akta stałe
przeprowadzoną przez kierownika
audytem
sierpnia
zapoznanie się z nowymi planami
zarządzający
do końca
kopie istotnych
akta stałe
jednostki, celami długoterminowymi i
audytem
sierpnia
dokumentów
roczna ocena stopnia realizacji celów
zarządzający
do końca
arkusz roboczy
akta stałe
jednostki
audytem
sierpnia
zebranie i analiza informacji o
zarządzający
do końca
kopie istotnych
akta stałe
niepożądanych incydentach
audytem
sierpnia
dokumentów
zdefiniowanie obszarów ryzyka, na
zarządzający
do końca
arkusz roboczy
jednostki
3
Audytor
krótkoterminowymi
4
5
6
Audytor
Audytor
Audytor
akta stałe
7
Audytor
Audytor
8
Audytor
9
1
0
Audytor
1
1
Audytor
podstawie analizy uwag pracowników
jednostki, liczby, rodzaju i wielkości
dokonywanych operacji finansowych,
możliwości dysponowania przez jednostkę
środkami pochodzącymi ze źródeł
zagranicznych niepodlegających zwrotowi,
liczby i kwalifikacji pracowników
jednostki, działań jednostki, które mogą
wpływać na opinię publiczną, sprawozdań
finansowych oraz sprawozdań z wykonania
budżetu
audytem
sierpnia
(zał. nr 1)
zidentyfikowanie wewnętrznych i
zewnętrznych czynników ryzyka i
powiązanego z nim ryzyka mającego
wpływ na realizację celów jednostki
zarządzający
do końca
arkusz roboczy
audytem
sierpnia
(zał. nr 1)
ocena systemu zarządzania, w tym
środowiska kontroli, m.in. na podstawie
wyników wcześniej dokonywanej oceny
adekwatności, efektywności i skuteczności
systemów kontroli, w tym kontroli
finansowej;
patrz zał. nr 2
zarządzający
do końca
arkusz roboczy
audytem
sierpnia
(zał. nr 2)
dokonanie analizy ryzyka wg przyjętej
zarządzający
do końca
wg przyjętej
metodologii
audytem
września
metodologii
priorytetowe ustawienie obszarów wg
zarządzający
do 25
nie dotyczy
malejących wielkości
audytem
października
modyfikacja obszarów na lata następne,
zarządzający
do 25
projekt planu
akta stałe
akta stałe
akta stałe
kierownik
(jeżeli analiza ryzyka wskazuje na
audytem
października
strategicznego
dokonanie weryfikacji)
1
2
Audytor
jednostki/akta
stałe
określenie potrzeb audytu, zdefiniowanie
zarządzający
do 25
projekt planu
tematów zadań audytowych na rok
audytem
października
zarządzający
do 25
wzór rocznego
kierownik
audytem
października
planu audytu
jednostki – akta
zawiera zał. nr
stałe (po
1
podpisaniu
następny
1
3
Audytor
opracowanie rocznego planu audytu
przez
kierownika
jednostki)
Pracownik
sporządzenie pisma przewodniego
audytor/zarządz
do 30
pismo
sekretariat
wspomagający audyt
przekazującego plan roczny audytu do
ający audytem
października
przewodnie
audytu
wewnętrzny
organu uprawnionego
1
5
Sekretariat
zarejestrowanie pisma przewodniego i
wysłanie z rocznym planem audytu
brak
do 30
października
wpis w księgę
kancelaryjną
organ
uprawniony –
akta stałe
1
6
Pracownik
wspomagający audyt
wewnętrzny
przygotowanie pisma przewodniego do
rozesłania planu rocznego do kierowników
komórek organizacyjnych i rozsyłanie do
kierowników jednostek organizacyjnych i
kierownictwa jednostki
audytor/zarządz
ający audytem
do końca roku
pismo
przewodnie
akta stałe
1
4
(zał. nr 3)
1
7
Audytor
monitoring i przegląd poziomu ryzyka,
zarządzający
audytem
na bieżąco
dokument
roboczy tylko
istotne
informacje
akta stałe
1
8
Zarządzający audytem
zgłaszanie zagrożeń
brak
na bieżąco
informacja
dotycząca tylko
istotnych
informacji
akta stałe –
kierownik
jednostki
PROCEDURA PRZYGOTOWANIA UPOWAŻNIEŃ DO PRZEPROWADZENIA ZADANIA ZAPEWNIAJĄCEGO
Nazwa procedury
PRZYGOTOWANIE UPOWAŻNIEŃ
WYMOGI PRAWNE
AUDYTOR WEWNĘTRZNY
L
.p
STANOWISKO ODPOWIEDZIALNE ZA DZIAŁANIE
1
analiza zasobów kadrowych audytu i wyznaczenie zespołu
brak
zgodnie z planem lub poleceniem
brak
nie dotyczy
2
Pracownik wspomagający
audyt wewnętrzny
przygotowanie upoważnień do przeprowadzenia zadania audytowego zgodnie z planem na dany rok
zarządzający
audytem
j.w.
upoważnienie –
zał. nr 4
sekretariat kierownika jednostki
3
Kierownik jednostki
podpisanie upoważnień
brak
j.w.
upoważnienie
akta bieżące
4
Koordynator zadania
wniosek o przedłużenie zadania audytowego (jeżeli zachodzi potrzeba)
zarządzający
audytem
przed upływem
terminu zakończenia zadania
wniosek – zał.
nr 5
akta bieżące
CZYNNOŚĆ
OSOBA WERYFIKUJĄCA
TERMIN
PRODUKT
MIEJSCE DOCELOWE
5
Pracownik wspomagający
audyt wewnętrzny
uzupełnienie upoważnienia do przeprowadzenia zadania audytowego (jeżeli zaakceptowano wniosek)
zarządzający
audytem
przed upływem
terminu zakończenia zadania
upoważnienie
sekretariat kierownika jednostki
6
Kierownik jednostki
podpisanie upoważnień
brak
j.w.
upoważnienie
akta bieżące
PROCEDURA PRZEPROWADZENIA WSTĘPNEGO PRZEGLĄDU
WSTĘPNY PRZEGLĄD
Nazwa procedury
STANDARDOWE
L.p
STANOWISKO ODPOWIEDZIALNE
ZA DZIAŁANIE
ZARZĄDZAJĄCY AYDTEM
CZYNNOŚĆ
1
Audytor
analiza akt stałych audytu, patrz zał. nr 6
2
Audytor
3
OSOBA WERYFIKUJĄCA
koordynator zadania
TERMIN
PRODUKT
MIEJSCE DOCELOWE
przed rozpoczęciem zadania
kopie istotnych
dokumentów
akta bieżące
analiza przepisów prawa oraz wewnętrznych brak
regulacji pod kątem kryteriów oceny oraz
ustalenie, czy i kiedy wystąpiły istotne zmiany prawne lub organizacyjne, patrz zał. nr 7
zapisy w notatce
z przeglądu
akta bieżące
Audytor
zrozumienie badanej działalności i potwierdzenie zrozumienia procesu
brak
brak
nie dotyczy
4
Audytor
analizę wyników wcześniejszych kontroli,
audytów
koordynator zadania
notatka ze wstęp- akta bieżące
nego przeglądu
5
Audytor
zidentyfikowanie i zrozumienie istniejących
kontroli patrz słownik pojęć
koordynator zadania
nego przeglądu
(zał. nr 8)
6
Audytor
identyfikacja i ocena źródeł dowodowych
koordynator zadania
nego przeglądu
7
Audytor
ustalenie dostępu do elementów składających się na populację
brak
nego przeglądu
8
Audytor
wstępna ocena ryzyka m. in. na podstawie
wstępnej oceny systemu kontroli należy
uwzględnić czynniki mające wpływ na wystąpienie zjawiska oszustwa i nadużycia
brak
analiza ryzyka
akta bieżące
(zał. 9), patrz też
słownik pojęć
przygotowanie notatki z przeglądu wstępne- zarządzający au- przed rozpoczęgo, potwierdzenie celowości dalszych badań dytem
ciem zadania
lub sporządzenie sprawozdania ze wstępnego przeglądu, z wnioskiem o odstąpienie od
dalszych prac
nego przeglądu
(zał. 8)
10 Audytor
PROCEDURA PRZYGOTOWANIA PROGRAMU ZADANIA
Nazwa procedury:
PRZYGOTOWANIE PROGRAMU ZADANIA
WYMOGI PRAWNE, STANDARDOWE
ZARZĄDZAJACY AUDYTEM
L.p
ZA DZIAŁANIE
CZYNNOŚĆ
OSOBA WERYFIKUJĄCA
TERMIN
PRODUKT
MIEJSCE
DOCELOWE
1
Koordynator zadania
ostateczne zdefiniowanie celu i zakresu zadania
zarządzający au- przed terminem
dytem
narady
program
akta bieżące
2
Koordynator zadania
wniosek o zmianę tematu zadania/odstąpienie od zadania (tylko w przypadku konieczności, nowe upoważnienie
przygotowywane wg procedury – wzór B
dytem
narady
wniosek zał. nr
10/projekt upoważnienia
kierownik jednostki/akta bieżące
3
Koordynator zadania
określenie kryteriów oceny/ stanu wymaganego
dytem
narady
program zadania
(zał. nr 11)
4
Koordynator zadania
określenie zakresu podmiotowego i przedmiotowego badań, patrz zał. nr 12
zarządzający au- j.w.
dytem
program
akta bieżące
akta bieżące
5
Koordynator zadania
wyspecyfikowanie planowanych technik i
wskazówek metodycznych określających
sposób badania, patrz słownik pojęć
dytem
program
akta bieżące
6
Koordynator zadania
audytor
wskazanie problemów, na które należy
zwrócić uwagę
dytem
program
akta bieżące
7
Koordynator zadania
audytora
określenie rodzaju dowodów niezbędnych
do dokonania ustaleń, patrz słownik pojęć
dytem
program
akta bieżące
8
Koordynator zadania
weryfikacja zasobów kadrowych audytu
(uzupełnienie upoważnień zgodnie z procedurą – wzór B)
dytem
brak
nie dotyczy
9
Koordynator zadania
przydzielenie zadań poszczególnym audyto- zarządzający aurom
dytem
program
akta bieżące
10 Audytor
zaprojektowanie testów
koordynator zadania
j.w.
opis testu, check
lista
akta bieżące
11 Audytor
zaprojektowanie wywiadów, oględzin, obserwacji, analiz
koordynator zadania
j.w.
check lista opis
testu,
akta bieżące
12 Osoba wspomagająca
audytora wg wskazówek audytora
sporządzenie listy dokumentów, które będą
niezbędne dla audytu
audytor
j.w.
akta bieżące
13 Koordynator zadania
określenie harmonogram prac
dytem
dokument roboczy lub pismo/wykaz dla
audytowanego
program
akta bieżące
PROCEDURA UZGODNIENIE, PRZEBIEGU I DOKUMENTOWANIA NARADY OTWIERAJĄCEJ
Nazwa procedury
NARADA OTWIERAJĄCA
WYMOGI PRAWNE, STANDARDOWE
L.p
STANOWISKO
ODPOWIEDZIALNE
ZA DZIAŁANIE
CZYNNOŚĆ
OSOBA
WERYFIKUJĄ
CA
TERMIN
PRODUKT
MIEJSCE
DOCELOWE
1
Koordynator zadania
spotkanie z zespołem audytowym,
przedstawienie celu, zakresu i założeń
audytu
brak
przed naradą
otwierająca
brak
2
Audytor
przygotowanie zestawu zagadnień do
omówienia na naradzie otwierającej
koordynator
zadania
przed naradą
3
Pracownik
poinformowanie kierowników jednostek
wspomagający audytora organizacyjnych objętych zadaniem, o
terminie narady
wewnętrznego
audytor
zestawienie
akta bieżące
znajduje
odzwierciedlenie
w protokole z
pismo lub e-mail akta bieżące
4
Koordynator zadania
uzgodniony
telefonicznie ze
wszystkimi
stronami
w trakcie narady brak
otwierającej
5
Koordynator zadania,
poznanie osób zaangażowanych w proces
brak
audytor, pracownik
wspomagający audytora
wewnętrznego
przeprowadzenie narady: przedstawienie
brak
celu zadania, omówienie tematyki i zakresu
audytu, przedstawienie harmonogramu
zadania i omówienie zasad organizacyjnych,
w tym trybu przekazywania ustaleń,
omówienie najistotniejszych zagadnień
6
okazanie upoważnień do audytu, wraz z
brak
odpowiednimi dokumentami, przedstawienie
składu zespołu audytorskiego,
nie dotyczy
nie dotyczy
w tracie narady
otwierającej
protokół z
narady
akta bieżące
w tracie narady
otwierającej
protokół z
narady
akta bieżące/
uczestnicy
spotkania
7
przekazanie wykazu dodatkowej
dokumentacji do przekazania
brak
w tracie narady
otwierającej
brak
nie dotyczy
8
uzgodnienie kryteriów oceny
brak
w tracie narady
otwierającej
protokół z
narady
akta bieżące/
uczestnicy
spotkania
9
Pracownik
sporządzenie protokołu z narady
wspomagający audytora otwierającej
wewnętrznego
koordynator
zadania
do 2 dni po
zakończeniu
narady
otwierającej
14 dni po
zakończeniu
narady
otwierającej
protokół
brak
protokół
akta bieżące/
uczestnicy
spotkania
10 Pracownik
uzyskanie podpisów na protokole można
wspomagający audytora sporządzić pismo i wyznaczyć termin na
zgłoszenie ewentualnych zastrzeżeń lub
podpisanie
koordynator
zadania
11 Koordynator zadania /
przy udziale pracownika
wspomagającego
audytora
zebranie i analiza ewentualnych uwag,
uzyskanie podpisów (działanie opcjonalne,
jeżeli zgłoszono uwagi) w razie odmowy
podpisania protokołu, zamieszcza się o tym
wzmiankę w protokole; na odmawiającym
ciąży obowiązek niezwłocznego pisemnego
uzasadnienia przyczyn odmowy
zarządzający
audytem
w zależności od
terminów
przekazania
uwag
protokół
akta bieżące/
uczestnicy
spotkania
PROCEDURA PRZEPROWADZANIA ZADANIA AUDYTOWEGO – OGÓLNY OPIS PROCESU AUDYTU
Nazwa procedury
PROWADZENIE ZADANIA AUDYTOWEGO
PRAWNE I STANDARDOWE
L.p
STANOWISKO
ODPOWIEDZIALNE
ZA DZIAŁANIE
CZYNNOŚĆ
1
Audytor przy udziale
pracownika
wspomagającego
audytora
uzyskanie niezbędnych dokumentów,
informacji do przeprowadzenia zadania
2
Audytor
3
OSOBA
WERYFIKUJĄ
CA
brak
TERMIN
PRODUKT
MIEJSCE
DOCELOWE
wg programu
audytu
zgodnie z
procedurami
audytowymi
akta bieżące
przeprowadzenie i udokumentowanie testów koordynator
zgodności (patrz słownik pojęć)
zadania
wg programu
audytu
zgodnie z
procedurami
audytowymi
akta bieżące
Audytor
przeprowadzenie i udokumentowanie testów koordynator
wiarygodności (patrz słownik pojęć)
zadania
wg programu
audytu
zgodnie z
procedurami
audytowymi
akta bieżące
4
Audytor
ocena uzyskanych dowodów i ewentualne
potwierdzenie ich (patrz zał. nr 14)
koordynator
zadania
wg programu
audytu
projekt dalszych
działań, zgodnie
z procedurami
audytowymi
akta bieżące
5
Audytor
wyjaśnienie niezgodności i ustalenie ich
przyczyn
koordynator
zadania
wg programu
audytu
pismo lub
notatka z
rozmowy/
wywiadu
akta bieżące
6
przy udziale audytora
uczestniczącego w
ocena ustaleń i przyczyn
zarządzający
audytem
wg programu
audytu
wstępne
sprawozdanie
akta bieżące
zadaniu
7
uczestniczącego w
zadaniu
ocena systemu kontroli wewnętrznej pod
kątem prawidłowości przebiegu procesu
zarządzający
audytem
wg programu
audytu
wstępne
sprawozdanie
akta bieżące
8
uczestniczącego w
zadaniu
ocena ryzyka wynikającego z ujawnionych
nieprawidłowości (patrz słownik pojęć)
zarządzający
audytem
wg programu
audytu
wstępne
sprawozdanie
akta bieżące
9
uczestniczącego w
zadaniu
analiza zebranego materiału i informacji pod zarządzający
kątem konieczności podjęcia
audytem
natychmiastowych działań
w trakcie trwania informacja
audytu
kierownik
jednostki
PROCEDURY AUDYTOWE – WYWIAD
Nazwa procedury
WYWIAD
STANDARDOWE
L.p
STANOWISKO
ODPOWIEDZIALNE
ZA DZIAŁANIE
1
Audytor
2
ZARZĄDZAJĄCY AUDYTEM
CZYNNOŚĆ
OSOBA
WERYFIKUJĄ
CA
TERMIN
PRODUKT
MIEJSCE
DOCELOWE
koordynator
zadania
w trakcie trwania dokument
zadania
roboczy zał. nr
15
akta bieżące
przygotowanie niezbędnej dokumentacji
Pracownik
audytor
przed terminem
wywiadu
brak
nie dotyczy
3
ustalenie terminu i miejsca spotkania
Pracownik
audytor
zgodnie z ustale- brak
niami
nie dotyczy
4
pracownika
wspomagającego
audytora
brak
j.w.
nie dotyczy
przygotowanie wywiadu/ rozmowy,
realizacja wielokrotna w zależności od
potrzeb, dotyczy wywiadów
niezaplanowanych w procesie tworzenia
programu
przeprowadzenie wywiadu/rozmowy
notatka z
rozmowy
/wywiadu
5
Pracownik
udokumentowanie rozmowy/wywiadu, w
audytor/
wspomagający audytora odniesieniu do informacji wrażliwych należy koordynator
uzyskać podpis rozmówcy
zadania
do 2 dni po
zakończeniu
wywiadu/
rozmowy
akta bieżące
notatka z
wywiadu /
rozmowy (zał. nr
15
i zał. nr 16)
PROCEDURY AUDYTOWE – TESTY KROCZĄCE (WALKTHROUGH)
Nazwa procedury
TESTY KROCZĄCE
STANDARDOWE
L.p
STANOWISKO
ODPOWIEDZIALNE
ZA DZIAŁANIE
CZYNNOŚĆ
OSOBA
WERYFIKUJĄ
CA
TERMIN
PRODUKT
MIEJSCE
DOCELOWE
1
Audytor
analiza formalnych (wewnętrznych i
prawnych) procedur i ścieżki audytu,
uzyskanej od właściciela procesu, patrz zał.
nr 17 oraz słownik pojęć
koordynator
zadania
przed
rozpoczęciem
zadania
notatka ze
wstępnego
przeglądu
akta bieżące
2
pracownika
wspomagającego
audytora
przeprowadzenie wywiadu na temat
przebiegu procesu wg procedury – wzór F.1
brak
przed
rozpoczęciem
zadania
notatka ze
wstępnego
przeglądu
akta bieżące
3
Audytor
ocena prawidłowości sporządzenia ścieżki
audytu patrz słownik pojęć
koordynator
zadania
przed
rozpoczęciem
zadania
dokument
roboczy
akta bieżące
4
pracownika
wspomagającego
audytora
sporządzenie własnej ścieżki audytu w
przypadku braku ścieżki audytu lub luk w
ścieżce
koordynator
zadania
przed
rozpoczęciem
zadania
dokument
roboczy
akta bieżące
5
Audytor
uzyskanie potwierdzenia od właściciela
procesu o prawidłowości jego przebiegu
brak
przed
rozpoczęciem
zadania
podpis na dokumencie
akta bieżące
6
pracownika
wspomagającego
audytora
zbadanie niewielkiej ilości operacji,
przejście przez proces od jego początku do
końca
koordynator
zadania
przed
rozpoczęciem
zadania
dokument
roboczy
akta bieżące
PROCEDURY AUDYTOWE – OBSERWACJA/OGLĘDZINY
OBSERWACJA
Nazwa procedury
STANDARDOWE
L.p
STANOWISKO
ODPOWIEDZIALNE
ZA DZIAŁANIE
CZYNNOŚĆ
OSOBA
WERYFIKUJĄ
CA
TERMIN
PRODUKT
MIEJSCE
DOCELOWE
1
Audytor
określenie celu obserwacji/ oględzin, patrz:
słownik pojęć oraz zał. nr 18 i nr 19
koordynator
zadania
wg programu
audytu
arkusz roboczy
(zał. nr 18 i nr
19)
akta bieżące
2
Audytor
określenie obiektu/ obiektów
obserwacji/oględzin
koordynator
zadania
wg programu
audytu
arkusz roboczy
akta bieżące
3
Audytor
zaplanowanie terminu obserwacji/oględzin
brak
wg programu
audytu
arkusz roboczy
akta bieżące
4
Pracownik
powiadomienie właściciela procesu lub
wspomagający audytora osoby wskazanej do kontaktów o terminie
obserwacji obligatoryjnie dotyczy tylko
oględzin
audytor
wg programu
audytu
nie dotyczy
nie dotyczy
5
pracownika
wspomagającego
audytora
brak
wg programu
audytu
arkusz roboczy,
w razie oględzin
w obecności
osoby
reprezentującej
audytowanego
akta bieżące
6
Pracownik
udokumentowanie obserwacji/oględzin
audytor
wg programu
audytu
arkusz roboczy, akta bieżące
w razie oględzin
dokumentowanie
odbywa się w
obecności
reprezentującego
audytowanego
7
Pracownik
uzyskanie podpisu osoby obecnej przy
wspomagający audytora obserwacji/ oględzinach
audytor
wg programu
audytu
obligatoryjnie
dotyczy tylko
oględzin
przeprowadzenie obserwacji /oględzin
PROCEDURY AUDYTOWE – KWESTIONARIUSZE KONTROLI WEWNĘTRZNEJ
Nazwa procedury
KWESTIONARIUSZE KONTROLI WEWNĘTRZNEJ
STANDARDOWE
L.p
STANOWISKO
ODPOWIEDZIALNE
ZA DZIAŁANIE
CZYNNOŚĆ
OSOBA
WERYFIKUJĄ
CA
TERMIN
PRODUKT
MIEJSCE
DOCELOWE
1
Audytor
opracowanie kwestionariusza kontroli
koordynator
zadania
wg programu
audytu
kwestionariusz
(zał. nr 21)
akta bieżące
2
Audytor
wybór próby do badania (zał. nr 12)
koordynator
zadania
wg programu
audytu
kwestionariusz
akta bieżące
3
Pracownik
ustalenie terminu badania
audytor
wg programu
audytu
kwestionariusz
akta bieżące
4
pracownika
wspomagającego
audytora
przeprowadzenie badania kwestionariusze
kontroli wypełniane są obecności audytora
brak
wg ustalonego
terminu
kwestionariusz
akta bieżące
5
pracownika
wspomagającego
audytora
analiza wyników
koordynator
zadania
przed testami
arkusz roboczy
(zał. nr 22)
akta bieżące
PROCEDURY AUDYTOWE – KWESTIONARIUSZE SAMOOCENY
Nazwa procedury
KWESTIONARIUSZE SAMOOCENY
STANDARDOWE
LP
ZA DZIAŁANIE
CZYNNOŚĆ
OSOBA WERYFIKUJĄCA
TERMIN
PRODUKT
MIEJSCE DOCELOWE
1
Audytor
opracowanie kwestionariusza samooceny
(patrz słownik pojęć)
koordynator
zadania
wg programu
audytu
kwestionariusz
(zał. nr 23)
akta bieżące
2
Audytor
wybór próby do badania (zał. nr 12 i słownik koordynator
pojęć)
zadania
wg programu
audytu
kwestionariusz
akta bieżące
3
Audytor
ustalenie terminu badania
brak
wg programu
audytu
akta bieżące
kwestionariusz
wskazany termin
oddania
kwestionariusza
4
Audytor
przeprowadzenie badania kwestionariusze
samooceny są wypełniane anonimowo bez
obecności audytora
brak
wg ustalonego
terminu
kwestionariusz
5
analiza wyników
pracownika wspomagającego audytora
koordynator
zadania
przed testami
akta bieżące
arkusz roboczy
(zał. nr 1 i nr 22)
akta bieżące
PROCEDURY AUDYTOWE – TESTY ZGODNOŚCI
Nazwa procedury
TESTY ZGODNOŚCI
STANDARDOWE
L.p
STANOWISKO
ODPOWIEDZIALNE
ZA DZIAŁANIE
CZYNNOŚĆ
OSOBA
WERYFIKUJĄ
CA
TERMIN
PRODUKT
MIEJSCE
DOCELOWE
1
Audytor
określenie celu testu
koordynator
zadania
w trakcie
arkusz roboczy
sporządzania
programu audytu
lub trwania
zadania
akta bieżące
2
Audytor
określenie zakresu przedmiotowego testu
(zał. nr 12)
koordynator
zadania
j.w.
akta bieżące
3
Pracownik
uzyskanie dokumentacji niezbędnej do
wspomagający audytora przeprowadzenia testu
audytor
w trakcie trwania dokumentacja
zadania zgodnie oryginały
z programem
podlegają
zwrotowi
nie dotyczy
4
Pracownik
koordynator
zgodnie z
akta bieżące
realizacja testów zgodności (zał. nr 24)
arkusz roboczy
arkusz roboczy
zadania
terminem
ustalonym w
programie
zadania
brak
j.w.
kopie
akta bieżące
dokumentów
jeżeli istnieje
konieczność
uzyskać
potwierdzenie za
zgodność z
oryginałem
j.w.
projekt testów
wiarygodności
5
Pudytor przy udziale
pracownika
wspomagającego
audytora
zabezpieczenie istotnych dowodów
6
Audytor
interpretacja wyników testów, zdefiniowanie koordynator
zakresu dalszych badań
zadania
akta bieżące
PROCEDURY AUDYTOWE – TESTY WIARYGODNOŚCI
Nazwa procedury
TESTY WIARYGODNOŚCI
STANDARDOWE
L.p
STANOWISKO
ODPOWIEDZIALNE
ZA DZIAŁANIE
CZYNNOŚĆ
OSOBA
WERYFIKUJĄ
CA
TERMIN
PRODUKT
MIEJSCE
DOCELOWE
1
Audytor
zaprojektowanie testów wiarygodności (zał. koordynator
nr 25)
zadania
zgodnie z
programem
projekt testów,
z założeniami
akta bieżące
2
Audytor
określenie zakresu przedmiotowego testu,
można ograniczyć testy wiarygodności,
jeżeli uzyskano zapewnienie, że istniejące
kontrole są efektywne i zapewniają
wiarygodność danych (zał. nr 12)
j.w.
projekt testów
akta bieżące
3
pracownika
wspomagającego
audytora
przeprowadzenie testów wiarygodności (zał. brak
nr 32)
j.w.
arkusz ustaleń
lub wypełnione
check listy
akta bieżące
4
Audytor
analiza wyników
j.w.
projekt
sprawozdania
akta bieżące
koordynator
zadania
koordynator
zadania
PROCEDURA PRZYGOTOWANIA, PRZEBIEGU I DOKUMENTOWANIA NARADY ZAMYKAJĄCEJ
Nazwa procedury
NARADA ZAMYKAJĄCA
PRAWNE, STANDARDOWE (STANDARD 2400 IIA)
L.p
STANOWISKO
ODPOWIEDZIALNE
ZA DZIAŁANIE
ZARZĄDZAJąCY aUDYTEM
CZYNNOŚĆ
OSOBA
WERYFIKUJĄ
CA
TERMIN
PRODUKT
MIEJSCE
DOCELOWE
1
Koordynator zadania we zebranie i analiza wyników
współudziale audytora przeprowadzonych badań i zebranych
informacji, patrz zał. nr 26
zarządzający
audytem
przed ustaleniem arkusz ustaleń
terminu narady
(zał. nr 27)
2
Pracownik
uzgodnienie terminu narady zamykającej
wewnętrznego
koordynator
zadania
telefonicznie ze
wszystkimi
stronami
spotkania
3
przekazanie arkusza ustaleń za pismem
Pracownik
wspomagający audytora przewodnim
wewnętrznego
koordynator
zadania
przed ustaleniem pismo
terminu narady
przewodnie (zał.
nr 28)
audytowany/ akta
bieżące
4
przygotowanie dokumentacji niezbędnej do
Pracownik
wspomagający audytora przeprowadzenia narady zamykającej
wewnętrznego
audytor
przed naradą
brak
5
Koordynator zadania
audytor
brak
w trakcie narady protokół
akta bieżące
6
Pracownik
sporządzenie protokołu z narady
wspomagający audytora zamykającej i przekazanie do podpisu
wewnętrznego
koordynator
zadania
do 2 dni po
zakończeniu
narady
protokół (zał. nr
29)
audytowany
7
pracownika
wspomagającego
audytora
po otrzymaniu
uwag
protokół można akta bieżące
sporządzić pismo
i wyznaczyć
termin na
zgłoszenie
ewentualnych
zastrzeżeń lub
podpisanie
przedstawienie wstępnych ustaleń i
omówienie przyczyn i skutków oraz
stanowiska audytora
koordynator
zebranie i analiza ewentualnych uwag,
działanie opcjonalne, jeżeli zgłoszono uwagi zadania
informacja w
piśmie (zał. nr
28)
dokumenty
akta bieżące
audytowany/ akta
bieżące
8
Audytor przy
współudziale
pracownika
wspomagającego
audytora
dokonanie zmian w protokole i uzyskanie
podpisów (działanie opcjonalne, gdy
zgłoszono uwagi, w razie odmowy
podpisania protokołu, zamieszcza się o tym
wzmiankę w protokole.)
koordynator
zadania
2 dni po
dokonaniu
analizy
protokół, na
odmawiającym
ciąży obowiązek
niezwłocznego
pisemnego
uzasadnienia
przyczyn
odmowy
audytowany/ akta
bieżące (po
podpisaniu przez
audytowanego
lub po
otrzymaniu
zastrzeżeń )
SPRAWOZDAWCZOŚĆ Z ZADANIA AUDYTOWEGO
Nazwa procedury
SPRAWOZDAWCZOŚĆ Z ZADANIA AUDYTOWEGO
Kryteria sprawozdawczości:
Sprawozdanie powinno być:
dokładne – wolne od błędów i zniekształceń, wiernie odpowiadające faktom, informacje i dowody zbierane, oceniane i
prezentowane z należytą starannością i precyzją;
obiektywne – bezstronne i rzeczowe., oparte na faktach i ustaleniach;
przejrzyste – łatwe do zrozumienia i logiczne;
zwięzłe – na temat, unikające rozwlekłości;
konstruktywne – użyteczne i pozytywne, zawierające praktyczne wskazówki dla tych, którzy mogą podejmować
działanie;
kompletne – zawierające wszystkie istotne informacje i ustalenia, stanowiące poparcie zaleceń i wniosków;
terminowe – na czas, sporządzone bez zbędnych opóźnień, tak, aby umożliwić podjęcie szybkich i efektywnych działań;
uporządkowane – stosujące kategoryzację ryzyka.
L.p
STANOWISKO
ODPOWIEDZIALNE
ZA DZIAŁANIE
CZYNNOŚĆ
OSOBA
WERYFIKUJĄ
CA
TERMIN
PRODUKT
MIEJSCE
DOCELOWE
1
Koordynator zadania
uczestniczącego w
zadaniu
analiza informacji uzyskanych w trakcie
narady zamykającej
zarządzający
audytem
w zależności od
ilości zebranego
materiału
brak
brak
2
Koordynator zadania
sporządzenie projektu sprawozdania
zarządzający
audytem
7 dni od narady
zamykającej
wstępne
sprawozdanie
zał. nr 30
akta bieżące
3
Pracownik
sporządzenie pisma przewodniego
wspomagający audytora rejestracja, nadanie numeru, przesłanie
sprawozdania
koordynator
zadania/
zarządzający
audytem
1 dzień po
sporządzeniu
protokołu
pismo, rejestr
korespondencji
(zał. nr 31)
audytowany/ akta
bieżące
4
Audytor
analiza odpowiedzi i ewentualnych uwag od koordynator
audytowanego
zadania
w zależności od
zgłoszonych
uwag
sprawozdanie
akta bieżące
5
Koordynator zadania
reakcja na zgłoszone uwagi wg zasad
podanych w zał. nr 32
zarządzający
audytem
w zależności od
zgłoszonych
uwag
sprawozdanie
akta bieżące
6
przy współudziale
pracownika
wprowadzenie stanowiska audytowanego do zarządzający
sprawozdania ostatecznego lub zmiany w
audytem
sprawozdaniu
w zależności od
zgłoszonych
uwag
sprawozdanie
ostateczne
nie dotyczy
7
Pracownik
sporządzenie pism przewodnich rejestracja,
wspomagający audytora nadanie numeru i przekazanie sprawozdania
(zał. nr 33 i zał. nr 34)
zarządzający
audytem
1 dzień po
sporządzeniu
sprawozdania
pismo
przewodnie,
sprawozdanie
ostateczne
audytowany,
kierownik
jednostki, akta
bieżące
8
brak
wyznacza
kierownik
jednostki
pismo
akta bieżące
uzyskanie stanowiska kierownika jednostki,
w zakresie rekomendacji (zał. nr 35)
CZYNNOŚCI SPRAWDZAJĄCE I ZAMKNIĘCIE ZADANIA
Nazwa procedury
CZYNNOŚCI SPRAWDZAJĄCE I ZAMKNIĘCIE ZADANIA
L.p
STANOWISKO
ODPOWIEDZIALNE
ZA DZIAŁANIE
CZYNNOŚĆ
OSOBA
WERYFIKUJĄ
CA
TERMIN
PRODUKT
MIEJSCE
DOCELOWE
1
wystosowanie pisma z pytaniem o stanie
Pracownik
wspomagający audytora prac
audytor
po upłynięciu
pismo
wskazanych
przez kierownika
komórki
audytowanej
terminów
audytowany
2
Audytor, przy udziale
pracownika
wspomagającego
uzyskanie dowodów na potwierdzenie
informacji zawartych w piśmie
brak
j.w.
zgodnie z
procedurami
audytowymi
akta bieżące
3
Audytor
analiza otrzymanej odpowiedzi i
dokumentacji pod kątem adekwatności do
koordynator
zadania
j.w.
otrzymana
dokumentacja
akta bieżące
rekomendacji (zał. nr 36)
4
Audytor
zaprojektowanie fakultatywnie i wykonanie
czynności dodatkowych
koordynator
zadania brak
j.w.
zgodnie z
procedurami
audytowymi
akta bieżące
5
Audytor
analiza wyników i ocena ryzyka
koordynator
zadania brak
j.w.
notatka z
czynności
sprawdzających
akta bieżące
6
Audytor
omówienie z audytowanym zastrzeżeń
audytora co do realizacji rekomendacji
brak
j.w.
7
Koordynator zadania
sporządzenie notatki z czynności
sprawdzających
zarządzający
audytem
j.w.
notatka (zał. nr
37)
8
Audytor
w przypadku wypełnienia rekomendacji
i/lub ograniczenia ryzyka do poziomu
akceptowalnego przegląd akt bieżących pod
kątem zamknięcia zadania
koordynator
zadania
brak
brak
9
Koordynator zadania
zamknięcie zadania audytowego
Zarządzający
audytem
po weryfikacji
dokumentacji
karta zamknięcia akta bieżące
(zał. nr 38)
brak
audytowany,
kierownik
jednostki
akta bieżące
brak
SPRAWOZDAWCZOŚĆ Z REALIZACJI ROCZNEGO PLANU AUDYTU
Nazwa procedury
SPRAWOZDAWCZOŚĆ Z REALIZACJI ROCZNEGO PLANU AUDYTU
L.p
STANOWISKO
ODPOWIEDZIALNE
ZA DZIAŁANIE
CZYNNOŚĆ
OSOBA
WERYFIKUJĄ
CA
TERMIN
PRODUKT
MIEJSCE
DOCELOWE
1
Audytor
analiza działań zrealizowanych w ciągu roku brak
do 10 marca
sprawozdanie
(wzór wg. rozp.
wykonawczego
do Finanse
PublU)
nie dotyczy
2
Audytor
ustalenie działań pozaplanowych
brak
do 10 marca
sprawozdanie
nie dotyczy
3
Audytor
analiza przyczyn odstępstw od planu
rocznego
brak
do 10 marca
sprawozdanie
nie dotyczy
4
Audytor
sporządzenie sprawozdania rocznego
zarządzający
audytem
do 20 marca
sprawozdanie
kierownik
jednostki
5
uzyskanie akceptacji kierownika jednostki
kierownik
jednostki
do 20 marca
sprawozdanie
akta stałe
6
sporządzenie pisma przewodniego i
Pracownik
wspomagający audytora przekazanie do
...................................
(organ uprawniony)
zarządzający
audytem
/kierownik
jednostki
do 30 marca
pismo
organ
przewodnie
uprawniony/ akta
(2 egz.; wzór zał. stałe
nr 46)
ZADANIE DORADCZE – ZLECENIE I REALIZACJA
Zadanie doradcze jest wykonywane:
z inicjatywy audytora,
na zlecenie kierownika jednostki.
Zadania doradcze powinny być, w miarę możliwości, zaplanowane w rocznym planie audytu.
Zadania wykonywane z inicjatywy audytora wewnętrznego nie wymagają osobnego upoważnienia. Zadania doradcze polegające na udziale w spotkaniach,
zespołach, konferencjach o charakterze opiniodawczym nie wymagają upoważnienia. Sposób powierzenia takiego zadania każdorazowo określa kierownik
jednostki. Do zadań doradczych mogą mieć zastosowanie wszystkie procedury audytowe.
ZLECENIE ZADANIA DORADCZEGO
Nazwa procedury
PRZYGOTOWANIE ZLECENIA
L.p
STANOWISKO
ODPOWIEDZIALNE
ZA DZIAŁANIE
CZYNNOŚĆ
OSOBA
WERYFIKUJĄ
CA
1
analiza tematyki i zakresu zadania
doradczego pod kątem potencjalnego
konfliktu interesu
brak
2
podjęcie decyzji o wykonaniu funkcji
brak
doradczej na podstawie własnych informacji
TERMIN
PRODUKT
MIEJSCE
DOCELOWE
przed
rozpoczęciem
zadania lub
planowaniem
rocznym
informacja
kierownik
jednostki/
zarządzający
procesem/akta
bieżące
na bieżąco
brak lub zlecenie akta bieżące
(dotyczy tylko
wniosku
kierownika
jednostki) lub
roczny plan
audytu
3
4
5
wyznaczenie audytora
brak
przed
rozpoczęciem
zadania
przygotowanie w dwóch egzemplarzy
Pracownik
wspomagający audytora zlecenia do przeprowadzenia zadania
audytowego zgodnie z wytycznymi
Dyrektora Szpitala
audytor
zgodnie z
projekt zlecenia
poleceniem lub
(zał. nr 40)
planem rocznym
kierownik
jednostki
Kierownik jednostki
brak
zgodnie z
poleceniem
akta bieżące
podpisanie zalecenia lub przedstawienie
uwag
brak
zlecenie
brak
PRZEBIEG ZADANIA
Nazwa procedury
ZADANIA DORADCZE
L.p
STANOWISKO
ODPOWIEDZIALNE
ZA DZIAŁANIE
CZYNNOŚĆ
OSOBA
WERYFIKUJĄ
CA
TERMIN
PRODUKT
MIEJSCE
DOCELOWE
1
spotkanie z audytorem odpowiedzialnym,
omówienie tematyki i zakresu zadania
brak
przed podjęciem
działań
brak
nie dotyczy
2
pracownika
wspomagającego
audytora
zebranie informacji o badanej problematyce
brak
zgodnie z
terminem
ustalonym ze
zlecającym lub
planem audytu
lub posiadanymi
zasobami
dokumentacja
lub arkusz
roboczy
akta bieżące
3
Audytor
przygotowanie arkuszy roboczych do
planowanych procedur audytowych
brak
j.w.
arkusz roboczy
akta bieżące
4
pracownika
zastosowanie odpowiednich metod
audytowych
brak
j.w.
zgodnie z
procedurami
akta bieżące
wspomagającego
audytora
audytowymi
5
udokumentowanie wyników
Pracownik
audytor
j.w.
arkusz roboczy
akta bieżące
6
Audytor
przedstawienie opinii
zarządzający
audytem
j.w.
opinia (zał. nr
41)
kierownik
jednostki/
zarządzający
procesem/akta
bieżące
7
Audytor
zgłoszenie zidentyfikowanych luk w
systemie kontroli
zarządzający
audytem
na bieżąco
formularz
zgłoszenia (zał.
nr 42)
kierownik
jednostki/
zarządzający
procesem/akta
bieżące
8
Audytor
spotkania doradcze
brak
wg potrzeb i
posiadanych
zasobów
notatka
akta bieżące
9
Audytor
analiza materiałów uzyskanych z zadania
doradczego pod kątem wykorzystania przy
zadaniach zapewniających, analizie ryzyka
zarządzający
audytem
na bieżąco
brak
brak
SŁOWNIK POJĘĆ
Analiza prognostyczna – wykorzystywana do prognozowania wartości analizowanej zmiennej w przyszłych okresach w oparciu o występowanie wzajemnych
związków.
Analiza ryzyka – proces, którego elementami są: identyfikacja, oszacowanie (przypisanie wartości poszczególnym czynnikom ryzyka) oraz hierarchizacja czynników ryzyka (wydarzeń, okoliczności) mogących niekorzystnie wpływać na osiągnięcie określonego celu, biorąc pod uwagę ich potencjalne skutki i prawdopodobieństwo wystąpienia nieprawidłowości.
Analiza trendu – analiza zmian salda na danym koncie lub w pozycji sprawozdania finansowego obejmująca przeszłe okresy sprawozdawcze, audytor porównuje
faktyczną wielkość z roku bieżącego z trendem historycznym w celu ustalenia, czy nie istnieją odstępstwa od normy, zatem audytor usiłuje przewidzieć wartość dla
roku bieżącego w oparciu o znany trend.
Analiza wskaźników finansowych – porównanie sald zawartych w sprawozdaniach finansowych. Umożliwia zrozumienie wzajemnych relacji oraz pomaga w ustaleniu zmian tych relacji na przestrzeni czasu i zrozumieniu informacji zawartej w sprawozdaniach finansowych. Wskaźniki finansowe zakładające pomiar bieżących aktywów względem jej bieżących zobowiązań stanowią przydatny wskaźnik zdolności do sprostania zobowiązaniom krótkoterminowym oraz mogą skierować
uwagę na problemy płynności.
Badanie dokumentów – weryfikacja istnienia dokumentu (fizycznego) oraz ocena formalna, rachunkowa i merytoryczna.
Bieżące akta audytu – dokumentują przebieg i wyniki zadań audytowych.
Błąd w populacji – (błąd w próbie x wartość populacji)/wartość próby.
Checklist – karta kontrolna zawierająca listę sprawdzanych czynności/elementów/mechanizmów kontrolnych.
COSO – „Kontrola wewnętrzna – zintegrowana koncepcja ramowa” Komitetu Organizacji Sponsorujących Komisję Treadway.
Czynniki ryzyka – fakty, stan który wywołać może wystąpienie ryzyka, determinant ryzyka, któremu przyporządkowuje się określone wagi w odniesieniu do znaczenia dla realizacji celu.
Dokument roboczy/arkusz roboczy – sporządzany przez audytora wewnętrznego w celu udokumentowania ustaleń z działań audytowych, jest dokumentem wewnętrznym, przechowywanym w aktach bieżących lub stałych, podlega ochronie.
Dopuszczalny błąd (tolerable error) – maksymalny błąd w populacji, który audytor zamierza akceptować i nadal wnioskować, że cel audytowy został osiągnięty.
Indeksacja o wspólnej podstawie – porównanie poszczególnych pozycji bilansowych do łącznych aktywów.
Informacja i komunikacja – system wspierający i umożliwiający zdobywanie i wymienianie informacji niezbędnych do przeprowadzenia zarządzania i
kontrolowania operacji.
Istotność – błąd lub wielkość błędu wynikająca z ekstrapolacji, który jak można oczekiwać, że będzie wpływał na opinie lub działania użytkownika produktu/dokumentu, np. sprawozdań finansowych. Charakter, okoliczności lub wartość stwierdzonej nieprawidłowości wymaga, aby była ona ujawniona niezależnie od
stopnia odchylenia od stanu oczekiwanego, np. gdy dotyczy działania nielegalnego, popełnienia nadużycia lub korupcji.
Kompletność zapisów finansowych i innych – sprawdzenie, czy system finansowy i inne systemy informacyjne rejestrują wszystkie stosowne szczegóły.
Kontrola detekcyjna (wykrywająca) – kontrola stworzona, by można było wykryć błędy, kiedy się pojawią, stosowana po zakończeniu procesu, dozwolona, jeżeli
jest akceptowana strata.
Kontrola następna (ex-post) – wykonywana w jak najkrótszym okresie po wykonaniu kontrolowanej czynności, na podstawie dokumentów odzwierciedlających,
ujmujących bieżąco wykonywaną operację (decyzje, polecenia, zarządzenia, rachunki, asygnaty, pokwitowania), bieżącej, operatywnej ewidencji, prowadzonej w
postaci ksiąg, kartotek, zestawień, sprawozdawczości okresowej.
Kontrola wewnętrzna – system wbudowany w strukturę jednostki, składający się z wielu elementów na które maja wpływ najwyższe kierownictwo jednostki, rada
nadzorcza jednostki, zarząd oraz pracownicy, stworzony aby zapewnić w rozsądnym stopniu, że osiągnięte zostaną cele jednostki. Bezpośrednio wpływa na
zdolność jednostki do osiągnięcia jej celów i wspomaga inicjatywy jakościowe. Ma istotny wpływ na redukcję kosztów i szybkość reakcji.
Kontrola wstępna ex-ante – działalność kontrolna wykonywana przed podjęciem decyzji rodzącej skutki finansowe, prawne, organizacyjne lub majątkowe.
Kontrola zarządcza – zawiera często wszystkie rodzaje kontroli realizowanych przez kierownictwo, m.in. przez szkolenia, nagrody, przeglądy, bezpośrednie zarządzanie i nadzór na wysokim poziomie, włączając w to rewizje wykonania w odniesieniu do budżetu, zastrzeżeń do raportów i wykorzystania wewnętrznych służb
kontrolnych.
Kwestionariusz oceny kontroli wewnętrznej – dokument roboczy zawierający pytania dotyczące systemu kontroli wewnętrznej, wypełniany w obecności audytora.
Kwestionariusz samooceny – kwestionariusz stosowany we wstępnej fazie audytu, wypełniany anonimowo i samodzielnie przez kierownictwo komórki audytowanej lub pracowników w przypadku badania środowiska kontroli.
Legalność i prawidłowość działań – wykonywanie działań zgodne ze stosownymi przepisami prawa.
Metoda ścieżki krytycznej – technika zarządzania ryzykiem w projektach. Umożliwia kierowanie zasobów do tych etapów, które leżą na ścieżce krytycznej i decydują
o terminowości. Projekt jest dzielony na etapy i nanoszony na siatkę graficzną pokazującą powiązania pomiędzy etapami. Droga od punktu początkowego do końcowego, która zajmuje najwięcej czasu jest ścieżką krytyczną.
Nadzór – zawiera elementy podejmowania decyzji ustalania wytycznych zarówno przed jaki po przeprowadzeniu kontroli. W wyniku dokonania kontroli organ
nadzorujący podejmuje działania zmierzające do usunięcia uchybień i równocześnie organ ten ponosi odpowiedzialność za funkcjonowanie organu nadzorowanego. Nadzór prowadzony jest w ramach hierarchii służbowej, którego celem jest upewnienie się, że zadania wynikające z przyjętego systemu kontroli finansowej są
realizowane.
Obserwacja – wykonywana jest w trakcie trwania procesu, obiektem są głównie pracownicy systemu kontroli podczas wykonywania ich prac, aby ustalić, jak faktycznie wykonywane są procedury kontrolne. Jest cennym źródłem informacji.
Obszar audytu – fragment działalności, który na podstawie wstępnej analizy ryzyka audytor wyodrębnił i wytypował do przeprowadzenia zadania audytowego.
Obszar ryzyka – fragment działalności, w której istnieje prawdopodobieństwo wystąpienia niekorzystnego zjawiska.
Oczekiwany błąd – błąd, którego audytor oczekuje w populacji, jeżeli są takie oczekiwania, to audytor musi zbadać większą próbę, niż gdy nie oczekuje błędów,
aby wnioskować, że faktyczne błędy w populacji są na poziomie nie większym niż zaplanowany. Oczekiwany błąd jest związany z ogólną oceną wiarygodności.
Mniejszy rozmiar próby jest uzasadniony, jeżeli oczekuje się, że populacja jest wolna od błędów.
Ogólne kontrole systemów informatycznych – kontrole, które zostały zaprojektowane w ten sposób, by służyć zarządzaniu i monitorowaniu środowiska systemów
informatycznych i które przez to mają wpływ na wszelkie działania związane z systemami informatycznymi.
Populacja – cały zbiór danych, z którego audytor zamierza próbkować w celu uzyskania wniosków na temat populacji. Populacja zatem, z której wybierana próba,
musi być odpowiednia i zweryfikowana jako kompletna w odniesieniu do określonego celu audytowego.
Poziom dopuszczalnego błędu – maksymalny błąd w populacji, który audytor zamierza akceptować i nadal wnioskować, że cel audytowy został osiągnięty. W celu
testowania rzeczywistego jest powiązany z profesjonalnym osądem audytora, co do istotności. W testowaniu zgodności jest maksymalnym współczynnikiem odchylenia od nakazanej procedury kontrolnej, który audytor zamierza zaakceptować.
Proces – uporządkowany logicznie ciąg czynności, działań, decyzji i uzgodnień, których efektem jest powstanie pewnej wartości dodanej w postaci, dającej się
określić zmiany w środowisku zewnętrznym, jako efekt pracy jednej lub kilku komórek organizacyjnych. W procesie może brać udział więcej niż jedna komórka
organizacyjna.
Próbkowanie audytowe – zastosowanie procedur audytowych do mniej niż 100% populacji by umożliwić audytorowi ocenienie dowodów audytowych pod kątem
pewnych charakterystyk wybranych obserwacji w celu sformułowania lub wsparcia sformułowania wniosków dotyczących populacji.
Próbkowanie statystyczne – próba wymagająca użycia technik, z których mogą być matematycznie wyciągnięte wnioski dotyczące populacji.
Próbkowanie niestatystyczne – nie jest oparte na statystyce.
Racjonalna pewność (zapewnienie)/rozsądny stopień pewności – satysfakcjonujący stopień pewności, jaki audytor jest w stanie osiągnąć, co do ustaleń audytu
oraz formułowanych ocen uwag i wniosków, przy danych kosztach, korzyściach i stopniu ryzyka. W systemie kontroli wewnętrznej satysfakcjonujący stopień
pewności, że cele jednostki są realizowane, jaki kierownik tej jednostki może uzyskać dzięki właściwemu funkcjonowaniu systemu.
Rzeczywistość operacji – sprawdzenie, czy operacje rejestrowane w systemach finansowych i innych naprawdę miały miejsce.
Ryzyko – możliwość wystąpienia zdarzenia, które będzie miało niepożądany wpływ na organizację lub utrata szansy. Rozpatrywane w dwóch płaszczyznach,
prawdopodobieństwa zaistnienia danego zdarzenia oraz skutków, które to zdarzenie za sobą pociągnie.
Ryzyko wrodzone (wewnętrzne) (RW) – ryzyko wystąpienia błędu o znaczącej wadze, przy założeniu, że system kontroli wewnętrznej nie funkcjonuje. Jest to podatność na wystąpienie istotnego błędu, który sam lub w połączeniu z innymi błędami będzie miał istotny wpływ na analizowany obszar, przy braku odpowiednich
kontroli wewnętrznych.
Ryzyko detekcji (RD) – ryzyko, że przeprowadzone przez audytora testy i analityczne procedury nie wykryją błędów, które same lub w połączeniu z innymi błędami będą miały istotny wpływ na analizowany obszar. Ryzyko detekcji można podzielić na ryzyko próby losowej (sampling risk – SR) i ryzyko nielosowe (non
sampling risk – NSR).
Ryzyko audytu (RA) – ryzyko sformułowania błędnej opinii przez audytora. RA = RK x RW x RD, po rozwinięciu ryzyka detekcji wzór przedstawia się następująco: RA = RK x RW x SR x NSR
Ryzyko próby losowej – ryzyko, że próba nie jest reprezentatywna dla populacji, z której była pobrana, w związku z czym wnioski audytora są inne niż byłyby, jeśliby zbadał on całą populację.
Stałe akta audytu – prowadzone są w celu gromadzenia informacji dotyczących obszarów, które mogą być przedmiotem audytu.
Stratyfikacja – do pomocy w sprawnym i skutecznym projektowaniu próby, może być odpowiednia stratyfikacja. Stratyfikacja jest procesem dzielenia populacji na
subpopulacje z o podobnej, jasno określonej charakterystyce, tak, że każda próbkowana jednostka może należeć tylko do jednego stratum.
System kontroli – ogół działań (zarządzeń, wytycznych, procedur, systemów) podejmowanych przez najwyższe kierownictwo, a także kierownictwo operacyjne w
celu poprawy zarządzania, w tym zarządzania ryzykiem i zwiększenia prawdopodobieństwa zrealizowania ustalonych celów i działań.
Szczegółowa kontrola systemów informatycznych – kontrola nad procesem zakupu, wdrożenia, dostarczenia i serwisowania systemów i usług informatycznych.
Ścieżka audytu – opisuje i dokumentuje istniejące w procesach systemy zarządzania i kontroli, oznacza złożony dokument, który powinien zawierać przejrzysty
opis przepływu dokumentów, przepływów finansowych i istniejące kontrole. W rachunkowości stanowi sekwencję udokumentowanych działań podejmowanych na
różnych etapach procesu sprawdzania i zatwierdzania operacji finansowych. Istnienie łatwej do prześledzenia ścieżki audytu wskazuje na dobre funkcjonowanie
systemu kontroli wewnętrznej. W informatyce stanowi serię zapisów wykorzystywanych do śledzenia operacji w systemie komputerowym rejestrującym poszczególne czynności użytkownika sieci (np. wejścia do systemu i podsystemów, wprowadzanie zmian).
Środowisko wewnętrzne/kontroli – jeden z elementów systemu kontroli wewnętrznej. Ogólne podejście, świadomość i działania kadry kierowniczej różnych
szczebli dotyczące systemu kontroli wewnętrznej i jego znaczenia w danej jednostce. Środowisko systemu kontroli wewnętrznej („kultura kontroli” w ramach danej
instytucji) wywiera wpływ na skuteczność konkretnych mechanizmów systemu. Zgodnie ze standardami COSO, na środowisko to składają się: uczciwość i inne
wartości etyczne, kompetencje zawodowe, struktura organizacyjna, identyfikacja zadań wrażliwych, powierzenie uprawnień. Audytor ocenia środowisko systemu
kontroli wewnętrznej m. in. porównując go z najlepszymi praktykami organizacyjnymi i zarządczymi.
Testy gwarancji (vouching) – weryfikacja dokumentów wygenerowanych przez komórkę audytowaną, w tym rejestrowanych kwot na podstawie badania dokumentów źródłowych. Celem testu jest uzyskanie dowodu, że dane zawarte w dokumentach odnoszą się do faktów, a zatwierdzone kwoty odnoszą się do prawidłowych transakcji, nie służą do określenia jego kompletności. Potwierdzenie prawidłowości sporządzenia lub zarejestrowania pewnych informacji/danych nie dostarcza dowodu, że wszystkie dane zostały wprowadzone i odpowiednio zapisane.
Testy góra – dół (tracing) – badanie przeprowadzane jest w odwrotnym kierunku niż w przypadku testu gwarancji w celu stwierdzenia kompletności zjawiska. Polegają na zbadaniu historii transakcji w systemie, od zaksięgowania do zainicjowania
Testy „walk-through” – wstępne badanie systemu, które pozwala potwierdzić i zrozumieć przebieg procesu. Testy te prowadzone są na etapie wstępnego przeglądu, w celu identyfikacji kontroli. Podstawowym celem testów jest znalezienie dowodów potwierdzających istnienie kontroli, poprzez przejście przez system od początku do końca.
Testy zgodności – podstawowe narzędzie do badania, czy w danej komórce organizacyjnej lub procesie istnieją i są przestrzegane procedury kontroli wewnętrznej.
Celem badań jest stwierdzenie, czy system działał w sposób ciągły (tj. w całym okresie objętym kontrolą), spójny (tj. wszystkie operacje podlegające działaniu systemu traktowane były w sposób jednakowy).
Testy wiarygodności – testy polegają na sprawdzeniu, czy informacje zawarte w dokumentacji są kompletne, dokładne i czy odzwierciedlają stan faktyczny. Testy przeprowadza się po przeprowadzeniu testów zgodności lub kiedy kontrole nie istnieją. Zazwyczaj testy te przeprowadza się na poszczególnych operacjach,
sprawach, działaniach celem stwierdzenia ich poprawności.
Waga ryzyka – wpływ danego czynnika ryzyka na badany system określony przez przypisanie temu czynnikowi relatywnej wagi. Wyrażenie względnego znaczenia danego zjawiska w kontekście obszaru jako całości, w ramach profesjonalnego osądu obejmującego rozważenie wywieranego na obszar i organizację jako całość wpływu błędów, zaniedbań, nieprawidłowości lub niedozwolonych czynów, czy działań, które mogą mieć miejsce jako rezultat słabości kontroli w ramach
audytowanego procesu. Podczas oceny wagi istotny jest całkowity poziom błędów możliwy do zaakceptowania przez kierownictwo i audytora oraz zdolność do
kumulowania się małych błędów i słabości (tworzenia tzw. efektu kumulatywnego) i stawania się przez to znacznymi.
Wstępny przegląd – przegląd polegający na zbieraniu informacji o badanej działalności, bez ich szczegółowej weryfikacji. Przegląd taki pozwala na zaplanowanie i
przeprowadzenie prac audytorskich w oparciu o posiadane informacje. Jest też narzędziem umożliwiającym najbardziej efektywne wykorzystanie zasobów.
Wrażliwość – miara właściwego ryzyka związanego z ocenianą jednostką, czyli tego, co może się nie udać i jakie to spowoduje konsekwencje. Może to być ryzyko
związane z utratą lub uszkodzeniem majątku, nie wykrytym błędem, nieznanym lub błędnie skalkulowanym zobowiązaniem lub ryzyko niekorzystnej opinii publicznej, odpowiedzialności prawnej, itp.
Zarządzanie ryzykiem – prowadzenie polityki związanej z ryzykiem w jednostce, obejmującej ryzyko ubezpieczalne, pojmowane jako niebezpieczeństwo utraty
czegoś, ryzyko utraty szansy np. osiągnięcia zysku. Celem zarządzania ryzykiem jest poprawa wyników finansowych jednostki i fumy zapewnienie warunków
gwarantujących nie ponoszenie strat większych niż założone.
Zasada ogólnego planowania audytu – wybór obszarów poddawanych audytowi na podstawie udokumentowanej analizy ryzyka, poddanie wszystkich procesów
ocenie audytu w cyklicznych okresach, stosowanie zasady planowania przy zadaniach audytowych i doborze metod próbkowania operacji przeznaczonych do badania.

KSIĄŻKA AUDYTU WEWNĘTRZNEGO – CZĘŚĆ II I. PROCEDURY

Transkrypt

Podobne dokumenty

Szkolenie - szczegóły dla uczestników

Płatne praktyki w dziale audytu

Akta Osobowo-płacowe - Archiwum Państwowe w Zielonej Górze

Kodeks Dobrych Praktyk - Tajemniczy klient

Umowa na przeprowadzenie audytu zewnętrznego projektu

Pokazy zasobów Archiwum Uniwersytetu Jagiellońskiego. Część I

DZIEŃ 1 24 września 2015

B14 Audyt bezpieczenstwa systemow informatycznych