Na podstawie art. 10 ust. 3 ustawy z dnia 9 czerwca 2006 r. o Centralnym Biurze Antykorupcyjnym (Dz. U. z 2021 r. poz. 1671 i 2333) zarządza się, co następuje:

Załącznik do Zarządzenia Nr 23/22
Szefa Centralnego Biura Antykorupcyjnego
z dnia 26 maja 2022 r.

PROCEDURY AUDYTU WEWNĘTRZNEGO

Rozdział 1.

Postanowienia ogólne

§ 1. Procedury audytu wewnętrznego stanowią syntetyczną metodykę, zapewniającą prowadzenie audytu wewnętrznego w Centralnym Biurze Antykorupcyjnym, zwanym dalej "CBA", zgodnie z przyjętymi standardami.

§ 2. Ramy działania audytu wewnętrznego wyznaczają przepisy prawa, normy etyki zawodowej, standardy audytu wewnętrznego oraz uznana praktyka audytu wewnętrznego.

Rozdział 2.

Metodologia audytu wewnętrznego

§ 3. Analiza ryzyka jest kluczową fazą planowania audytu, uwzględniającą sposób zarządzania ryzykiem w CBA oraz pozwalającą ocenić podatność danego procesu lub obszaru na czynniki ryzyka.

§ 4. Procedury audytu wewnętrznego nie gwarantują zidentyfikowania wszystkich istotnych ryzyk.

§ 5. Audytor wewnętrzny przy ocenie ryzyka, jak również w trakcie czynności audytowych, wykorzystuje wszelkie znane mu techniki, w tym:

1) zapoznanie się z dokumentami;

2) korzystanie z wiedzy eksperta w danej dziedzinie;

3) oględziny, polegające na obserwacji i dokumentowaniu przebiegu konkretnych czynności;

4) weryfikację, polegającą na porównywaniu określonej informacji z informacją pochodzącą z innego, wewnętrznego lub zewnętrznego, źródła;

5) powtórzenie, polegające na ponownym przeprowadzeniu przez audytora wewnętrznego operacji wykonanych przez jednostkę audytowaną;

6) ewaluację, polegającą na sprawdzeniu dokładności i prawidłowości działań arytmetycznych drogą ponownego dokonania obliczeń lub weryfikacji za pomocą innych obliczeń;

7) analizę informacji, polegającą na porównaniu uzyskanych informacji z oczekiwaniami określonymi przez audytora wewnętrznego, która może być pomocna w przypadku wykrywania nieoczekiwanych różnic, braku różnic, mimo że się ich spodziewano, błędów, nieprawidłowości, oszustw, nietypowych transakcji;

8) próbkowanie, polegające na określeniu i doborze reprezentatywnej próbki populacji, zbadaniu jej, porównaniu wyników z oczekiwaniami oraz dokonaniu oceny wyników. Dobór próby obiektów do badania następuje poprzez m.in.:

a) losowanie statystyczne, w którym wszystkie jednostki populacji mają taką samą szansę wyboru do próby, a do doboru używa się przede wszystkim tablic liczb losowych lub odpowiednich programów komputerowych,

b) losowanie intuicyjne, w którym do doboru próby używa się populacji bazując na doświadczeniu i zawodowej ocenie audytora wewnętrznego,

c) losowanie interwałowe, w którym należy wyliczyć stały przedział losowania - interwał, który wyznacza się dzieląc daną populację przez liczebność próby, tj. pierwszą jednostkę do próby wybiera się losowo z przedziału od 1 do wartości interwału,

d) losowanie na "chybił trafił", które stosuje się, gdy trudno zastosować jest inną metodę, np. kiedy jednostkom populacji nie można przyporządkować kolejnych numerów;

9) testowanie:

a) wykonywanie testów przeglądowych, polegających na wstępnym badaniu systemu, pozwalających zrozumieć zasady jego funkcjonowania oraz zidentyfikować mechanizmy kontrolne, które zostaną zweryfikowane przy pomocy testów zgodności,

b) wykonywanie testów zgodności, pozwalających dostarczyć dowodów na przestrzeganie obowiązujących procedur w kontekście obowiązujących mechanizmów kontroli,

c) wykonywanie testów rzeczywistych, które wykonuje się na testach zgodności i które służą zgromadzeniu dowodów kompletności, dokładności oraz ważności informacji, zawartych przede wszystkim w zapisach księgowych. Kontroli podlega transakcja, a nie system kontroli.

§ 6. 1. Przeprowadzając analizę ryzyka, w celu sporządzenia rocznego planu audytu wewnętrznego, audytor wewnętrzny bierze pod uwagę w szczególności:

1) priorytety Szefa CBA lub jego zastępców;

2) cele i zadania CBA, w tym poszczególnych jednostek organizacyjnych CBA;

3) ryzyka wpływające na realizację celów i zadań jednostek organizacyjnych CBA;

4) informacje zgłoszone przez kierowników jednostek organizacyjnych CBA;

5) wyniki audytów oraz kontroli wewnętrznych i zewnętrznych;

6) wyniki wywiadów i rozmów przeprowadzonych przez audytora wewnętrznego;

7) dostępne zasoby osobowe.

2. Przeprowadzona analiza ryzyka jest dokumentowana.

§ 7. Po podpisaniu planu rocznego audytu wewnętrznego, Kierownik Sekcji Audytu Wewnętrznego, zwany dalej "Kierownikiem SAW", pisemnie zawiadamia właściwych kierowników jednostek organizacyjnych CBA o zadaniu audytowym, które w danym roku będzie realizowane w podległej im jednostce.

§ 8. 1. W uzasadnionych przypadkach, w szczególności w przypadku wystąpienia nowych ryzyk lub zmiany oceny ryzyka, zadania audytowe mogą być przeprowadzone poza rocznym planem audytu wewnętrznego.

2. W przypadku potrzeby realizacji zadania audytowego nieuwzględnionego w rocznym planie audytu wewnętrznego, Kierownik SAW występuje do Szefa CBA o zgodę na jego realizację.

§ 9. Audytor wewnętrzny wprowadza w życie roczny plan audytu wewnętrznego poprzez realizację wskazanych zadań audytowych, obejmujących zadania zapewniające i czynności doradcze oraz czynności sprawdzające.

§ 10. Kierownik SAW pisemnie zawiadamia kierownika jednostki organizacyjnej CBA o zadaniu audytowym, które będzie realizowane w podległej mu jednostce organizacyjnej.

§ 11. Program zadania audytowego zatwierdza Kierownik SAW.

§ 12. Zadanie zapewniające obejmuje:

1) fazę wstępną, w ramach której następuje:

a) zapoznanie się z celami i obszarem działalności audytowanej jednostki organizacyjnej CBA,

b) identyfikacja i ocena ryzyka,

c) uzgodnienie z audytowanym lub Szefem CBA kryteriów oceny mechanizmów kontrolnych;

2) fazę planowania, polegającą na opracowaniu programu zadania zapewniającego, obejmującego:

a) temat, cel, zakres podmiotowy i przedmiotowy oraz sposób realizacji zadania, a także datę jego rozpoczęcia i zakończenia,

b) zidentyfikowane istotne ryzyka w obszarze objętym zadaniem,

c) kryteria oceny,

d) przydzielone zasoby osobowe z wyznaczeniem audytora wiodącego;

3) fazę realizacji, obejmującą:

a) zebranie wystarczających, wiarygodnych i przydatnych do osiągnięcia założonego celu informacji,

b) analizę i ocenę zebranych informacji,

c) dokumentowanie informacji,

d) uzgodnienie z audytowanym wstępnych wyników audytu;

4) fazę sprawozdawczości, w ramach której sporządza się jasne, zwięzłe, przejrzyste, kompletne sprawozdanie i zapoznaje się z nim audytowanego i Szefa CBA;

5) fazę monitorowania wykonania przez audytowanego zaleceń, w której po upływie terminów ich realizacji przeprowadzane są czynności sprawdzające, mające na celu sprawdzenie sposobu i zakresu wdrożenia rekomendacji przez podmiot audytowany.

§ 13. 1. Z czynności, o których mowa w § 12 pkt 1, sporządza się przegląd wstępny.

2. W dokumencie, o którym mowa w ust. 1, audytor wewnętrzny opisuje proces, który ma być poddany badaniu w trakcie zadania audytowego.

3. Dokumentując proces audytor wewnętrzny może posługiwać się wieloma technikami, w tym opisem, notatką, schematem struktury organizacyjnej, graficzną analizą procesów lub listą kontrolną, na którą składają się pytania, które powinien zadać sobie audytor wewnętrzny przed przystąpieniem do samego audytu, w celu odpowiedniego przygotowania się do planowanych czynności.

4. Dokumentacja procesu może ulec dalszym modyfikacjom na etapie oceny systemu kontroli zarządczej.

§ 14. 1. W uzasadnionych przypadkach, Kierownik SAW może dokonać zmiany programu zadania zapewniającego, o którym mowa w § 12 pkt 2, w trakcie jego przeprowadzania. Zmiana programu powinna być udokumentowana w formie notatki, którą włącza się do akt bieżących.

2. Przed przystąpieniem do realizacji zadania zapewniającego, Kierownik SAW może przeprowadzić naradę otwierającą w jednostce audytowanej z udziałem kierownika tej jednostki lub osoby przez niego wyznaczonej, z której jest sporządzana notatka. Podczas narady Kierownik SAW przedstawia cel, tematykę oraz założenia organizacyjne zadania audytowego.

§ 15. 1. Badając system kontroli zarządczej audytor wewnętrzny może posługiwać się zarówno listą kontrolną, jak i kwestionariuszem oceny kontroli wewnętrznej. Kwestionariusz oceny kontroli wewnętrznej zawiera pytania dotyczące systemu kontroli wewnętrznej, na które odpowiadają osoby audytowane.

2. W ocenie mechanizmów kontroli zarządczej audytor wewnętrzny bierze pod uwagę następujące czynniki:

a) typy błędów i nieprawidłowości, które mogą występować,

b) istniejące mechanizmy kontroli służące zapobieganiu oraz wykrywaniu błędów i nieprawidłowości,

c) istniejące procedury oraz ich przestrzeganie,

d) istniejące słabe strony sprzyjające występowaniu błędów i nieprawidłowości, pomimo stwierdzonych mechanizmów kontroli,

e) wpływ słabych stron na charakter, rozłożenie w czasie i stopień nasilenia technik audytu, które należy zastosować,

f) wyniki z przeprowadzonych kontroli wewnętrznych i zewnętrznych.

3. Testowaniu i ocenie podlegają tylko te funkcje mechanizmów kontroli zarządczej, które zostały uznane za krytyczne lub ważne.

§ 16. 1. Sprawozdanie, o którym mowa w § 12 pkt 4, zawiera w szczególności:

a) numer sprawozdania i datę jego sporządzenia,

b) temat, cel, zakres przedmiotowy i podmiotowy, datę rozpoczęcia i zakończenia oraz oznaczenie zadania zapewniającego,

c) ustalenie stanu faktycznego wraz z wynikami oceny według ustalonych kryteriów,

d) zalecenia w sprawie wyeliminowania słabości kontroli zarządczej lub wprowadzenia usprawnień,

e) ogólną ocenę i opinię audytora wewnętrznego w sprawie adekwatności, skuteczności i efektywności kontroli zarządczej w obszarze ryzyka objętym zadaniem zapewniającym (bardzo dobrą, dobrą, dostateczną lub negatywną),

f) imię i nazwisko audytora wewnętrznego przeprowadzającego zadanie oraz jego podpis.

2. Zadanie audytowe może kończyć narada zamykająca, przeprowadzana w celu przedstawienia podmiotowi audytowanemu wstępnych wniosków i ustaleń. W naradzie biorą udział Kierownik SAW, osoby realizujące zadanie audytowe oraz kierownik jednostki audytowanej i wskazane przez niego osoby. Z narady sporządzana jest notatka, zawierająca informacje o celu, przebiegu i wyniku narady.

3. Po każdorazowym przeprowadzeniu zadania audytowego audytor wewnętrzny dokonuje oceny jakości wykonania zadania poprzez wypełnienie formularza listy weryfikacyjnej zadania audytowego, który jest traktowany jako forma samooceny jakości przeprowadzenia zadania audytowego.

§ 17. Z przeprowadzonych działań, o których mowa w § 12 pkt 5, sporządzana jest notatka, którą przedstawia się do zapoznania Szefowi CBA, a następnie audytowanemu. Przeprowadzenie czynności sprawdzających uwzględnia się w planie rocznym audytu wewnętrznego.

§ 18. 1. Czynności audytowe prowadzone są w sposób niezakłócający normalnego toku służby lub pracy, w dniach i godzinach służby lub pracy obowiązujących w jednostce audytowanej.

2. W przypadku konieczności przeprowadzenia czynności audytowych w innych terminach niż wskazane w ust.1, wymaga to uzgodnienia między kierującym audytem wewnętrznym a kierownictwem jednostki audytowanej.

§ 19. 1. Czynności doradcze, z zastrzeżeniem czynności nieformalnych, realizowane są na podstawie programu czynności doradczej, który zawiera w szczególności temat, cel, zakres przedmiotowy i podmiotowy oraz harmonogram czasowy czynności doradczej, a także zasób osobowy wyznaczony do przeprowadzenia czynności.

2. Program czynności doradczej zatwierdza Kierownik SAW.

§ 20. Wyniki z czynności doradczej zamieszcza się w notatce, którą Kierownik SAW przedstawia do zapoznania Szefowi CBA, a następnie audytowanemu.

§ 21. Działania audytu zakwalifikowane jako czynności doradcze nieformalne nie wymagają programu oraz notatki z czynności, a jedynie uwzględnienia ich w rejestrze czasu pracy jako czynności doradcze.

Rozdział 3.

Dokumentowanie czynności audytorskich

§ 22. W audycie wewnętrznym prowadzi się akta stałe w celu gromadzenia niezbędnych informacji w zakresie środowiska prawnego audytu, planowania, sprawozdawczości oraz obszarów ryzyka, które mogą być przedmiotem badania audytowego, a także akta bieżące w celu dokumentowania przebiegu i wyników audytu wewnętrznego.

§ 23. Akta stałe zawierają w szczególności:

1) regulacje zewnętrzne i wewnętrzne stanowiące podstawę funkcjonowania audytu wewnętrznego;

2) roczne plany audytu wewnętrznego, w tym dokumentację roboczą w tym zakresie;

3) sprawozdania z wykonania rocznego planu audytu wewnętrznego;

4) informacje z wykonania rocznego planu audytu wewnętrznego;

5) wyniki samooceny audytu wewnętrznego;

6) wyniki oceny zewnętrznej audytu wewnętrznego;

7) dokumentację dotyczącą opis procedur związanych z kontrolą zarządczą;

8) rejestry czasu pracy;

9) informacje mogące mieć wpływ na przeprowadzenie audytu wewnętrznego i analizę ryzyka.

§ 24. Dobór dokumentów umieszczonych w formie papierowej do akt stałych następuje na podstawie profesjonalnego osądu audytora wewnętrznego, stosownie do potrzeb audytu wewnętrznego.

§ 25. Akta bieżące prowadzone są odrębnie dla każdego zadania audytowego, a ich tytułem jest temat zadania audytowego.

§ 26. Dokumenty stanowiące akta bieżące audytu wewnętrznego porządkuje się w kolejności wynikającej z toku dokonywanych czynności, zamieszczając na początku każdych akt spis zawartości.

§ 27. Akta bieżące zadania zapewniającego zawierają:

1) przegląd wstępny;

2) upoważnienie do przeprowadzenia zadania zapewniającego, wskazujące imiennie osoby upoważnione w ciągu danego roku kalendarzowego do wykonywania czynności audytowych;

3) program zadania zapewniającego;

4) sprawozdanie z zadania zapewniającego;

5) notatkę z czynności sprawdzających;

6) dokumenty robocze związane z przygotowaniem i realizacją zadania zapewniającego oraz z monitorowania realizacji zaleceń i przeprowadzania czynności sprawdzających.

§ 28. Akta bieżące czynności doradczej zawierają:

1) program czynności doradczej;

2) notatkę z czynności doradczej;

3) notatkę z czynności sprawdzających;

4) dokumenty robocze związane z przygotowaniem i realizacją czynności doradczych oraz z monitorowania realizacji zaleceń i przeprowadzania czynności sprawdzających.