Kontrola wewnętrzna a audyt wewnętrzny
Ustawa o kontroli w administracji
rządowej, która weszła w życie 1 stycznia 2012 (Dz. U. z 2011 r. Nr 185, poz. 1092.) tylko połowicznie reguluje kształt
kontroli instytucjonalnej w administracji rządowej. Chociaż obszar kontroli
jednostek podległych i nadzorowanych został ukształtowany w sposób precyzyjny
oraz, jak się można spodziewać, efektywny to relacje pomiędzy funkcjami audytu
wewnętrznego a komórkami kontroli oceniającymi obszary wewnątrz jednostki
zostały pozostawione rozstrzygnięciom indywidualnym, czyli na poziomie
jednostek. Kontrola instytucjonalna, upodabniając się coraz bardziej do audytu
wewnętrznego wymuszą podjęcie w najbliższym czasie decyzji systemowych co do
kształtu funkcji kontrolnej oraz oceniającej na poziomie całej administracji.
Celem artykułu jest analiza tych zagadnień oraz próba wypracowania możliwych
rozwiązań.
Tytuł opublikowanego w zeszłorocznym
numerze „Kontroli Państwowej” obszernego artykułu „Kontrola w administracji
państwowej” sugerował, iż analizie poddane będzie zagadnienie kontroli
instytucjonalnej w rozumieniu kompleksowym
czyli zarówno kontroli wewnętrznej jak i zewnętrznej. To zresztą wynika
z samego tytułu
ustawy[1]. Niestety, jest to wrażenie mylące,
ponieważ zarówno wspomniany akt prawny jak i sam artykuł dotyczą wyłącznie
kwestii kontroli zewnętrznej[2], czyli sytuacji kiedy jeden organ realizuje czynności
kontrolne wobec organu podległego bądź nadzorowanego. Nieuregulowany pozostaje
zatem obszar instytucjonalnej kontroli wewnętrznej oraz jej miejsca w systemie
kontroli zarządczej.
Podejmowane przez Kancelarię Prezesa
Rady Ministrów kroki zmierzające do profesjonalizacji służb kontrolnych są, jak
na warunki polskiej administracji, imponujące. Szkolenia z zakresu metodologii, opracowanie dedykowanych
standardów kontroli czy sporządzenie podręcznika kontrolera powinny się
stopniowo przekładać na podniesienie jakości kontroli oraz odejście od często
negatywnego wizerunku kontrolera szukającego za wszelką cenę błędów czy
uchybień oraz osób winnych. Warto w tym miejscu przypomnieć, że sama Ustawa o kontroli
w administracji rządowej dotyczy kontroli zewnętrznej, natomiast Standardy
kontroli w administracji rządowej oraz wspomniany podręcznik są już w tym
zakresie niejasne i sugerują, iż dotyczą zarówno kontroli zewnętrznej, jak i
wewnętrznej. Część środowiska audytorów wewnętrznych odnosi się z rezerwą do
tych inicjatyw, widząc w instytucjonalnej kontroli wewnętrznej konkurencję.
Oczywiście trudno stać na stanowisku, iż kadry kontroli mają być nieprofesjonalne
– nieobiektywne czy niedokształcone. Obawy te jednakże są, przynajmniej po
części uzasadnione.
Regres funkcji audytu wewnętrznego
Analizując zmiany w systemie audytu
wewnętrznego od czasu jego implementacji w administracji publicznej do chwili
obecnej trudno nie odnieść wrażenia, iż podstawy instytucjonalne funkcji
audytu, jak i jego rola w jednostkach oraz w systemie kontroli wewnętrznej
Państwa maleje. Tylko dla zobrazowania punktu wyjścia systemu audytu warto wspomnieć
instytucję Głównego Inspektora Audytu Wewnętrznego (dalej GIAW) oraz
szkoleniach zorganizowanych przez Ministerstwo Finansów, finansowanych ze
środków przedakcesyjnych PHARE, które objęły niemal wszystkich zatrudnionych na
stanowiskach audytorskich.
Wartością tych szkoleń był fakt ich autoryzacji przez Ministerstwo, wobec czego
można było przyjąć prezentowaną tam wiedzę za stanowisko organu koordynującego
audyt. Wartym uznania rozwiązaniem były także egzaminy państwowe dopuszczające
do zawodu. W swoim czasie przez niektórych krytykowane mogłyby, po zmianach
zakresu oraz metody oceny kandydatów stać się filarem profesji. Obecnie skala działań w tym zakresie jest, z punktu widzenia
audytorów wewnętrznych, o wiele mniejsza, a
założenie, iż system audytu wewnętrznego ukształtował się na tyle, iż nie
trzeba go dalej rozwijać a jedynie nim administrować jest nieuzasadnione. Departament
Audytu Sektora Finansów Publicznych
Ministerstwa Finansów organizuje w chwili obecnej comiesięczne spotkania
szkoleniowe, jednakże z uwagi na miejsce i czas korzystają z nich przede
wszystkim osoby z Warszawy i okolic, ponadto ilość uczestników jest, jak na
skalę kraju niewielka. Należy jednakże zauważyć szereg inicjatyw o charakterze
„miękkim”, czyli publikacja dobrych praktyk, w tym ich tłumaczenie a także powołanie
zespołu, którego celem jest opracowanie wytycznych w zakresie zarządzania
ryzykiem. Zapowiadana na III kwartał tego roku konferencja organizowana przez
Departament może świadczyć o powrocie do „twardszej” koordynacji audytu
wewnętrznego.
Aby
plastycznie zobrazować jakie obszary wymagają wzmocnienia wystarczy porównać
ścieżkę doskonalenia zawodowego kontrolera NIK oraz audytora wewnętrznego.
Zapewnienie kompetencji kontrolera to z jednej strony aplikacja z bardzo
szerokim wsparciem szkoleniowym, a z drugiej - świadome i planowe budowanie
kadr o kompetencjach odpowiadających potrzebom Izby. Audytor wewnętrzny, będący
w przeważającej większości na stanowisku jednoosobowym nie ma często możliwości podnoszenia swoich
kwalifikacji, a jest przecież odpowiedzialny za objęcie audytem całego spektrum
działania jednostki w której jest zatrudniony. Warto zauważyć, że GIAW był
swego rodzaju promotorem audytu w polskiej administracji i okres, w którym
organ ten istniał jest czasem kiedy audyt wewnętrzny rozwijał się, budując swój
wizerunek oraz miejsce w administracji publicznej. W chwili obecnej Ministerstwo
Finansów wciąż podejmuje działania określające najlepsze wzorce w zakresie
praktyki audytu.
Przydatnym źródłem wiedzy dotyczącej sprawnie funkcjonującej funkcji audytu
jest opracowanie „Model IA – CM w sektorze publicznym. Zarys modelu”. Ten
bardzo interesujący zbiór kryteriów służących obiektywnej ocenie na jakim
etapie rozwoju instytucjonalnego jest funkcja audytu wskazuje, iż poziom 1
(najniższy) to „Działalność dorywcza i nieustrukturyzowana; odrębne
pojedyncze audyty lub ocena dokumentacji i operacji pod kątem celowości i
zgodności; wyniki uzależnione od umiejętności konkretnych osób na stanowisku;
brak ustanowionych dokładnych praktyk zawodowych – innych od dostarczonych
przez organizacje zawodowe; wymagane zatwierdzenie finansowania przez
kierownictwo; brak infrastruktury i audytorzy prawdopodobnie są częścią
większej komórki organizacyjnej; brak określonych kluczowych obszarów procesu[3].”
Niestety trudno nie odnieść wrażenia, iż przez te kilka lat model audytu wewnętrznego nie
poczynił niestety dużych postępów, przede wszystkim z uwagi na ograniczenia
systemowe.
Wzmocnienie kontroli
instytucjonalnej
Wraz z
implementacją audytu wewnętrznego zaczęto kreować alternatywne wobec polskiej
tradycji podejście do idei kontroli wewnętrznej. Tradycyjne rozumienie pojęcia
„kontrola wewnętrzna” oznaczała komórkę organizacyjną zajmującą się
przeprowadzaniem kontroli innych komórek organizacyjnych jednostki (czasami także
jednostek podległych). Próbując określić rolę tradycyjnej kontroli wewnętrznej
sformułowano definicję stanowiącą, iż kontrola w znaczeniu funkcjonalnym (ang.
audit) oznacza badanie lub przegląd polegający na ustaleniu stanu faktycznego,
porównaniu go ze stanem wymaganym/pożądanym oraz dokonanie jego oceny.[4] Inne spojrzenie na przedmiotowe zagadnienie pozwala
zobaczyć kontrolę wewnętrzną jako system zarządzania jednostką: kontrola w
znaczeniu zarządczym (ang. control) jest to przyjęty system zarządzania (procedury,
instrukcje, zasady, mechanizmy) służący do uzyskania racjonalnej pewności, że
cele zarządzania zostaną osiągnięte. Proces dzięki któremu zarządza się
określonymi działaniami.[5] Takie rozróżnienie kontroli (funkcjonalna i zarządcza)
odbiega od potocznego znaczenia, gdzie kontrola instytucjonalna to kontrola
wykonywana przez wyodrębnioną komórkę lub osobę a kontrola funkcjonalna to
system. Klasyfikacja taka będzie używana w dalszej części opracowania. Warto
zauważyć, iż zespół autorów cytowanej publikacji, w skład którego wchodzili
m.in. przedstawiciele Europejskiego Trybunału Obrachunkowego (Peter Welch, Szef
Gabinetu Davida Bostocka (Członka Trybunału z Wielkiej Brytanii) definiował
terminy jednocześnie w języku polskim i angielskim nadając słowom „audit” oraz „control” identyczne znaczenia. Kierunek ten dawał wrażenie, iż
tradycyjnie rozumiana kontrola instytucjonalna traci rację bytu wobec faktu
powstania oraz rozwoju nowoczesnej oraz efektywnej funkcji zapewniającej jaką
jest audyt wewnętrzny. Jak wskazano wcześniej początkowa euforia dotycząca
audytu zaczęła tracić na swej sile, by ostatecznie przygasnąć, przyjmując za
normę jednoosobowe komórki audytu oraz brak szerokiego wsparcia
instytucjonalnego. Jednocześnie, po okresie kilkuletniej stagnacji w zakresie
metodyki oraz technik kontrolnych, głównie dzięki Kancelarii Prezesa Rady
Ministrów sytuacja komórek kontroli zaczęła się dość dynamicznie zmieniać.
Opracowano „Wytyczne w sprawie kontroli w administracji publicznej”, następnie
Sejm Rzeczypospolitej przyjął Ustawę o kontroli w administracji rządowej,
niedługo później światło dzienne ujrzały „Standardy kontroli w administracji rządowej”
poszerzające i zastępujące wcześniejsze „Wytyczne”.
Konkurencja
w jednostce
Przyjęcie oraz stosowanie zapisów
Ustawy oraz Standardów (dotyczących de
facto jedynie kontroli zewnętrznej, jednakże stosowanych domyślnie w
przypadku Standardów także do instytucjonalnej kontroli wewnętrznej) zbliżyło
funkcję kontroli instytucjonalnej do audytu tak bardzo, że coraz trudniej
wskazać już jednoznaczną i opartą na przepisach i wytycznych różnicę pomiędzy
audytem wewnętrznym a kontrolą instytucjonalną. Dość podkreślić, iż zalecając
funkcji kontroli wewnętrznej wspieranie kierownika jednostki we wdrażaniu
kontroli zarządczej[6] stawia się ją poza
typowymi mechanizmami detekcyjnymi, co można
zinterpretować jako przeniesienie kontroli instytucjonalnej (wewnętrznej) z
grupy mechanizmów
kontrolnych do mechanizmów oceny[7]. Idąc tym tokiem myślenia komórka kontroli wewnętrznej
realizująca zadania kontrolne wpisuje się w model kontroli detekcyjnej[8], czyli jest mechanizmem kontrolnym, oraz realizuje zadania
audytu wewnętrznego (czyli dostarcza zapewnienia co do mechanizmów kontrolnych
oceniając kontrolę zarządczą). Dodajmy jeszcze, iż zrównanie funkcjonalne
opisane powyżej doprowadza do swoistej konkurencji obu tych funkcji w
jednostce. Jakkolwiek konkurencja sama w sobie jest ze wszechmiar słuszna, to
jej istnienie wewnątrz jednostki (jak również wewnątrz całej administracji czy
jej działu) nie jest raczej czymś oczekiwanym. Warto zwrócić uwagę na trzy
zasadnicze różnice organizacyjne kontroli wewnętrznej oraz audytu. Po pierwsze
komórki kontroli są zazwyczaj większe, przykładowo ministerstwa zatrudniają od
8 do 187 pracowników kontroli. [9] Sytuacja ta przekłada się bezpośrednio na „oddziaływanie”
danej funkcji na resztę jednostki. Poprzez oddziaływanie rozumie się ilość
zadań (kontroli czy też audytów) realizowanych w trakcie roku oraz okres czasu
jaki upływa pomiędzy czynnościami w danej komórce organizacyjnej, naturalnie im
większa ilość zadań w ciągu roku oraz im krótszy okres pomiędzy zadaniami w tej
samej komórce tym (w audycie zwanym cyklem audytu) oddziaływanie większe –
funkcja jest bardziej widoczna a jej działanie bardziej zrozumiałe dla
pozostałych pracowników danego urzędu. Drugą zasadniczą różnicą jest kwestia
elastyczności. Komórki kontroli wewnętrznej, działające w trybie Ustawy o
kontroli w administracji rządowej mają możliwość przeprowadzania czynności w
trybie uproszczonym[10], który pozwala na podjęcie działań bez analizy przedkontrolnej,
będącej elementem programu kontroli. W przypadku audytu wewnętrznego, zarówno
przepisy Ustawy o finansach publicznych, jak i Rozporządzenia[11] nie przewidują takiej możliwości a co za tym idzie
czas jaki musi upłynąć od wniosku o przeprowadzenie zadania pozaplanowego czy
też pozyskania informacji takie zadanie uzasadniającej jest dłuższy niż w
przypadku komórki kontrolnej. Przeprowadzanie „szybkich” zadań audytowych jest
jednakże możliwe - zewnętrzny usługodawca audytu dla Policji Hrabstwa Surrey w
Wielkiej Brytanii przeprowadza zadanie audytowe nawet w 3 dni[12]. Zgodnie z analizami Departamentu Audytu Sektora
Publicznego za rok 2010 71% komórek audytu w administracji rządowej stanowi
jeden etat lub mniej[13]. Szybkie reagowanie na
potrzeby kierownictwa jest w związku z tym dużym atutem komórek kontroli, obecnie
przynajmniej w administracji rządowej objęte regulacjami zgodnie z którymi
czynności w trybie uproszczonym przeprowadza się w uzasadnionych sytuacjach,
standardowy zaś tryb wymaga sporządzania analiz przedkontrolnych, także w
formie analizy ryzyka, co
przybliża filozofię i technikę kontroli do idei audytu. Trzecią, aczkolwiek nie
najmniej istotną z punktu widzenia audytora różnicą pomiędzy analizowanymi
funkcjami jest kwestia koordynacji. Audyt wewnętrzny, zgodnie z Ustawą o finansach publicznych
koordynowany jest przez Ministra Finansów (art. 292.1 Ustawy o finansach
publicznych), funkcja kontrolna zaś przez Prezesa Rady Ministrów (na podstawie przepisu ogólnego dotyczącego koordynacji
pracy członków Rady Ministrów[14]).
Analizując aktywność w
kontekście koordynacji interesujących nas funkcji obu tych instytucji dostrzec można zasadnicze
różnice. O ile KPRM koordynuje służby
kontrolne administracji rządowej na zasadzie tzw. koordynacji twardej – opracowując dość szczegółowe
Standardy, (gwarantujące m.in. minimum dwuosobowy zespół kontrolny oraz 40
godzin szkoleń dla każdego kontrolera rocznie) to MF koordynuje audyt
wewnętrzny głównie poprzez zbieranie i publikowanie dobrych praktyk, ocenę
systemu planowania rocznego oraz analizę danych statystycznych. W związku z tym
metodyka kontroli staje się coraz bardziej ujednolicona, natomiast w zakresie
audytu ostatnie duże projekty mogące skutkować zależeniem się technik
realizacji audytów w poszczególnych instytucjach to szkolenie finansowane ze
środków PHARE z lat 2004-2005 oraz Podręcznik Audytu w Administracji Publicznej
z 2003 roku. Wyjaśnieniem takiej sytuacji może być teza, iż w przypadku
kontroli instytucjonalnej stawia się przede wszystkim na „rozwój odgórny” czyli
niejako wymuszanie na kierownikach jednostek roli oraz poziomu funkcji
kontrolnej (instytucjonalnej), w przypadku audytu wewnętrznego zaś oczekuje
się, iż audytorzy wewnętrzni poprzez wartość dodaną swojej pracy zapewnią sobie
uznanie kierownictwa oraz docenienie (organizacyjne, kadrowe a także finansowe)
dostarczanych rezultatów.
Oczekiwanie na ten „rozwój
organiczny” jest w teorii zasadne – wartościowe wyniki audytu powinny przełożyć
się na zwiększenie etatów komórkach audytu a także zapewnienie udziału w
szkoleniach i innych działaniach przekładających się na podniesienie jakości.
Czy tak się jednak stało? W ocenie wielu praktykujących audytorów (w tym
autora) nie i to z co najmniej dwóch przyczyn.
Regulacje w zakresie koordynacji
Przedstawione powyżej różnice warto
zestawić z ustawowymi uprawnieniami Ministra Finansów oraz Prezesa Rady
Ministrów do koordynacji obu funkcji. Otóż zgodnie z art. 8 ustawy[15] Premier może w
szczególności:
1) zlecić kierownikowi
jednostki kontrolującej przeprowadzenie kontroli wskazanych podmiotów lub
obszarów działalności i żądać przedstawiania informacji o wynikach kontroli;
2) delegować
kontrolera Kancelarii Prezesa Rady Ministrów do uczestniczenia w kontroli;
3) określić standardy
kontroli w administracji rządowej, które udostępnia się w Biuletynie Informacji
Publicznej Kancelarii Prezesa Rady Ministrów.
A także, w ramach zlecenia kontroli
koordynowanej (realizowanej przez kontrolerów więcej niż jednej jednostki)
koordynować te kontrolę poprzez:
1) wydanie wskazówek
metodycznych wiążących dla tej kontroli;
2) opracowanie lub
zlecenie opracowania programu kontroli;
3) czuwanie nad
przebiegiem kontroli;
4) sporządzenie lub
zlecenie sporządzenia informacji zbiorczych o wynikach kontroli.
Warto wspomnieć, iż zgodnie z art. 9
ustawy Jednostki
administracji rządowej przekazują Prezesowi Rady Ministrów, na jego wniosek,
informacje lub dokumenty dotyczące działalności kontrolnej jednostki
kontrolującej, w tym plany kontroli, dokumentację kontroli, informację o
realizowanych kontrolach i ich wynikach, o wystosowanych zaleceniach i
wnioskach, a także sposobach ich realizacji, oraz zbiorcze informacje z
wybranych kontroli bądź z działalności kontrolnej tej jednostki.
Uprawnienia te są jak widać dość szerokie, są także
wykorzystywane w praktyce. Szef Kancelarii Prezesa Rady Ministrów zlecił pismem
z 17 lipca br. kontrolę koordynowaną w zakresie zatrudniania osób
niepełnosprawnych w wybranych ministerstwach. Zapowiadane są jednocześnie
dalsze kontrole realizowane w tym trybie.
Uprawnienia Ministra Finansów do
koordynacji audytu zwarte w ustawie[16] realizuje się poprzez:
1) zlecanie przeprowadzenia audytu wewnętrznego;
2) ocenę audytu wewnętrznego;
3) upowszechnianie standardów, o których mowa w art. 273 ust.
1;
4) wydawanie wytycznych;
5) współpracę z krajowymi i zagranicznymi organizacjami;
6) współpracę z komitetami audytu.
W celu realizacji tych zadań Minister Finansów ma prawo[17]:
1) Minister Finansów
może żądać od kierownika jednostki przedłożenia wszelkich materiałów i
dokumentów, z zachowaniem przepisów o tajemnicy ustawowo chronionej, a także
udzielania informacji i wyjaśnień;
2) kierownik jednostki
oraz kierownik komórki audytu wewnętrznego są obowiązani do współpracy z Ministrem
Finansów w zakresie ustalenia sposobu przeprowadzenia czynności w tej
jednostce.
Uprawnień obu organów są zbliżone, Minister Finansów zlecił dotychczas (do lipca 2012) pięć audytów zleconych. Jeden z nich był audytem przekrojowym, dotyczącym dużej ilości jednostek administracji rządowej (audyt procesu wartościowania stanowisk), dwa dotyczyły działu administracji podległego Ministrowi Finansów (audyt systemu kontroli zarządczej w administracji podatkowej i kontroli skarbowej oraz systemu planowania kontroli w urzędach kontroli skarbowej), dwa zaś były audytami dotyczącymi określonego problemu badanego w wybranych jednostkach (ocena przygotowania do przewodnictwa Polski w Radzie Unii Europejskiej oraz audyt inwestycji finansowanych z budżetu państwa z części 46 – Zdrowie na przykładzie programów wieloletnich).
Przyczyny systemowych słabości
audytu wewnętrznego.
Jak wskazano w śródtytule audyt
wewnętrzny jest niewydolny przede wszystkim systemowo. Osoby wykonujące ten
zawód znają już dobrze rolę i miejsce audytu w swoich jednostkach, rozumieją
także jakie produkty i usługi mają dostarczać klientom audytu (kierownikom
jednostek lub komórek organizacyjnych). Wejście w życie systemu Kontroli
Zarządczej ułatwiło odnalezienie „swojego miejsca” w systemie, jednakże jedynie
w skali mikro, czyli realizacji poszczególnych zadań. Audytorzy wiedzą, że mają
oceniać efektywność kontroli zarządczej. Cóż jednak poradzić na fakt, iż
kierowników taka ocena rzadko interesuje, gdyż jednostki nie muszą raportować
stanu realizacji celów i zadań w połączeniu z adekwatnością wydatkowanych
środków, wynikami kontroli oraz audytów. Mechanizm taki, zwany rozliczalnością
publiczną dopiero u nas raczkuje a pojęcie to występuje jedynie w opracowaniach
o charakterze dobrych praktyk[18] a nie w przepisach czy wewnętrznych rozwiązaniach
systemowych. Warto zwrócić także uwagę, iż świadomość i efektywność audytu
wewnętrznego jest w pewnym stopniu pochodną świadomości i efektywności całej
Kontroli Zarządczej. Na zarysowanym powyżej obrazie roli audytu pojawiła się
jednakże rysa – zgodnie ze Standardami kontroli w administracji rządowej
kontrola instytucjonalna także ocenia system kontroli zarządczej. Jest to
zdecydowanie mylne rozumienie źródłowego modelu COSO[19] a także być może szukanie uzasadnienia dla
podtrzymania komórek kontroli. Zgodnie z COSO to audyt wewnętrzny jest
mechanizmem oceny pozostałych elementów systemu kontroli wewnętrznej (w
polskiej administracji nazywanej zarządczą), natomiast kontrola instytucjonalna
powinna być bardziej utożsamiana z mechanizmami nadzoru bądź inspekcji
(detekcji błędów), co zostanie rozwinięte w dalszej części artykułu.
Kolejnym problemem stojącym na
drodze rozwoju funkcji audytu jest samo istnienie rozbudowanych komórek
kontroli wewnętrznej pełniącej w coraz większym stopniu de facto rolę audytu.
Kierownicy jednostek dostrzegając zacierającą się różnicę pomiędzy
interesującymi nas funkcjami traktują je jako mechanizmy substytucyjne a nie
komplementarne a co za tym idzie zwiększenie roli jednego elementu musi
oznaczać zmniejszenie roli drugiego.
Tezy powyższe odnoszą się jedynie do
kontroli instytucjonalnej, obejmującej swoim działaniem procesy, funkcje i
komórki własnej jednostki czyli kontroli wewnętrznej. Działanie takie
usankcjonowane jest Standardami kontroli wewnętrznej w administracji rządowej[20], nie ma jednak podstaw w Ustawie o kontroli[21]. Działanie kontrolne w rozumieniu ustawy jest bowiem
komplementarne z funkcją audytu wewnętrznego – audyt wewnętrzny nie obejmuje,
zgodnie z zapisami ustawy[22] oraz interpretacją
Departamentu Audytu Sektora Finansów Publicznych Ministerstwa Finansów,
jednostek podległych. Mamy wtedy dość prosty podział ról – kontrola ocenia
działanie jednostek podległych będąc ważnym i potrzebnym mechanizmem kontrolnym
(w rozumieniu COSO) a audyt wewnętrzny ocenia efektywność wszystkich tych
mechanizmów, w tym także skuteczności rozliczenia i nadzoru nad jednostkami
podległymi.
Podsumowując tę cześć artykułu warto
zauważyć, że rozwój audytu wewnętrznego jak i całej kontroli zarządczej jeszcze
się nie skończyły. Jako, że reformy systemowe administracji wzorowane są na
rozwiązaniach istniejących w państwach Europy Zachodniej oraz Stanach
Zjednoczonych zidentyfikować można różnice pomiędzy modelem docelowym a stanem
faktycznym. Kierownicy jednostek nie zostali obarczeni obowiązkiem
rozliczalności publicznej, nie określono (na poziomie całej administracji) roli
audytu wewnętrznego i kontroli instytucjonalnej. Rozwiązania systemowe dotyczą
jedynie sprawozdań budżetowych oraz po części sprawozdawczości w zakresie
budżetu zadaniowego. System nie jest jednak spójny na tyle na np. wzorem
Europejskiego Kolegium Policyjnego CEPOL wymuszał generowanie sprawozdań
okresowych (rocznych, kwartalnych) obejmujących kwestie realizowanych zadań,
zrealizowanego budżetu, osiąganych mierników oraz audytów i kontroli
wewnętrznych czy zewnętrznych wraz z informacją na temat ich wyników. W związku
z tym kierownik jednostki (dyrektor agencji Unii Europejskiej) jest żywotnie
zainteresowany funkcjonowaniem audytu wewnętrznego zarówno jako mechanizmu,
który daje zapewnienie w zakresie efektywności mechanizmów kontrolnych, jak i
dostarczającego obiektywnych ocen (co ważne, upublicznianych) działalności
instytucji którą kieruje. Taki właśnie kierunek rozwoju audytu wewnętrznego jak
i całej kontroli zarządczej byłby zgodny z ideą COSO.
Perspektywy rozwoju
W pierwszej części opracowania
skupiono się na relacjach audytu wewnętrznego i kontroli instytucjonalnej.
Wskazano źródła problemów oraz słabości istniejących obecnie, w dużej części
wciąż niedoskonałych rozwiązań. Jak jednak podkreślono wcześniej obecny stan
uznać można za przejściowy i należy rozpocząć analizę oraz dyskusję na temat
docelowego modelu zarządzania jednostkami administracji publicznej, w której
poszczególne mechanizmy (audyt, kontrola instytucjonalna) miały by swoje, nie kolidujące
ze sobą miejsca. Punktem wyjścia naszych rozważań jest sytuacja współistnienia
kontroli oraz audytu, których zakres działania w wielu aspektach się pokrywa a
instytucjonalna kontrola wewnętrzna odzwierciedla dwa standardy kontroli zarządczej - Mechanizmy Kontroli
(mechanizm detekcji błędów) oraz Audyt Wewnętrzny (czyli ocenę adekwatności
systemu kontroli zarządczej).
Utrzymanie odrębności obu funkcji –
audyt wewnętrzny i kontrola zewnętrzna
Pierwszym możliwym działaniem jest
dalsze utrzymywanie obu funkcji. Ma to sens jedynie w przypadku dokładnego i
precyzyjnego określenia różnic oraz zakresów odpowiedzialności. Oparcie się na Ustawie
o kontroli w administracji rządowej jest takim właśnie modelem. W takiej
sytuacji audyt i kontrola mogą się wspierać i generować uzupełniające się
informacje, ważne z punktu widzenia kierownika jednostki (np. jako źródło
zapewnienia o stanie kontroli zarządczej w jednostce kierowanej oraz podległych
i nadzorowanych). Bazując jedynie na delegacji ustawowej (ustawa o finansach
publicznych oraz o kontroli w administracji rządowej) jest to stan obecny.
Wyjęcie z zakresu działania kontroli instytucjonalnej oceny obszarów wewnątrz
jednostki powinny skutkować wzmocnieniem roli audytu wewnętrznego, który stałby
się jedynym źródłem zapewnienia / oceny ogólnie pojętej poprawności działania
jednostek. Aby spełnić oczekiwania kierownictwa należy jednakże w tym przypadku
wyposażyć audyt wewnętrzny w możliwość realizacji zadań w trybie uproszczonym,
dającym możliwość przeprowadzania szybkich oraz problemowych analiz obszarów,
których nie przewidziano w planie rocznym (audyt pozaplanowy). Doceniając
zalety centralnego systemu koordynacji działalności kontrolnej przez KPRM,
rozwiązanie takie powinno być zaimplementowane w system audytu wewnętrznego, a
raczej system rozliczalności publicznej, której audyt wewnętrzny powinien być
częścią. Zawsze bowiem należy mieć na względzie, iż zarówno audyt wewnętrzny,
jak i kontrola instytucjonalna to narzędzia wspomagające kierowników jednostek,
którzy to w pierwszym rzędzie powinni być i czuć się odpowiedzialni za
zapewnienie efektywności, celowości oraz zgodności z prawem w zakresie działań
swojej oraz jej podległych jednostek.
Audyt wewnętrzny i kontrola
wewnętrzna.
Po części wbrew wcześniej
postawionym tezom, możliwe jest dalsze istnienie komórek kontroli
instytucjonalnej (w formule sprzed wejścia w życie Ustawy o kontroli w
administracji rządowej, czyli realizującej zarówno kontrole wewnętrzne, jak i
zewnętrzne) oraz audytu wewnętrznego. Koncepcja ta wymaga jednakże bardzo
dokładnego określenia roli oraz metody działań obu funkcji. Kalka rozwiązań
stosowanych w audycie doprowadzi do istnienia dwóch tworów prawnych o różnej
nazwie i tym samym zakresie działania, co jak wskazano wcześniej jest
działaniem noszącym znamiona niegospodarności i niecelowości. Specyfika zadań
dedykowanych kontroli nie powinna wynikać z potrzeby zagospodarowania zasobów
ludzkich i organizacyjnych a autentycznych potrzeb systemu zarządzania administracją
publiczną czy też zapełnienia ewentualnych luk w systemie kontroli zarządczej
jednostki. Trudno nie odnosząc się konkretnego modelu systemu kontroli
zaproponować obszar działania funkcji kontroli, nie pokrywający się z audytem
wewnętrznym, który jest opisany dość dokładnie w ustawie, rozporządzeniu oraz
standardach[23]. Możliwym obszarem komplementarnym byłaby „inspekcja”,
której zasadniczym celem byłaby analiza ex-post mająca na celu wychwycenie
błędów w procesach, określenie ich skali oraz wskazanie winnych. Relacja z
audytem mogła by polegać na podziale – audyt wewnętrzny dokonuje ocen
systemowych (ocena mechanizmów kontroli wewnętrznej) a kontrola odpowiedzialna
jest za wychwycenie oraz doprowadzenie do korekty błędów, szczególnie w
obszarach wskazanych jako słabe z punktu widzenia funkcjonujących mechanizmów
kontroli (formalnych). Kontrola instytucjonalna w tym ujęciu przeprowadzałaby w
sposób opisany wcześniej czynności w jednostkach nadzorowanych i podległych.
Idea tej koncepcji, jak i
poprzedniej pokrywa się pojęciem z tzw. „trzech linii obrony”. Jest to system
rozróżniający poszczególne szczeble mechanizmów kontroli w trzech płaszczyznach
(liniach obrony). Założenia systemu przedstawiono na rysunku.
Źródło: opracowanie / tłumaczenie autora na podstawie The ECIIA endorses the three lines of defence model for internal governance[24] |
Jak widać koncepcja ta przypisuje
kontrolę instytucjonalną (inspekcję) do drugiej linii obrony, czyli ustanawia
ją pomiędzy odpowiedzialnością poszczególnych kierowników komórek
organizacyjnych oraz środkami kontroli a audytem wewnętrznym. Rozumowanie takie
jest na chwilę obecną raczej nieznane w polskiej administracji publicznej, jednakże
opracowania na ten temat są tworzone co najmniej od paru lat[25]. Wprawdzie są to opracowanie dotyczące funkcjonowania
korporacji, jednakże z uwagi na fakt, iż system kontroli zarządczej oparty
został o COSO[26], które dedykowano głównie dużym firmom, inspiracja ta jest
jak najbardziej uzasadniona.
Oparcie się wyłącznie na audycie
wewnętrznym
Kolejnym alternatywnym rozwiązaniem w
zakresie przyszłości
funkcji kontroli i audytu może
być oparcie się wyłącznie na audycie wewnętrznym. W tym przypadku wszystkie
dotychczasowe funkcje oceniające oraz kontrolne pełniłby wyłącznie audyt
wewnętrzny. W obszarze organizacyjnym wymagałoby to przeniesienia zasobów
komórek kontroli do działów audytu oraz przejęcie odpowiedzialności za
adekwatne procesy oraz obszary. Słuszność takiego rozwiązania wynika przede
wszystkim z kierunku w jakim obecnie rozwija się kontrola instytucjonalna
regulowana Ustawą o kontroli w administracji rządowej, czyli kontrola
zewnętrzna. Standardy kontroli w dużej części są inspirowane zapisami Międzynarodowych
Standardów profesjonalnej Praktyki Audytu Wewnętrznego IIA – co widać jaskrawo choćby
w części dotyczącej zapewnienia jakości oraz obligatoryjnej ilości szkoleń.
Biorąc powyższe pod uwagę można postawić tezę, iż profesjonalizacja komórek
kontroli tak czy inaczej doprowadzi ostatecznie do oparcia się na rozwiązaniach
oraz dobrych praktykach stosowanych w audycie wewnętrznym. Metodyka[27] oraz Standardy audytu są
wynikiem długoletniej praktyki oraz analizy[28]
wobec czego można uznać je za aktualnie najlepszy wzorzec dla tego typu
działalności. Korzyścią z tego rozwiązania byłaby większa elastyczność w
realizacji zadań zleconych (wynikająca ze zwiększenia stanu etatowego komórek
audytu) oraz uniemożliwienie dublowania się działań – precyzyjne rozgraniczenie
kontroli instytucjonalnej oraz audytu jest zadaniem wymagającej dogłębnej
analizy oraz, co istotniejsze być może nawet niemożliwym na obecnym stadium
rozwoju mechanizmów zarządczych w polskiej administracji publicznej. Naturalnie
poszerzenie zakresu działania audytu wymagałoby także zmian właściwych
przepisów. Najważniejszymi obszarami wymagającymi zmian (zgodnie z opisanymi
powyżej założeniami) jest umożliwienie realizacji audytów w trybie uproszczonym
oraz możliwość badania jednostek podległych.
Podsumowanie
Nowoczesne rozwiązania wdrażane od
jakiegoś czasu w polskiej administracji publicznej (audyt wewnętrzny oraz
kontrola zarządcza) zostały zaprojektowane w dużym stopniu w oderwaniu od
istniejących wcześniej mechanizmów (kontrola instytucjonalna). Jako, że audyt
wewnętrzny wyewoluował z kontroli instytucjonalnej właśnie, wykonano „skok”
przechodząc do nowoczesnego audytu opartego na standardach IIA. Pozostawienie
kontroli instytucjonalnej umożliwiło dokonanie się tej „ewolucji” – na naszych
oczach kontrola instytucjonalna zmierza w stronę audytu. Sytuacja taka jest w
dłuższym okresie nie do utrzymania i prędzej czy później zajdzie konieczność
określenia modelu mechanizmu kontrolno – zapewniającego. W ocenia autora okres jaki upłynął od
implementacji instytucji audytu wewnętrznego w polskiej administracji nie
został zmarnowany. Powstało wiele krajowych publikacji branżowych, wykształciła
się duża grupa audytorów dorównujących profesjonalizmowi swoim odpowiednikom z
krajów o dłuższych tradycjach istnienia audytu oraz zarysowało się dwubiegunowe
wsparcie dla funkcji audytu – Departament Audytu Sektora Finansów Publicznych Ministerstwa
Finansów oraz Stowarzyszenie Audytorów Wewnętrznych IIA Polska. Pochopna
likwidacja tego dorobku miała by także konsekwencje finansowe, jako, że ilość
środków finansowych poniesionych na wdrożenie audytu także jest znaczna. Naturalnie trzeba
docenić wysiłki
podejmowane przez kontrolerów, jak i Kancelarię Prezesa Rady Ministrów –
wszystkie działania zmierzające do profesjonalizacji kadry pracowników
administracji są wartością samą w sobie. Warto jednakże rozpocząć dyskusje nad
docelowym kształtem modelu a audyt wewnętrzny ze swoim dorobkiem oraz liczną
kadrą zaangażowanych pracowników powinien być kluczowym elementem całego systemu
zarządzania efektywnością państwa. Trzeba bowiem mieć zawsze na uwadze, iż
zarówno audyt wewnętrzny jak kontrola instytucjonalną są jedynie mechanizmami
usprawniającymi lub oceniającymi, najważniejszy jest system wyznaczania celów,
przypisywania mierników oraz sprawozdawczość ich realizacji. To jest obszar o
najwyższym priorytecie zmian systemowych a wybrana koncepcja systemu audytu
powinna pochodną przyjętego rozwiązania w zakresie rozliczalności publicznej.
Autor:
Marcin Dublaszewski, prowadzi własną
praktykę audytorsko – szkoleniową
[2] Art. 6 Ustawy o kontroli w
administracji rządowej
[3] Model IA – CM w sektorze publicznym. Zarys modelu. Ministerstwo
Finansów, publikacja internetowa, 2011
[4] Glosariusz terminów dotyczących kontroli i audytu w administracji
publicznej. Praca zbiorowa, publikacja internetowa NIK, 2005
[5] Op. Cit.
[6] Standard 2.4 (Standardy kontroli
w administracji rządowej)
[7] Grupy Standardów Kontroli Zarządczej
dla sektora finansów publicznych
[8] Typy kontroli z Audyt wewnętrzny,
Krzysztof Czerwiński, InfoAudit, 2005
[9] Informacja o działalności
kontrolnej w wybranych jednostkach administracji rządowej w 2011 r., KPRM,
2012
[10] Rozdział 3 Ustawy o kontroli w administracji rządowej
[11] Rozporządzenie
Ministra Finansów z dnia 1 lutego 2010 r. w sprawie przeprowadzania i
dokumentowania audytu wewnętrznego (Dz. U. Nr 21, poz. 108)
[12] Internal Audit Progress Report, Presented to Audit
Committee Meeting, Surrey Police Authority, 2012
[13] Benchmarking audytu wewnętrznego w
jednostkach sektora finansów publicznych, publikacja internetowa, 2011,
Ministerstwo Finansów
[14]
Art. 148 Konstytucji RP
[15]
Ustawa o kontroli w administracji
rządowej
[16] Ustawa o finansach publicznych, art. 292
[17] Op. Cit.
[18] Koncepcja Good Governance – Refleksje do dyskusji, publikacja internetowa, Ministerstwo Rozwoju
Regionalnego, 2008
[19] COSO I, II –
opracowanie The Committee of Sponsoring Organizations of the Treadway
Commission
[20] Wstęp do Standardów
kontroli w administracji rządowej, str. 3
[21] Art. 6 Ustawy o
kontroli w administracji rządowej
[22]
Ustawa o finansach publicznych, art. 274 oraz 287
[23] Ustawa z dnia 27 sierpnia 2009 r. o finansach
publicznych (Dz.
U. z dnia 24 września 2009 r.), Rozporządzenie Ministra Finansów z dnia 1
lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego
(Dz. U. Nr 21, poz. 108), Międzynarodowe Standardy Praktyki Zawodowej Audytu
Wewnętrznego (www.iia.org.pl)
[24] The ECIIA endorses the three lines of defense model for internal governance, publikacja internetowa, The European Confederation of Institutes of Internal Auditing, 2011
[25] Guidance on the 8th EU
Company Law Directive, publikacja internetowa,
ECIIA, FERMA, 2010
[26] Wstęp, Standardy
Kontroli Zarządczej dla sektora finansów publicznych, str. 3
[27]
Standardy i wytyczne składają się z Definicji audytu wewnętrznego, Kodeksu
etyki, Międzynarodowych Standardów Praktyki Zawodowej Audytu Wewnętrznego,
Stanowisk (Position papers),
Poradników (Practice guides) oraz Wskazówek
(Practice guides)
[28]
IIA Global założono w 1941 roku
Świetny wpis!
OdpowiedzUsuńNiezwykle ważny obszar jaki warto również poruszyć to audyt marketingowy. W agencji marketingowej Białystok przed rozpoczęciem jakichkolwiek działań, przeprowadzamy dokładny audyt Twojej marki oraz analizujemy konkurencję z Białegostoku i okolic. To kluczowy krok do skutecznej strategii. Skontaktuj się z nami i pozwól, abyśmy poprowadzili Cię przez proces rozwoju Twojej marki. Z nami osiągniesz sukces!
OdpowiedzUsuńNie trać kontaktu ze swoimi klientami! Nasz remarketing w Warszawie pozwoli Ci dotrzeć ponownie do osób, które już miały kontakt z Twoją stroną lub dokonały zakupu. Dzięki naszym kampaniom Google Ads/Social Ads będziesz mógł skutecznie przypomnieć o swojej ofercie i zwiększyć szanse na kolejne transakcje!
OdpowiedzUsuń