Kontrola wewnętrzna a audyt wewnętrzny

Ustawa o kontroli w administracji rządowej, która weszła w życie 1 stycznia 2012 (Dz. U. z 2011 r. Nr 185, poz. 1092.) tylko połowicznie reguluje kształt kontroli instytucjonalnej w administracji rządowej. Chociaż obszar kontroli jednostek podległych i nadzorowanych został ukształtowany w sposób precyzyjny oraz, jak się można spodziewać, efektywny to relacje pomiędzy funkcjami audytu wewnętrznego a komórkami kontroli oceniającymi obszary wewnątrz jednostki zostały pozostawione rozstrzygnięciom indywidualnym, czyli na poziomie jednostek. Kontrola instytucjonalna, upodabniając się coraz bardziej do audytu wewnętrznego wymuszą podjęcie w najbliższym czasie decyzji systemowych co do kształtu funkcji kontrolnej oraz oceniającej na poziomie całej administracji. Celem artykułu jest analiza tych zagadnień oraz próba wypracowania możliwych rozwiązań.

Tytuł opublikowanego w zeszłorocznym numerze „Kontroli Państwowej” obszernego artykułu „Kontrola w administracji państwowej” sugerował, iż analizie poddane będzie zagadnienie kontroli instytucjonalnej w rozumieniu kompleksowym  czyli zarówno kontroli wewnętrznej jak i zewnętrznej. To zresztą wynika z samego tytułu ustawy[1]. Niestety, jest to wrażenie mylące, ponieważ zarówno wspomniany akt prawny jak i sam artykuł dotyczą wyłącznie kwestii kontroli zewnętrznej[2], czyli sytuacji kiedy jeden organ realizuje czynności kontrolne wobec organu podległego bądź nadzorowanego. Nieuregulowany pozostaje zatem obszar instytucjonalnej kontroli wewnętrznej oraz jej miejsca w systemie kontroli zarządczej.

Podejmowane przez Kancelarię Prezesa Rady Ministrów kroki zmierzające do profesjonalizacji służb kontrolnych są, jak na warunki polskiej administracji, imponujące. Szkolenia z zakresu metodologii, opracowanie dedykowanych standardów kontroli czy sporządzenie podręcznika kontrolera powinny się stopniowo przekładać na podniesienie jakości kontroli oraz odejście od często negatywnego wizerunku kontrolera szukającego za wszelką cenę błędów czy uchybień oraz osób winnych. Warto w tym miejscu przypomnieć, że sama Ustawa o kontroli w administracji rządowej dotyczy kontroli zewnętrznej, natomiast Standardy kontroli w administracji rządowej oraz wspomniany podręcznik są już w tym zakresie niejasne i sugerują, iż dotyczą zarówno kontroli zewnętrznej, jak i wewnętrznej. Część środowiska audytorów wewnętrznych odnosi się z rezerwą do tych inicjatyw, widząc w instytucjonalnej kontroli wewnętrznej konkurencję. Oczywiście trudno stać na stanowisku, iż kadry kontroli mają być nieprofesjonalne – nieobiektywne czy niedokształcone. Obawy te jednakże są, przynajmniej po części uzasadnione.

Regres funkcji audytu wewnętrznego

Analizując zmiany w systemie audytu wewnętrznego od czasu jego implementacji w administracji publicznej do chwili obecnej trudno nie odnieść wrażenia, iż podstawy instytucjonalne funkcji audytu, jak i jego rola w jednostkach oraz w systemie kontroli wewnętrznej Państwa maleje. Tylko dla zobrazowania punktu wyjścia systemu audytu warto wspomnieć instytucję Głównego Inspektora Audytu Wewnętrznego (dalej GIAW) oraz szkoleniach zorganizowanych przez Ministerstwo Finansów, finansowanych ze środków przedakcesyjnych PHARE, które objęły niemal wszystkich zatrudnionych na stanowiskach audytorskich. Wartością tych szkoleń był fakt ich autoryzacji przez Ministerstwo, wobec czego można było przyjąć prezentowaną tam wiedzę za stanowisko organu koordynującego audyt. Wartym uznania rozwiązaniem były także egzaminy państwowe dopuszczające do zawodu. W swoim czasie przez niektórych krytykowane mogłyby, po zmianach zakresu oraz metody oceny kandydatów stać się filarem profesji. Obecnie skala działań  w tym zakresie jest, z punktu widzenia audytorów wewnętrznych, o wiele mniejsza, a założenie, iż system audytu wewnętrznego ukształtował się na tyle, iż nie trzeba go dalej rozwijać a jedynie nim administrować jest nieuzasadnione. Departament Audytu Sektora Finansów Publicznych Ministerstwa Finansów organizuje w chwili obecnej comiesięczne spotkania szkoleniowe, jednakże z uwagi na miejsce i czas korzystają z nich przede wszystkim osoby z Warszawy i okolic, ponadto ilość uczestników jest, jak na skalę kraju niewielka. Należy jednakże zauważyć szereg inicjatyw o charakterze „miękkim”, czyli publikacja dobrych praktyk, w tym ich tłumaczenie a także powołanie zespołu, którego celem jest opracowanie wytycznych w zakresie zarządzania ryzykiem. Zapowiadana na III kwartał tego roku konferencja organizowana przez Departament może świadczyć o powrocie do „twardszej” koordynacji audytu wewnętrznego.

Aby plastycznie zobrazować jakie obszary wymagają wzmocnienia wystarczy porównać ścieżkę doskonalenia zawodowego kontrolera NIK oraz audytora wewnętrznego. Zapewnienie kompetencji kontrolera to z jednej strony aplikacja z bardzo szerokim wsparciem szkoleniowym, a z drugiej - świadome i planowe budowanie kadr o kompetencjach odpowiadających potrzebom Izby. Audytor wewnętrzny, będący w przeważającej większości na stanowisku jednoosobowym nie ma często możliwości podnoszenia swoich kwalifikacji, a jest przecież odpowiedzialny za objęcie audytem całego spektrum działania jednostki w której jest zatrudniony. Warto zauważyć, że GIAW był swego rodzaju promotorem audytu w polskiej administracji i okres, w którym organ ten istniał jest czasem kiedy audyt wewnętrzny rozwijał się, budując swój wizerunek oraz miejsce w administracji publicznej. W chwili obecnej Ministerstwo Finansów wciąż podejmuje działania określające najlepsze wzorce w zakresie praktyki audytu. Przydatnym źródłem wiedzy dotyczącej sprawnie funkcjonującej funkcji audytu jest opracowanie „Model IA – CM w sektorze publicznym. Zarys modelu”. Ten bardzo interesujący zbiór kryteriów służących obiektywnej ocenie na jakim etapie rozwoju instytucjonalnego jest funkcja audytu wskazuje, iż poziom 1 (najniższy) to „Działalność dorywcza i nieustrukturyzowana; odrębne pojedyncze audyty lub ocena dokumentacji i operacji pod kątem celowości i zgodności; wyniki uzależnione od umiejętności konkretnych osób na stanowisku; brak ustanowionych dokładnych praktyk zawodowych – innych od dostarczonych przez organizacje zawodowe; wymagane zatwierdzenie finansowania przez kierownictwo; brak infrastruktury i audytorzy prawdopodobnie są częścią większej komórki organizacyjnej; brak określonych kluczowych obszarów procesu[3].” Niestety trudno nie odnieść wrażenia, iż przez te kilka lat model audytu wewnętrznego nie poczynił niestety dużych postępów, przede wszystkim z uwagi na ograniczenia systemowe.

Wzmocnienie kontroli instytucjonalnej

Wraz z implementacją audytu wewnętrznego zaczęto kreować alternatywne wobec polskiej tradycji podejście do idei kontroli wewnętrznej. Tradycyjne rozumienie pojęcia „kontrola wewnętrzna” oznaczała komórkę organizacyjną zajmującą się przeprowadzaniem kontroli innych komórek organizacyjnych jednostki (czasami także jednostek podległych). Próbując określić rolę tradycyjnej kontroli wewnętrznej sformułowano definicję stanowiącą, iż kontrola w znaczeniu funkcjonalnym (ang. audit) oznacza badanie lub przegląd polegający na ustaleniu stanu faktycznego, porównaniu go ze stanem wymaganym/pożądanym oraz dokonanie jego oceny.[4] Inne spojrzenie na przedmiotowe zagadnienie pozwala zobaczyć kontrolę wewnętrzną jako system zarządzania jednostką: kontrola w znaczeniu zarządczym (ang. control) jest to przyjęty system zarządzania (procedury, instrukcje, zasady, mechanizmy) służący do uzyskania racjonalnej pewności, że cele zarządzania zostaną osiągnięte. Proces dzięki któremu zarządza się określonymi działaniami.[5] Takie rozróżnienie kontroli (funkcjonalna i zarządcza) odbiega od potocznego znaczenia, gdzie kontrola instytucjonalna to kontrola wykonywana przez wyodrębnioną komórkę lub osobę a kontrola funkcjonalna to system. Klasyfikacja taka będzie używana w dalszej części opracowania. Warto zauważyć, iż zespół autorów cytowanej publikacji, w skład którego wchodzili m.in. przedstawiciele Europejskiego Trybunału Obrachunkowego (Peter Welch, Szef Gabinetu Davida Bostocka (Członka Trybunału z Wielkiej Brytanii) definiował terminy jednocześnie w języku polskim i angielskim nadając słowom „audit” oraz „control” identyczne znaczenia. Kierunek ten dawał wrażenie, iż tradycyjnie rozumiana kontrola instytucjonalna traci rację bytu wobec faktu powstania oraz rozwoju nowoczesnej oraz efektywnej funkcji zapewniającej jaką jest audyt wewnętrzny. Jak wskazano wcześniej początkowa euforia dotycząca audytu zaczęła tracić na swej sile, by ostatecznie przygasnąć, przyjmując za normę jednoosobowe komórki audytu oraz brak szerokiego wsparcia instytucjonalnego. Jednocześnie, po okresie kilkuletniej stagnacji w zakresie metodyki oraz technik kontrolnych, głównie dzięki Kancelarii Prezesa Rady Ministrów sytuacja komórek kontroli zaczęła się dość dynamicznie zmieniać. Opracowano „Wytyczne w sprawie kontroli w administracji publicznej”, następnie Sejm Rzeczypospolitej przyjął Ustawę o kontroli w administracji rządowej, niedługo później światło dzienne ujrzały „Standardy kontroli w administracji rządowej” poszerzające i zastępujące wcześniejsze „Wytyczne”.

Konkurencja w jednostce

Przyjęcie oraz stosowanie zapisów Ustawy oraz Standardów (dotyczących de facto jedynie kontroli zewnętrznej, jednakże stosowanych domyślnie w przypadku Standardów także do instytucjonalnej kontroli wewnętrznej) zbliżyło funkcję kontroli instytucjonalnej do audytu tak bardzo, że coraz trudniej wskazać już jednoznaczną i opartą na przepisach i wytycznych różnicę pomiędzy audytem wewnętrznym a kontrolą instytucjonalną. Dość podkreślić, iż zalecając funkcji kontroli wewnętrznej wspieranie kierownika jednostki we wdrażaniu kontroli zarządczej[6] stawia się ją poza typowymi mechanizmami detekcyjnymi,  co można zinterpretować jako przeniesienie kontroli instytucjonalnej (wewnętrznej) z grupy mechanizmów kontrolnych do mechanizmów oceny[7]. Idąc tym tokiem myślenia komórka kontroli wewnętrznej realizująca zadania kontrolne wpisuje się w model kontroli detekcyjnej[8], czyli jest mechanizmem kontrolnym, oraz realizuje zadania audytu wewnętrznego (czyli dostarcza zapewnienia co do mechanizmów kontrolnych oceniając kontrolę zarządczą). Dodajmy jeszcze, iż zrównanie funkcjonalne opisane powyżej doprowadza do swoistej konkurencji obu tych funkcji w jednostce. Jakkolwiek konkurencja sama w sobie jest ze wszechmiar słuszna, to jej istnienie wewnątrz jednostki (jak również wewnątrz całej administracji czy jej działu) nie jest raczej czymś oczekiwanym. Warto zwrócić uwagę na trzy zasadnicze różnice organizacyjne kontroli wewnętrznej oraz audytu. Po pierwsze komórki kontroli są zazwyczaj większe, przykładowo ministerstwa zatrudniają od 8 do 187 pracowników kontroli. [9] Sytuacja ta przekłada się bezpośrednio na „oddziaływanie” danej funkcji na resztę jednostki. Poprzez oddziaływanie rozumie się ilość zadań (kontroli czy też audytów) realizowanych w trakcie roku oraz okres czasu jaki upływa pomiędzy czynnościami w danej komórce organizacyjnej, naturalnie im większa ilość zadań w ciągu roku oraz im krótszy okres pomiędzy zadaniami w tej samej komórce tym (w audycie zwanym cyklem audytu) oddziaływanie większe – funkcja jest bardziej widoczna a jej działanie bardziej zrozumiałe dla pozostałych pracowników danego urzędu. Drugą zasadniczą różnicą jest kwestia elastyczności. Komórki kontroli wewnętrznej, działające w trybie Ustawy o kontroli w administracji rządowej mają możliwość przeprowadzania czynności w trybie uproszczonym[10], który pozwala na podjęcie działań bez analizy przedkontrolnej, będącej elementem programu kontroli. W przypadku audytu wewnętrznego, zarówno przepisy Ustawy o finansach publicznych, jak i Rozporządzenia[11] nie przewidują takiej możliwości a co za tym idzie czas jaki musi upłynąć od wniosku o przeprowadzenie zadania pozaplanowego czy też pozyskania informacji takie zadanie uzasadniającej jest dłuższy niż w przypadku komórki kontrolnej. Przeprowadzanie „szybkich” zadań audytowych jest jednakże możliwe - zewnętrzny usługodawca audytu dla Policji Hrabstwa Surrey w Wielkiej Brytanii przeprowadza zadanie audytowe nawet w 3 dni[12]. Zgodnie z analizami Departamentu Audytu Sektora Publicznego za rok 2010 71% komórek audytu w administracji rządowej stanowi jeden etat lub mniej[13]. Szybkie reagowanie na potrzeby kierownictwa jest w związku z tym dużym atutem komórek kontroli, obecnie przynajmniej w administracji rządowej objęte regulacjami zgodnie z którymi czynności w trybie uproszczonym przeprowadza się w uzasadnionych sytuacjach, standardowy zaś tryb wymaga sporządzania analiz przedkontrolnych, także w formie analizy ryzyka, co przybliża filozofię i technikę kontroli do idei audytu. Trzecią, aczkolwiek nie najmniej istotną z punktu widzenia audytora różnicą pomiędzy analizowanymi funkcjami jest kwestia koordynacji. Audyt wewnętrzny, zgodnie z Ustawą o finansach publicznych koordynowany jest przez Ministra Finansów (art. 292.1 Ustawy o finansach publicznych), funkcja kontrolna zaś przez Prezesa Rady Ministrów (na podstawie przepisu ogólnego dotyczącego koordynacji pracy członków Rady Ministrów[14]). Analizując aktywność w kontekście koordynacji interesujących nas funkcji obu tych instytucji dostrzec można zasadnicze różnice. O ile KPRM koordynuje służby kontrolne administracji rządowej na zasadzie tzw. koordynacji twardej – opracowując dość szczegółowe Standardy, (gwarantujące m.in. minimum dwuosobowy zespół kontrolny oraz 40 godzin szkoleń dla każdego kontrolera rocznie) to MF koordynuje audyt wewnętrzny głównie poprzez zbieranie i publikowanie dobrych praktyk, ocenę systemu planowania rocznego oraz analizę danych statystycznych. W związku z tym metodyka kontroli staje się coraz bardziej ujednolicona, natomiast w zakresie audytu ostatnie duże projekty mogące skutkować zależeniem się technik realizacji audytów w poszczególnych instytucjach to szkolenie finansowane ze środków PHARE z lat 2004-2005 oraz Podręcznik Audytu w Administracji Publicznej z 2003 roku. Wyjaśnieniem takiej sytuacji może być teza, iż w przypadku kontroli instytucjonalnej stawia się przede wszystkim na „rozwój odgórny” czyli niejako wymuszanie na kierownikach jednostek roli oraz poziomu funkcji kontrolnej (instytucjonalnej), w przypadku audytu wewnętrznego zaś oczekuje się, iż audytorzy wewnętrzni poprzez wartość dodaną swojej pracy zapewnią sobie uznanie kierownictwa oraz docenienie (organizacyjne, kadrowe a także finansowe) dostarczanych rezultatów.

Oczekiwanie na ten „rozwój organiczny” jest w teorii zasadne – wartościowe wyniki audytu powinny przełożyć się na zwiększenie etatów komórkach audytu a także zapewnienie udziału w szkoleniach i innych działaniach przekładających się na podniesienie jakości. Czy tak się jednak stało? W ocenie wielu praktykujących audytorów (w tym autora) nie i to z co najmniej dwóch przyczyn.

Regulacje w zakresie koordynacji

Przedstawione powyżej różnice warto zestawić z ustawowymi uprawnieniami Ministra Finansów oraz Prezesa Rady Ministrów do koordynacji obu funkcji. Otóż zgodnie z art. 8 ustawy[15] Premier może w szczególności:

1) zlecić kierownikowi jednostki kontrolującej przeprowadzenie kontroli wskazanych podmiotów lub obszarów działalności i żądać przedstawiania informacji o wynikach kontroli;

2) delegować kontrolera Kancelarii Prezesa Rady Ministrów do uczestniczenia w kontroli;

3) określić standardy kontroli w administracji rządowej, które udostępnia się w Biuletynie Informacji Publicznej Kancelarii Prezesa Rady Ministrów.

A także, w ramach zlecenia kontroli koordynowanej (realizowanej przez kontrolerów więcej niż jednej jednostki) koordynować te kontrolę poprzez:

1) wydanie wskazówek metodycznych wiążących dla tej kontroli;

2) opracowanie lub zlecenie opracowania programu kontroli;

3) czuwanie nad przebiegiem kontroli;

4) sporządzenie lub zlecenie sporządzenia informacji zbiorczych o wynikach kontroli.

Warto wspomnieć, iż zgodnie z art. 9 ustawy Jednostki administracji rządowej przekazują Prezesowi Rady Ministrów, na jego wniosek, informacje lub dokumenty dotyczące działalności kontrolnej jednostki kontrolującej, w tym plany kontroli, dokumentację kontroli, informację o realizowanych kontrolach i ich wynikach, o wystosowanych zaleceniach i wnioskach, a także sposobach ich realizacji, oraz zbiorcze informacje z wybranych kontroli bądź z działalności kontrolnej tej jednostki.

Uprawnienia te są jak widać dość szerokie, są także wykorzystywane w praktyce. Szef Kancelarii Prezesa Rady Ministrów zlecił pismem z 17 lipca br. kontrolę koordynowaną w zakresie zatrudniania osób niepełnosprawnych w wybranych ministerstwach. Zapowiadane są jednocześnie dalsze kontrole realizowane w tym trybie.

Uprawnienia Ministra Finansów do koordynacji audytu zwarte w ustawie[16] realizuje się poprzez:

1) zlecanie przeprowadzenia audytu wewnętrznego;

2) ocenę audytu wewnętrznego;

3) upowszechnianie standardów, o których mowa w art. 273 ust. 1;

4) wydawanie wytycznych;

5) współpracę z krajowymi i zagranicznymi organizacjami;

6) współpracę z komitetami audytu.

W celu realizacji tych zadań Minister Finansów ma prawo[17]:

1) Minister Finansów może żądać od kierownika jednostki przedłożenia wszelkich materiałów i dokumentów, z zachowaniem przepisów o tajemnicy ustawowo chronionej, a także udzielania informacji i wyjaśnień;

2) kierownik jednostki oraz kierownik komórki audytu wewnętrznego są obowiązani do współpracy z Ministrem Finansów w zakresie ustalenia sposobu przeprowadzenia czynności w tej jednostce.

Uprawnień obu organów są zbliżone, Minister Finansów zlecił dotychczas (do lipca 2012) pięć audytów zleconych. Jeden z nich był audytem przekrojowym, dotyczącym dużej ilości jednostek administracji rządowej (audyt procesu wartościowania stanowisk), dwa dotyczyły działu administracji podległego Ministrowi Finansów (audyt systemu kontroli zarządczej w administracji podatkowej i kontroli skarbowej oraz systemu planowania kontroli w urzędach kontroli skarbowej), dwa zaś były audytami dotyczącymi określonego problemu badanego w wybranych jednostkach (ocena przygotowania do przewodnictwa Polski w Radzie Unii Europejskiej oraz audyt inwestycji finansowanych z budżetu państwa z części 46 – Zdrowie na przykładzie programów wieloletnich).  

Przyczyny systemowych słabości audytu wewnętrznego.

Jak wskazano w śródtytule audyt wewnętrzny jest niewydolny przede wszystkim systemowo. Osoby wykonujące ten zawód znają już dobrze rolę i miejsce audytu w swoich jednostkach, rozumieją także jakie produkty i usługi mają dostarczać klientom audytu (kierownikom jednostek lub komórek organizacyjnych). Wejście w życie systemu Kontroli Zarządczej ułatwiło odnalezienie „swojego miejsca” w systemie, jednakże jedynie w skali mikro, czyli realizacji poszczególnych zadań. Audytorzy wiedzą, że mają oceniać efektywność kontroli zarządczej. Cóż jednak poradzić na fakt, iż kierowników taka ocena rzadko interesuje, gdyż jednostki nie muszą raportować stanu realizacji celów i zadań w połączeniu z adekwatnością wydatkowanych środków, wynikami kontroli oraz audytów. Mechanizm taki, zwany rozliczalnością publiczną dopiero u nas raczkuje a pojęcie to występuje jedynie w opracowaniach o charakterze dobrych praktyk[18] a nie w przepisach czy wewnętrznych rozwiązaniach systemowych. Warto zwrócić także uwagę, iż świadomość i efektywność audytu wewnętrznego jest w pewnym stopniu pochodną świadomości i efektywności całej Kontroli Zarządczej. Na zarysowanym powyżej obrazie roli audytu pojawiła się jednakże rysa – zgodnie ze Standardami kontroli w administracji rządowej kontrola instytucjonalna także ocenia system kontroli zarządczej. Jest to zdecydowanie mylne rozumienie źródłowego modelu COSO[19] a także być może szukanie uzasadnienia dla podtrzymania komórek kontroli. Zgodnie z COSO to audyt wewnętrzny jest mechanizmem oceny pozostałych elementów systemu kontroli wewnętrznej (w polskiej administracji nazywanej zarządczą), natomiast kontrola instytucjonalna powinna być bardziej utożsamiana z mechanizmami nadzoru bądź inspekcji (detekcji błędów), co zostanie rozwinięte w dalszej części artykułu.

Kolejnym problemem stojącym na drodze rozwoju funkcji audytu jest samo istnienie rozbudowanych komórek kontroli wewnętrznej pełniącej w coraz większym stopniu de facto rolę audytu. Kierownicy jednostek dostrzegając zacierającą się różnicę pomiędzy interesującymi nas funkcjami traktują je jako mechanizmy substytucyjne a nie komplementarne a co za tym idzie zwiększenie roli jednego elementu musi oznaczać zmniejszenie roli drugiego.

Tezy powyższe odnoszą się jedynie do kontroli instytucjonalnej, obejmującej swoim działaniem procesy, funkcje i komórki własnej jednostki czyli kontroli wewnętrznej. Działanie takie usankcjonowane jest Standardami kontroli wewnętrznej w administracji rządowej[20], nie ma jednak podstaw w Ustawie o kontroli[21]. Działanie kontrolne w rozumieniu ustawy jest bowiem komplementarne z funkcją audytu wewnętrznego – audyt wewnętrzny nie obejmuje, zgodnie z zapisami ustawy[22] oraz interpretacją Departamentu Audytu Sektora Finansów Publicznych Ministerstwa Finansów, jednostek podległych. Mamy wtedy dość prosty podział ról – kontrola ocenia działanie jednostek podległych będąc ważnym i potrzebnym mechanizmem kontrolnym (w rozumieniu COSO) a audyt wewnętrzny ocenia efektywność wszystkich tych mechanizmów, w tym także skuteczności rozliczenia i nadzoru nad jednostkami podległymi.

Podsumowując tę cześć artykułu warto zauważyć, że rozwój audytu wewnętrznego jak i całej kontroli zarządczej jeszcze się nie skończyły. Jako, że reformy systemowe administracji wzorowane są na rozwiązaniach istniejących w państwach Europy Zachodniej oraz Stanach Zjednoczonych zidentyfikować można różnice pomiędzy modelem docelowym a stanem faktycznym. Kierownicy jednostek nie zostali obarczeni obowiązkiem rozliczalności publicznej, nie określono (na poziomie całej administracji) roli audytu wewnętrznego i kontroli instytucjonalnej. Rozwiązania systemowe dotyczą jedynie sprawozdań budżetowych oraz po części sprawozdawczości w zakresie budżetu zadaniowego. System nie jest jednak spójny na tyle na np. wzorem Europejskiego Kolegium Policyjnego CEPOL wymuszał generowanie sprawozdań okresowych (rocznych, kwartalnych) obejmujących kwestie realizowanych zadań, zrealizowanego budżetu, osiąganych mierników oraz audytów i kontroli wewnętrznych czy zewnętrznych wraz z informacją na temat ich wyników. W związku z tym kierownik jednostki (dyrektor agencji Unii Europejskiej) jest żywotnie zainteresowany funkcjonowaniem audytu wewnętrznego zarówno jako mechanizmu, który daje zapewnienie w zakresie efektywności mechanizmów kontrolnych, jak i dostarczającego obiektywnych ocen (co ważne, upublicznianych) działalności instytucji którą kieruje. Taki właśnie kierunek rozwoju audytu wewnętrznego jak i całej kontroli zarządczej byłby zgodny z ideą COSO.

Perspektywy rozwoju

W pierwszej części opracowania skupiono się na relacjach audytu wewnętrznego i kontroli instytucjonalnej. Wskazano źródła problemów oraz słabości istniejących obecnie, w dużej części wciąż niedoskonałych rozwiązań. Jak jednak podkreślono wcześniej obecny stan uznać można za przejściowy i należy rozpocząć analizę oraz dyskusję na temat docelowego modelu zarządzania jednostkami administracji publicznej, w której poszczególne mechanizmy (audyt, kontrola instytucjonalna) miały by swoje, nie kolidujące ze sobą miejsca. Punktem wyjścia naszych rozważań jest sytuacja współistnienia kontroli oraz audytu, których zakres działania w wielu aspektach się pokrywa a instytucjonalna kontrola wewnętrzna odzwierciedla dwa standardy  kontroli zarządczej - Mechanizmy Kontroli (mechanizm detekcji błędów) oraz Audyt Wewnętrzny (czyli ocenę adekwatności systemu kontroli zarządczej). 

Utrzymanie odrębności obu funkcji – audyt wewnętrzny i kontrola zewnętrzna

Pierwszym możliwym działaniem jest dalsze utrzymywanie obu funkcji. Ma to sens jedynie w przypadku dokładnego i precyzyjnego określenia różnic oraz zakresów odpowiedzialności. Oparcie się na Ustawie o kontroli w administracji rządowej jest takim właśnie modelem. W takiej sytuacji audyt i kontrola mogą się wspierać i generować uzupełniające się informacje, ważne z punktu widzenia kierownika jednostki (np. jako źródło zapewnienia o stanie kontroli zarządczej w jednostce kierowanej oraz podległych i nadzorowanych). Bazując jedynie na delegacji ustawowej (ustawa o finansach publicznych oraz o kontroli w administracji rządowej) jest to stan obecny. Wyjęcie z zakresu działania kontroli instytucjonalnej oceny obszarów wewnątrz jednostki powinny skutkować wzmocnieniem roli audytu wewnętrznego, który stałby się jedynym źródłem zapewnienia / oceny ogólnie pojętej poprawności działania jednostek. Aby spełnić oczekiwania kierownictwa należy jednakże w tym przypadku wyposażyć audyt wewnętrzny w możliwość realizacji zadań w trybie uproszczonym, dającym możliwość przeprowadzania szybkich oraz problemowych analiz obszarów, których nie przewidziano w planie rocznym (audyt pozaplanowy). Doceniając zalety centralnego systemu koordynacji działalności kontrolnej przez KPRM, rozwiązanie takie powinno być zaimplementowane w system audytu wewnętrznego, a raczej system rozliczalności publicznej, której audyt wewnętrzny powinien być częścią. Zawsze bowiem należy mieć na względzie, iż zarówno audyt wewnętrzny, jak i kontrola instytucjonalna to narzędzia wspomagające kierowników jednostek, którzy to w pierwszym rzędzie powinni być i czuć się odpowiedzialni za zapewnienie efektywności, celowości oraz zgodności z prawem w zakresie działań swojej oraz jej podległych jednostek. 

Audyt wewnętrzny i kontrola wewnętrzna.

Po części wbrew wcześniej postawionym tezom, możliwe jest dalsze istnienie komórek kontroli instytucjonalnej (w formule sprzed wejścia w życie Ustawy o kontroli w administracji rządowej, czyli realizującej zarówno kontrole wewnętrzne, jak i zewnętrzne) oraz audytu wewnętrznego. Koncepcja ta wymaga jednakże bardzo dokładnego określenia roli oraz metody działań obu funkcji. Kalka rozwiązań stosowanych w audycie doprowadzi do istnienia dwóch tworów prawnych o różnej nazwie i tym samym zakresie działania, co jak wskazano wcześniej jest działaniem noszącym znamiona niegospodarności i niecelowości. Specyfika zadań dedykowanych kontroli nie powinna wynikać z potrzeby zagospodarowania zasobów ludzkich i organizacyjnych a autentycznych potrzeb systemu zarządzania administracją publiczną czy też zapełnienia ewentualnych luk w systemie kontroli zarządczej jednostki. Trudno nie odnosząc się konkretnego modelu systemu kontroli zaproponować obszar działania funkcji kontroli, nie pokrywający się z audytem wewnętrznym, który jest opisany dość dokładnie w ustawie, rozporządzeniu oraz standardach[23]. Możliwym obszarem komplementarnym byłaby „inspekcja”, której zasadniczym celem byłaby analiza ex-post mająca na celu wychwycenie błędów w procesach, określenie ich skali oraz wskazanie winnych. Relacja z audytem mogła by polegać na podziale – audyt wewnętrzny dokonuje ocen systemowych (ocena mechanizmów kontroli wewnętrznej) a kontrola odpowiedzialna jest za wychwycenie oraz doprowadzenie do korekty błędów, szczególnie w obszarach wskazanych jako słabe z punktu widzenia funkcjonujących mechanizmów kontroli (formalnych). Kontrola instytucjonalna w tym ujęciu przeprowadzałaby w sposób opisany wcześniej czynności w jednostkach nadzorowanych i podległych.

Idea tej koncepcji, jak i poprzedniej pokrywa się pojęciem z tzw. „trzech linii obrony”. Jest to system rozróżniający poszczególne szczeble mechanizmów kontroli w trzech płaszczyznach (liniach obrony). Założenia systemu przedstawiono na rysunku.

 

Źródło: opracowanie / tłumaczenie autora na podstawie The ECIIA endorses the three lines of defence model for internal governance[24]

Jak widać koncepcja ta przypisuje kontrolę instytucjonalną (inspekcję) do drugiej linii obrony, czyli ustanawia ją pomiędzy odpowiedzialnością poszczególnych kierowników komórek organizacyjnych oraz środkami kontroli a audytem wewnętrznym. Rozumowanie takie jest na chwilę obecną raczej nieznane w polskiej administracji publicznej, jednakże opracowania na ten temat są tworzone co najmniej od paru lat[25]. Wprawdzie są to opracowanie dotyczące funkcjonowania korporacji, jednakże z uwagi na fakt, iż system kontroli zarządczej oparty został o COSO[26], które dedykowano głównie dużym firmom, inspiracja ta jest jak najbardziej uzasadniona. 

Oparcie się wyłącznie na audycie wewnętrznym

Kolejnym alternatywnym rozwiązaniem w zakresie przyszłości funkcji kontroli i audytu może być oparcie się wyłącznie na audycie wewnętrznym. W tym przypadku wszystkie dotychczasowe funkcje oceniające oraz kontrolne pełniłby wyłącznie audyt wewnętrzny. W obszarze organizacyjnym wymagałoby to przeniesienia zasobów komórek kontroli do działów audytu oraz przejęcie odpowiedzialności za adekwatne procesy oraz obszary. Słuszność takiego rozwiązania wynika przede wszystkim z kierunku w jakim obecnie rozwija się kontrola instytucjonalna regulowana Ustawą o kontroli w administracji rządowej, czyli kontrola zewnętrzna. Standardy kontroli w dużej części są inspirowane zapisami Międzynarodowych Standardów profesjonalnej Praktyki Audytu Wewnętrznego IIA – co widać jaskrawo choćby w części dotyczącej zapewnienia jakości oraz obligatoryjnej ilości szkoleń. Biorąc powyższe pod uwagę można postawić tezę, iż profesjonalizacja komórek kontroli tak czy inaczej doprowadzi ostatecznie do oparcia się na rozwiązaniach oraz dobrych praktykach stosowanych w audycie wewnętrznym. Metodyka[27] oraz Standardy audytu są wynikiem długoletniej praktyki oraz analizy[28] wobec czego można uznać je za aktualnie najlepszy wzorzec dla tego typu działalności. Korzyścią z tego rozwiązania byłaby większa elastyczność w realizacji zadań zleconych (wynikająca ze zwiększenia stanu etatowego komórek audytu) oraz uniemożliwienie dublowania się działań – precyzyjne rozgraniczenie kontroli instytucjonalnej oraz audytu jest zadaniem wymagającej dogłębnej analizy oraz, co istotniejsze być może nawet niemożliwym na obecnym stadium rozwoju mechanizmów zarządczych w polskiej administracji publicznej. Naturalnie poszerzenie zakresu działania audytu wymagałoby także zmian właściwych przepisów. Najważniejszymi obszarami wymagającymi zmian (zgodnie z opisanymi powyżej założeniami) jest umożliwienie realizacji audytów w trybie uproszczonym oraz możliwość badania jednostek podległych. 

Podsumowanie

Nowoczesne rozwiązania wdrażane od jakiegoś czasu w polskiej administracji publicznej (audyt wewnętrzny oraz kontrola zarządcza) zostały zaprojektowane w dużym stopniu w oderwaniu od istniejących wcześniej mechanizmów (kontrola instytucjonalna). Jako, że audyt wewnętrzny wyewoluował z kontroli instytucjonalnej właśnie, wykonano „skok” przechodząc do nowoczesnego audytu opartego na standardach IIA. Pozostawienie kontroli instytucjonalnej umożliwiło dokonanie się tej „ewolucji” – na naszych oczach kontrola instytucjonalna zmierza w stronę audytu. Sytuacja taka jest w dłuższym okresie nie do utrzymania i prędzej czy później zajdzie konieczność określenia modelu mechanizmu kontrolno – zapewniającego.  W ocenia autora okres jaki upłynął od implementacji instytucji audytu wewnętrznego w polskiej administracji nie został zmarnowany. Powstało wiele krajowych publikacji branżowych, wykształciła się duża grupa audytorów dorównujących profesjonalizmowi swoim odpowiednikom z krajów o dłuższych tradycjach istnienia audytu oraz zarysowało się dwubiegunowe wsparcie dla funkcji audytu – Departament Audytu Sektora Finansów Publicznych Ministerstwa Finansów oraz Stowarzyszenie Audytorów Wewnętrznych IIA Polska. Pochopna likwidacja tego dorobku miała by także konsekwencje finansowe, jako, że ilość środków finansowych poniesionych na wdrożenie audytu także jest znaczna. Naturalnie trzeba docenić wysiłki podejmowane przez kontrolerów, jak i Kancelarię Prezesa Rady Ministrów – wszystkie działania zmierzające do profesjonalizacji kadry pracowników administracji są wartością samą w sobie. Warto jednakże rozpocząć dyskusje nad docelowym kształtem modelu a audyt wewnętrzny ze swoim dorobkiem oraz liczną kadrą zaangażowanych pracowników powinien być kluczowym elementem całego systemu zarządzania efektywnością państwa. Trzeba bowiem mieć zawsze na uwadze, iż zarówno audyt wewnętrzny jak kontrola instytucjonalną są jedynie mechanizmami usprawniającymi lub oceniającymi, najważniejszy jest system wyznaczania celów, przypisywania mierników oraz sprawozdawczość ich realizacji. To jest obszar o najwyższym priorytecie zmian systemowych a wybrana koncepcja systemu audytu powinna pochodną przyjętego rozwiązania w zakresie rozliczalności publicznej.

Autor:

Marcin Dublaszewski, prowadzi własną praktykę audytorsko – szkoleniową

---

[1] Ustawa o kontroli w administracji rządowej (Dz. U. z 2011 r. Nr 185, poz. 1092.)

[2] Art. 6 Ustawy o kontroli w administracji rządowej

[3] Model IA – CM w sektorze publicznym. Zarys modelu. Ministerstwo Finansów, publikacja internetowa, 2011

[4] Glosariusz terminów dotyczących kontroli i audytu w administracji publicznej. Praca zbiorowa, publikacja internetowa NIK, 2005

[5] Op. Cit.

[6] Standard 2.4 (Standardy kontroli w administracji rządowej)

[7] Grupy Standardów Kontroli Zarządczej dla sektora finansów publicznych

[8] Typy kontroli z Audyt wewnętrzny, Krzysztof Czerwiński, InfoAudit, 2005

[9] Informacja o działalności kontrolnej w wybranych jednostkach administracji rządowej w 2011 r., KPRM, 2012

[10] Rozdział 3 Ustawy o kontroli w administracji rządowej

[11] Rozporządzenie Ministra Finansów z dnia 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego (Dz. U. Nr 21, poz. 108)

[12] Internal Audit Progress Report, Presented to Audit Committee Meeting, Surrey Police Authority, 2012

[13] Benchmarking audytu wewnętrznego w jednostkach sektora finansów publicznych, publikacja internetowa, 2011, Ministerstwo Finansów

[14] Art. 148 Konstytucji RP

[15] Ustawa o kontroli w administracji rządowej

[16] Ustawa o finansach publicznych, art. 292

[17] Op. Cit.

[18] Koncepcja Good Governance – Refleksje do dyskusji, publikacja internetowa, Ministerstwo Rozwoju Regionalnego, 2008

[19] COSO I, II – opracowanie The Committee of Sponsoring Organizations of the Treadway Commission

[20] Wstęp do Standardów kontroli w administracji rządowej, str. 3

[21] Art. 6 Ustawy o kontroli w administracji rządowej

[22] Ustawa o finansach publicznych, art. 274 oraz 287 

[23] Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z dnia 24 września 2009 r.), Rozporządzenie Ministra Finansów z dnia 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego (Dz. U. Nr 21, poz. 108), Międzynarodowe Standardy Praktyki Zawodowej Audytu Wewnętrznego (www.iia.org.pl)

[24] The ECIIA endorses the three lines of defense model for internal governance, publikacja internetowa, The European Confederation of Institutes of Internal Auditing, 2011

[25] Guidance on the 8th EU Company Law Directive, publikacja internetowa, ECIIA, FERMA, 2010

[26] Wstęp, Standardy Kontroli Zarządczej dla sektora finansów publicznych, str. 3

[27] Standardy i wytyczne składają się z Definicji audytu wewnętrznego, Kodeksu etyki, Międzynarodowych Standardów Praktyki Zawodowej Audytu Wewnętrznego, Stanowisk (Position papers), Poradników (Practice guides) oraz Wskazówek (Practice guides)

[28] IIA Global założono w 1941 roku