Notatka z XXXII spotkania audytorów wewnętrznych jednostek sektora finansów publicznych z dnia 31 stycznia 2013 r.

W ramach kontynuacji wspólnej inicjatywy Departamentu Audytu Sektora Finansów Publicznych oraz Stowarzyszenia Audytorów Wewnętrznych IIA Polska w dniu 31 stycznia 2013 r. w Ministerstwie Finansów odbyło się kolejne spotkanie z audytorami wewnętrznymi jednostek sektora finansów publicznych. Spotkanie poprowadziła Pani Agnieszka Giebel, Dyrektor Departamentu Audytu Sektora Finansów Publicznych.

Na wstępie spotkania głos zajął Pan Marcin Dobruk, przedstawiciel Zarządu Stowarzyszenia Audytorów Wewnętrznych IIA, który złożył audytorom wewnętrznym noworoczne życzenia.

Pani Dyrektor Agnieszka Giebel poinformowała o powołaniu pana Janusza Cichonia na stanowisko sekretarza stanu w Ministerstwie Finansów, nadzorującego działanie Departamentu Audytu Sektora Finansów Publicznych.

Następnie Pani Dyrektor przedstawiła tryb opracowania Szczegółowych wytycznych dla sektora finansów publicznych w zakresie planowania i zarządzania ryzykiem (dalej jako Wytyczne; plik pdf, 1 MB), określonych w Komunikacie Nr 6 Ministra Finansów z dnia 6 grudnia 2012 r.

Wytyczne stanowią rozwinięcie Standardów kontroli zarządczej dla jednostek sektora finansów publicznych (Komunikat Nr 23 Ministra Finansów z dnia 16 grudnia 2009 r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych) i są kolejnymi, obok Szczegółowych wytycznych w zakresie samooceny kontroli zarządczej dla jednostek sektora finansów publicznych (Komunikat Nr 3 Ministra Finansów z dnia 16 lutego 2011 r.), wytycznymi wydanymi na podstawie art. 69 ust. 4 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych.

Wytyczne zostały opracowane i uzgodnione z grupą roboczą, składającą się z 12 audytorów wewnętrznych z jednostek sektora finansów publicznych. W pracach grupy brali udział: Pan Krzysztof Chmurkowski, Pani Ewa Dąbrowska – Szkopiarek, Pan Marcin Dublaszewski, Pan Arkadiusz Dzwonkowski, Pani Elżbieta Garczarek, Pan Marek Januszczyk, Pani Agata Kumpiałowska, Pan Marcin Laskowski,  Pan Robert Lipka, Pani Elżbieta Paliga,  Pan Jarosław Rypkowski, Pani Barbara Szeląg.

Pani Dyrektor Agnieszka Giebel wyraziła serdeczne podziękowania dla osób uczestniczących w pracach grupy roboczej za ich zaangażowanie oraz podzielenie się doświadczeniem. Pani Dyrektor podkreśliła, że była to pierwsza tego rodzaju inicjatywa, która pozwoliła na wypracowanie nowej formuły w zakresie współpracy Departamentu DA z audytorami wewnętrznymi.

Wytyczne zostały szerzej omówione przez przedstawicieli ww. grupy roboczej: Panią Agatę Kumpiałowską, Kierującą Wieloosobowym stanowiskiem ds. audytu wewnętrznego w Izbie Skarbowej w Białymstoku, Dyrektor Biura Audytu Wewnętrznego Urzędu Miejskiego w Białymstoku oraz Pana Marcina Dublaszewskiego, Koordynatora Zespołu Audytu Wewnętrznego Komendy Wojewódzkiej Policji w Olsztynie.

Pani Agata Kumpiałowska zaakcentowała dwa ważne aspekty Wytycznych: cel oraz adresata.

Odnośnie celu - Wytyczne należy traktować jako pomoc przy tworzeniu lub też doskonaleniu przyjętych rozwiązań w zakresie systemu zarządzania ryzykiem w jednostce, z uwzględnieniem uwarunkowań prawnych i organizacyjnych danej jednostki, a przede wszystkim oczekiwań kierownika jednostki z punktu widzenia przydatności tego narzędzia.

Dokument ma odmienną formułę od dotychczasowych opracowań. Z jednej strony prezentuje metodologię zarządzania ryzykiem od strony formalnej,  z drugiej zaś zawiera przykłady praktyczne, które mają pokazać różnorodne podejścia do zarządzania ryzykiem funkcjonujące w jednostkach. Ta różnorodność jest dowodem na to, że nie ma jednej słusznej drogi przy zarządzaniu ryzykiem, każda jednostka powinna wypracować swój optymalny model. Stąd też nie można oczekiwać przy formule jaką przyjęto przy opracowywaniu Wytycznych, aby były szczegółową instrukcją postępowania dla wszystkich jednostek. Przy kształtowaniu systemu zarządzania ryzykiem w jednostce należy brać pod uwagę szereg elementów, które determinują kształt tego systemu, takich jak m.in.:

• poziom kultury organizacyjnej w danej jednostce ściśle połączony z dojrzałością organizacji,
• poziom rozwoju i złożoność systemów funkcjonujących w jednostce, tj. systemów zarządczych, systemów IT, finansowych, w tym budżetowania zadaniowego, realizowanych projektów,
•  koszty i korzyści związane z wdrażaniem tych rozwiązań,
• oczekiwania i potrzeby zgłaszane przez kierownictwo.

System zarządzania ryzykiem nie powinien być kolejnym biurokratycznym narzędziem, ale narzędziem które wspiera jednostkę w zakresie osiągania wyznaczonych przez nią celów i zadań. Motto, jakie przyświecało twórcom Wytycznych brzmi: Warunek skuteczności systemu zarządzania ryzykiem to dopasowanie jego do jednostki.

Prelegentka podkreśliła, że adresatami Wytycznych są przede wszystkim kierownicy jednostek, koordynatorzy, pełnomocnicy. Z Wytycznych mogą korzystać także wszystkie służby kontrolne (również audytorzy), które na podstawie Wytycznych będą dokonywały oceny.

Pani Kumpiałowska wyjaśniła także, że podejście zaprezentowane w Wytycznych nie pozwala na automatyczne zrobienie check-listy do sprawdzanie na zasadzie – zerojedynkowej: czy wymóg został spełniony czy nie. Podejście, jakie rekomendują Wytyczne, wymusza na osobie dokonującej oceny zapoznanie się z całą organizacją oraz dokonanie próby odpowiedzi na pytanie czy przyjęte rozwiązania są właściwe i odpowiednie wspierają jednostkę w realizacji jej celów i zadań.

Pan Marcin Dublaszewski  omówił proces tworzenia Wytycznych oraz wybrane zagadnienia związane z metodyką w nich zawartą.

Prelegent podkreślił, że w skład grupy roboczej tworzącej Wytyczne wchodzili audytorzy z jednostek różnego typu oraz szczebla (zarówno na poziomie ministerstwa, jak i gminy), stąd też przykłady zamieszczone w dokumencie są bardzo zróżnicowane i odnoszą się do różnorodnych jednostek będących na różnym poziomie wdrożenia kontroli zarządczej.

Pan Dublaszewski wyjaśnił, że Wytyczne stanowią uzupełnienie do wcześniejszych publikacji dostępnych na stronie Ministerstwa Finansów na temat zarządzania ryzykiem tj. Pomarańczowej Księgi i opracowania Zarządzanie ryzykiem w sektorze publicznym - podręcznik wdrożenia systemu zarządzania ryzykiem w administracji publicznej w Polsce. Przypomniał, że w ww. dokumentach nie było przykładów praktycznych, ani odniesienia się do różnych typów jednostek, ponieważ nie było doświadczenia w zakresie zarządzania ryzykiem w polskiej administracji. Dlatego wartością dodaną Wytycznych są właśnie praktyczne przykłady oraz doświadczenie zebrane przez audytorów wewnętrznych od czasów pierwszych publikacji na ten temat.

Pan Dublaszewski odniósł się także do dwóch aspektów metodologicznych, zawartych w Wytycznych, tj. jakościowego vs. ilościowego opisu ryzyka oraz oceny finansowej vs. jakościowej skutków ryzyka.

Jeśli chodzi o sposób opisu ryzyka, to były postulaty w grupie roboczej, by ryzyko oceniać na zasadzie ilościowej. Jednak stwierdzono, że efektów pracy jednostek sektora finansów publicznych nie wyraża się w aspekcie osiągnięcia zysku lub strat, tylko realizacji zadań publicznych. Na początku Wytycznych zawarto zdanie, iż istotą tworzenia i funkcjonowania jednostek sektora finansów publicznych jest terminowa realizacja określonych celów i zadań publicznych zgodnie z przepisami prawa. Stąd też uznano, że najbardziej adekwatny będzie określanie ryzyka w sposób jakościowy.

Prelegent zwrócił też uwagę, że w przypadku sektora publicznego kierowanie się jedynie oceną finansową skutków ryzyka może prowadzić do błędnych wniosków. Prelegent tezę tę zilustrował następującym przykładem: stosując ocenę finansową ryzyka można uznać, że w przypadku niewybudowania obwodnicy skutkiem finansowym będzie zaoszczędzenie przez miasto 18 mln zł.  Przykład ten pozwala zauważyć, że dopiero uwzględnienie oceny jakościowej pozwali na faktyczne zobrazowanie skutków ryzyka, jakim z perspektywy kierownika jednostki będzie nieusprawnienie komunikacji, czyli niewypełnienie celu urzędu.

Zarządzanie ryzykiem jest jednym z ogniw zarządzania, gdzie pierwszym ogniwem jest system wyznaczania celów i zadań, a ostatnim jest rozliczanie z celów i zadań. Pisząc dokument, grupa robocza odnosiła się do wszystkich ogniw zarządzania.

Pan Dublaszewski zachęcił także audytorów wewnętrznych do zapoznania się z tabelą zamieszczoną w Wytycznych, która jest wartościowym narzędziem służącym do oceny mechanizmów kontrolnych.

Podsumowując swoje wystąpienie Pan Dublaszewski podkreślił, że Wytyczne zostałystworzone we współpracy z audytorami wewnętrznymi i przedstawiają doświadczenia różnych jednostek. Biorąc pod uwagę docelową grupę odbiorców, cel, jaki przyświecał autorom Wytycznych został zrealizowany, a zamieszczone w dokumencie przykłady są adekwatne i spełniają oczekiwania kierowników jednostek.

Pani Dyrektor Agnieszka Giebel podziękowała przedstawicielom grupy roboczej za podzielenie się z uczestnikami spotkania refleksjami dotyczącymi zarówno samego dokumentu, jak i procesu jego opracowywania. Stwierdziła także, że do Ministerstwa Finansów docierają pozytywne głosy od kierowników jednostek na temat Wytycznych. Jest do dokument skierowany do odbiorcy o różnym poziomie wiedzy, a przykłady zamieszczone w Wytycznych są cennym źródłem wiedzy dla kierowników jednostek.

W dalszej części spotkania prezentację nt. „Praktyczne aspekty określania wskaźników ryzyka w systemie zarządzania ryzykiem i ich wykorzystanie w procesie rocznego planowania audytu i programowania zadań audytowych" przedstawiła Pani Zofia Szynkowska, certyfikowany menadżer ryzyka oraz audytor wewnętrzny, posiadająca szerokie doświadczenie w obydwu tych obszarach, obecnie audytor wewnętrzny w Urzędzie Miejskim w Szydłowcu.

Pani Zofia Szynkowska przedstawiła autorską metodykę opisu wskaźników ryzyka, jaką stosuje w codziennej pracy audytora wewnętrznego, także jako usługodawca.

Po przedstawieniu wprowadzenia teoretycznego Prelegentka omówiła różnice i podobieństwa analizy ryzyka na potrzeby zarządzania ryzykiem, rocznego planowania audytu oraz programowania zadań audytowych. Różnice w analizie ryzyka w wymienionych procesach wynikają m.in. z:poziomu szczegółowości analiz, subiektywności spojrzenia, znajomości jednostki, istotności celów i złożoności zadań realizowanych przez komórki i jednostki organizacyjne, sposobu zbierania danych oraz uczestnictwa różnych osób dokonujących identyfikacji ryzyk. Im większa złożoność zadań i istotność celów, tym uważniejsza powinna być analiza obszaru na potrzeby planu audytu.

Każda jednostka i komórka ma różne cele (podstawowe i pomocnicze). Koncentracja na najistotniejszych celach podstawowych może spowodować niezauważenie istotnych ryzyk dotyczących zadań pomocniczych. Złożoność zadań (przebiegających przez różne komórki) może spowodować nie uwzględnienie przez żadną z nich ryzyk związanych z tym zadaniem (procesem), czyli nie zostanie ono ujęte w rejestrze i nie będzie zarządzane.Podobieństwo analizy ryzyka w wymienionych procesach dotyczy wspólnego celu, jakim jest zapewnienie realizacji celów jednostki. Może, ale nie musi być zastosowana wspólna metodyka dotycząca analizy ryzyka. Wybór wspólnej metody zapewnia porównywalność oceny istotności ryzyka i uwiarygodnia jego występowania. Przyjęcie różnych skal skutku i prawdopodobieństwa wystąpienia ryzyka wymaga dodatkowego nakładu pracy w zakresie porównywalności uzyskanych danych.

Ponadto, wg Prelegentki warto zwrócić uwagę na współzależność identyfikowania takich samych ryzyk w poszczególnych procesach dotyczących zarządzania ryzykiem, planowania rocznego i planowania zadania audytowego. Niezależnie przeprowadzone analizy będą odzwierciedlały z różną szczegółowością te same ryzyka na poszczególnych poziomach. Prawidłowo przeprowadzone analizy, z zachowaniem dostatecznej wnikliwości, są podstawą do uwiarygodniania się jej wyników. Pojawienie się nowego ryzyka może być sygnałem połączenia się ryzyk mniej istotnych, odstąpienia od przyjętych norm, niewłaściwej komunikacji, itp.

Prelegentka odnosząc się do Wytycznych stwierdziła, że obejmują one: przyjęcie przez jednostkę kryteriów analizy ryzyka, ryzyko nieodłączne i ryzyko rezydualne (wg COSO), określenie akceptowanego poziomu ryzyka oraz graficzne przedstawienie analizy ryzyka. Wytyczne nie obejmują natomiast: określenia wpływu poszczególnych czynników ryzyka na zmaterializowanie się ryzyka, poznania przybliżonego trendu wpływu ryzyka (wzrost, spadek, utrzymanie się tendencji), możliwości określenia utrzymywania się (życia) głównych czynników ryzyka, które mają znaczny wpływ na jego istotność oraz fluktuacji czynników ryzyka.

Prelegentka w swojej praktyce podjęła poszukiwania nowego sposobu opisu wskaźników ryzyka przede wszystkim ze względu na oczekiwania kierowników jednostek, którzy są świadomi ryzyk i bez dodatkowych analiz potrafią wskazać obszary, w których mogą wystąpić ryzyka duże, średnie czy niskie, natomiast od audytorów oczekują odpowiedzi na pytanie co ich zdaniem powoduje (czy wręcz przesądza), o tym że ryzyko jest wysokie lub niskie. Żeby znaleźć odpowiedź na to pytanie Prelegentka przyjęła pewne założenia:

• definicja/określenie ryzyka powinno uwzględniać podstawową działalność jednostki,
• przyjęta struktura ryzyka wyszczególnia ryzyko inherentne (nieodłączne, wewnętrzne) oraz ryzyko rezydualne (kontrolowane), na których opiera się model COSO i do których odnoszą się przyjęte przez MF Wytyczne,
• ryzyko operacyjne jest powiązane z realizacją celów oraz
• działalność jest planowana przez kierowników jednostek na poziomie strategii i transformowana na poziom operacyjny.

Wskaźnik ryzyka może być definiowany jako liczbowe przedstawienie rozpatrywanej wielkości na przyjętej umownie skali, wartość procentowa do przyjętej wartości odniesienia, albo w inny sposób pozwalający na interpretację stanu lub tendencji. Wskaźnik można porównać do zakodowanej informacji, która bez potrzeby dodatkowych analiz sugeruje konieczność podjęcia działania zaradczego.

W przykładach prezentowanych podczas spotkania, jako stan wyjściowy służący do porównania w jakim stopniu dane ryzyko ulega zmianom, przyjęto analizę ryzyka w badanym roku. Wskaźnik ryzyka wyrażony w procentach mówi, w jakim stopniu może być zagrożona realizacja celu (zadania), jak też służy stwierdzeniu, czy ryzyko jest właściwie zarządzane. Wzorzec pełnej realizacji celu bez ryzyka jest wyrażony jako 0% ryzyka, a każde odchylenie będzie miarą ryzyka.

Aby opracować wskaźnik ryzyka muszą zaistnieć określone warunki, m.in.: zapotrzebowanie na jego opracowanie, określenie jakie elementy wskaźnik ma uwzględniać (np. straty finansowe, kwota ekspozycji na ryzyko, okres trwania ekspozycji na ryzyko, czyli istotne czynniki wpływające w danej organizacji na rozmiar potencjalnego ryzyka), określenie czy wskaźnik będzie używany na wewnętrzne potrzeby czy w celach zewnętrznych.

Na własne potrzeby wskaźnik możne określić każdy. Opracowany przez jedną komórkę czy pracownika może być stosowany przez pozostałych pracowników i komórki wewnętrzne przy założeniu, że analiza i ocena ryzyk będzie przebiegała w obrębie głównych czynników ryzyka w sposób analogiczny. Wskaźnik opracowany na podstawie potrzeb różnych komórek powinien spełniać przyjęte i obowiązujące ogólne standardy ich funkcjonowania oraz uwzględniać przeszłe doświadczenia.

Na potrzeby określania wskaźników ryzyka Prelegentka wyróżniła następujące główne czynniki ryzyka operacyjnego: ludzie, procesy i systemy, zdarzenia zewnętrzne oraz czynności zlecane na zewnątrz.

Następnie Prelegentka omówiła na przykładzie własnej praktyki, w jaki sposób wyżej wymienione czynniki ryzyka operacyjnego mają wpływ na wskaźnik ryzyka. Jeden z przykładów dotyczył przeprowadzenia zamówienia powyżej 14 tys. euro w zakresie realizacji projektu unijnego na kwotę 50 mln zł, zgodnie z obowiązującym prawem zamówień publicznych i dyrektywami unijnymi. Prelegentka określiła wpływ czynnika operacyjnego w pierwszym roku swej pracy oraz dokonała kolejnej analizy po roku. Dzięki takiej analizie porównawczej można zaobserwować, jak poszczególne czynniki wpływają na wskaźnik ryzyka.

Dzięki analizom dokonanym metodą omówioną przez Prelegentkę kierownik jednostki pozyskuje informacje o potencjalnym ryzyku, uwzględniającym czynniki determinujące jego istotność. Na tej podstawie może wyznaczyć kierunki działań do podjęcia wobec ludzi, procesów i systemów, bądź czynności zlecanych na zewnątrz. Następne analizy dokonywane przez audytora/koordynatora ryzyka pozwalają poinformować kierownika o tendencjach spadkowych lub wzrostowych w obrębie czynników, skuteczności podjętych działań lub pojawieniu się nowych czynników ryzyka.

Na zakończenie spotkania Pani Dyrektor Agnieszka Giebel podziękowała Prelegentom i zaprosiła uczestników na kolejne spotkanie.

Prezentacja: Praktyczne aspekty określania wskaźników ryzyka w systemie zarządzania ryzykiem i ich wykorzystanie w procesie rocznego planowania audytu i programowania zadań audytowych (plik pdf, 112 KB)