«Powrót

Notatka z XXXIII spotkania audytorów wewnętrznych jednostek sektora finansów publicznych z dnia 28 lutego 2013 r.

Notatka z XXXIII spotkania audytorów wewnętrznych jednostek sektora finansów publicznych z dnia 28 lutego 2013 r.

Notatka z XXXIII spotkania audytorów wewnętrznych jednostek sektora finansów publicznych z dnia 28 lutego 2013 r.

W ramach kontynuacji wspólnej inicjatywy Departamentu Audytu Sektora Finansów Publicznych oraz Stowarzyszenia Audytorów Wewnętrznych IIA Polska w dniu 28 lutego 2013 r. w Ministerstwie Finansów odbyło się kolejne spotkanie z audytorami wewnętrznymi jednostek sektora finansów publicznych. Spotkanie poprowadziła Pani Agnieszka Giebel, Dyrektor Departamentu Audytu Sektora Finansów Publicznych. SAW IIA reprezentował Pan Sebastian Burgermejster.

Na wstępie spotkania głos zabrała Pani Dyrektor Agnieszka Giebel, która poinformowała o rozmowach Ministerstwa Finansów z Ministerstwem Administracji i Cyfryzacji, dotyczących przepisów rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012 r., poz. 526), na mocy których kierownictwo podmiotu publicznego jest zobowiązane do zapewnienia audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok. Rozmowy te najprawdopodobniej będą miały wpływ na treść interpretacji Ministerstwa Finansów w zakresie przypisania obowiązków z tego zakresu komórkom audytu wewnętrznego. Po jej wypracowaniu zostanie ona niezwłocznie upowszechniona za pośrednictwem strony internetowej MF.  

Następnie Pan Krzysztof Radecki, Audytor wewnętrzny w Sądzie Okręgowym w Łodzi wyjaśnił, że przedmiotem prezentacji będzie pokazanie na podstawie wypracowanego modelu relacji pomiędzy kontrolą zarządczą i budżetem zadaniowym oraz przedstawienie jak ważne jest wkomponowanie w zarządzanie jednostką zagadnienia bezpieczeństwa informacji.

Prezentacja została podzielona na dwie części. Pierwsza z nich została poświęcona omówieniu kontroli zarządczej jako narzędzia stymulacji realizacji planów działalności i budżetu zadaniowego oraz zasad spójnego funkcjonowania systemu kontroli zarządczej, ze szczególnym uwzględnieniem zarządzania ryzykiem w jednostce. W drugiej części zostały przedstawione zagadnienia dotyczące praktycznej oceny ryzyka i sposobu zarządzania ryzykiem z wykorzystaniem prostego narzędzia informatycznego, który funkcjonuje z powodzeniem w sądach apelacyjnych. Została także nakreślona rola i miejsce oceny ryzyka bezpieczeństwa informacji w systemie kontroli zarządczej, w tym rola Administratora Bezpieczeństwa Informacji. Szczegółowe kwestie przedstawiono w załączonej prezentacji.

Uszczegółowienie prezentacji:

Na wstępie pierwszej części Prelegent omówił sposób w jaki postrzega relacje pomiędzy kontrolą zarządczą i zarządzaniem ryzykiem, a budżetem zadaniowym. Punktem wyjścia do planowania zadaniowego jest Wieloletni Plan Finansowy Państwa, zatwierdzany przez Radę Ministrów. Budżet zadaniowy, podzielony na 22 funkcje Państwa przypisane resortom, stanowi podstawę tworzenia rocznych planów działalności. Cele i zadania z planu działalności sporządzonego przez ministra są następnie uszczegółowiane na poziomie jednostek w dziale. Plany działalności sporządzane przez jednostki, o ile minister nałożył taki obowiązek na jednostki, mogą zawierać uszczegółowione cele i zadania z planu działalności działu. Kontrola zarządcza jest narzędziem stymulacji realizacji planów działalności jednostek w odniesieniu do określonych w nich celów i zadań.

Gdy zostaną określone cele i zadania, jednostka określa działania w zespołach, które zapewnią ich realizację. Osiąganie celów jest zawsze związane z ryzykiem. Ryzyka , które mogą zagrozić realizacji celów, możemy podzielić najogólniej na zewnętrzne (wypływające spoza organizacji) oraz wewnętrzne (związane wprost z organizacją). Oddziaływanie tych ryzyk może powodować, że działania realizowane w jednostce nie będą skutecznie wpływać na realizację celów. Należy tak oddziaływać na ryzyka, aby możliwa była realizacja celów i zadań. Zarządzanie ryzykiem jest reakcją na ryzyka i stymulacją działań w kierunku realizacji celów i zadań.

Wychodząc szerzej poza definicję kontroli zarządczej, która została określona w ustawie o finansach publicznych, w literaturze anglosaskiej od lat 60 ub. wieku istnieje termin „kontrola zarządzania" (management control), będąca de facto kontrolą zarządczą. Według przyjętej definicji jest to narzędzie oceny i stymulacji realizowanych zadań, oddziaływanie na zachowanie zasobów organizacyjnych, koordynacja, alokacja zasobów oraz motywacja i pomiar wyników. W ocenie Prelegenta w sektorze publicznym największy problem stwarza motywacja i pomiar wyników. Motywacja i pomiar wyników stanowią wyzwanie w kierunku zmian systemu zarządzania kadrami w sektorze publicznym.

W rozważaniach o kontroli zarządczej  należy pamiętać, że w rozległych organizacjach tworzy się systemy kontroli zarządczej (Control Management Systems - tzw. CMS). CMS to system, który zbiera i wykorzystuje informacje do oceny skuteczności różnych środków organizacyjnych - ludzkich, fizycznych, finansowych. System ten może być formalny lub nieformalny.

System kontroli zarządzania w dużych organizacjach zawsze ma swoje „centrum"– jest nim system księgowy. Zapisy w systemie księgowym są obudowane systemami rachunkowości zarządczej, często nazywane systemami informacji zarządczej – przeliczamy to co w księgach na efektywność zespołów, projektów. Często ten proces wymaga zastosowania narzędzi informatycznych. W dużych korporacjach przyjmuje się zasadę zarządzania wspólną pulą zasobów. W to wbudowane są elementy kontroli i nadzoru, które mają pokazać czy strategia jest realizowana w organizacji, czy nie.

Następnie Prelegent omówił model spójnego funkcjonowania systemu kontroli zarządczej z uwzględnieniem roli zarządzania ryzykiem w jednostce. Pierwszym filarem systemu jest samokontrola - czynności wykonywane przez każdego pracownika na stanowisku pracy, drugim - kontrola funkcjonalna, a trzecim - audyt wewnętrzny. Aby wszystko było sprawdzalne i weryfikowalne w systemie musi istnieć zarządzanie ryzykiem oraz samoocena. Samoocena łączy wszystkie elementy, ponieważ ma na celu zlokalizowanie wąskich gardeł systemu kontroli zarządczej. Kolejnym filarem systemu kontroli może być też system zarządzania jakością (ISO).

Prelegent wspomniał także o ważnym źródle wiedzy w zakresie zarządzania ryzykiem, jakim jest publikacja Zarządzanie ryzykiem w sektorze publicznym- podręcznik wdrożenia systemu zarządzania ryzykiem w administracji publicznej w Polsce (plik pdf, 635 KB). Podręcznik promował powoływanie grup ds. zarządzania ryzykiem, mających wspierać organizację w bieżącym zarządzaniu ryzykiem oraz stosowanie równomiernej 5-stopniowej skali szacowania ryzyka, zarówno w odniesienia do prawdopodobieństwa, jak i skutku. Wykorzystując ww. założenia można stworzyć w jednostce modelowe podejście do zarządzania ryzykiem.

Prelegent przedstawił model zarządzania ryzykiem, funkcjonujący w sądach okręgowych. System oceny ryzyka ma układ piramidy - zaczynając od podstawy, najważniejsi są w nim pracownicy, następnie kierownicy niższego szczebla, kierownicy wyższego szczebla, dyrektorzy sądów okręgowych, prezesi sądów okręgowych oraz w trybie nadzoru - dyrektorzy sądów apelacyjnych oraz prezesi sądów apelacyjnych. Istotnym elementem systemu są komisje ds. zarządzania ryzykiem, które zbierają raporty, arkusze oceny ryzyka, analizują je i przekazują do kierownictwa. Elementem systemu jest również audyt wewnętrzny, który weryfikuje w ramach bieżących działań stan oceny ryzyka i kontroli zarządczej, czego wyraz daje w opiniach i sprawozdaniach, które trafiają do kierownictwa, ale także komisji ds. zarządzania ryzykiem. Podobny model funkcjonuje w sądzie rejonowym, z tą różnicą, że najwyższym szczeblem jest dyrektor sądu okręgowego i prezes sądu okręgowego. Ten sam model został skutecznie wdrożony także w urzędzie pracy oraz jednostce podległej Ministerstwa Kultury i Dziedzictwa Narodowego. Komisja ds. zarządzania ryzykiem ma swój regulamin, który określa m.in. w jaki sposób komunikuje się z kierownictwem poszczególnych komórek organizacyjnych, jakie kategorie ryzyk nadzorują poszczególni członkowie komisji, jaki został przyjęty model raportowania w procesie kontroli zarządczej i oceny ryzyka.

W kolejnej części Prelegent omówił, jak w praktyce w zaprezentowanych modelach przeprowadzana jest ocena ryzyka i zarządzanie ryzykiem z wykorzystaniem prostych narzędzi informatycznych, mając na uwadze realizację planów działalności jednostki. 

Model dotyczący zarządzania ryzykiem, omówiony powyżej, został odzwierciedlony w narzędziu informatycznym. Arkusz oceny ryzyka, który wypełniają kierownicy komórek organizacyjnych jest zautomatyzowany i posiada następujące pola: kodu jednostek organizacyjnych (symbol z rzeczowego wykazu akt), symbolu identyfikacyjnego ryzyka, ryzyk wg hierarchii istotności (część decyzyjna dla kierowników, którzy mogą ocenić czy ryzyko jest kluczowe dla osiągnięcia celów strategicznych? czy jest istotne? czy może zakłócić realizację celów i zadań? – kolumna ta jest wypełniana na końcu), ryzyka operacyjnego, właściciela ryzyka, prawdopodobieństwa, skutku, statusu ryzyka wg mapy ryzyka oraz funkcjonujących mechanizmów kontrolnych.

Istotnym elementem tego narzędzia są tzw. tabele powiązań kategorii ryzyka oraz ryzyk na poziomie operacyjnym. Mając na uwadze plany działalności jednostki w tym szczególnie określone cele i zadania jednostki - w prezentowanych tabelach zamieszczone są  kategorie ryzyka, odniesione wprost do planu działalności oraz budżetu zadaniowego. Prelegent omówił kilka przykładów, jak w praktyce wykorzystywać omawiane tabele.

Przykład pierwszy dotyczył sądów, gdzie są określone dwa główne cele wprost związane z planami działalności i budżetem zadaniowym jednostek sądownictwa powszechnego, tj.: sprawowanie wymiaru sprawiedliwości oraz zapewnienie warunków organizacyjnych i technicznych funkcjonowania sądu. W ostatniej kolumnie tabeli powiązań wpisywane są ryzyka operacyjne, które mają wpływ na realizację celów i zadań. Prelegent poinformował, że w tabelach opracowanych dla sądu podane są gotowe przykłady ryzyk operacyjnych, które mają katalog otwarty. W tabeli określone są też kategorie ryzyka, które mają charakter uniwersalny, tj.: organizacyjne, techniczno-technologiczne, finansowe, ochrony zasobów, ciągłość działania, zasobów ludzkich.

Kolejny z prezentowanych przykładów dotyczył jednostki ratownictwa medycznego, która posiada certyfikację ISO. W tym przypadku kategorie ryzyka są połączone z cyklem Deminga, a ocena ryzyka jest ściśle związana z normą ISO, którą jednostka musi kontrolować. Pozostałe przykłady dotyczyły zakładów poprawczych dla nieletnich oraz jednostki podległej Ministerstwu Kultury i Dziedzictwa Narodowego.

Prelegent podkreślił, że konstruując tabelę powiązań należy zastanowić się, jak jednostka funkcjonuje oraz jakie elementy działalności operacyjnej są w jej działalności najistotniejsze.

W prezentowanym modelu arkusze oceny ryzyka z poszczególnych komórek są automatycznie przenoszone do prostego narzędzia pod nazwą Rejestr i ocena ryzyka oraz zgrywane na serwer. Na podstawie „Rejestru" komisja ds. zarządzania ryzykiem wspólnie z kierownikiem jednostki podejmuje decyzje co do określonych ryzyk, wykazanych w arkuszach ryzyka przez kierowników komórek. Wyniki tej oceny mogą zostać przedstawione (dla celów decyzyjnych) w formie diagramu ryzyk dla jednostki, aby określić „poziom ryzyka akceptowalnego".

Na podstawie rejestru ryzyk można stworzyć automatycznie diagram. Z omówionego przykładu wynikało, że dzieli się ryzyka ze względu na poziom ostateczny wyrażony w % na: ryzyko niskie - do 40%, od 40 do 60 % ryzyko średnie, a powyżej 60 % ryzyko wysokie. Czerwona kreska na diagramie przedstawia poziom ryzyka akceptowalnego, ustalony przez kierownika jednostki.

Pan Radecki omówił następnie role kierownika jednostki i audytu wewnętrznego w tym systemie. Wskazał, że kierownik jednostki określa jakie działania zostaną podjęte w procesie zarządzania ryzykiem oraz informuje osoby odpowiedzialne za realizację zadań obarczonych istotnym ryzykiem ze względu na zakres zadań realizowanych przez jednostkę - o działaniach, jakie są zobowiązane podjąć w celu ograniczenia ryzyka.

Natomiast audytor wewnętrzny ocenia działanie ustanowionych mechanizmów kontrolnych w trakcie realizacji zadań zapewniających i doradczych. Audyt wewnętrzny sporządza również raport roczny nt. działania systemu kontroli zarządczej, który zawiera informację o stwierdzonych słabościach w ustanowionych mechanizmach kontrolnych, nowych potencjalnych ryzykach, a także o innych problemach związanych z systemem kontroli zarządczej.

Zaznaczył, że adresatem raportu jest kierownik jednostki i przewodniczący komisji ds. zarządzania ryzykiem. Prelegent wyjaśnił, że w jego ocenie lepszą formą niż utworzenie jednoosobowego stanowiska pełnomocnika ds. zarządzania ryzykiem, jest powołanie ciała kolegialnego (zespołu, komisji). Preferowany jest zespół składający się z 3 do 5 osób, w zależności od wielkości jednostki. Zespołem powinna kierować osoba z wyższego szczebla zarządzania jednostką (ścisłego kierownictwa). Zaangażowanie kierownika jednostki jest bardzo ważne i jednocześnie ma przełożenie na całość organizacji.

W dalszej części prezentacji Prelegent omówił elementy dokumentowania kontroli zarządczej, które w omawianych modelach występują na poziomie jednostki. Szczególną uwagę zwrócił na:

  • oświadczenie półroczne o stanie realizacji zadań w obszarze kontroli zarządczej, składane przez kierowników komórek organizacyjnych i wybrane stanowiska samodzielne,
  • arkusz samooceny systemu kontroli zarządczej (składany corocznie).

Przykładowe oświadczenie półroczne o stanie realizacji zadań w obszarze kontroli zarządczej ma formę tabeli, która składa się z 5 prostych elementów, dotyczących:

  • dokonania oceny funkcjonowania systemu kontroli zarządczej w nadzorowanym obszarze i stwierdzenia nieprawidłowości,
  • wprowadzenia mechanizmów (działań) korygujących funkcjonowanie systemu kontroli,
  • sposobu prowadzenia kontroli funkcjonalnej i samokontroli wg ustalonego planu kontroli w nadzorowanym obszarze,
  • stwierdzonych nieprawidłowości i uchybień w przeprowadzonych kontrolach i procesie samokontroli,
  • zaleceń pokontrolnych przekazanych podległym pracownikom.

Pod tabelą znajduje się deklaracja, kiedy zweryfikowane zostaną wydane wcześniej zalecenia pokontrolne oraz deklaracja czy system kontroli zarządczej jest lub nie jest adekwatny do zakresu zadań realizowanych przez daną komórkę organizacyjną.

Takie oświadczenia są składane co pół roku przez kierowników komórek organizacyjnych oraz wybrane stanowiska samodzielne, następnie przekazywane do komisji ds. zarządzania ryzykiem, która dokonuje ich analizy oraz opracowuje wnioski, w tym identyfikuje obszary wymagające poprawy. Na podstawie półrocznych oświadczeń i ich analizy kierownik jednostki składa roczne oświadczenie za całą jednostkę, które jest rzetelne, wiarygodne i nie nosi cech poświadczenia nieprawdy.

Następnym elementem dokumentowania kontroli zarządczej przyjętej w prezentowanym modelu jest arkusz samooceny dla komórki/ wydziału/ stanowiska w jednostce. Jest to element obowiązkowy, wypełniany rocznie. Zawiera 5 elementów wynikających ze standardów kontroli zarządczej (patrz 5 elementów COSO). Pierwsze 7 pytań (dot. szkoleń, znajomości przepisów itp.) odnosi się wprost do kierowników zespołów zarządzających pracownikami. Arkusze zawierają ok. 30 pytań. Prelegent zaprezentował 10 przykładowych pytań.

W dalszej części spotkania Pan Radecki omówił istotną rolę i miejsce oceny ryzyka bezpieczeństwa informacji w systemie kontroli zarządczej.

Resort sprawiedliwości w zeszłym roku podjął trud wdrożenia ramowej polityki bezpieczeństwa informacji na poziomie całego ministerstwa i sądów powszechnych. W ramach projektu przyjęto ramowe zestawy dokumentów tworzących wspólną politykę bezpieczeństwa i system zarządzania bezpieczeństwem informacji w resorcie.

W sądach okręgowych zaproponowano zmianę funkcji komisji ds. zarządzania ryzykiem, tworząc w ramach każdej z jednostek zespół ds. koordynacji bezpieczeństwa informacji i zarządzania ryzykiem „zwany dalej zespołem).

Prelegent przedstawił przykład przyjętych w ramach pakietu dokumentów wdrażających PBI (politykę bezpieczeństwa informacji) – tzw. „nadrzędnych zasad zarządzania bezpieczeństwem informacji". W tych „zasadach" określono, że za wyznaczanie kierunków działań w zakresie rozwoju bezpieczeństwa informacji odpowiedzialny jest zespół. Wskazano, że prezes sądu przewodniczy pracom zespołu oraz opisano skład zespołu. Opracowanie powyższego dokumentu było punktem zwrotnym w zarządzaniu bezpieczeństwem informacji.

W „zasadach" opracowano też schemat organizacji zarządzania bezpieczeństwem informacji. Wyróżniono w schemacie dwa ważne nurty raportowania informacji. Z jednej strony informacje spływają od administratora sytemu, a z drugiej od kierowników komórek organizacyjnych. Informacja musi być dwutorowa, żeby sprawdzić czy wystąpiły zdarzenia bądź incydenty dot. bezpieczeństwa informacji, a jednocześnie zweryfikować czy na nie zareagowano.

Prelegent podkreślił, że polityka bezpieczeństwa nie jest stała. Musi być ciągle weryfikowana, a zdarzenia podlegać rejestrowaniu. Weryfikowanie powinno dotyczyć tego, co poprawić, uzupełnić lub wyeliminować z polityki bezpieczeństwa. W związku z tym, że ktoś musi politykę bezpieczeństwa  monitorować i kontrolować wskazane jest, aby wyznaczyć osobę w jednostce, która pełniłaby funkcje Administratora Bezpieczeństwa Informacji (zwany dalej ABI). Prelegent omówił przykładowy regulamin organizacji stanowiska pracy ABI. Zwrócił szczególną uwagę na zapis dotyczący zakresu odpowiedzialności ABI, tj. czym ma się zajmować, co inspirować, a także o co powinien dbać. Prelegent podkreślił, że funkcji ABI nie powinien pełnić dyrektor jednostki lub jego zastępca, bądź informatyk odpowiedzialny za system. Dopuszcza się, aby funkcja ABI była pełniona na zlecenie przez osobę zewnętrzną, znającą się na zagadnieniach informatycznych.

Prelegent omówił przykładowe raporty składane przez: komórkę IT, kierownika IT oraz kierowników komórek organizacyjnych oraz Rejestr incydentów - zdarzeń tj. zgłoszonych awarii w działaniu systemu komputerowego i innych naruszeń ochrony bezpieczeństwa informacji.

Pan Radecki podkreślił istotne znaczenie rejestru „incydentów – zdarzeń" związanych z bezpieczeństwem informacji oraz wyjaśnił, że każdy incydent może być pojedynczym zdarzeniem lub sumą zdarzeń, lecz nie każde zdarzenie jest incydentem (wynika to z definicji stosownych norm ISO dot. bezpieczeństwa informacji).

Prelegent zwrócił także szczególną uwagę na opracowanie formularzy dotyczących:

  • zezwolenia na wynoszenie (przynoszenie) sprzętu na teren jednostki,
  • ewidencji wydanych zezwoleń  na wnoszenie i wynoszenie sprzętu komputerowego,
  • rejestru wnoszenia/wynoszenia sprzętu komputerowego na/poza teren jednostki.

W dobie szybkiego rozwoju techniki i technologii wymaga się od audytorów szerszego spojrzenia na zagadnienie bezpieczeństwa informacji. Dziś informacja to nie tylko papier, ale pliki danych, płyty CD, pendrive, tablet, itp. Dlatego tak ważne jest zwrócenie uwagi na ww. rejestry i ewidencje, a w przypadku ich braku stworzenie ich  i stosowanie w jednostce.

Na zakończenie prezentacji omówionych zostało tzw. 12 zasad bezpieczeństwa informacji. Prelegent zebrał je z materiałów ISF, ISACA, (ISC)2. Do najważniejszych zasad zaliczył:

  • dokonuj oceny obecnych i przyszłych zagrożeń informatycznych,
  • przyjmij podejście oparte na ryzyku (w odniesieniu do bezpieczeństwa informacji),
  • skoncentruj się na krytycznych aplikacjach biznesowych.

Podsumowując prezentację i rozważań nt. kontroli zarządczej Prelegent podkreślił, że:

  • nadrzędnym celem kontroli zarządczej jest stymulacja realizacji planów działalności,
  • kontrola zarządcza nie istnieje bez spójnego, udokumentowanego i ciągłego zarządzania ryzykiem,
  • zarządzanie ryzykiem w obszarze bezpieczeństwa informacji jest nieodłącznym elementem systemu kontroli zarządczej,
  • za ustanowienie adekwatnego i skutecznego systemu kontroli zarządczej w jednostce odpowiada kierownik jednostki.

Pan Radecki odpowiedział na liczne pytania dotyczące ABI oraz półrocznego oświadczenia kierownika jednostki o stanie kontroli zarządczej. Zachęcił do zadawania mu pytań z zakresu bezpieczeństwa informacji zarówno mailowo, jak i telefonicznie.

Na zakończenie spotkania Pani Dyrektor Agnieszka Giebel podziękowała Prelegentowi za bardzo interesującą prezentację oraz uczestnikom za aktywny udział i zaprosiła na kolejne spotkanie, które ze względu na tydzień świąteczny odbędzie się w dniu 26 marca br.

Prezentacja: Kontrola zarządcza - budżet zadaniowy - bezpieczeństwo informacji. Powiązania i zagadnienia praktyczne w zarządzaniu jednostką (plik pdf, 2,14 MB)

bip

Informacje o publikacji dokumentu

 
Data utworzenia: 20.03.2013 Data publikacji: 20.03.2013 08:00 Data ostatniej modyfikacji: 11.05.2020 15:44
Autor: Departament Audytu Sektora Finansów Publicznych Osoba publikująca: Elżbieta Książkiewicz Osoba modyfikująca: Paulina Pawlik
Rejestr zmian
«Powrót