Komunikat w sprawie standardów kontroli zarządczej dla sektora finansów publicznych (zwany dalej standardami) składa się z dwóch rozdziałów oraz przypisanych im 25 punktów. Rozdział I standardów stanowi elementy wprowadzający przedstawiając:

  • cel i charakter standardów,
  • poziomy funkcjonowania kontroli zarządczej w sektorze finansów publicznych,
  • międzynarodowe standardy wykorzystane przy opracowaniu standardów kontroli zarządczej.

Zapisy zawarte w powyżej wskazanym rozdziale omówione zostały we wstępie do artykułu. Kluczowe dla każdej JSFP jest skupienie się na realizacji wymagań zawartych w rozdziale II standardów. Standardy zostały podzielone na pięć głównych obszarów:

  • środowisko wewnętrzne,
  • cele i zarządzanie ryzykiem,
  • mechanizmy kontroli,
  • informacja i komunikacja,
  • monitorowanie i ocena.

Odnoszą się one do wszystkich procesów prowadzonych w jednostce. Uszczegółowione zostały za pomocą 22 omówionych poniżej wymagań.

1. Środowisko wewnętrzne.

1.1. Przestrzeganie wartości etycznych.

Odnosząc do to zdobytego doświadczenia to tak naprawdę określenie wartości etycznych, jakimi powinni się kierować pracownicy jednostki oraz nadzór nad ich przestrzeganiem. Zachowanie stosownych wartości etycznych determinuje skuteczność działania. Wszelkiego rodzaju nadużycia znacząco osłabiają efektywność jednostki, mogą także skutkować utratą zaufania społecznego. Chcąc uniknąć wystąpienia tego typu sytuacji za zasadne wskazuje się opracowanie dokumentu zwanego Kodeksem Etyki. Dobrze opracowany dokument pozwala na wprowadzenie demokratycznych zasad zarządzania, wzrost identyfikacji z jednostką przez jej pracowników oraz daję gwarancję transparentności postępowania. Wskazując sankcję i konsekwencje dyscyplinarne za jego nie przestrzeganie zniechęca do podejmowania prób nadużycia. Jednakowoż ustanowiony dokument musi podlegać ciągłemu nadzorowi i aktualizacji w świetle zmieniających się czynników zewnętrznych i wewnętrznych. Kierownictwo jednostki w miarę możliwości powinno dążyć do propagowania wartości etycznych, chociażby poprzez wspólne spotkania z pracownikami i okresowe badania satysfakcji klienta wewnętrznego.

1.2. Kompetencje zawodowe.

Kluczowym aktywem w JSFP są pracownicy w nich zatrudnieni. To od ich wiedzy i kompetencji zależy sprawność funkcjonowania organizacji. Standard uwypukla konieczność ciągłego rozwoju zawodowego posiadanej kadry. Istotne jest stworzenie opisów stanowisk obecnie funkcjonujących oraz planowanych w najbliższym czasie. Ma to pozwolić na wybór najlepszych kandydatów na dane stanowisko przy jednoczesnym zachowaniu przejrzystości procesu rekrutacji. Wprowadzenie okresowej oceny pracowników ułatwia podejmowanie decyzji kadrowych oraz stanowi motywator do ciągłego doskonalenia wykonywanych czynności.

1.3. Struktura organizacyjna. 

Uwarunkowania strukturalne JSFP generują określone kanały komunikacji, ścieżki służbowe, odpowiedzialności i uprawnienia. Udokumentowanie powyższych elementów powinno mieć odzwierciedlenie w regulaminie organizacyjnym, oraz kartach poszczególnych stanowisk pracy. Jako dobrą praktykę należy wskazać przedstawienie powiązań strukturalnych w formie graficznej. Wprowadzone podejście zarządcze oparte o wyznaczone cel wielokrotnie skutkuje koniecznością dostosowania dotychczas przyjętej struktury organizacyjnej. Cel może wymuszać kooperację kilku jednostek organizacyjnych, wówczas nieodzowne jest wyznaczenie „Koordynatora celu”. W zakres jego uprawnień musi zostać wpisana zdolność kształtowania i nadzorowania pracy interdyscyplinarnego zespołu. Należy pamiętać, iż cele i zadania ulegają zmianie w pewnych okresach czasu, dlatego stosowana struktura organizacyjna musi być na bieżąco dostosowywana do potrzeb. Dobrą praktyką jest stosowanie zasad zarządzania projektami.

1.4. Delegowanie uprawnień.

Upodmiotowienie czynności decyzyjnych wymusza na jednostce monitorowanie nadanych pełnomocnictw i upoważnień. Delegowanie uprawnień powinno być zawsze przemyślane i uzasadnione. Wzrost poziomu decyzyjności na niższych szczeblach zarządczych jest elementem sprzyjającym szybkości działania organizacji. Zwiększa również elastyczność jednostki w odniesieniu do zachodzących zmian otoczenia. Jednak nadawane pełnomocnictwa powinny być jasno określone w swym zakresie przedmiotowym i podmiotowym oraz czasie obowiązywania. Ponadto winny być monitorowane, a decyzje podejmowane przez osoby posługujące się nimi wyrywkowo kontrolowane. Pracownicy posiadający uprawnienia powinni być świadomi wagi decyzji jakie podejmują oraz wpływu na całość organizacji. Warto wskazać, iż dla systemu kontroli zarządczej bardzo często powoływany jest pełnomocnik zarządu. W ramach jego odpowiedzialności leży bieżące monitorowanie spełnienia wymagań, nadzór nad procesem zarządzania ryzykiem, informowanie pracowników o przyjętych rozwiązaniach systemowych, zbieranie wyników samooceny oraz przedstawiania zbiorczych analizy kierownictwu jednostki.

2.  Cele i  zarządzanie ryzykiem.

2.1. Misja.

Syntetyczny opis wskazujący istotę działania danej jednostki adekwatny do podejmowanych działań stanowi punkt wyjściowy do zarządzania strategicznego. Standardy, co prawda wprost nie nakładają obowiązku opracowania misji jednostki, wskazują jedynie zasadność takiego działania, jednak jest to dobra praktyka. Decydując się na określenie misji należy pamiętać aby spełniała ona cytowane założenia „misja ministerstwa powinna odnosić się do działów administracji rządowej kierowanych przez ministra, a misja urzędu jednostki samorządu terytorialnego odpowiednio do tej jednostki.”[1]

2.2. Określanie celów i zadań, monitorowanie i ocena ich realizacji.

Wielokrotnie wspomniano, iż zidentyfikowanie celów oraz przypisanie im zadań determinuje funkcjonowanie systemu kontroli zarządczej. Cel rozumiany, jako punkt docelowy do zrealizowania w jednostce czasu winien być precyzyjnie opisany. Założone cele powinny wynikać z istoty funkcjonowania danej jednostki. Cele powinny być określane co najmniej raz do roku. Chcąc zapewnić ich realizację należy wyznaczyć zadania do tego niezbędne oraz przypisać odpowiedzialności z ich realizację. Zagwarantowanie odpowiednich zasobów wpływa na wykonanie zadań, a w konsekwencji założonych celów. Osoby odpowiedzialne za realizację muszą mieć zapewnione mechanizmy monitorujące jak chociażby wskaźniki realizacji. Przedstawienie wskaźników w sposób liczbowy lub procentowy umożliwia ich kontrolowanie i ocenę. Monitorowanie należy dostosować do wyników przeprowadzonej analizy ryzyka. Niezbędne jest udokumentowanie celów i zadań na wszystkich poziomach zarządzania.

2.3. Identyfikacja ryzyka.

Zwracanie uwagi na ryzyka mogące wpłynąć na realizację założonych celów minimalizuje szanse niepowodzenia. Pierwszym krokiem w analizie ryzyka jest identyfikacja potencjalnych czynników mogących wpłynąć w sposób negatywny bądź pozytywny na wypełnienie strategii. Z doświadczania projektowego wynika, iż najskuteczniejszymi metodami identyfikacji ryzyka są:

  • sesje burzy mózgów,
  • kwestionariusze identyfikacji ryzyka.

Zastosowanie jednocześnie powyższych metod daje gwarancję szerokiego punktu widzenia (kwestionariusze wypełnia duży odsetek pracowników) oraz dostosowania zidentyfikowanych ryzyk do specyfiki JSFP (burze mózgów są prowadzone z grupami ekspertów danej organizacji). Dobrą praktyką jest stworzenie katalogu wszystkich zidentyfikowanych ryzyk nawet tych odrzuconych na dalszych etapach. Ułatwia to późniejszy przegląd systemu. Wypracowany katalog ryzyk stanowi daną wejściową do kolejnego punktu standardów.

 2.4. Analiza ryzyka.

Zidentyfikowane ryzyka na wcześniejszym etapie należy poddać ocenie umożliwiającej określenie, które z ryzyk są nie do przyjęcia w organizacji. W literaturze przedmiotu można znaleźć bardzo dużo metod oceny ryzyka, należy jednak pamiętać o dostosowaniu ich do potrzeb jednostki. Wybór metody determinuje sposób prowadzenia analizy. Pragnę zwrócić uwagę, że stosowanie skomplikowanych metod, generujących dużą czasochłonność i wymagających odpowiedniej wiedzy może spowodować perturbacje w tym obszarze. W pierwszej iteracji do zarządzania ryzykiem najgorsze w skutkach jest zniechęcenie osób dokonujących oceny. Wówczas wyniki nie są miarodajne i nie pomogą przeciwdziałać zagrożeniom. Zalecam korzystanie z metod opartych o skalach punktowych, w precyzyjny sposób prezentujących dane kryterium. Niezależnie od wybranej metody ostatecznie konieczny jest do określenia profil apetytu na ryzyko. Jednostka powinna zdecydować od jakiego poziomu ryzyka będą traktowane jako nieakceptowane(istotne). Ponieważ dla tych ryzyk konieczne jest podjęcie działań modyfikujących.

2.5. Reakcja na ryzyko.

Jak wspomniano dla ryzyk nieakceptowanych organizacja powinna podjąć działania zmierzające do ich modyfikacji. Można wyróżnić cztery podstawowe sposoby reagowania na ryzyko.

  • Tolerowanie – działanie wynikające z dużej kosztochłonności wprowadzenia mechanizmów minimalizujących możliwość materializacji ryzyka . Polega na zwiększeniu monitorowania wystąpienia ryzyka. Możliwe do zastosowania gdy oczekiwane efekty nie przekraczają wymaganych nakładów finansowych.
  • Przeniesienie – pewnego rodzaju outsorsing działań do innej firmy. Przeniesienie może również obejmować wykup ubezpieczeń od potencjalnych zdarzeń losowych mogących wpłynąć na realizację celu.
  • Wycofani się – zaniechanie działań w obszarach bardzo mocno narażonych na wystąpienie ryzyka. W przypadku JSFP trudne do zastosowania, gdyż większość celów wynika z obowiązków prawnych nakładanych na jednostki.
  • Redukcja- wszelkiego rodzaju działania mające na celu minimalizację możliwości materializacji ryzyka. Ich celem jest doprowadzenie ryzyka do poziomu akceptowalnego w organizacji.

Powyższe metody można kompilować uzyskując efekt synergii. Zawsze wybór musi być poparty analizą kosztów, a także konieczne jest przypisanie osób odpowiedzialnych za realizację danej reakcji na ryzyko. Po realizacji danej metody powinna nastąpić ocena jej skuteczności i wpływu na ryzyko.

3. Mechanizmy kontroli.

3.1. Dokumentowanie systemu kontroli zarządczej.

Na dokumentację systemu kontroli zarządczej składają się wszystkie dokumenty funkcjonujące w danej jednostce. Zatwierdzony regulamin organizacyjny, procedury postępowania, zarządzenia, polityki kadrowo płacowe, karty stanowiskowe, pełnomocnictwa, instrukcje postępowania, a nawet formularze pozwalają określić efektywność organizacji. Generowane dowody na realizację działań zgodnie z wymaganiami prawnymi w sposób terminowy i oszczędny stanowią podstawę samooceny kontroli zarządczej. Wymaganie standardów określa zapewnienie identyfikacji dokumentacji i identyfikowalności procesów. Wspierają to wdrożone zasady instrukcji kancelaryjnych. Dokumentacja niezbędna do realizacji pracy musi być dostępna dla pracowników z zastrzeżeniem zasad bezpieczeństwa informacji. Aktualność dokumentacji, a w szczególności wykorzystywanych aktów prawnych powinna być nadzorowana.

3.2. Nadzór.

Z racji specyfiki JSFP konieczny jest bieżący nadzór nad powierzonymi zadaniami. Ma to gwarantować ich realizację w sposób oszczędny, efektywny i skuteczny, eliminując przy tym możliwości nadużycia i sytuacji konfliktu interesu. W przypadku decyzji istotnych z punktu widzenia jednostki zasadne jest wprowadzenie polityki dwóch par oczu. Zapewnia to minimalizację błędów i ogranicza potencjalne negatywne skutki.

3.3. Ciągłość działalności.

Jednym z wyników analizy ryzyka powinno być wypracowanie mechanizmów pozwalających zachować płynność postępowania w sytuacjach losowych. Odpowiednie zabezpieczenie się przed czynnikami zewnętrznymi (pożar, atak terrorystyczny, atak cybernetyczny) bądź wewnętrznymi (strajki, protesty, awarie infrastruktury) ma zapewnić ograniczenie zakłóceń w pracy a co za tym idzie redukcję strat finansowych i wizerunkowych. Plany ciągłości działania określają algorytm postępowania w przypadku wystąpienia danego czynnika.  

3.4. Ochrona zasobów.

Dysponowanie aktywami i majątkiem wymusza zapewnienie odpowiednich zabezpieczeń. Pomocne w tym przypadku jest określenie poziomów bezpieczeństwa posiadanych informacji. Dane poufne lub z nadanymi innymi klauzulami tajności w sposób szczególny muszą być chronione. Delegowanie uprawnień pomaga zarządzać tego typu danymi. Warto również wskazać zabezpieczenia fizyczne jak chociażby identyfikatory, karty dostępu, ustalone zasady zarządzania kluczami ograniczające dostęp osób nieupoważnionych do zasobów.

3.5. Szczegółowe mechanizmy kontroli dotyczące operacji finansowych i gospodarczych.

Szczególny nacisk położono na mechanizmy kontroli finansowej umożliwiające określenie oszczędności w realizacji założonych celów oraz ich efektywności. Standardy wymuszają co najmniej posiadaniem mechanizmów gwarantujących:

  • rzetelne i pełne dokumentowanie i rejestrowanie operacji finansowych i gospodarczych,
  • zatwierdzanie (autoryzacja) operacji finansowych przez kierownika jednostki lub osoby przez niego upoważnione,
  • podział kluczowych obowiązków,
  • weryfikacja operacji finansowych i gospodarczych przed i po realizacji.

3.6. Mechanizmy kontroli dotyczące systemów informatycznych.

W dobie postępującej informatyzacji działań sprzyjającej terminowości realizacji działań oraz poprawie stosunków z interesariuszami zewnętrznymi istotne jest zabezpieczenie strumieni informacji. Bezpieczeństwo i funkcjonowanie systemów informatycznych zapewnia ciągłość działania organizacji. Jednostki muszą dbać o przestrzeganie praw autorskich na użytkowanych komputerach chociażby odnośnie stosowanego oprogramowania. Dobrą praktyką jest skatalogowanie dopuszczalnego oprogramowania oraz dokonywanie okresowych przeglądów komputerów. Dostęp do poszczególnych programów zawierających cenne aktywa informacyjne powinien być zabezpieczony i nadzorowany przez administratorów sieci.

4. Informacja i komunikacja

4.1. Bieżąca informacja.

Pracownicy muszą mieć zapewniony dostęp do informacji niezbędnych od wykonywania poszczególnych działań. Istotne jest zapewnienie dostępu do aktualnie obowiązujących przepisów prawnych, prawa wewnętrznego jednostki oraz dokumentacji dotyczącej podobnych spraw celem kalibracji działań. Wspierając się na podejściu procesowym i zasadach zarządzania jakością za dobrą praktykę należy wskazać określenie niezbędnych danych wejściowych i wyjściowych z danej czynności. Skatalogowanie w ten sposób informacji ułatwia pracę oraz ogranicza możliwość popełnienia niezamierzonego błędu.

4.2. Komunikacja wewnętrzna.

Dobór odpowiednich kanałów komunikacji skutkuje płynnością działania. Wypracowany schemat przesyłu informacji, dokumentacji zarówno w pionie jak i poziomie struktury organizacyjnej powinien być jasno określony. Stworzenie procedur postępowania przy jednoczesnym wykorzystaniu dostępnych środków teleinformatycznych zwiększa skuteczność realizacji postawionych celów i zadań. Wzrost ilości działań dokonywanych w systemach informatycznych umożliwia ich identyfikowalność.

4.3. Komunikacja zewnętrzna.

Istotne z punktu widzenia realizacji poszczególnych celów jest zapewnienie odpowiednich mechanizmów komunikacji zewnętrznej. Można by tu wyróżnić: pocztę elektroniczną, dokumentację przesyłaną pocztą elektroniczną, informację przesyłane faxem, uzgodnienie telefoniczne bądź bezpośrednie. Dobór kanałów komunikacyjnych zależy od realizowanego zadania jak na przykład przetarg publiczny, dla którego preferowaną formą przesyłu informacji jest dokumentacja papierowa. Jednak coraz częściej wykorzystuje się aukcje elektroniczne, co obniża koszty postępowania oraz zwiększa konkurencyjność ofert. Projektując kanały komunikacji warto zidentyfikować interesariuszów oraz przypisać im dedykowane sposoby komunikacji.

5. Monitorowanie i ocena

5.1. Monitorowanie systemu kontroli zarządczej.

Przyjęcie określonych zasad postępowania i ujęcie ich w formę systemu zarządzania zachęca do ciągłego doskonalenia organizacji. Zgodnie z opracowanym przez E. Deminga cyklem ciągłego doskonalenia (Plan - Do – Check – Akt ) sprawdzenie osiąganych rezultatów ma pozwolić wprowadzenie mechanizmów korygujących. W ramach standardów wymagane jest bieżące monitorowanie poszczególnych elementów systemu. Odbywa się to głównie poprzez proces audytów wewnętrznych wynikających z ustawy o finansach publicznych. Jednak nie zwalnia to osób odpowiedzialnych za realizację poszczególnych celów i zadań z bieżącego monitorowani postępu prac oraz rozwiązywania napotkanych problemów. Audyt wewnętrzny jest mechanizmem pozwalającym wykazać dobre praktyki stosowane w jednostce oraz w sposób obiektywny zweryfikować założenia systemu. Podczas oceny systemu kontroli zarządczej prezentowanie wyników w formie wykresów radarowych ułatwia wyselekcjonowanie potencjałów do doskonalenia.

5.2. Samoocena.

Wprowadzenie zaleceń dotyczących samooceny kontroli zarządczej ma umożliwić aktywne zbieranie opinie od pracowników jednostki. Określenie przez nich stopnia spełnienia poszczególnych standardów w formie ankietowej umożliwia korygowanie przyjętych rozwiązań. Wyniki samooceny stanowią jedną z głównych danych wejściowych do oświadczenia o stanie kontroli zarządczej. Samoocena powinna być obligatoryjna dla osób odpowiedzialnych za realizację celów.

5.3. Audyt wewnętrzny.

Działania audytowe powinny charakteryzować się obiektywnością oraz profesjonalizmem. Od adutytorów oczekuje się etycznego postępowania oraz dokumentowania wyników na podstawie zebranych dowodów precyzujących odstępstwa ale też i dobre praktyki. Ponad podstawowe wymagania stawiane audytorom w ustawie powinni oni również dokonywać niezależnej oceny kontroli zarządczej. Wyniki tej oceny muszą zostać uwzględnione w oświadczeniu o stanie kontroli zarządczej.

5.4. Uzyskanie zapewnienia o stanie kontroli zarządczej.

Opracowanie oświadczenia o stanie kontroli zarządczej przez kierownika jednostki poprzedzone musi być zebraniem odpowiednich danych wejściowych. Wśród nich należy wyróżnić:

  • raport z samooceny kontroli zarządczej,
  • raport o stanie kontroli zarządczej przygotowany przez audytorów wewnętrznych,
  • wyniki analizy ryzyka i podjętych reakcji na ryzyko,
  • wyniki monitorowania realizacji celów i zadań,
  • wyniki finansowe,
  • analizy zadowolenia interesariuszy zewnętrznych,
  • wyniki kontroli zewnętrznych prowadzonych w jednostkach.

Bazując na tych informacjach kierownik JSFP zobligowany jest w odstępach rocznych przedłożyć informację wskazującą czy jednostka działa zgodnie z obowiązującym prawem, efektywnie, oszczędnie, oraz terminowo.

Wróć do kontroli zarządczej

 

[1] Komunikat w sprawie standardów kontroli zarządczej dla sektora finansów publicznych. Dziennik Urzędowy Ministra Finansów Nr 15, poz. 84