Raport z samooceny kontroli zarządczej

RAPORT

z samooceny

przeprowadzonej

w I kwartale 2024 r.

(na podstawie Standardów Kontroli Zarządczej Ministra Finansów)

I. WSTĘP

W I kwartale 2024 r.

w Centralnym Ośrodku Informatyki

przeprowadzona została Samoocena kontroli zarządczej.

Ankieta – Kwestionariusz Samooceny – skierowana była do Jana Kowalskiego

Ogółem rozesłano 25 ankiet, a otrzymano 23 ankiety.

Przedmiotowy kwestionariusz zawiera 22 pytania przyporządkowanych do poszczególnych standardów kontroli zarządczej, tj.:

1) środowisko wewnętrzne,

2) cele i zarządzanie ryzykiem,

3) mechanizmy kontroli,

4) informacja i komunikacja,

5) monitorowanie i ocena.

W porozumieniu z Janem Kowalskim ustalono, że próg, którego przekroczenie będzie wskazywało na słabość kontroli zarządczej w danym obszarze, stanowi 55% negatywnych odpowiedzi w ocenianym zagadnieniu. W przypadku uzyskania takich wartości obszar ten powinien być poddany wnikliwej analizie lub też należy rozważyć podjęcie działań zaradczych lub korygujących.

II. ANALIZA ODPOWIEDZI UDZIELONYCH NA PYTANIA ZAWARTE W KWESTIONARIUSZU Z PODZIAŁEM NA STANDARDY KONTROLI ZARZĄDCZEJ

Poniżej przedstawiono wyniki samooceny sporządzone w układzie uwzględniającym podział na poszczególne pytania zadane w ankiecie, w ramach komponentów Standardów Kontroli Zarządczej.

Standard A: ŚRODOWISKO WEWNĘTRZNE

1. Osoby zarządzające i pracownicy są świadomi przyjętych w jednostce wartości etycznych i przestrzegają ich przy wykonywaniu powierzonych zadań. Osoby zarządzające wspierają i promują przestrzeganie wartości etycznych, dając dobry przykład codziennym postępowaniem i podejmowanymi decyzjami.

Wszyscy ankietowani stwierdzili, że w Centralnym Ośrodku Informatyki określono w formie pisemnej zasady etycznego postępowania, tj. Kodeks Etyki COI.

2. Zadbano, aby osoby zarządzające i pracownicy posiadali wiedzę, umiejętności i doświadczenie pozwalające skutecznie i efektywnie wypełniać powierzone zadania. Proces zatrudnienia jest prowadzony w sposób zapewniający wybór najlepszego kandydata na dane stanowisko pracy. Zapewniono rozwój kompetencji zawodowych pracowników jednostki i osób zarządzających.

Wszyscy ankietowani potwierdzili, że w COI istnieje instrukcja dotycząca naboru na wolne stanowiska pracy w COI. Ponadto ankietowani, odpowiadając na to pytanie, twierdzili, że istnieje w COI zarządzenie wprowadzające politykę kadrową.

Odpowiadając na ostatnie pytanie, wszyscy ankietowani stwierdzili, że pracownicy mają możliwość podnoszenia kwalifikacji zawodowych poprzez udział w szkoleniach centralnych, powszechnych i specjalistycznych.

3. Struktura organizacyjna jednostki jest dostosowana do aktualnych celów i zadań. Zakres zadań, uprawnień i odpowiedzialności jednostki, jej poszczególnych komórek organizacyjnych oraz podległości pracowników jest określony w formie pisemnej w sposób przejrzysty i spójny. Aktualny zakres obowiązków, uprawnień i odpowiedzialności jest określony dla każdego pracownika.

Ankietowani stwierdzili, że pracownicy komórek posiadają aktualne zakresy obowiązków i odpowiedzialności.

4. Precyzyjnie określono zakres uprawnień delegowanych poszczególnym osobom zarządzającym lub pracownikom. Zakres delegowanych uprawnień jest odpowiedni do wagi podejmowanych decyzji, stopnia ich skomplikowania i ryzyka z nimi związanego. Uprawnienia delegowane są do podejmowania decyzji, zwłaszcza tych o bieżącym charakterze. Przyjęcie delegowanych uprawnień jest potwierdzone podpisem.

Ankietowani (80%) stwierdzili, że uprawnienia pracowników w COI zostały uwzględnione w opisach stanowisk pracy. Pozostali (10% i 10%) udzielili odpowiedzi „nie” i „nie wiem”.

Podsumowanie

Ogółem liczba pozytywnych odpowiedzi w analizowanym obszarze środowiska wewnętrznego wskazuje na tendencję pozytywną. Nie stwierdzono obszarów przekraczających progu przyjętego przez kierownika jednostki dla odpowiedzi negatywnych, który wskazywałby na słabości kontroli zarządczej.

Standard: CELE I ZARZĄDZANIE RYZYKIEM

5. Wskazano cel istnienia jednostki w postaci krótkiego i syntetycznego opisu misji.

Wszyscy ankietowani stwierdzili, że w COI misja i cele główne określone są w aktach prawa wewnętrznego, tj. w zarządzeniu nr 12/2023.

6. Cele i zadania określono jasno i w co najmniej rocznej perspektywie. Ich wykonanie monitorowane jest za pomocą wyznaczonych mierników. Ocenę realizacji celów i zadań należy przeprowadzić przy uwzględnieniu kryterium oszczędności, efektywności i skuteczności. Zadbano, aby określając cele i zadania, wskazać komórki organizacyjne lub osoby odpowiedzialne bezpośrednio za ich wykonanie oraz zasoby przeznaczone do ich realizacji.

Wszyscy ankietowani stwierdzili, że w COI obowiązuje Roczny plan pracy. Wskazano osoby odpowiedzialne za monitorowanie, wykonanie planu i sporządzenie sprawozdania (Dyrektor Departamentu).

7. Nie rzadziej niż raz w roku dokonuje się identyfikacji ryzyka w odniesieniu do celów i zadań. W przypadku istotnej zmiany warunków, w których funkcjonuje jednostka, dokonuje się ponownej identyfikacji ryzyka.

Ankietowani (90%) stwierdzili, że zgodnie z ustalonymi procedurami wewnętrznymi nie rzadziej niż raz w roku dokonuje się identyfikacji ryzyka w poszczególnych komórkach organizacyjnych w odniesieniu do celów i zadań. W przypadku istotnej zmiany warunków przeprowadzą się ponowną identyfikację ryzyk, stosując przygotowany formularz zmian. Sporządzane jest sprawozdanie z działań podjętych w ramach minimalizacji ryzyk. Odpowiedzi „nie wiem” udzieliło 5% ankietowanych, a 5% odpowiedziało „nie”. Jako przyczyny wskazano m.in. brak wiedzy w tym zakresie, brak zaangażowania ze strony kadry kierowniczej.

8. Zidentyfikowane ryzyka poddano analizie mającej na celu określenie prawdopodobieństwa wystąpienia danego ryzyka i możliwych jego skutków. Określono akceptowany poziom ryzyka.

Wszyscy ankietowani stwierdzili, że w COI w Rejestrze ryzyka zawarto opis ryzyka, jego istotność i prawdopodobieństwo wystąpienia oraz określono jego akceptowalny poziom. W załączniku do decyzji w sprawie wprowadzenia Rejestru ryzyk występujących w COI w odpowiedzi na ryzyko określono „Działania podjęte” i „Działania planowane”.

9. W stosunku do każdego istotnego ryzyka określono rodzaj reakcji (tolerowanie, przeniesienie, wycofanie się, działanie). Określono działania, które należy podjąć w celu zmniejszenia danego ryzyka do akceptowanego poziomu.

W tabelach przedstawiających opis ryzyk określone są działania podjęte, planowane oraz reakcja na ryzyko.

Podsumowanie

Ogółem liczba pozytywnych odpowiedzi w analizowanym obszarze wskazuje na (pozytywną tendencję).

Standard: MECHANIZMY KONTROLI

10. Procedury wewnętrzne, instrukcje, wytyczne, dokumenty określające zakres obowiązków, uprawnień i odpowiedzialności pracowników i inne dokumenty wewnętrzne stanowią dokumentację systemu kontroli zarządczej. Dokumentacja jest spójna i dostępna dla wszystkich osób, dla których jest niezbędna.

Ankietowani stwierdzili, że w COI obowiązuje zarządzenie nr 15/2023 w sprawie powołania zespołu ds. kontroli zarządczej w COI. Ponadto, zostały opracowane instrukcje wewnętrzne, które stanowią dokumentację systemu kontroli zarządczej.

11. Prowadzony jest nadzór nad wykonaniem zadań w celu ich oszczędnej, efektywnej i skutecznej realizacji.

Nadzór jest prowadzony poprzez współudział w opracowaniu i ustalaniu zasad, planów, systemów i innych środków w celu zminimalizowania ograniczenia lub usunięcia ryzyk związanych z zidentyfikowanym zagrożeniem. W komórce rachunkowości budżetowej na bieżąco analizowane są ponoszone wydatki budżetowe przed ich załatwieniem do zapłaty. Został opracowany wniosek o udzielenie zamówienia, który podpisuje osoba wnioskująca przedmiot zamówienia i Główny księgowy.

12. Zapewniono istnienie mechanizmów służących utrzymaniu ciągłości działalności jednostki sektora finansów publicznych, wykorzystując, między innymi, wyniki analizy ryzyka.

Wszyscy ankietowani stwierdzili, że w COI opracowano procedurę postępowania w sytuacjach kryzysowych.

13. Zadbano, aby dostęp do zasobów jednostki miały wyłącznie upoważnione osoby. Osobom zarządzającym i pracownikom powierzono odpowiedzialność za zapewnienie ochrony i właściwe wykorzystanie zasobów jednostki.

W formularzu 95% ankietowanych stwierdziło, że w COI teren jednostki jest zamknięty i nadzorowany. Odpowiedzialność (w formie pisemnej) za powierzone mienie ponosi każdy pracownik. Pracownicy posiadają karty umożliwiające poruszanie się po pomieszczeniach, a tym samym osoby nieuprawnione nie mają dostępu do pomieszczeń jednostki. Wprowadzono zabezpieczenie do programów kancelaryjnych i rejestrów prowadzonych elektronicznie w postaci haseł i loginów. Obowiązuje zabezpieczenie szaf z dokumentami i biurek. W kwestionariuszu 5% ankietowanych stwierdziło, że nie znają procedur bezpieczeństwa.

14. Istnieją przynajmniej następujące mechanizmy kontroli dotyczące operacji finansowych i gospodarczych: 1) rzetelne i pełne dokumentowanie i rejestrowanie operacji finansowych i gospodarczych; 2) zatwierdzanie (autoryzacja) operacji finansowych przez kierownika jednostki lub osoby przez niego upoważnione; 3) podział kluczowych obowiązków; 4) weryfikacja operacji finansowych i gospodarczych przed realizacją i po niej.

Wszyscy ankietowani potwierdzili istnienie ww. mechanizmów kontroli.

15. Określono mechanizmy służące zapewnieniu bezpieczeństwa danych i systemów informatycznych.

W COI istnieją hasła dostępu do systemu informatycznego. W jednostce funkcjonuje Polityka Bezpieczeństwa i Przetwarzania Danych osobowych.

Podsumowanie

Ogółem liczba pozytywnych odpowiedzi w analizowanym obszarze wskazuje na (pozytywną tendencję).

Standard: INFORMACJA I KOMUNIKACJA

16. Osobom zarządzającym i pracownikom zapewniono, w odpowiedniej formie i czasie, właściwe oraz rzetelne informacje potrzebne do realizacji zadań.

W COI przeprowadza się szkolenia wewnętrzne (w przypadku zmiany przepisów) i zewnętrzne pracowników. Zapewnia się pracownikom dostęp do baz danych oraz baz aktów prawnych, komentarzy prawnych w wersjach elektronicznych i papierowych.

17. Zapewniono efektywne mechanizmy przekazywania ważnych informacji w obrębie struktury organizacyjnej jednostki oraz działu administracji rządowej.

W COI funkcjonują narzędzia służące komunikacji wewnętrznej, tj. strona intranetowa, e-maile pracowników.

18. Zapewniono efektywny system wymiany ważnych informacji z podmiotami zewnętrznymi mającymi wpływ na osiąganie celów i realizację zadań.

Komórka komunikacji i jakości obsługi powołana w jednostce w ramach swoich zadań zapewnia funkcjonowanie systemu w odniesieniu do mediów i zainteresowanych klientów oraz prowadzi nadzór nad narzędziami, takimi jak strona internetowa i strona BIP.

Podsumowanie

Ogółem liczba pozytywnych odpowiedzi w analizowanym obszarze wskazuje na (pozytywną tendencję).

Standard: MONITOROWANIE I OCENA

19. Skuteczność poszczególnych elementów systemu kontroli zarządczej jest monitorowana, co umożliwia bieżące rozwiązywanie zidentyfikowanych problemów.

Powołano zespół ds. kontroli zarządczej, którego celem jest przedstawianie propozycji usprawnień w zakresie kontroli zarządczej. Sporządza się sprawozdania z realizacji planu pracy. Ponadto w COI istnieje bieżąca weryfikacja i ocena działań pracowników przez kierującego komórką.

20. Co najmniej raz w roku przeprowadza się samoocenę systemu kontroli zarządczej przez osoby zarządzające i pracowników jednostki. Samoocena jest ujęta w ramy procesu odrębnego od bieżącej działalności i udokumentowana.

W oparciu o akty prawa wewnętrznego przeprowadza się samoocenę systemu kontroli na podstawie § 15 Zarządzenia Nr 20/2023 z dnia 15.03.2023 r.

21. W przypadkach i na warunkach określonych w ustawie audytor wewnętrzny prowadzi obiektywną i niezależną ocenę kontroli zarządczej.

W COI przeprowadza się audyt zgodnie z Kartą Audytu.

22. Źródłem uzyskania zapewnienia o stanie kontroli zarządczej przez kierownika jednostki są w szczególności wyniki: monitorowania, samooceny oraz przeprowadzonych audytów i kontroli. Corocznie potwierdza się uzyskanie powyższego zapewnienia w formie oświadczenia o stanie kontroli zarządczej za poprzedni rok.

Dyrektor COI złożył oświadczenie o stanie kontroli zarządczej.

Podsumowanie

Ogółem liczba pozytywnych odpowiedzi w analizowanym obszarze wskazuje na tendencję pozytywną (95%).

III. WNIOSKI

Należy mieć na uwadze, że każdy kierownik jednostki sektora finansów publicznych, w tym Jan Kowalski, jest odpowiedzialny za procesy realizowane w jednostce, którą zarządza, stosowanie procedur kontroli wewnętrznej oraz ich monitorowanie. Dyrektor COI powinien stale dokonywać oceny funkcjonowania ustanowionego systemu kontroli zarządczej, aby zweryfikować, czy system ten został zaprojektowany właściwie i czy działa prawidłowo, a dzięki temu jednostka będzie efektywnie i skutecznie realizowała swoje cele, do których została powołana.

Odpowiedzi ankietowanych, zebrane na podstawie formularza samooceny, umożliwiają Dyrektorowi uzyskanie informacji zwrotnej, niezbędnej do dokonania oceny funkcjonowania procesów zachodzących w COI, a także podjęcie działań doskonalących.

Ogólne spostrzeżenia:

1. Wymagania wynikające ze Standardów Kontroli Zarządczej są realizowane, co należy uznać za pozytywne.

2. Funkcjonujące procedury realizacji zadań w COI są udokumentowane i aktualne, co jest istotną kwestią z punktu widzenia jasnych i czytelnych zasad postępowania przy realizacji poszczególnych zagadnień.

3. Kierownicy komórek organizacyjnych COI stosują mechanizmy kontrolne w kierowanych przez siebie komórkach, a także wprowadzają usprawnienia. Propozycje przedstawione przez komórki organizacyjne są uwzględniane na bieżąco lub będą brane pod uwagę w przyszłości.

4. Na szczególną uwagę zasługuje fakt, że realizowane są zagadnienia związane z zarządzaniem ryzykiem. Z informacji zawartych w ankietach wynika, że w COI istnieje dokumentacja będąca wynikiem identyfikacji ryzyk – identyfikuje się zagrożenia, które mogą zagrozić realizacji celów, oraz podejmowane są działania ograniczające to ryzyko.

5. Monitorowanie zadań wynikających z Rocznego Planu Pracy powinno przyczynić się do poprawy funkcjonowania COI.

Wyniki samooceny posłużą Dyrektorowi do oceny i doskonalenia systemów kontroli zarządczej w COI, przy wzięciu pod uwagę specyficznych zadań, które realizuje COI, i warunków, w jakich funkcjonuje.