Dzienniki Urzędowe - rok 2011 nr 5 poz. 47

Na podstawie art. 69 ust. 1 pkt 3 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. Nr 157, poz. 1240 z późn. zm.²⁾) zarządza się, co następuje:

2. Zasady funkcjonowania systemu kontroli zarządczej w Ministerstwie Kultury i Dziedzictwa Narodowego określają sposób zapewnienia funkcjonowania systemu kontroli zarządczej.

1) ministerstwie – rozumie się Ministerstwo Kultury i Dziedzictwa Narodowego;

2) ministrze – rozumie się Ministra Kultury i Dziedzictwa Narodowego;

3) komórce organizacyjnej – należy przez to rozumieć departamenty lub biura ministerstwa w rozumieniu zarządzenia Nr 25 Ministra Kultury i Dziedzictwa Narodowego z dnia 24 września 2010 r. w sprawie nadania regulaminu organizacyjnego Ministerstwu Kultury i Dziedzictwa Narodowego (Dz. Urz. MKiDN Nr 4, poz. 42);

4) kontroli zarządczej – należy przez to rozumieć kontrolę zarządczą w rozumieniu art. 68 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych;

5) standardach kontroli zarządczej – należy przez to rozumieć „Standardy kontroli zarządczej dla sektora finansów publicznych”, stanowiące załącznik do Komunikatu nr 23 Ministra Finansów z dnia 16 grudnia 2009 r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych (Dz. Urz. MF Nr 15, poz. 84);

6) ustawie – rozumie się przez to ustawę z dnia 27 sierpnia 2009 r. o finansach publicznych.

2. Kierownicy komórek organizacyjnych zapewniają funkcjonowanie adekwatnej, skutecznej i efektywnej kontroli zarządczej w kierowanych komórkach organizacyjnych.

3. Koordynację funkcjonowania kontroli zarządczej w ministerstwie, powierza się Biuru Audytu Wewnętrznego i Kontroli.

4. Zapewnienie funkcjonowania kontroli zarządczej obejmuje opracowanie systemu kontroli zarządczej, wdrożenie go do stosowania w ministerstwie, ciągłą ocenę jego funkcjonowania oraz w miarę potrzeb – aktualizowanie.

5. Kontrolę zarządczą uznaje się za adekwatną, jeżeli jest odpowiednia do zadań realizowanych przez ministerstwo/komórkę organizacyjną i obejmuje cały zakres działania ministerstwa/komórki organizacyjnej.

6. Kontrole zarządczą uznaje się za skuteczną, jeżeli system kontroli zarządczej nie jest jedynie zbiorem dokumentów, lecz faktycznie funkcjonuje w ministerstwie oraz pozwala na osiągnięcie zamierzonych celów.

7. Kontrolę zarządczą uznaje się za efektywną, jeżeli umożliwia osiąganie najlepszych efektów działania ministerstwa przy najmniejszych poniesionych nakładach.

2. Standardy kontroli zarządczej nie stanowią przepisów powszechnie obowiązujących, lecz są wytycznymi dla kierowników komórek organizacyjnych, odpowiedzialnych za zapewnienie funkcjonowania systemu kontroli zarządczej w kierowanej komórce organizacyjnej.

3. Zakres podejmowanych działań przez kierownika komórki organizacyjnej powinien być indywidualnie dostosowany do komórki organizacyjnej, z uwzględnieniem w szczególności takich czynników jak: realizowane cele i zadania, wielkość jednostki, wielkość zasobów komórki organizacyjnej, zatrudnionych pracowników.

1) właściwe organizowanie działania ministerstwa oraz komórek organizacyjnych (element kontroli zarządczej „A. Środowisko wewnętrzne”, standardy nr 1–4);

2) identyfikowanie celów i zadań ministerstwa oraz komórek organizacyjnych, a także systemu zarządzania ryzykiem w ministerstwie oraz w komórkach organizacyjnych (element kontroli zarządczej „B. Cele i zarządzanie ryzykiem”, standardy nr 5–9);

3) stworzenie mechanizmów kontroli i nadzoru nad funkcjonowaniem ministerstwa oraz komórkami organizacyjnymi (element kontroli zarządczej „C. Mechanizmy kontroli”, standardy nr 10–15);

4) zapewnienie przepływu informacji i komunikacji wewnątrz ministerstwa oraz wewnątrz komórek organizacyjnych, a także z podmiotami zewnętrznymi (element kontroli zarządczej „D. Informacja i komunikacja”, standardy nr 16–18);

5) monitorowanie i ocena funkcjonowania kontroli zarządczej (element kontroli zarządczej „E. Monitorowanie i ocena”, standardy nr 19–22);

6) inne działania podjęte przez ministra, dyrektora generalnego oraz kierowników komórek organizacyjnych, nieujęte w standardach kontroli zarządczej.

2. Działania podjęte w celu funkcjonowania tego standardu polegają w szczególności na:

1) opracowaniu zasad postępowania przy realizacji poszczególnych rodzajów zadań;

2) przestrzeganiu zasad etycznych;

3) opracowaniu zasad wynagradzania pracowników.

3. Realizacje standardu, o którym mowa w ust. 1, zapewniają:

1) w zakresie ministerstwa – Kodeks Etyki Służby Cywilnej wprowadzony zarządzeniem Nr 114 Prezesa Rady Ministrów z dnia 11 października 2002 r. w sprawie ustanowienia Kodeksu Etyki Służby Cywilnej (M.P. Nr 46, poz. 683);

2) Regulamin Pracy.

2. Działania podjęte w celu wdrożenia tego standardu polegają w szczególności na:

1) opracowaniu zasad procesu rekrutacji, umożliwiających zatrudnienie najlepszych kandydatów;

2) opracowaniu zasad podnoszenia kwalifikacji pracowników, w tym kierowania na szkolenia oraz dofinansowania szkoleń.

3. Realizację standardu, zapewniają zasady szkolenia pracowników ministerstwa.

2. Działania podjęte w celu wdrożenia tego standardu polegają w szczególności na:

1) opracowaniu aktu w sprawie organizacji ministerstwa oraz jego aktualizowanie;

2) opracowaniu regulaminu organizacyjnego ministerstwa, uwzględniającego rzeczywisty zakres zadań realizowanych przez komórki organizacyjne oraz jego aktualizowanie – w przypadku zmian w zakresie realizowanych zadań;

3) opracowanie dla wszystkich pracowników zakresów obowiązków i uprawnień, precyzyjnie określających ich obowiązki, uprawnienia i odpowiedzialność, a także ich aktualizowanie – w przypadku zmian na danym stanowisku.

3. Realizację standardu, o którym mowa w ust. 1, zapewniają aktualne, określone w formie pisemnej w sposób przejrzysty i spójny zakresy zadań komórek organizacyjnych oraz zakresy obowiązków i uprawnień i pracowników.

2. Działania podjęte w celu wdrożenia tego standardu polegają w szczególności na precyzyjnym określeniu uprawnień decyzyjnych, które minister oraz kierownicy komórek organizacyjnych przekazują do osób im podległych; dotyczy to również upoważnień ministra przekazywanych kierownikom komórek organizacyjnych i pracownikom.

3. Realizacje standardu, o którym mowa ust. 1, zapewnia:

1) podział zakresu obowiązków pomiędzy członków kierownictwa ministerstwa;

2) wydanie regulaminu organizacyjnego ministerstwa oraz nadanie kierownikom komórek zakresów obowiązków i uprawnień, których przyjęcie potwierdzone jest pisemnym oświadczeniem składanym w komórce kadrowej przez kierownika komórki organizacyjnej.

2. Misja ministerstwa zawarta jest w ustawach i statucie.

3. Kierownicy poszczególnych komórek organizacyjnych mogą określić misję tych komórek organizacyjnych w wewnętrznych regulaminach organizacyjnych tych komórek.

1) określeniu przez ministra zadań do realizacji na dany rok kalendarzowy kierownikom komórek organizacyjnych, w szczególności ujęte w planie działalności ministra na dany rok kalendarzowy dla działu administracji rządowej kultura i ochrona dziedzictwa narodowego;

2) określeniu/zidentyfikowaniu przez kierowników komórek organizacyjnych zadań/głównych kierunków działania na dany rok i okresowym ich aktualizowaniu;

3) przekazywaniu ministrowi informacji/sprawozdania o realizacji przez komórki organizacyjne zadań/głównych kierunków działania na dany rok.

2. Identyfikacji i analizy ryzyka w ministerstwie oraz określenia rodzaju reakcji na ryzyko, na potrzeby zarządzania ryzykiem w komórce organizacyjnej, dokonuje się, co najmniej raz w roku. Procedurę zarządzania ryzykiem w ministerstwie oraz przykładowy arkusz zarządzania ryzykiem do uzupełnienia i dostosowania do specyfiki komórki organizacyjnej, określa załącznik nr 1.

3. Realizację standardów, o których mowa w ust. 1, zapewnia:

1) dokonywanie, co najmniej raz w roku przez komórki organizacyjne identyfikacji ryzyka w zadaniach/głównych kierunkach działań komórek organizacyjnych;

2) w przypadku istotnej zmiany warunków, w których funkcjonuje każda z komórek organizacyjnych, dokonanie ponownej identyfikacji ryzyka w zadaniach/głównych kierunkach działań na dany rok kalendarzowy;

3) proces tworzenia rocznego planu kontroli sporządzanego w cyklach półrocznych w ramach, którego następuje identyfikacja ryzyka celem przeprowadzenia kontroli w najbardziej zagrożonych obszarach działalności;

4) proces tworzenia rocznego planu audytu wewnętrznego, w ramach, którego inicjowana jest identyfikacja ryzyka;

5) zidentyfikowane ryzyka należy poddawać analizie mającej na celu określenie prawdopodobieństwa wystąpienia danego ryzyka i możliwych jego skutków;

6) określanie, w stosunku do każdego istotnego ryzyka, rodzaju reakcji (działanie, tolerowanie, przeniesienie, wycofanie się);

7) określanie działań, które należy podjąć w razie wystąpienia ryzyka, w celu jego zmniejszenia do akceptowanego poziomu.

4. Reakcja na każde istotne ryzyko celem zmniejszenia do akceptowanego poziomu następuje poprzez:

1) wskazanie i podejmowanie przez komórki organizacyjne działań naprawczych, które wyeliminują lub zmniejszą skutki wystąpienia ryzyka;

2) realizację przez komórki kontrolowane wniosków sformułowanych w wystąpieniach pokontrolnych sporządzanych przez komórki organizacyjne właściwe do wykonywania czynności kontrolnych w ministerstwie;

3) planowanie potrzeb logistyczno-sprzętowych dostosowanych do zadań;

4) uzyskanie akceptacji ministra dla podjęcia działań naprawczych.

1) ujęciu zasad funkcjonowania kontroli zarządczej w komórce organizacyjnej w formie pisemnej (zakresów obowiązków i uprawnień pracowników, regulaminów organizacyjnych, procedur postępowania, instrukcji itp.);

2) sporządzenie wykazu dokumentacji regulującej funkcjonowanie kontroli zarządczej w Biurze Audytu Wewnętrznego i Kontroli oraz aktualizowaniu go nie rzadziej niż raz w roku.

2. Realizacje standardu, o którym mowa w ust. 1, zapewnia:

1) system regulaminu ministerstwa, zakres zadań komórek organizacyjnych oraz zakres obowiązków i uprawnień pracowników;

2) akty prawne oraz dokumenty wewnętrzne regulujące procesy o szczególnym znaczeniu dla ministerstwa;

3) przepisy prawa powszechnie obowiązujące dotyczące realizacji celów i zadań ministerstwa.

2. Działania podjęte w celu wdrożenia tego standardu powinny polegać w szczególności na przypisaniu osobom pełniącym stanowiska kierownicze obowiązków w zakresie nadzorowania pracy osób podległych.

3. Realizację standardu, o którym mowa w ust. 1, zapewnia:

1) działalność kontrolna;

2) system planowania i zatwierdzania zadań (roczny);

3) system spotkań służbowych, zarówno bieżących, jak i rocznych;

4) organizowanie pracy w ministerstwie w sposób zapewniający pełne wykorzystanie czasu pracy, jak również osiąganie przez pracowników wysokiej wydajności pracy, z uwzględnieniem regulacji zawartych w Regulaminie pracy;

5) działalność zespołów eksperckich;

6) opracowanie dokumentów wewnętrznych regulujących procesy o szczególnym znaczeniu dla ministerstwa.

2. Realizację standardu, o którym mowa w ust. 1, zapewnia:

1) system zastępstw pracowników w przypadku ich nieobecności w pracy;

2) opracowanie zasad przejęcia przez pracowników obowiązków w przypadku ustania stosunku pracy innych pracowników lub powierzenia komórce organizacyjnej nowych celów i zadań;

3) funkcjonowanie systemu delegowania uprawnień i podziału obowiązków pomiędzy członków kierownictwa ministerstwa;

4) funkcjonowanie systemu delegowania uprawnień i podziału obowiązków pomiędzy poszczególnymi szczeblami struktury organizacyjnej;

5) funkcjonowanie technicznych systemów utrzymywania ciągłości funkcjonowania łączności w ministerstwie;

6) opracowanie zasad dotyczących zachowań w sytuacjach kryzysowych.

2. Przez zasoby komórki organizacyjnej należy rozumieć: dokumentację (w postaci papierowej i elektronicznej) oraz mienie powierzone komórce organizacyjnej do realizacji jej celów i zadań.

3. Działania podjęte w celu wdrożenia tego standardu powinny polegać w szczególności na:

1) zapewnieniu fizycznej ochrony obiektów, w których odbywa się realizacja celów i zadań komórki organizacyjnej;

2) opracowaniu zasad postępowania pracowników oraz innych osób korzystających z zasobów;

3) wprowadzeniu narzędzi zapewniających bezpieczeństwo danych i systemów informatycznych, w tym również wdrożenie standardu 15 „Mechanizmy kontroli dotyczące systemów informatycznych”.

4. Realizację standardu, o którym mowa w ust. 1, zapewnia:

1) ocenianie i dokumentowanie ryzyka zawodowego związanego z wykonywaną pracą (dokonywanie oceny ryzyka zawodowego na stanowisku pracy) oraz stosowanie niezbędnych środków profilaktycznych zmniejszających ryzyko zawodowe;

2) zapewnienie ochrony systemów i sieci teleinformatycznych, w których są wytwarzane, przetwarzane lub przekazywane informacje jawne i niejawne (min. system loginów, haseł, kart dostępu);

3) regulacja odpowiedzialności materialnej pracowników;

4) szkolenie, przestrzeganie i kontrolowanie przestrzegania przepisów BHP i ppoż.;

5) zasady gospodarowania mieniem będącym w zarządzie ministerstwa;

6) dokumentacja opisująca sposób przetwarzania danych osobowych (Polityka bezpieczeństwa oraz Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych), opracowana na podstawie ustawy o ochronie danych osobowych.

1) opracowaniu polityki rachunkowości w ministerstwie;

2) opracowaniu instrukcji obiegu dokumentów finansowo-księgowych, uwzględniającej zasady zatwierdzania i weryfikowania operacji finansowych i gospodarczych.

2. Realizację standardu, o którym mowa w ust. 1, zapewnia:

1) funkcjonowanie zasad gospodarowania mieniem będącym w zarządzie ministerstwa;

2) funkcjonowanie procedur kontroli finansowej w ministerstwie;

3) funkcjonowanie klasyfikacji analitycznej wydatków budżetowych w ministerstwie na potrzeby planowania, sprawozdawczości oraz analiz;

4) Organizacja w ministerstwie postępowań o udzielenie zamówień publicznych prowadzonych na podstawie przepisów ustawy Prawo zamówień publicznych.

2. Działania podjęte w celu wdrożenia tego standardu powinny polegać w szczególności na:

1) zastosowaniu oprogramowania uniemożliwiającego nieuprawnione ingerowanie w system informatyczny ministerstwa przez osoby spoza ministerstwa;

2) zabezpieczenie poszczególnych stanowisk pracy przed nieuprawnionym dostępem osób niepracujących na tych stanowiskach.

3. Realizację standardu, o którym mowa w ust. 1, zapewnia:

1) system zabezpieczenia danych osobowych w ministerstwie;

2) dokumentacja opisująca sposób przetwarzania danych osobowych, opracowana na podstawie ustawy o ochronie danych osobowych;

2. Przyjęte zasady powinny zapewniać przekazywanie niezbędnych informacji w sposób rzetelny, w odpowiednim czasie i formie.

3. Wdrożenie standardu „Komunikacja wewnętrzna” dotyczy również zasad przekazywania informacji pomiędzy komórkami organizacyjnymi oraz pomiędzy komórkami organizacyjnymi a członkami kierownictwa ministerstwa.

4. Realizację standardów, o których mowa w ust. 1, zapewnia:

1) działalność prasowo-informacyjna w ministerstwie;

2) system przekazywania w sieci intranetowej ministerstwa informacji jawnych za pośrednictwem poczty elektronicznej;

3) obowiązywanie jednolitego rzeczowego wykazu akt w ministerstwie;

4) opracowywanie i publikowanie wykazów obowiązujących aktów prawnych ministra;

5) system przekazywania informacji pracownikom w ramach spotkań służbowych;

6) regulamin organizacyjny ministerstwa;

7) sposób stosowania środków ochrony fizycznej;

8) system opracowywania, uzgadniania i ogłaszania aktów prawnych w ministerstwie.

2. Realizację standardu, o którym mowa w ust. 1, zapewnia:

1) działalność sekretariatów ministerstwa;

2) działalność komórki prasowej ministerstwa;

3) regulamin organizacyjny ministerstwa;

4) system wymiany informacji z instytucjami innych państw;

5) procedura uruchamiania oraz przyznawania zapewnienia finansowania przedsięwzięcia ze środków budżetu państwa;

6) internet.

2. Realizację standardu, o którym mowa w ust. 1, zapewnia:

1) system działań dla zapewnienia realizacji celu kontroli zarządczej przez komórki organizacyjnej;

2) bieżącą działalność audytową na podstawie aktów powszechnie obowiązujących;

3) coroczną analizę ryzyka w ministerstwie, realizowaną przez komórki organizacyjne;

4) system sprawozdawczości wprowadzony przepisami regulaminów organizacyjnych komórek organizacyjnych;

5) system spotkań służbowych, zarówno bieżących, jak i rocznych;

6) działalność BHP;

7) monitorowania sprawności funkcjonowania sieci;

8) powoływanie zespołów eksperckich do monitorowania projektów/przedsięwzięć o strategicznym znaczeniu dla funkcjonowania ministerstwa;

9) system natychmiastowych zgłoszeń opisujących zaistniałe incydenty w zakresie bezpieczeństwa informacji.

2. Działania podjęte w celu wdrożenia tego standardu powinny polegać w szczególności na wypełnieniu kwestionariusza samooceny, według wzoru określonego w załączniku nr 3, przez kierownika komórki organizacyjnej, a także pracowników, a następnie na podsumowaniu uzyskanych wyników i podjęciu działań zmierzających do wyeliminowania ewentualnych nieprawidłowości.

3. Samoocena powinna być przeprowadzona do 31 marca każdego roku kalendarzowego.

2. W przypadku, gdy w danym roku zaszła jedna z poniższych okoliczności, w oświadczeniu o stanie kontroli zarządczej należy zamieścić następujące informacje:

1) dokonane zostały zmiany w systemie kontroli zarządczej komórki organizacyjnej – należy przedstawić wprowadzone zmiany;

2) audytor przedstawił kierownikowi komórki organizacyjnej zalecenia – należy przedstawić sposób realizacji zaleceń;

3) w wyniku przeprowadzonych kontroli w komórce organizacyjnej kierownikowi komórki organizacyjnej przedstawione zostały zalecenia – należy przedstawić sposób realizacji zaleceń;

4) w komórce organizacyjnej przeprowadzono samoocenę – należy przedstawić wyniki samooceny i ewentualne działania podjęte w celu wyeliminowania nieprawidłowości w kontroli zarządczej.

3. Zbiorcza i udokumentowana analiza kontroli zarządczej za rok poprzedni sporządzana jest na podstawie gromadzonych materiałów dotyczących funkcjonowania kontroli zarządczej w dziale administracji rządowej kultura i ochrona dziedzictwa narodowego, ministerstwie (w tym oświadczeń kierowników komórek organizacyjnych o stanie kontroli zarządczej w kierowanych przez nich komórkach).

1) samoocena przeprowadzona przez kierownika komórki/jednostki organizacyjnej;

2) oświadczenie o stanie kontroli zarządczej;

3) kontrole wewnętrzne;

4) kontrole zewnętrzne;

5) czynności doradcze;

6) czynności sprawdzające;

7) opinie audytu zewnętrznego;

8) opinie audytu wewnętrznego.

1) kierownicy jednostek podległych lub nadzorowanych przekazują oświadczenie o stanie kontroli zarządczej w terminie do 31 marca danego roku do jednostki nadzorującej, zgodnie z właściwością komórki organizacyjnej ministerstwa;

2) kierownicy właściwych komórek organizacyjnych sporządzają zbiorczą samoocenę w terminie do 10 kwietnia danego roku i przekazują ją do Biura Audytu Wewnętrznego i Kontroli.

3) Biuro Audytu Wewnętrznego i Kontroli, w terminie do 15 kwietnia danego roku, sporządza zbiorczą samoocenę komórek organizacyjnych, uwzględniając wydane zalecenia pokontrolne niezrealizowane do dnia sporządzenia oceny i przekazuje je wraz z oświadczeniami o stanie kontroli zarządczej ministrowi do 15 kwietnia danego roku.

¹⁾ Minister Kultury i Dziedzictwa Narodowego kieruje działem administracji rządowej – kultura i ochrona dziedzictwa narodowego, na podstawie § 1 ust. 2 rozporządzenia Prezesa Rady Ministrów z dnia 16 listopada 2007 r. w sprawie szczegółowego zakresu działania Ministra Kultury i Dziedzictwa Narodowego (Dz. U. Nr 216, poz. 1595).

²⁾ Zmiany wymienionej ustawy zostały ogłoszone w Dz. U. z 2010 r. Nr 28, poz. 146, Nr 96, poz. 620, Nr 123, poz. 835, Nr 152, poz. 1020, Nr 238, poz. 1578 i Nr 257, poz. 1726.

Załącznik nr 1
do zarządzenia nr 38
MKiDN
z dnia 27.07.2011 r.

Procedura zarządzania ryzykiem w ministerstwie oraz przykładowy arkusz zarządzania ryzykiem

1. Wprowadzenie

1. Proces zarządzania ryzykiem jest procesem identyfikacji, oceny i przeciwdziałania występowania ryzyka. Obejmuje on:

1) możliwie jak najszybszą identyfikację ryzyka związanego z planowanym działaniem urzędu,

2) ocenę stopnia wpływu ryzyka na uzyskane wyniki lub cele urzędu,

3) zastosowanie odpowiednich środków kontroli ryzyka.

2. Kluczowym elementem polityki zarządczej jest określenie poziomu ryzyka tzw. „apetytu na ryzyko” tolerowanego przez organizację i właścicieli procesów administracyjnych. Struktura tego procesu obejmuje:

1) dokumentację dotyczącą zarządzania ryzykiem,

2) pełnione role i wykonywane zadania,

3) plany organizacyjne urzędu.

3. Celem procesu zarządzania ryzykiem jest określenie:

1) głównych celów dotyczących zarządzania ryzykiem oraz sposobu, w jaki łączą się one z celami organizacji,

2) struktury zarządzania ryzykiem, w tym danych o osobach ponoszących odpowiedzialność za działania kontrolne,

3) praktycznego sposobu zarządzania ryzykiem i minimalizowanie go.

4. Proces zarządzania zidentyfikowanymi ryzykami odnoszącymi się do zadań w ministerstwie, dokonywany jest do końca I kwartału danego roku kalendarzowego.

5. Procedurę zarządzania ryzykiem w odniesieniu do zadań realizowanych w ramach Programu Operacyjnego Infrastruktura i Środowisko, określają odrębne przepisy.

6. Arkusz zarządzania ryzykiem jest integralnym elementem procedury, zawierającym ryzyka zidentyfikowane dla ministerstwa. Pracownicy, do których przypisano poszczególne ryzyka, określają prawdopodobieństwa i ich wpływ na realizowane zadania zgodnie z metodą samooceny ryzyka.

7. Wypełnione arkusze zarządzania ryzykiem przekazuje się do Biura Audytu Wewnętrznego i Kontroli.

8. Biuro Audytu Wewnętrznego i Kontroli opracowuje i przekazuje członkom kierownictwa ministerstwa raport o zidentyfikowanych ryzykach.

2. Słownik pojęć

3. Poziomy ryzyka i wpływu

Ustala się 4 poziomy ryzyka, spośród których jeden jest przypisywany przez pracownika dokonującego oceny ryzyka:

Ustala się 4 poziomy wpływu, spośród których jeden jest przypisywany przez pracownika dokonującego oceny ryzyka:

Dla procesów realizowanych w ministerstwie dopuszcza się niski i średni poziom ryzyka. Może on być modyfikowany przez właścicieli poszczególnych procesów.

W przypadku, gdy dla danego ryzyka określony zostanie poziom krytyczny lub wysoki, zgłaszający pracownik omawia z kierownikiem komórki organizacyjnej, jakie dodatkowe mechanizmy kontrolne mogłyby zredukować to ryzyko do niższego poziomu. Jeśli rozwiązanie problemu nie jest możliwe w ramach środków, jakimi dysponuje dana komórka organizacyjna, ostateczną decyzję w sprawie rozwiązania problemu podejmuje dyrektor generalny.

Załącznik Nr 2
do zarządzenia Nr 38
MKiDN
z dnia 27.07.2011 r.

Katalog mechanizmów kontrolnych redukujących ryzyko

1. Regulacje zewnętrzne i wewnętrzne: ustawy, umowy międzynarodowe, rozporządzenia, uchwały, zarządzenia, plany, polityki, wytyczne, instrukcje, procedury, standardy przyjęte, jako obowiązujące w jednostce, metodyki, umowy cywilno-prawne.

2. Opisy funkcji i stanowisk pracy, zakresy czynności i obowiązków. Dokumenty określające zakres:

1) kompetencji i odpowiedzialności,

2) upoważnień i pełnomocnictw,

3) zastępstw, sprawowanego nadzoru,

4) wykonywanej kontroli wewnętrznej.

3. System obiegu informacji i raportowania:

1) zapewnienie dostępu do informacji w terminie i zakresie właściwym do wykonywania zadań,

2) raportowanie wykonania zadań wobec przełożonych,

3) porównywanie osiągniętych wyników z zamierzonym i celami.

4. Uzgadnianie stanowisk, kierunków działań:

1) zasięganie opinii zainteresowanych jednostek, wewnętrznych i zewnętrznych w celu wypracowania wspólnej strategii działania,

2) uzgadnianie aktów prawnych regulacji wewnętrznych i zewnętrznych.

5. Uzgadnianie danych. Porównywanie zgodności danych zawartych w różnych dokumentach lub systemach informatycznych, aplikacjach pomocniczych.

6. Zasada komisyjności „czworga oczu” , „na dwie ręce”:

1) wykonywanie czynności przy współudziale, co najmniej dwóch osób,

2) komisje inwentaryzacyjne, spisowe,

3) zespoły kontrolne,

4) rejestracja i autoryzacja transakcji.

7. System limitów i ograniczeń:

1) ograniczenia czasowe dla: rejestracji operacji, załatwiania spraw, udzielania odpowiedzi,

2) ustawowe ograniczenie czasowe np. spłaty zaciągniętych zobowiązań,

3) ograniczenia finansowe przy podejmowaniu decyzji, zawieraniu transakcji, zaangażowaniu wobec stron trzecich,

4) ustawowe ograniczenia finansowe dla jednostek sektora finansów publicznych w ustawie o finansach publicznych przy zaciąganiu zobowiązań pieniężnych.

8. Analiza kontrahentów/uczestników rynku, w tym sprawdzanie wiarygodności:

1) finansowej podmiotów zewnętrznych,

2) uczestników przetargu,

3) dostawców towarów i usług.

9. Kontrola dostępu oraz zabezpieczenia teleinformatyczne:

1) zakazy i ograniczenia dostępu fizycznego osób do: pomieszczeń, systemów i danych, internetu, zagranicznych i zamiejscowych rozmów telefonicznych, szyfrowania, podpisu elektronicznego,

2) możliwości nagrywania rozmów telefonicznych.

10. Inwentaryzacja i spis z natury:

1) porównywanie zgodności stanu fizycznego/rzeczywistego zasobów ze stanem zapisów w księgach rachunkowych, rejestrach,

2) inwentaryzacja rzeczowych składników majątkowy,

3) dzienne uzgadnianie stanu wartości.

11. Zabezpieczenia fizyczne:

1) ochrona fizyczna zasobów jednostki rzeczowych, osobowych, w tym zabezpieczenie gotówki, papierów wartościowych, obiektów,

2) dokumentów zakwalifikowanych do informacji niejawnych w kancelarii tajnej,

3) zabezpieczenie fizyczne serwerów przed dostępem osób nieuprawnionych, zalaniem lub pożarem.

12. Kopie zapasowe, na wypadek utraty oryginalnych danych, zapasowe generatory prądotwórcze, na wypadek awarii zasilania.

13. Plany zarządzania kryzysem:

1) plany awaryjno-odtworzeniowe, odtworzenie infrastruktury krytycznej, obszarów uznanych za krytyczne,

2) plany działania procesów, podtrzymywanie działania procesów, świadczenia usług na akceptowalnym poziomie podczas kryzysu,

3) plany ciągłości działania, systemowe podejście do utrzymania funkcjonowania działalności przed – w czasie – i po katastrofie,

4) testowanie opracowanych planów, ćwiczenie zdolności zespołów do praktycznego wypełniania zaplanowanych działań oraz sprawdzanie aktualności planów w zmieniającym się otoczeniu i nowych rodzajach ryzyka.

14. Rezerwy finansowe, na pokrycie strat związanych z niewypłacalnością kontrahentów koniecznością pokrycia kwot gwarancji i poręczeń.

15. Ubezpieczenia mienia od zdarzeń losowych, kradzieży.

16. Usługi zewnętrzne, dzielenie się ryzykiem, które obciążałoby jednostkę w sytuacji gdyby zadania były wykonywane przy wykonywaniu zasobów własnych.

17. Audyt i kontrola:

1) kontrole prawidłowości i terminowości realizacji zadań,

2) kontrole czasu pracy i ruchu osobowego,

3) kontrole realizacji reakcji na ryzyko, poprawności i terminowości,

4) kontrola realizacji zaleceń pokontrolnych,

5) ocena skuteczności kontroli funkcjonalnej,

6) ocena systemu zarządzania ryzykiem, kontroli wewnętrznej i ładu organizacyjnego.

18. Analiza mierników: wydajności, efektywności, osób i urządzeń, awaryjności urządzeń i utraconego czasu pracy, BHP, obrażeń i odszkodowań oraz absencji.

19. Testowanie nowych rozwiązań, projektów, systemów informatycznych przed ich wdrożeniem.

20. Zarządzanie bezpieczeństwem informacji szkolenie pracowników.

21. Analiza informacji przekazywanych od pracowników oraz pozyskiwanych od stron zewnętrznych: mieszkańców, klientów, dostawców, odbiorców usług, ekspertów, audytorów i konsultantów.

Podana powyżej lista mechanizmów kontrolnych stanowi przykładowy wzór do uzupełnienia i dostosowania do specyfiki komórki organizacyjnej.

Załącznik nr 3
do zarządzenia Nr 38
MKiDN
z dnia 27.07.2011 r.

Kwestionariusz Samooceny Kontroli Zarządczej

Treść załącznika w formie PDF do pobrania tutaj