Starostwo Powiatowe w ul. Dworcowa 1 83-300 Kartuzy... (nazwa i adres jednostki sektora finansów publicznych, w której jest zatrudniony audytor wewnętrzny) A.1721.4.2013 Kartuzy, 2013.11.26 PLAN AUDYTU WEWNĘTRZNEGO NA ROK 2014 Janina Kwiecień (-) STAROSTA KARTUSKI Akceptuję (pieczątka i podpis kierownika jednostki, w której jest zatrudniony audytor wewnętrzny) Podstawa prawna Zgodnie z art.283 ust.1 ustawy z dnia 27 sierpnia 2009 roku o finansach publicznych do końca roku kierownik komórki audytu wewnętrznego w porozumieniu z kierownikiem jednostki przygotowuje na podstawie analizy ryzyka plan audytu na następny rok. Adrian Kłos (-) AUDYTOR WEWNĘTRZNY Sporządził (Audytor wewnętrzny)
2 Lp. 1. Jednostki sektora finansów publicznych objęte audytem wewnętrznym 1) Nazwa jednostki 1 2 1 Starostwo Powiatowe w (jednostka nadrzędna jednostka zatrudniająca audytora wewnętrznego) 2 Centrum Inicjatyw Edukacyjnych w 3 Dom Pomocy Społecznej w Kobysewie 4 Komenda Powiatowa Państwowej Straży Pożarnej w 5 Poradnia Psychologiczno-Pedagogiczna w 6 Powiatowe Centrum Pomocy Rodzinie w 7 Powiatowy Urząd Pracy w 8 Specjalny Ośrodek Szkolno-Wychowawczy w 9 Specjalny Ośrodek Szkolno-Wychowawczy w Żukowie 1) Należy wskazać jednostkę, w której jest zatrudniony audytor wewnętrzny, oraz jednostki objęte audytem wewnętrznym na podstawie - art. 287 ust. 1 ustawy. 2) Niepotrzebne skreślić. Działalność podstawowa obejmuje działalność merytoryczną, statutową charakterystyczną dla danej jednostki. Działalność wspomagająca obejmuje ogólnie rozumiany proces zarządzania jednostką, zapewnia sprawność i skuteczność działań w obszarze działalności podstawowej, np. zamówienia publiczne, zarządzanie kadrami. 3) Niepotrzebne skreślić. 4) Kolumnę 5 należy wypełnić tylko w przypadku wskazania w kolumnie 3: Działalność Wspomagająca. Wówczas należy wybrać odpowiednio: Gospodarka finansowa albo Zakupy, albo Zarządzenie mieniem, albo Bezpieczeństwo, albo Systemy informatyczne, albo Zarządzanie.
3 Lp. Nazwa jednostki 1 2 10 Powiatowy Inspektorat Nadzoru Budowlanego w 11 Zarząd Dróg Powiatowych w 12 Zespół Szkół Ogólnokształcących im. H.Derdowskiego w 13 Zespół Szkół Ponadgimnazjalnych im. rtm. W.Pileckiego w Przodkowie 14 Zespół Szkół Ponadgimnazjalnych w Sierakowicach 15 Zespół Szkół Ponadgimnazjalnych im. J.Wybickiego w Somoninie 16 Zespół Szkół Technicznych im. F.Ceynowy w 17 Zespół Szkół Zawodowych i Ogólnokształcących im.i Brygady Pancernej im.boh.westerplatte w 18 Zespół Szkół Zawodowych i Ogólnokształcących im. Książąt Pomorskich w Żukowie
4 2. Wyniki analizy obszarów ryzyka obszary działalności jednostki zidentyfikowane przez audytora wewnętrznego z określeniem szacowanego poziomu ryzyka w danym obszarze Część A Horyzontalna (załącznik 2A wyniki analizy ryzyka) Poniżej zamieszczono jedynie obszary o najwyższym ryzyku wykazanym na podstawie przeprowadzonej analizy (numeracja zgodna z załącznikiem - Obszary horyzontalne). Lp. Nazwa obszaru (ze wskazaniem nazwy jednostki, jeżeli to konieczne) Obszar działalności jednostki Typ obszaru działalności Opis obszaru działalności wspomagającej 4) 1 2 3 4 5 1-36 1-36 Zaspokajanie potrzeb wspólnoty samorządowej (obszary wymienione w załączniku nr 2A do PAW 2014 horyzontalnie) bezpieczeństwem informacji Wszystkie jednostki Podstawowa/ Wspomagająca 2) Podstawowa/ Wspomagająca 2) Obszary horyzontalne: 1-36 Obszary horyzontalne: 1-36 Poziom ryzyka w obszarze Wysoki/Średni/Niski 3) (średnia arytmetyczna) (28,67%) Wysoki/Średni/Niski 3 ) (54,95%)
5 Część B Wertykalna (załącznik 2B wyniki analizy ryzyka) Obszary od 37 do. Poniżej zamieszczono obszary o najwyższym ryzyku wykazanym na podstawie przeprowadzonej analizy (numeracja zgodna z załącznikiem - Obszary wertykalne). Obszar działalności jednostki Lp. Nazwa obszaru (ze wskazaniem nazwy jednostki, jeżeli to konieczne) Typ obszaru działalności 2) Podstawowa/ Wspomagająca Opis obszaru działalności wspomagającej 4) Poziom ryzyka w obszarze 3) Wysoki/Średni/Niski Obszar ryzyka Miejsce występowania - nazwa komórki organizacyjnej 2a 1 2 3 4 5 37-77 64 Zaspokajanie potrzeb wspólnoty samorządowej (obszary wymienione w załączniku nr 2B do PAW 2014 horyzontalnie) Zapewnienie warunków obsługi klientów i badanie jakości realizowanych usług. Szkolenie pracowników i indywidualne ścieżki kariery, jako element zarządzania kadrami. Starostwo Powiatowe w Podstawowa/ lub Wspomagająca 2) Obszary wertykalne: 37- Zadanie consultingowe Wspomagająca Zarządzanie Zadanie consultingowe Wspomagająca Zarządzanie Wysoki/Średni/Niski 3) (średnia arytmetyczna) (30,89%) Wysoki/Średni/Niski3) (67,06%) Wysoki/Średni/Niski3) (60,50%) 2a Na podstawie analizy wertykalnej
6 Obszar ryzyka Miejsce występowania - nazwa komórki organizacyjnej 2a 1 2 3 4 5 bezpieczeństwem informacji. bezpieczeństwem informacji. Wydział Organizacyjny/ Sekretarz Powiatu Wszystkie jednostki Wspomagająca Wspomagająca Bezpieczeństwo, Systemy informatyczne Bezpieczeństwo, Systemy informatyczne Wysoki/Średni/Niski3) (54,95%) Wysoki/Średni/Niski3) (54,95%) 3. Wyniki przeprowadzonej analizy zasobów osobowych Liczba osobodni w roku objętym planem audytu: w tym liczba osobodni dni przeznaczona na: Lp. Imię i nazwisko pracownika komórki audytu wewnętrznego Stanowisko Ogółem szkolenie i rozwój zawodowy czynności organizacyjne urlopy i inne nieobecności rezerwę czasową przeprowadzenie: zadań audytowych 3 czynności spr. 1 2 3 4 5 6 7 8 9 10 1. Adrian Kłos (MF 2/2004) Audytor wewnętrzny 264 8 15 35 2 200 4 3 Czas przeznaczony na przeprowadzenie zadań zapewniających i czynności doradczych
7 4.1 Planowane zapewniające 4. Planowane tematy audytu wewnętrznego Lp. Temat zapewniającego Nazwa obszaru Planowana liczba audytorów wewnętrznych przeprowadza jących zadanie Planowany czas przeprowadzenia (w dniach) Ewentualna potrzeba powołania rzeczoznawcy (w etatach) 1 2 3 4 5 6 7 1/Z/2014 2/Z/2014 3/Z/2014 4/Z/2014 18-36 1 2 3 Wydział Organizacyjny/ Sekretarz Powiatu Centrum Inicjatyw Edukacyjnych w Dom Pomocy Społecznej w Kobysewie Komenda Powiatowa Państwowej Straży Pożarnej w Uwagi 1/1 30 Tak/Nie 3) Starostwo Powiatowe w Obszar działania
8 Lp. Temat zapewniającego Nazwa obszaru Planowana liczba audytorów wewnętrznych przeprowadza jących zadanie Planowany czas przeprowadzenia (w dniach) Ewentualna potrzeba powołania rzeczoznawcy (w etatach) 1 2 3 4 5 6 7 5/Z/2014 6/Z/2014 7/Z/2014 8/Z/2014 9/Z/2014 4 5 6 7 8 Poradnia Psychologiczno- Pedagogiczna w Powiatowe Centrum Pomocy Rodzinie w Uwagi Powiatowy Urząd Pracy w Specjalny Ośrodek Szkolno- Wychowawczy w Specjalny Ośrodek Szkolno- Wychowawczy w Żukowie
9 Lp. Temat zapewniającego Nazwa obszaru Planowana liczba audytorów wewnętrznych przeprowadza jących zadanie Planowany czas przeprowadzenia (w dniach) Ewentualna potrzeba powołania rzeczoznawcy (w etatach) 1 2 3 4 5 6 7 10/Z/2014 11/Z/2014 12/Z/2014 13/Z/2014 14/Z/2014 9 10 11 12 13 Powiatowy Inspektorat Nadzoru Budowlanego w Zarząd Dróg Powiatowych w Zespół Szkół Ogólnokształcących im. H.Derdowskiego w Zespół Szkół Ponadgimnazjalnych im. rtm. W.Pileckiego w Przodkowie Zespół Szkół Ponadgimnazjalnych w Sierakowicach Uwagi
10 Lp. Temat zapewniającego Nazwa obszaru Planowana liczba audytorów wewnętrznych przeprowadza jących zadanie Planowany czas przeprowadzenia (w dniach) Ewentualna potrzeba powołania rzeczoznawcy (w etatach) 1 2 3 4 5 6 7 15/Z/2014 18/Z/2014 17/Z/2014 18/Z/2014 14 15 16 17 Zespół Szkół Ponadgimnazjalnych im. J.Wybickiego w Somoninie Zespół Szkół Technicznych im. F.Ceynowy w Zespół Szkół Zawodowych i Ogólnokształcących im.i Brygady Pancernej im.boh.westerplatte w Zespół Szkół Zawodowych i Ogólnokształcących im. Książąt Pomorskich w Żukowie Uwagi
11 4.2 Planowane czynności doradcze - *do realizacji w 2015 roku Planowana liczba audytorów wewnętrznych przeprowadzających czynności doradcze Planowany czas przeprowadzenia czynności doradczych Lp. Uwagi (w etatach) (w dniach) 1 2 3 4 1/C/2014 1/1 30* 2/C/2014 1/1 30* Temat doradczego 77 Zapewnienie warunków obsługi klientów i badanie jakości realizowanych usług. Obszar Wydział Organizacyjny i wszystkie komórki Starostwo Powiatowe w (67,06%) Temat doradczego 64 Szkolenie pracowników i indywidualne ścieżki kariery, jako element zarządzania kadrami. Obszar Wydział Organizacyjny i wszystkie komórki Starostwo Powiatowe w (60,50%) 5 Planowane czynności sprawdzające Lp. Temat zapewniającego, którego dotyczą czynności sprawdzające Nazwa obszaru Planowana liczba audytorów wewnętrznych przeprowadzających czynności sprawdzające Planowany czas przeprowadzenia czynności sprawdzających (w etatach) (w dniach) 1 2 3 4 5 6 1/S/2014 (4/Z/2013) Sprawdzenie realizacji zaleceń z poprzednich czynności audytorskich oraz bieżąca analiza obszaru. Sprawdzenie zasad wydatkowania środków budżetowych i zasad gospodarki finansowej w jednostce sektora finansów publicznych - Zespół Szkół Zawodowych im. J.Wybickiego w Somoninie. Uwagi 1/1 4 Brak uwag.
12 Lp. 6. Planowane obszary ryzyka, które powinny zostać objęte audytem wewnętrznym w kolejnych latach Nazwa obszaru Planowany rok przeprowadzenia audytu wewnętrznego 1 2 3 4 1 2 3 4 Zapewnienie warunków obsługi klientów i badanie jakości realizowanych usług. C Szkolenie pracowników i indywidualne ścieżki kariery, jako element zarządzania kadrami. C Zabezpieczenie i ochrona mienia, w tym zagadnienia przeciwpożarowe. Z Bieżące prowadzenie strony internetowej www.kartuskipowiat.com.pl, z wyjątkiem części BIP biuletynu informacji publicznej. Z 5 Wydział Kultury i Promocji. Z 6 Wydział Edukacji. Z 7 8 9 10 Zbieranie i przekazywanie meldunków o wynikach prowadzonych działań ratowniczych. Z Organizowanie konkursów na stanowiska dyrektorów oraz prowadzenie spraw kadrowych. Z Posiadanie pełnej i aktualnej informacji o infrastrukturze drogowej, komunikacyjnej, energetycznej i komunalnej na obszarze powiatu. Z Zespół Szkół Zawodowych i Ogólnokształcących im. Książąt Pomorskich. w Żukowie. Z 2015 2016 Uwagi
13 7. Informacja na temat cyklu audytu wewnętrznego. Rozporządzenie Ministra Finansów z dnia 1 lutego 2010 roku w sprawie przeprowadzania i dokumentowania audytu wewnętrznego w 7 ust.4 określa obowiązek wskazania czasu wyrażonego w latach, którym - odpowiednio przy niezmienionych zasobach osobowych komórki audytu wewnętrznego zostałyby przeprowadzone zapewniające we wszystkich obszarach ryzyka - cykl audytu. Oblicza się go na podstawie wzoru zgodnego z 7 ust.5 niniejszego rozporządzenia. W toku przeprowadzonej analizy ryzyka na 2014 rok wyodrębniono obszarów, z czego 78 dotyczy zadań zapewniających, zaplanowano 18 zadań audytowych, wszystkie mają charakter zapewniający. Oznacza to, że po zmianie harmonogramu, cykl audytu dla Starostwa Powiatowego w wynosi 4,33 lat. Przy obecnych zasobach audyt wewnętrzny, nie obejmie swym zakresem wszystkich potrzeb audytu. Wzrost ilości zadań audytora wynika ze zmian w przepisach prawa 4. Aktualnie dodatkowo przepisy nakazują stałe koncentrowanie się na obszarze IT. Nadal pozostają w obowiązkach audytora doradcze i inne zapewniające z pozostałego zakresu działań jednostki. 4 20 ust.2 pkt 14 Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. poz.526): zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań: ( ) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.
14 8. Informacje istotne dla prowadzenia audytu wewnętrznego uwzględniające specyfikę jednostki Niniejszy Plan Audytu Wewnętrznego na rok 2014 opracowano w oparciu o treść rozporządzenia Ministra Finansów z dnia 1 lutego 2010 roku w sprawie przeprowadzania i dokumentowania audytu wewnętrznego (Dz.U. Nr 21, poz.108). W opracowanym planie rocznym uwzględniono zmiany wynikające z treści ustawy z dnia 27 sierpnia 2009 roku o finansach publicznych (Dz.U Nr 157, poz. 1240 z późn.zm.). Jego kształt i strukturę oparto na poprzednich planach rocznych komórki. Jednocześnie postarano się połączyć wszystkie wymagania określone ustawą o finansach publicznych oraz wewnętrznymi procedurami audytu wewnętrznego, a także dotychczasową praktyką działania. Podstawowym założeniem obecnego planu rocznego jest obowiązek zrealizowania corocznego audytu wewnętrznego w zakresie IT, wynikającego z 20 ust.2 pkt 14 Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. poz.526). Średnia ocen dla analizy horyzontalnej wyniosło 28,67% a dla wertykalnej 30,89%. Takie parametry należy wg przyjętych współczynników uznać za niski poziom ryzyka rezydualnego dla wybranych obszarów. Zadanie związane z SZBI wykazały poziom 54,95%. Stąd wybrane zagadnienia do dalszych prac, jako wskazujące średni poziom ryzyka wyróżniają się na tle obrazu ogólnego audytowanej jednostki i pozostałych jednostek Powiatu Kartuskiego. W toku obecnej analizy wysokie oceny not uzyskały także o charakterze consultingowym. Brak czasu operacyjnego 2014 roku spowodował konieczność przesunięcia zadań consultingowych w planie strategicznym na 2015 rok. Audyt wewnętrzny starał się zwiększyć wydajność działań w toku strategii swojego działania w ostatnich latach, w 2012 roku zaplanowano 6 zadań, w 2013 powrócono do poprzednio realizowanych wielkości 5 zadań (z czego dwóch o charakterze doradczym). Zrealizowano zamiast tego 4 zapewniające i 1 zdanie sprawdzające. Spowodowane to było koniecznością realizacji dodatkowego zapewniającego bezpieczeństwem informacji (A.1720.3.2013) oraz usprawiedliwionymi nieobecnościami audytora wewnętrznego zatrudnionego w jednostce. Audytor wewnętrzny pracuje w wymiarze 1/1 etatu (1 osoba). Plan roczny i powiązane z nim upoważnienie daje audytorowi wewnętrznemu formalne przesłanki do wykonywania powierzonych mu obowiązków. Z tych powodów wynika konieczność opracowania w pierwszej kolejności Planu Rocznego i przeprowadzenie rocznej analizy ryzyka. Integralną częścią harmonogramu pracy na rok 2014 dla stanowiska audytu wewnętrznego jest upoważnienie roczne A.1721.5.2013. Niniejsze upoważnienie odnosi się przedmiotowo do wybranych w trakcie sporządzenia Planu rocznego tematów i obszarów audytu.
15 Plan Audytu Wewnętrznego na 2014 rok oparto na przeprowadzonej analizie wertykalnej (jednostkami) i horyzontalnej (wybór i ocena zadań jednostki zatrudniającej). Oba spojrzenia, wertykalne i horyzontalne, zazębiają się i w całości obejmują tzw. Potrzeby audytu wewnętrznego. Plan 2014 roku powiązano z poprzednim planem strategicznym na lata 2014 2015, zawartym w Planie rocznym audytu wewnętrznego na 2013 rok. Obowiązek zrealizowania corocznego audytu wewnętrznego w zakresie IT w 2014 roku, wynikający z 20 ust.2 pkt 14 Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, powoduje, że przeprowadzona analiza ryzyka posłużyła do ustalenia kolejności działań w planie strategicznym 2015-2016, gdyż plan 2014 roku jest jednorodny tematycznie ( bezpieczeństwem informacji). Wszystkie zidentyfikowane jednostki nadzorowane oraz wybrane wydziałów (komórek) Starostwa uznane zostały w toku niniejszej analizy, jako tzw. potrzeby audytu. Zostały one wymienione w załącznikach do niniejszego Planu nr 2A i 2B. Załączniki te obrazują proces przeprowadzania rocznej analizy ryzyka rezydualnego. Szerokie ujęcie środowiska audytu ma na celu kompleksowe objęcie całości zadań jednostki zatrudniającej audytora a w konsekwencji, daje możliwość identyfikacji ryzyk w obszarach zarówno w spojrzeniu horyzontalnym jak i wertykalnym. Takie działanie i analiza są zbliżone z powszechnie stosowanym w doktrynie audytu wewnętrznego modelem COSO. W tym też znaczeniu audytor odnosi się do funkcjonowania systemu kontroli zarządczej I i II stopnia w jednostce zatrudniającej. Łącznie w potrzebach audytu ujęto obszarów; obszary horyzontalne są obszarami działalności podstawowej, zaś wertykalne są obszarami działalności podstawowej lub wspomagającej. Przeprowadzenie analizy ryzyka dokonano w niżej opisany sposób: Ustalenie obowiązującego wzoru planu, jego metodologii, różnic i podobieństw do poprzednio sporządzanych analiz, w tym, w jakim stopniu powiązać plany strategiczne audytu wewnętrznego z obecnie przyjętą metodologią. Weryfikacja potrzeb audytu określenie obszarów horyzontalnych i wertykalnych. Ocena zadań planu rocznego i obowiązku zrealizowania corocznego audytu wewnętrznego w zakresie IT, wynikającego z 20 ust.2 pkt 14 Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. poz.526). Określenie tabel i współczynników wziętych pod uwagę przy niniejszej analizie (patrz załącznik nr 1 do niniejszego Planu). Ocena za pomocą macierzy ryzyka czynników: złożoności, ilości operacji finansowych, kwalifikacji pracowników, stabilności i kontroli. Ocena w 4 stopniowej skali, przy nadanych wagach kryteriów 0.25, 0.16, 0.25, 0.17 i 0.17. Ocena macierzy metodą dynamiczną czynników wg. kryteriów: daty ostatniego audytu, rankingu w poprzednim planie strategicznym, priorytetu kierownictwa oraz priorytetu audytora wewnętrznego (ocena ogólna).
16 W ten sposób ustalone wartości przypisane obszarom sprowadzono do wspólnego mianownika i wyznaczono ranking zadań zapewniających, wybierając do planu strategicznego po trzy wertykalne i jedno horyzontalne. Ostatnim etapem było sporządzenie projektu Planu Rocznego, podpisanie go, przedstawienie go Staroście Kartuskiemu oraz uzyskanie Jej podpisu wraz upoważnieniem rocznym do działania. Plan audytu wewnętrznego zgodnie z art.284 ufp stanowi informację publiczną i podlega publikacji w Biuletynie Informacji Publicznej jednostki. 2013.11.26 (data) Adrian Kłos (-) AUDYTOR WEWNĘTRZNY (pieczątka i podpis audytora wewnętrznego/) Załączniki: 1. Ocena ryzyka wskaźniki tabele 2. Roczna analiza ryzyka obszarów horyzontalna A, wertykalna B. 3. Wykresy i schematy