NA.0811.1.2016.NOW Zarząd Infrastruktury Sportowej w Krakowie Ul. Walerego Sławka 10, 30-633 Kraków SPRAWOZDANIE Z WYKONANIA PLANU AUDYTU WEWNĘTRZNEGO ZA ROK 2015 1. Podstawowe informacje o komórce audytu wewnętrznego Lp. Imię i nazwisko Nazwa stanowiska Numer telefonu Adres poczty elektronicznej Wymiar czasu pracy Kwalifikacje zawodowe Udział w szkoleniach w roku sprawozdawczym (w dniach) 0 1 2 3 4 5 6 7 1 Agnieszka Nowokuńska Audytor wewnętrzny (0 12) 616 63 12 anowokunska@zis.krakow.pl 1 etat CFE, Egzamin MF 7 Czy w roku sprawozdawczym dokonywano udokumentowanej samooceny audytu wewnętrznego 2. Przeprowadzone zadania audytowe w roku sprawozdawczym Lp. Temat zadania audytowego Zadanie zapewniające (Z) albo czynność doradcza (D) Typ obszaru działalności Opis obszaru działalności wspomagającej Liczba audytorów wewnętrznych przeprowadzających zadanie audytowe TAK Czas przeprowadzenia zadania audytowego (w dniach) Plan Wykonanie Plan Wykonanie 1 2 3 4 5 6 7 8 9 1 Szkolenia i rozwój zawodowy pracowników Z Wspomagająca Zarządzanie 1 1 30 30 Wspomagająca Zarządzanie 2 Procedury informacji prawnie chronionej Z 1 1 30 30 3 Polityka Bezpieczeństwa Informacji kontynuacja Z 4 Bezpieczeństwo systemów teleinformatycznych audyt koordynowany UMK Z 5 6 7 Czynności doradcze związane z funkcjonowaniem w ZIS kontroli zarządczej (kierownicy i pracownicy) oraz koordynacja analizy ryzyka dla GMK ZIS Czynności doradcze związane z realizacją /aktualizacją procedur wewnętrznych ZIS. Pozostałe czynności doradcze związane z bieżącym funkcjonowaniem jednostki. Wspomagająca Wspomagająca Zarządzanie Zarządzanie 1 1 30 30 0 1 0 35 D Wspomagająca Zarządzanie 1 1 15 15 D Wspomagająca Zarządzanie 5 1 5 5 D Wspomagająca Zarządzanie 1 1 15 15
Lp. 3. Zidentyfikowanie istotnych ryzyk i słabości kontroli zarządczej (podstawowe zalecenia) Temat zadania zapewniającego lub przedmiot czynności doradczej Efekty przeprowadzenia zadania audytowego Podstawowe zalecenia lub opinie i wnioski 1.Prawidłowe klasyfikowanie i ewidencjonowanie zaplanowanych wydatków bieżących według prawidłowej klasyfikacji budżetowej zapewniając wiarygodność sprawozdań finansowych (przedstawienie faktycznych kosztów zadania - szkolenia ). 1. Szkolenia i rozwój zawodowy pracowników 2. Przygotowanie planów szkoleń działowych i zbiorczych zgodnie z obowiązującymi przepisami prawa oraz procedurą wewnętrzną i dostosowywanie ich do posiadanych na ten cel środków finansowych. 3.Każdorazowe postępowanie zgodnie z procedurą wewnętrzną, w szczególności w przedmiocie wykonywanych czynności przed i po odbyciu szkolenia/konferencji/kongresu. Pełne ewidencjonowanie certyfikatów/zaświadczeń z uczestnictwa w konferencji/szkoleniu/kongresie. 4. Zmodyfikowanie zapisów procedury wewnętrznej pod kątem ich aktualności oraz według przyjętych w sprawozdaniu ustaleń. 5. Doprowadzenie procedury do zgodności z zasobem informacyjnym mieszczącym się w wewnętrznej sieci intranetowej ZIS. 6. Bieżąca analiza ankiet ewaluacyjnych (po szkoleniu) w celu wyeliminowania np. organizatorów szkoleń, których jakość i ich organizacja jest najniżej punktowana i nie wpływa odpowiednio na wykonywane przez pracowników zadań. 2. Procedury informacji prawnie chronionej W zakresie informacji prawnie chronionej: 1. Ponowne zweryfikowanie w porozumieniu z Zespołem Radców Prawnych wszystkich informacji niejawnych występujących w ZIS. 2. Zaktualizowanie Regulaminu Organizacyjnego pod kątem faktycznego zakresu działania pracownika zatrudnionego na samodzielnym stanowisku ds. Obrony Cywilnej i Ochrony Informacji oraz zakresu czynności i odpowiedzialności stanowiska pracy. 3. Prawidłowe przeprowadzanie i dokumentowanie szkoleń w zakresie ochrony informacji niejawnych zgodnie z ustawą o ochronie informacji niejawnej. 4. Dokonanie zmian (modyfikacja/anulowanie) obowiązującego zarządzenia w przedmiocie ochrony informacji niejawnych w ZIS i dostosowanie go do obowiązującej ustawy o ochronie informacji niejawnej oraz działań ZIS w zakresie obowiązującej Polityki Bezpieczeństwa Informacji i występującego ryzyka. W zakresie informacji publicznej: 1. Terminowe realizowanie wniosków o udostępnienie informacji publicznej zgodnie z ustawą o dostępie do informacji publicznej. Egzekwowanie terminowej odpowiedzi na wniosek o udzielenie informacji publicznej z działu merytorycznego zwierającej datę udzielenia odpowiedzi. 2. Traktowanie informacji publikowanych w BIP jako skutecznego narzędzia w efektywnym prowadzeniu polityki informacyjnej ZIS. 3. Uzupełnienie informacji mieszczących się w BIP o informacje zakresie ponoszenia opłat w związku z udostępnieniem informacji publicznej wnioskodawcy. Dodatkowo rozważenie możliwości ustalenia i podania zasad naliczania kosztów, w związku z którymi wiąże się udostępnienie lub przekształcenie informacji publicznej w formę wskazana we wniosku.
4. Uzupełnienie informacji mieszczących się w BIP o informacje w zakresie odmowy udzielenia informacji publicznej oraz stosowania trybu odwoławczego w związku z brakiem udostępnienia informacji publicznej wnioskodawcy. 3. Polityka Bezpieczeństwa Informacji kontynuacja 1. Wprowadzenie w umowach i zleceniach zapisów o zachowaniu w tajemnicy danych osobowych oraz podpisywanie stosownych oświadczeń, upoważnień, w przypadku każdorazowego zawarcia umowy ze stroną trzecią na świadczenie usług czystości, ochrony mienia oraz realizacji drobnych zleceń na wszelkiego rodzaju drobne usługi np. konserwatorskie. 2. Bezwzględne przestrzeganie procedur wewnętrznych ZIS w zakresie PBI, Regulaminu Pracy oraz Rejestracji czasu pracy i przebywania na terenie ZIS poza godzinami pracy. Przeprowadzanie systematycznych szkoleń dla kadry zarządczej oraz pracowników z zasad bezpieczeństwa informacji obowiązujących w ZIS. 3.Sformalizowanie w zawieranych ze stronami trzecimi umowach czynności związanych z przekazywaniem/udostępnianiem danych osobowych indywidualnie lub firmie poprzez wprowadzenie w nich stosownych zapisów oraz przestrzeganie zapisów obowiązującej PBI w przedmiotowym zakresie. 4. Bezwzględne przestrzeganie procedur PBI w kontekście zgłaszania incydentów związanych bezpośrednio z naruszeniem zasad ochrony danych osobowych oraz prowadzenia stosownych rejestrów/raportów. Konieczność przeprowadzania szkoleń uświadamiających w przedmiotowym zakresie. 1. Sformalizowanie wykonania wszystkich czynności mieszczących się w zakresie procedur eksploatacyjnych funkcjonujących na podstawie wypracowanej w ZIS praktyki poprzez aktualizację PBI i wprowadzenie odpowiednich zapisów. 2. Wprowadzenie do PBI nowych zapisów ustanawiających strefy bezpieczeństwa fizycznego w ZIS oraz zapisów dotyczących wskazania lokalizacji urządzeń sieciowych /per strefa. 3. Rozważenie możliwości wdrożenia normy PN-ISO/IEC 27001. 4. Bezpieczeństwo systemów teleinformatycznych audyt koordynowany UMK 4. Rozważenie możliwości wdrożenia oprogramowania wspomagającego zarządzanie siecią w zakresie wdrożenia jednolitego standardu bezpieczeństwa sieci po uprzednim dokonaniu analizy możliwości rozwiązań dostępnych na rynku w zakresie zgodności z posiadanym w ZIS sprzętem. 5. Ewidencjonowanie wszystkich składników majątkowych tj. urządzeń sieciowych w programie EMID. 6. Rozważenie możliwości ustanowienia systemu kontroli opartego o zewnętrzny serwer AAA+ lokalna baza użytkowników. Powiązanie loginów użytkowników z konkretnym administratorem oraz zrezygnowanie z loginów domyślnych. 7. Rozważenie możliwości ograniczenia komunikacji zdalnej z urządzeniami za pomocą protokołu Telnet, 8. Ustanowienie standardu treści komunikatu typu banner. 9. Ustanowienie standardu zabezpieczeń w zakresie logowania zdarzeń na urządzeniach sieciowych. 10. Rozważenie możliwości wyłączenia usług, których wykorzystanie nie ma wyraźnego uzasadnienia biznesowego, 11. Niewykorzystane w danym momencie interfejsy Ethernetowe powinny posiadać status administratively down, tak aby uniemożliwić zmianę statusu interfejsu z up/down na up/up poprzez fizyczne podpięcie do nich innego urządzenia sieciowego.
5. Czynności doradcze związane z funkcjonowaniem w ZIS kontroli zarządczej(kierownicy i pracownicy) oraz koordynacja analizy ryzyka dla GMK-ZIS Sporządzenie analizy ryzyka ZIS będącej częścią składową mapy ryzyka dla Gminy Miejskiej Kraków. Dokonanie oceny funkcjonowania systemu kontroli zarządczej w jednostce. Aktualizacja ryzyk w ZIS wraz z określeniem czynności podjętych w celu obniżenia poziomu ryzyka. 6. Czynności doradcze związane z opracowywaniem/aktualizacją procedur wewnętrznych ZIS. _ 7. Pozostałe czynności doradcze związane z bieżącym funkcjonowaniem jednostki. _ 4. Przeprowadzone czynności sprawdzające w roku sprawozdawczym Lp. Temat zadania zapewniającego, którego dotyczą czynności sprawdzające Czas przeprowadzenia czynności sprawdzających (w dniach) plan wykonanie 0 1 2 3 1. Kompleksowa realizacja zadań w zakresie wycinki i nasadzeń drzew na terenach objętych inwestycjami realizowanymi przez ZIS 6 6 2. Ochrona danych osobowych w miejskich jednostkach organizacyjnych Zarządzie Infrastruktury Sportowej w Krakowie ( audyt koordynowany GMK) 6 6
5. Niezrealizowane zaplanowane zadania audytowe - Zadnie zapewniające pn: Planowanie, organizacja i rozliczanie imprez sportowych niezrealizowane w roku 2015 r z uwagi na duże obciążenie czasowe i osobowe związane z realizacją zdań zapewniających, w tym zadania koordynowanego GMK pn: Bezpieczeństwo systemów teleinformatycznych oraz z monitoringiem realizacji zaleceń wynikających z zadań audytowych z roku poprzedniego. W związku z powyższym przedmiotowe zadnie będzie rozpoczęte i kontynuowane w 2016 roku (zgodnie z Planem Audytu Wewnętrznego na 2016 rok), na które została przeznaczona większa ilość osobodni. - Czynności sprawdzające realizację zaleceń (audyt sprawdzający) z audytu pn: Kompleksowa realizacja zadań w zakresie sponsoringu (oferta, negocjacje, podpisanie umowy, realizacja umowy). Przedmiotowe czynności sprawdzające będą kontynuowane w 2016 roku (zgodnie z Planem Audytu Wewnętrznego na 2016 rok). 6. Istotne informacje dotyczące prowadzenia audytu wewnętrznego w roku sprawozdawczym W czerwcu 2015 roku dokonana została reorganizacja jednostki Zarządu Infrastruktury Sportowej w Krakowie usankcjonowana zmianą Regulaminu Organizacyjnego ZIS. 07.01.2016 r Agnieszka Nowokuńska (data) (podpis i pieczęć audytora wewnętrznego/koordynatora komórki audytu wewnętrznego) Krzysztof Kowal 07.01.2016 r (data) (podpis i pieczęć kierownika jednostki, w której zatrudniony jest audytor wewnętrzny )