Kontrola zarządcza w systemie finansów publicznych w Polsce Stan wiedzy na dzień 31.01.2011 Joanna Mrowicka Audytor wewnętrzny MF 206/2004, CGAP jmrowicka@poczta.onet.pl 0 602 24 12 39
Wymagania ustawy z dnia 27.08.2009r.o finansach publicznych (dalej: ufp) Art. 68 Nowej ustawy o finansach publicznych 1. Kontrolę zarządczą w jednostkach sektora finansów stanowi ogół działań podejmowanych dla zapewnienia realizacji celów i zadań w sposób zgodny z prawem, efektywny, oszczędny i terminowy. 2. Kontrola zarządcza zapewnia w szczególności 1) zgodność działalności z przepisami prawa oraz procedurami wewnętrznymi; 2) Skuteczność i efektywność działania; 3) Wiarygodność sprawozdań; 4) Ochronę zasobów; 5) Przestrzeganie i promowanie zasad etycznego postępowania; 6) Efektywność i skuteczność przepływu informacji; 7) Zarządzanie ryzykiem.
Kontrola zarządcza, czy kontrola finansowa? Publiczna Wewnętrzna Kontrola Finansowa (PWKF) Kontrola wewnętrzna Audyt wewnętrzny
Istnieją dwa poziomy kontroli zarządczej Poziom I Za kontrolę zarządcza odpowiada kierownik i jest to rodzaj władztwa jednostką. ZAPLANUJ WYKONAJ Realizowanie kontroli zarządczej, odbywa się to na wszystkich szczeblach, w zależności od kompetencji. SKORGUJ BŁĘDY I ZAPLANUJ PONOWNIE
Poziom II Odpowiedzialność za kontrolę zarządczą Zapewnienie kontroli zarządczej dla jednostek podległych (monitorowanie kontroli zarządczej)
Czym jest COSO? COSO (The Committee of Sponsoring Organizations of the Treadway Commission) to nazwa amerykańskiej organizacji zajmującej się tworzeniem dobrych praktyk oraz edukacją w zakresie przejrzystości organizacji. Organizacja powstała w 1985 roku z inicjatywy pięciu związków mających swoje siedziby w USA. Należą do nich: The American Accounting Association (AAA) The American Institute of Certified Public Accountans (AICPA) Financial Executives International (FEI) The Institute of Internal Auditors (IIA) The National Association of Accountans (now the Institute of Management Accountans [IMA])
COSO I COSO I jest modelem kontroli wewnętrznej, który jako pierwszy stał się ogólno dostępny i zaakceptowany przez specjalistów. Składa się z 5 wzajemnie połączonych elementów: środowisko wewnętrzne ocena ryzyka czynności kontrolne informacja i komunikacja monitorowanie Stosowanie powinno dać racjonalną pewność w zakresie osiągania celów: efektywności i skuteczności operacyjnej rzetelności sprawozdań finansowych zgodności z prawem i regulacjami
COSO II zarządzanie ryzykiem COSO II jest modelem kontroli wewnętrznej, który został wzbogacony o zasady zarządzania ryzykiem (ERM Enterprise Risk Management) Składa się z 8 wzajemnie połączonych elementów: środowisko wewnętrzne wyznaczanie celów identyfikacja zdarzeń ocena ryzyka odpowiedź na ryzyko mechanizmy kontrolne informacja i komunikacja monitoring
Kostka COSO I to model. Dla określonych jednostek i czynności w organizacji powinno stosować się każdy z pięciu komponentów w perspektywie osiągania celów operacyjnych związanych ze zgodnością w zakresie sprawozdawczości finansowej oraz wymogów prawnych. Źródło: http://www.pbsg.pl/temat-tygodnia/analiza-ryzyka/coso-i---ustawa-sox.html
W jaki sposób spełnić wymagania znowelizowanej UFP? POPRZEZ WDROŻENIE SYSTEMU KONTROLI ZARZĄDCZEJ ZGODNEGO Z MODELEM COSO ORGANIZACJA SPEŁNIA WYMAGANIA DOTYCZĄCE KONTROLI ZARZĄDCZEJ ORAZ ZARZĄDZANIA RYZYKIEM. Głównym celem tworzenia systemu kontroli wewnętrznej w jednostce jest dostarczenie racjonalnego zapewnienia, że cele organizacji są osiągane. Mówimy tutaj o racjonalnym poziomie pewności, czyli nigdy 100%, gdyż na prawdopodobieństwo osiągnięcia celów wpływają ograniczenia dotyczące wszystkich systemów kontroli wewnętrznej: możliwość popełnienia błędu, celowe ominięcie systemu kontroli przez pojedynczego pracownika lub zmowę kilku osób, możliwość obejścia systemu kontroli przez kierownictwo wyższego szczebla, potrzeba rozważenia relacji kosztów i korzyści z wdrożenia systemów kontroli wewnętrznej.
Ocena ryzyka Na podstawie prawdopodobieństwa i efektu określany jest poziom ryzyka, który służy pomocą przy klasyfikacji ryzyk. W uproszczeniu poziom ryzyka otrzymujemy poprzez zestawienie prawdopodobieństwa ze skutkami wystąpienia danego zdarzenia R= P x S / Ef prawdopodobieństwo i skutek wystąpienia ryzyka, efektywność środków kontroli Należy wziąć pod uwagę istniejące techniki postępowania z ryzykiem środki i mechanizmy kontroli ryzyka oraz ich skuteczność
Zarządzanie ryzykiem jako proces Zarządzanie ryzykiem nie jest procesem liniowym. Zarządzanie jednym ryzykiem może wpływać na inne, możliwe do osiągnięcia są też takie działania zarządzających, które są efektywne przy równoczesnym kontrolowaniu więcej niż jednego ryzyka.
Model zarządzania ryzykiem opracowany został na podstawie modelu ze sprawozdania wydziału strategii Strategy Unit z 2002 roku na temat ulepszania zdolności rządu do radzenia sobi z ryzykiem i niepewnością (Risk improving government s capability to handle risk and uncertainty).[1] Pomarańczowa Księga, Zarządzanie ryzykiem - zasady i koncepcje, Ministerstwo Skarbu Jej Królewskiej Mości, Copyright by Crown, 2004 s. 13
Jak postępować z ryzykiem? 1 2 3 Identyfikacja ryzyka, czyli uświadomienie sobie z jakimi ryzykami i ich możliwymi skutkami mamy do czynienia Pomiar ryzyka, czyli mierzenie prawdopodobieństwa i znaczenia jego skutków Hierarchizacja ryzyka, czyli uszeregowanie wyników pomiarów w celu alokacji zasobów i przejście do ZARZĄDZANIA RYZYKIEM
Aby jeszcze bardziej uwydatnić znaczenie ryzyka można posłużyć się kolorem tzw. mapa drogowa
Model koncepcji apetytu Koncepcja apetytu na ryzyko odgrywa kluczową rolę w osiąganiu efektywnego zarządzania ryzykiem i jej rozważenie jest konieczne przed zastanowieniem się, jak postępować wobec ryzyka. Koncepcję można analizować na różne sposoby, zależnie od tego, czy ryzyko (niepewność) uważana jest za zagrożenie, czy też za szansę: uwzględniając zagrożenia, koncepcja apetytu na ryzyko ujmuje poziom narażenia na ryzyko, który uważany jest za dopuszczalny i uzasadniony, jeśli ryzyko urzeczywistni się. W tym rozumieniu chodzi tu o porównanie kosztu (finansowego lub innego) ograniczania ryzyka z kosztem narażenia na nie w przypadku, gdyby takie narażenie stało się rzeczywistością, oraz o znalezienie możliwej do zaakceptowania równowagi; uwzględniając szanse, koncepcja obejmuje rozważania, na ile ktoś gotowy jest do aktywnego podjęcia ryzyka w celu uzyskania korzyści płynącej z nadarzającej się szansy.
Odpowiedź na ryzyko Zidentyfikowane i przeanalizowane ryzyka warto przedstawić w formie mapy ryzyka (najczęściej jest nią macierz ryzyk). Ryzyka, których współrzędne [prawdopodobieństwo i skutek/znaczenie] znalazły się na czerwonym polu wymagają natychmiastowego podjęcia działań. Tworzą one zbiór ryzyk krytycznych.
Odpowiedź na ryzyko Wyznaczenie ryzyk akceptowalnych i nieakceptowalnych Wyznaczenie poziomu akceptowalności ryzyka, czyli tzw. apetytu na ryzyko jest jednym z najistotniejszych elementów oceny ryzyka. Apetyt na ryzyko stanowi wielkość ryzyka, jakie organizacja jest gotowa podjąć w celu realizacji swojej misji lub wizji. Na tej podstawie dokonuje się podziału ryzyk na ryzyka akceptowalne i nieakceptowalne. Dla procesów o nieakceptowalnym poziomie ryzyka należy określić kilka elementów: Kto jest właścicielem procesu Gdzie proces jest realizowany Kto jest głównym odbiorcą usług wynikających z procesu Jaka jest przyczyna wystąpienia zagrożenia korupcyjnego Biorąc pod uwagę udział osób decyzyjnych, stopień sformalizowania oraz wpływ otoczenia na zagrożone procesy należy zaproponować działania zapobiegawcze lub korygujące.
Odpowiedź na ryzyko Metody postępowania z ryzykiem RYZYKO Unikanie ryzyka poprzez nierozpoczynanie lub niekontynuowanie działania je wywołującego Wykorzystanie okazji poprzez podjęcie decyzji o rozpoczęciu lub kontynuowanie działania, które spowoduje lub podwyższy ryzyko Nieakceptowalne Usunięcie źródła ryzyka Zmiana natury i wielkości prawdopodobieństwa PLAN POSTĘPOWANIA Z RYZYKIEM Dzielenie ryzyka z innymi kontrahentami Akceptowalne Pozostawienie obecnego ryzyka
Przykład Sposób postępowania z danym ryzykiem wystąpienia zdarzenia winien być opisany i udokumentowany w postaci planu postępowania z ryzykiem Proces Przyczyna zagrożenia Działania zapobiegawcze Planowanie i realizacja szkoleń Dowolność wyboru tematu szkoleń i realizatorów szkoleń 1. Ustalenie jednolitych kryteriów wyboru firm szkoleniowych 2. Decyzję o wyborze firmy szkoleniowej podejmują 3 osoby: Pracownik referatu kadr i szkoleń Kierownik referatu Dyrektor referatu
Zarządzanie ryzykiem to podejmowanie decyzji Unikanie ryzyka Zaprojektowanie procesu od nowa Zmiana charakteru ryzyka Kontrolowanie ryzyka Kontrola procesów Ustalenie wskaźników Podzielenie ryzyka Przeniesienie ryzyka na klientów Przeniesienie ryzyka na ubezpieczyciela W sektorze publicznym tylko te działania są możliwe
Co mierzyć? To ustawodawca określa zadania jsfp Usługa/produkt jest dostarczany obywatelowi Obywatel jest klientem Jak i czy mierzyć poziom satysfakcji tego klienta? Co to znaczy efektywnie? W administracji publicznej lub samorządowej nie można pracować wg zasady: jak najwięcej jak najtaniej
Odpowiedź na ryzyko Podstawową zasadą jest NO ONE SIZE FITS ALL czyli nie ma uniwersalnego modelu kontroli zarządczej
Odpowiedź na ryzyko Model Wydajności Audytu Wewnętrznego Internal Audit Capability Model zaleca budowanie systemu kontroli zarządczej w pięciu krokach: 1. Inicjowanie obawy kierownictwa na różnych poziomach struktury organizacyjnej, 2. Spisanie zagrożeń profesjonalny osąd wskazania, 3. Integracja stworzenie mapy ryzyk danej organizacji, 4. Zarządzanie wybór poziomu efektywności, który chcemy osiągnąć i wybór metody zarządzania, 5. Optymalizacja audyt kierujemy tam, gdzie ryzyko jest maksymalne.
Odpowiedź na ryzyko Ryzyko musimy mierzyć na każdym z poziomów organizacji To są różne ryzyka i inne metody pomiaru Najwyższe Kierownictwo pyta ZAWSZE o KOSZTY, A OCZEKUJE EFEKTÓW Kierownictwo średniego i niższego szczebla pyta o wydajność I EGZEKWUJE TO, ABY BYŁY EFEKTY
Odpowiedź na ryzyko Na poziomie kontroli zarządczej dla Najwyższego Kierownictwa możemy przeprowadzić następujące działania: 1. wskazanie zadań do realizacji i ich ujecie w planach, np.: finansowym, inwestycyjnym, remontowym itp., 2. ustalenie mierników skuteczności i efektywności działania
Wskaźniki koszty jednostki X koszty ogólne w [%] koszty funkcjonowania admin. koszty ogólne w [%] koszty utrzymania infrastruktury koszty ogólne w[%]
Na poziomie kierownictwa średniego i niższego szczebla wyznaczamy inne wskaźniki skuteczności, np.: ilość wydanych decyzji ilość decyzji uchylonych ilość wydanych decyzji ilość decyzji obarczonych wadami formalnymi ilość prowadzonych postępowań o udziel. zamówienia ilość postępowań unieważnionych
Istotność Istotna jest strata W sektorze finansów publicznych istotność można być określana ze względu na wartość, charakter lub kontekst. Istotność określana ze względu na wartość to jest kryterium oceny efektywnego wydatkowania środków, np.: próg 14 tysięcy euro, np.: badamy populację, której wartość skumulowana np. wydatków rzeczowych przekracza tę sumę. Próg istotności określa granicę tolerancji dla wartości nieprawidłowych stwierdzonych w badanej próbie, np. na 50 tys. euro wydanych na materiały biurowe 10 tys. było wydane w trybach bezprzetargowych.
Kontrola zarządcza to zbudowanie powiązań w jsfp pomiędzy strukturami (właścicielami procesów) a towarzyszącymi im procesami, a następnie: zdefiniowanie zagrożeń (ryzyk) przez zarządzających wszystkich szczebli ORAZ WDROŻENIE ZARZĄDZANIA RYZYKIEM W MOŻLIWYM ZAKRESIE.