piątek, 13 grudnia 2019

Kontrola zarządcza - samoocena

Kontrola zarządcza - samoocena


Autor: mkpol


Zgodnie ze standardami kontroli zarządczej zaleca się przeprowadzenie co najmniej raz w roku samooceny systemu kontroli zarządczej przez osoby zarządzające i pracowników jednostki. Samoocena powinna być ujęta w ramy procesu odrębnego od bieżącej działalności i udokumentowana.


Samoocena może dotyczyć zarówno procesów zachodzących w jednostce, jak i poszczególnych elementów systemu jakie uwzględnia kontrola zarządcza. W procesie samooceny biorą udział pracownicy jednostki bezpośrednio zaangażowani w daną działalność.

Należy zidentyfikować procesy krytyczne w działalności jednostki, które w pierwszej kolejności powinny być poddane przeglądowi i ocenie oraz opracować plan oceny systemu kontroli dla tych procesów.
Pracownikom biorącym udział w procesie samooceny powinno się zapewnić uprzednie szkolenia w tym zakresie. W przypadku samooceny środowiska wewnętrznego należy zapewnić anonimowość udzielanych przez uczestników odpowiedzi i wyrażanych opinii.

Ministerstwo Finansów podało na swojej stronie internetowej wytyczne do samooceny kontroli zarządczej. Zagadnienia zawarte w wytycznych odnoszą się do poszczególnych standardów kontroli i stanowią ich rozszerzenie. Jeśli całość standardów będziemy traktować jako wzorzec dla naszej jednostki, który należałoby osiągnąć w wyniku działań kontrolnych, to samoocena realizowana zgodnie z wytycznymi powinna ułatwić osiągnięcie optymalnego poziomu.

Poniżej przedstawiamy wybrane wytyczne do samooceny odnoszące się do dwóch standardów kontroli zarządczej: środowiska wewnętrznego i zarządzania ryzykiem.

ŚRODOWISKO WEWNĘTRZNE

Właściwe środowisko wewnętrzne w sposób zasadniczy wpływa na jakość kontroli zarządczej.

Przestrzeganie wartości etycznych

• Osoby zarządzające i pracownicy powinni być świadomi wartości etycznych przyjętych w jednostce i przestrzegać ich przy wykonywaniu powierzonych zadań.
• Osoby zarządzające powinny wspierać i promować przestrzeganie wartości etycznych dając dobry przykład codziennym postępowaniem i podejmowanymi decyzjami.


WYTYCZNE DO SAMOOCENY:

• W jednostce określono zasady postępowania w sytuacjach wątpliwych etycznie.
• Zasady odnoszą się na przykład do: właściwego wykorzystania zasobów, przyjmowania prezentów, kontaktów ze stronami postępowania, należytej staranności zawodowej, itp.
• Kwestie uczciwego i etycznego postępowania poruszane są na naradach z kierownikami komórek oraz na spotkaniach kierownictwa z pracownikami.
• Wszystkie ujawnione przypadki nieetycznego postępowania są piętnowane.
• Znaczenie uczciwości i wartości etycznych ma swoje odzwierciedlenie w kryteriach ocen okresowych pracowników.
• W przypadku stwierdzenia naruszenia przepisów prawa, zasad etycznych, regulaminów, procedur lub zasad postępowania przyjętych w jednostce, kierownik jednostki podejmuje odpowiednie kroki.

Struktura organizacyjna

• Struktura organizacyjna jednostki powinna być dostosowana do aktualnych celów i zadań. Zakres zadań, uprawnień i odpowiedzialności jednostek, poszczególnych komórek organizacyjnych jednostki oraz zakres podległości pracowników powinien być określony w formie pisemnej w sposób przejrzysty i spójny.

• Aktualny zakres obowiązków, uprawnień i odpowiedzialności powinien być określony dla każdego pracownika.

WYTYCZNE DO SAMOOCENY:

• Struktura organizacyjna jest adekwatna do wielkości jednostki i charakteru jej działalności. W szczególności:
- struktura organizacyjna jednostki jest w odpowiednim stopniu zdecentralizowana - stosownie do charakteru działalności,
- struktura organizacyjna ułatwia przepływ informacji w całej jednostce zarówno w kierunku pionowym jak i poziomym,
- o zmianach struktury organizacyjnej informowani są wszyscy pracownicy.
• Zakres zadań, uprawnień i odpowiedzialności najwyższego kierownictwa, a także poszczególnych komórek organizacyjnych został określony w jasny, przejrzysty i spójny sposób.
W szczególności został określony w formie pisemnej zakres zadań poszczególnych komórek organizacyjnych a także zakres zadań, uprawnień i odpowiedzialności ich kierowników.
• Kierownik jednostki ocenia okresowo strukturę organizacyjną jednostki i podejmuje działania w celu dostosowania jej do zmieniających się warunków.
• W jednostce zatrudniona jest odpowiednia liczba pracowników, w tym na stanowiskach związanych z nadzorem. W szczególności:
- kierownicy każdego szczebla mają czas na wykonywanie swoich obowiązków i zadań wynikających z zakresu ich odpowiedzialności,
- pracownicy są w stanie wykonać wyznaczone zadania nie pracując regularnie poza normalnymi godzinami pracy,
- kierownicy nie wykonują zadań przeznaczonych dla więcej niż jednej osoby.


Delegowanie uprawnień

• Należy precyzyjnie określić zakres uprawnień delegowanych poszczególnym osobom zarządzającym lub pracownikom. Zakres delegowanych uprawnień powinien być odpowiedni do wagi podejmowanych decyzji, stopnia ich skomplikowania i ryzyka z nimi związanego. Zaleca się delegowanie uprawnień do podejmowania decyzji, zwłaszcza tych o bieżącym charakterze.
• Przyjęcie delegowanych uprawnień powinno być potwierdzone podpisem.

WYTYCZNE DO SAMOOCENY:

• Kierownik jednostki przydziela uprawnienia lub obowiązki w zakresie gospodarki finansowej lub majątkowej odpowiednim pracownikom adekwatnie do celów i zadań jednostki. W szczególności:
- powierzenie uprawnień lub obowiązków dokonywane jest w drodze pisemnej, np. w formie upoważnienia, pełnomocnictwa,
- w jednostce prowadzony jest rejestr udzielonych upoważnień i pełnomocnictw,
- w upoważnieniu precyzyjnie i jednoznacznie określa się zakres przekazywanych uprawnień,
- przyjęcie uprawnień lub obowiązków przez pracownika jest potwierdzone jego podpisem,
- uprawnienia lub obowiązki są przekazywane na najniższy akceptowalny poziom, stosownie do szacowanego ryzyka, aby odciążyć kierownictwo od bieżących decyzji i dać możliwość skupienia się na decyzjach o charakterze strategicznym.
• Zakres udzielonych uprawnień lub obowiązków jest odpowiedni do zakresu ponoszonej odpowiedzialności. W szczególności:
- przyjęciu uprawnień lub obowiązków towarzyszy przyjęcie odpowiedzialności za podejmowane decyzje lub dokonywane czynności,
- kierownik jednostki jest świadomy, że ponosi odpowiedzialność za całość gospodarki finansowej jednostki, niezależnie od stopnia w jakim przekazał uprawnienia i obowiązki w zakresie gospodarki finansowej pracownikom jednostki.


ZARZĄDZANIE RYZYKIEM


Identyfikacja ryzyka

• Nie rzadziej niż raz w roku należy dokonać identyfikacji ryzyka w odniesieniu do celów i zadań. W przypadku działu administracji rządowej lub jednostki samorządu terytorialnego należy uwzględnić, że cele i zadania są realizowane także przez jednostki podległe lub nadzorowane. W przypadku istotnej zmiany warunków, w których funkcjonuje jednostka należy dokonać ponownej identyfikacji ryzyka.

WYTYCZNE DO SAMOOCENY:

• Kierownik jednostki zapewnia przeprowadzanie systematycznej identyfikacji ryzyka. W szczególności:
- identyfikacja ryzyka prowadzona jest w sposób planowy i systematyczny, nie rzadziej niż raz w roku,
- proces identyfikacji ryzyka jest dokumentowany,
- sposób, w jaki dokonuje się identyfikacji ryzyka, został zakomunikowany właściwym pracownikom,
- w procesie identyfikacji ryzyka wykorzystuje się ustalenia audytu wewnętrznego i zewnętrznego, wyniki ocen, kontroli itp.,
• W celu identyfikacji ryzyka kierownik jednostki może na przykład:
- powołać zespół, którego celem będzie identyfikacja ryzyka,
- wykorzystać metodę oddolnej identyfikacji ryzyka, w której identyfikacji ryzyka dokonują pracownicy na każdym szczeblu, a wyniki przekazywane są stopniowo w górę struktury organizacyjnej,
- organizować narady kierownictwa poświęcone identyfikacji ryzyka.
• Identyfikuje się zarówno ryzyko dotyczące całej jednostki, jak i ryzyko odnoszące się do każdego istotnego obszaru jej działalności, programu czy projektu.
• W procesie identyfikacji ryzyka zwraca się szczególną uwagę na kluczowe ryzyka związane z realizacją najważniejszych celów.
• W procesie identyfikacji uwzględnia się ryzyko wynikające ze zmian zachodzących zarówno w samej jednostce, jak i w jej otoczeniu.
• W jednostce prowadzi się identyfikację ryzyka dotyczącego systemów informatycznych. W szczególności rozważane są czynniki związane z:
- utrzymaniem ciągłości pracy systemów informatycznych,
- niekontrolowanym dostępem do zasobów informatycznych (wypływ danych z systemów, włamania do systemów, itp.),
- wykorzystaniem infrastruktury informatycznej, np. awaria sprzętu, niedopasowanie systemów do bazy sprzętowej, wykorzystywanie nielegalnego oprogramowania,
- rozwojem i wdrożeniem nowych systemów informatycznych, np. nieuprawnione wdrożenie zmian w oprogramowaniu i bazach danych.
• W procesie identyfikacji ryzyka rozważane są czynniki sprzyjające wystąpieniu ryzyka wynikającego ze źródeł zewnętrznych. W szczególności rozważane są czynniki związane z:
- infrastrukturą, np. zakłócenia w dostawach energii, przerwy w łączności telefonicznej, w dostępie do Internetu i poczty elektronicznej, zakłócenia w dojazdach pracowników,
- środowiskiem prawnym, np.: nowe przepisy prawa, zmiana przepisów, brak regulacji prawnej w danym zakresie, skomplikowane lub niejasne przepisy,
- „siłą wyższą", np.: pożar, powódź, huragan,
- innymi zagrożeniami zewnętrznymi, np.: działania przestępcze,
- dostawcami i usługodawcami, np.: niestabilne zaopatrzenie, częste zmiany dostawców.
• W procesie identyfikacji ryzyka rozważane są czynniki sprzyjające wystąpieniu ryzyka związanego z zarządzaniem. W szczególności rozważane są czynniki związane z:
- jakością zespołu zarządzającego, np.: niewystarczające kwalifikacje kierownictwa, częste zmiany na stanowiskach kierowniczych,
- organizacją jednostki, np.: nieadekwatna struktura organizacyjna, nieefektywny system przepływu informacji, znaczne zmiany w zakresie odpowiedzialności kierownictwa,
- zarządzaniem zasobami ludzkimi, np.: niesprawiedliwa praktyka wynagradzania, niskie wynagrodzenia, brak działań motywujących pracowników, nie zapewnianie odpowiednich szkoleń, niewystarczające możliwości rozwoju zawodowego pracowników, nieefektywna rekrutacja.
• W procesie identyfikacji ryzyka rozważa się inne czynniki, które mogą zwiększyć ryzyko, np:
- przekroczenie planowanych wydatków lub kosztów, niewykonanie planu dochodów,
- przypadki nieprawidłowości w przeszłości, np.: nieprawidłowe wydatki, naruszenie lub obejście procedur kontrolnych, naruszenie prawa lub regulacji wewnętrznych,
- czynniki ryzyka wrodzonego (wewnętrznego), np.: charakter działalności, wielkość jednostki, liczba pracowników.

Analiza ryzyka

• Zidentyfikowane ryzyka należy poddać analizie mającej na celu określenie prawdopodobieństwa wystąpienia danego ryzyka i możliwych jego skutków. Należy określić akceptowany poziom ryzyka.

WYTYCZNE DO SAMOOCENY:

• Zidentyfikowane ryzyka poddawane są gruntownej i całościowej analizie, mającej na celu określenie prawdopodobieństwa i możliwych skutków (znaczenia, wpływu) wystąpienia danego ryzyka. W szczególności:
- wyniki analizy ryzyka są dokumentowane,
- w analizę ryzyka zaangażowani są kierownicy poszczególnych działów (komórek) oraz właściwi pracownicy,
- każde ryzyko poddane analizie przypisywane jest do odpowiednich celów jednostki,
- analiza ryzyka obejmuje oszacowanie skutku ryzyka, tj. efektu lub rezultatu wystąpienia danego zdarzenia,
- analiza ryzyka obejmuje oszacowanie prawdopodobieństwa wystąpienia każdego ryzyka (łącznie z oszacowaniem częstotliwości jego występowania),
• Kierownik jednostki wyznaczył poziom ryzyka akceptowalnego dla jednostki, czyli stopień ryzyka, jaki jednostka gotowa jest podjąć („apetyt na ryzyko").
Przy określaniu apetytu na ryzyko uwzględniono sytuację jednostki, np.: wielkość budżetu, obowiązujące przepisy prawne, wielkość zatrudnienia, reputację jednostki, systemy informatyczne, znaczenie realizowanych projektów lub programów itp.

Reakcja na ryzyko

• W stosunku do każdego istotnego ryzyka powinno się określić rodzaj reakcji (tolerowanie, przeniesienie, wycofanie się, działanie). Należy określić działania, które należy podjąć w celu zmniejszenia danego ryzyka do akceptowanego poziomu.

WYTYCZNE DO SAMOOCENY:

• Zarządzający określił rodzaj reakcji w stosunku do danego ryzyka (np. przeniesienie, tolerowanie, działanie, wycofanie się). W szczególności:
- zostały zaplanowane i wdrożone odpowiednie działania w stosunku do każdego ryzyka, które nie może być przez jednostkę zaakceptowane, zgodnie z ustalonym rodzajem reakcji,
- w stosunku do ryzyk, do których jednostka podejmuje działania, zostały wdrożone odpowiednie mechanizmy kontrolne,
- mechanizmy kontrolne są proporcjonalne do ryzyka, które mają ograniczać, tj. koszty wdrożenia funkcjonowania danego mechanizmu nie są większe niż korzyści uzyskiwane dzięki niemu,
- kierownik jednostki monitoruje funkcjonowanie procesu zarządzania ryzykiem w jednostce.
• Dla każdego ryzyka został ustalony „właściciel", czyli osoba odpowiedzialna za zarządzanie tym ryzykiem.


Licencjonowane artykuły dostarcza Artelis.pl.

7 komentarzy:

  1. Ogólnie prowadząc firmę należy mieć wiele rzeczy na uwadze i przede wszystkim je kontrolować. Ja osobiście w swoim przedsiębiorstwie raz na jakiś czas zlecam audyt kadrowo-płacowy https://www.ca-staff.eu/uslugi/audyt-kadrowo-placowy aby mieć pełną świadomość tego co się dzieje w firmie.

    OdpowiedzUsuń
  2. Bardzo fajny wpis. Pozdrawiam.

    OdpowiedzUsuń
  3. Niestety j jeszcze nigdy nie miałem okazji przeprowadzać jakichkolwiek kontroli w moim przedsiębiorstwie. Jednak jak teraz widzę i fajnie to opisano na stronie https://finansowyview.pl/na-czym-polega-audyt-wewnetrzny-kiedy-sie-go-zleca/ to właśnie audyt wewnętrzny jest bardzo dobrą formą sprawdzenia stanu firmy.

    OdpowiedzUsuń
  4. Wydaje mi się, że jeśli chodzi o audyty to jak najbardziej warto jest je przeprowadzać. Więcej na temat na przykłąd przeprowadzania audytu płacowego dowiecie się z tego artykułu https://www.polskibiznes.info/kiedy-przeprowadzic-audyt-placowy/ i jak najbardziej polecam wam się z nim zapoznać

    OdpowiedzUsuń
  5. Jeśli chodzi o prowadzenie własnej firmy, moim zdaniem przyda się wam zajrzeć do tego artykułu http://www.blizejedukacji.pl/jak-zarzadzac-relacjami-z-klientem-mini-poradnik/ . Dowiecie się z niego jak odpowiednio zarządzać relacjami z klientami, co na pewno będzie przydatną wiedzą

    OdpowiedzUsuń
  6. Żeby założyć własną firmę trzeba się do tego odpowiednio przygotować.

    OdpowiedzUsuń
  7. Dobrze działająca organizacja to taka gdzie na bieżąco prowadzi się różnego rodzaju kontrole, weryfikuje to w jaki sposób poszczególne jednostki wywiązują się ze swoich obowiązków. Tyczy się to także a może przede wszystkim kadry zarządzającej.

    OdpowiedzUsuń