Samoocena może dotyczyć zarówno procesów zachodzących w jednostce, jak i poszczególnych elementów systemu jakie uwzględnia kontrola zarządcza. W procesie samooceny biorą udział pracownicy jednostki bezpośrednio zaangażowani w daną działalność.
Należy zidentyfikować procesy krytyczne w działalności jednostki, które w pierwszej kolejności powinny być poddane przeglądowi i ocenie oraz opracować plan oceny systemu kontroli dla tych procesów.
Pracownikom biorącym udział w procesie samooceny powinno się zapewnić uprzednie szkolenia w tym zakresie. W przypadku samooceny środowiska wewnętrznego należy zapewnić anonimowość udzielanych przez uczestników odpowiedzi i wyrażanych opinii.
Ministerstwo Finansów podało na swojej stronie internetowej wytyczne do samooceny kontroli zarządczej. Zagadnienia zawarte w wytycznych odnoszą się do poszczególnych standardów kontroli i stanowią ich rozszerzenie. Jeśli całość standardów będziemy traktować jako wzorzec dla naszej jednostki, który należałoby osiągnąć w wyniku działań kontrolnych, to samoocena realizowana zgodnie z wytycznymi powinna ułatwić osiągnięcie optymalnego poziomu.
Poniżej przedstawiamy wybrane wytyczne do samooceny odnoszące się do dwóch standardów kontroli zarządczej: środowiska wewnętrznego i zarządzania ryzykiem.
ŚRODOWISKO WEWNĘTRZNE
Właściwe środowisko wewnętrzne w sposób zasadniczy wpływa na jakość kontroli zarządczej.
Przestrzeganie wartości etycznych
• Osoby zarządzające i pracownicy powinni być świadomi wartości etycznych przyjętych w jednostce i przestrzegać ich przy wykonywaniu powierzonych zadań.
• Osoby zarządzające powinny wspierać i promować przestrzeganie wartości etycznych dając dobry przykład codziennym postępowaniem i podejmowanymi decyzjami.
WYTYCZNE DO SAMOOCENY:
• W jednostce określono zasady postępowania w sytuacjach wątpliwych etycznie.
• Zasady odnoszą się na przykład do: właściwego wykorzystania zasobów, przyjmowania prezentów, kontaktów ze stronami postępowania, należytej staranności zawodowej, itp.
• Kwestie uczciwego i etycznego postępowania poruszane są na naradach z kierownikami komórek oraz na spotkaniach kierownictwa z pracownikami.
• Wszystkie ujawnione przypadki nieetycznego postępowania są piętnowane.
• Znaczenie uczciwości i wartości etycznych ma swoje odzwierciedlenie w kryteriach ocen okresowych pracowników.
• W przypadku stwierdzenia naruszenia przepisów prawa, zasad etycznych, regulaminów, procedur lub zasad postępowania przyjętych w jednostce, kierownik jednostki podejmuje odpowiednie kroki.
Struktura organizacyjna
• Struktura organizacyjna jednostki powinna być dostosowana do aktualnych celów i zadań. Zakres zadań, uprawnień i odpowie- dzialności jednostek, poszczególnych komórek organizacyjnych jednostki oraz zakres podległości pracowników powinien być określony w formie pisemnej w sposób przejrzysty i spójny.
• Aktualny zakres obowiązków, uprawnień i odpowiedzialności powinien być określony dla każdego pracownika.
WYTYCZNE DO SAMOOCENY:
• Struktura organizacyjna jest adekwatna do wielkości jednostki i charakteru jej działalności. W szczególności:
- struktura organizacyjna jednostki jest w odpowiednim stopniu zdecentralizowana - stosownie do charakteru działalności,
- struktura organizacyjna ułatwia przepływ informacji w całej jednostce zarówno w kierunku pionowym jak i poziomym,
- o zmianach struktury organizacyjnej informowani są wszyscy pracownicy.
• Zakres zadań, uprawnień i odpowiedzialności najwyższego kierownictwa, a także poszczególnych komórek organizacyjnych został określony w jasny, przejrzysty i spójny sposób.
W szczególności został określony w formie pisemnej zakres zadań poszczególnych komórek organizacyjnych a także zakres zadań, uprawnień i odpowiedzialności ich kierowników.
• Kierownik jednostki ocenia okresowo strukturę organizacyjną jednostki i podejmuje działania w celu dostosowania jej do zmieniających się warunków.
• W jednostce zatrudniona jest odpowiednia liczba pracowników, w tym na stanowiskach związanych z nadzorem. W szczególności:
- kierownicy każdego szczebla mają czas na wykonywanie swoich obowiązków i zadań wynikających z zakresu ich odpowiedzialności,
- pracownicy są w stanie wykonać wyznaczone zadania nie pracując regularnie poza normalnymi godzinami pracy,
- kierownicy nie wykonują zadań przeznaczonych dla więcej niż jednej osoby.
Delegowanie uprawnień
• Należy precyzyjnie określić zakres uprawnień delegowanych poszczególnym osobom zarządzającym lub pracownikom. Zakres delegowanych uprawnień powinien być odpowiedni do wagi podejmowanych decyzji, stopnia ich skomplikowania i ryzyka z nimi związanego. Zaleca się delegowanie uprawnień do podejmowania decyzji, zwłaszcza tych o bieżącym charakterze.
• Przyjęcie delegowanych uprawnień powinno być potwierdzone podpisem.
WYTYCZNE DO SAMOOCENY:
• Kierownik jednostki przydziela uprawnienia lub obowiązki w zakresie gospodarki finansowej lub majątkowej odpowiednim pracownikom adekwatnie do celów i zadań jednostki. W szczególności:
- powierzenie uprawnień lub obowiązków dokonywane jest w drodze pisemnej, np. w formie upoważnienia, pełnomocnictwa,
- w jednostce prowadzony jest rejestr udzielonych upoważnień i pełnomocnictw,
- w upoważnieniu precyzyjnie i jednoznacznie określa się zakres przekazywanych uprawnień,
- przyjęcie uprawnień lub obowiązków przez pracownika jest potwierdzone jego podpisem,
- uprawnienia lub obowiązki są przekazywane na najniższy akceptowalny poziom, stosownie do szacowanego ryzyka, aby odciążyć kierownictwo od bieżących decyzji i dać możliwość skupienia się na decyzjach o charakterze strategicznym.
• Zakres udzielonych uprawnień lub obowiązków jest odpowiedni do zakresu ponoszonej odpowiedzialności. W szczególności:
- przyjęciu uprawnień lub obowiązków towarzyszy przyjęcie odpowiedzialności za podejmowane decyzje lub dokonywane czynności,
- kierownik jednostki jest świadomy, że ponosi odpowiedzialność za całość gospodarki finansowej jednostki, niezależnie od stopnia w jakim przekazał uprawnienia i obowiązki w zakresie gospodarki finansowej pracownikom jednostki.
ZARZĄDZANIE RYZYKIEM
Identyfikacja ryzyka
• Nie rzadziej niż raz w roku należy dokonać identyfikacji ryzyka w odniesieniu do celów i zadań. W przypadku działu administracji rządowej lub jednostki samorządu terytorialnego należy uwzględnić, że cele i zadania są realizowane także przez jednostki podległe lub nadzorowane. W przypadku istotnej zmiany warunków, w których funkcjonuje jednostka należy dokonać ponownej identyfikacji ryzyka.
WYTYCZNE DO SAMOOCENY:
• Kierownik jednostki zapewnia przeprowadzanie systematycznej identyfikacji ryzyka. W szczególności:
- identyfikacja ryzyka prowadzona jest w sposób planowy i systematyczny, nie rzadziej niż raz w roku,
- proces identyfikacji ryzyka jest dokumentowany,
- sposób, w jaki dokonuje się identyfikacji ryzyka, został zakomunikowany właściwym pracownikom,
- w procesie identyfikacji ryzyka wykorzystuje się ustalenia audytu wewnętrznego i zewnętrznego, wyniki ocen, kontroli itp.,
• W celu identyfikacji ryzyka kierownik jednostki może na przykład:
- powołać zespół, którego celem będzie identyfikacja ryzyka,
- wykorzystać metodę oddolnej identyfikacji ryzyka, w której identyfikacji ryzyka dokonują pracownicy na każdym szczeblu, a wyniki przekazywane są stopniowo w górę struktury organizacyjnej,
- organizować narady kierownictwa poświęcone identyfikacji ryzyka.
• Identyfikuje się zarówno ryzyko dotyczące całej jednostki, jak i ryzyko odnoszące się do każdego istotnego obszaru jej działalności, programu czy projektu.
• W procesie identyfikacji ryzyka zwraca się szczególną uwagę na kluczowe ryzyka związane z realizacją najważniejszych celów.
• W procesie identyfikacji uwzględnia się ryzyko wynikające ze zmian zachodzących zarówno w samej jednostce, jak i w jej otoczeniu.
• W jednostce prowadzi się identyfikację ryzyka dotyczącego systemów informatycznych. W szczególności rozważane są czynniki związane z:
- utrzymaniem ciągłości pracy systemów informatycznych,
- niekontrolowanym dostępem do zasobów informatycznych (wypływ danych z systemów, włamania do systemów, itp.),
- wykorzystaniem infrastruktury informatycznej, np. awaria sprzętu, niedopasowanie systemów do bazy sprzętowej, wykorzystywanie nielegalnego oprogramowania,
- rozwojem i wdrożeniem nowych systemów informatycznych, np. nieuprawnione wdrożenie zmian w oprogramowaniu i bazach danych.
• W procesie identyfikacji ryzyka rozważane są czynniki sprzyjające wystąpieniu ryzyka wynikającego ze źródeł zewnętrznych. W szczególności rozważane są czynniki związane z:
- infrastrukturą, np. zakłócenia w dostawach energii, przerwy w łączności telefonicznej, w dostępie do Internetu i poczty elektronicznej, zakłócenia w dojazdach pracowników,
- środowiskiem prawnym, np.: nowe przepisy prawa, zmiana przepisów, brak regulacji prawnej w danym zakresie, skomplikowane lub niejasne przepisy,
- „siłą wyższą", np.: pożar, powódź, huragan,
- innymi zagrożeniami zewnętrznymi, np.: działania przestępcze,
- dostawcami i usługodawcami, np.: niestabilne zaopatrzenie, częste zmiany dostawców.
• W procesie identyfikacji ryzyka rozważane są czynniki sprzyjające wystąpieniu ryzyka związanego z zarządzaniem. W szczególności rozważane są czynniki związane z:
- jakością zespołu zarządzającego, np.: niewystarczające kwalifikacje kierownictwa, częste zmiany na stanowiskach kierowniczych,
- organizacją jednostki, np.: nieadekwatna struktura organizacyjna, nieefektywny system przepływu informacji, znaczne zmiany w zakresie odpowiedzialności kierownictwa,
- zarządzaniem zasobami ludzkimi, np.: niesprawiedliwa praktyka wynagradzania, niskie wynagrodzenia, brak działań motywujących pracowników, nie zapewnianie odpowiednich szkoleń, niewystarczające możliwości rozwoju zawodowego pracowników, nieefektywna rekrutacja.
• W procesie identyfikacji ryzyka rozważa się inne czynniki, które mogą zwiększyć ryzyko, np:
- przekroczenie planowanych wydatków lub kosztów, niewykonanie planu dochodów,
- przypadki nieprawidłowości w przeszłości, np.: nieprawidłowe wydatki, naruszenie lub obejście procedur kontrolnych, naruszenie prawa lub regulacji wewnętrznych,
- czynniki ryzyka wrodzonego (wewnętrznego), np.: charakter działalności, wielkość jednostki, liczba pracowników.
Analiza ryzyka
• Zidentyfikowane ryzyka należy poddać analizie mającej na celu określenie prawdopodobieństwa wystąpienia danego ryzyka i możliwych jego skutków. Należy określić akceptowany poziom ryzyka.
WYTYCZNE DO SAMOOCENY:
• Zidentyfikowane ryzyka poddawane są gruntownej i całościowej analizie, mającej na celu określenie prawdopodobieństwa i możliwych skutków (znaczenia, wpływu) wystąpienia danego ryzyka. W szczególności:
- wyniki analizy ryzyka są dokumentowane,
- w analizę ryzyka zaangażowani są kierownicy poszczególnych działów (komórek) oraz właściwi pracownicy,
- każde ryzyko poddane analizie przypisywane jest do odpowiednich celów jednostki,
- analiza ryzyka obejmuje oszacowanie skutku ryzyka, tj. efektu lub rezultatu wystąpienia danego zdarzenia,
- analiza ryzyka obejmuje oszacowanie prawdopodobieństwa wystąpienia każdego ryzyka (łącznie z oszacowaniem częstotliwości jego występowania),
• Kierownik jednostki wyznaczył poziom ryzyka akceptowalnego dla jednostki, czyli stopień ryzyka, jaki jednostka gotowa jest podjąć („apetyt na ryzyko").
Przy określaniu apetytu na ryzyko uwzględniono sytuację jednostki, np.: wielkość budżetu, obowiązujące przepisy prawne, wielkość zatrudnienia, reputację jednostki, systemy informatyczne, znaczenie realizowanych projektów lub programów itp.
Reakcja na ryzyko
• W stosunku do każdego istotnego ryzyka powinno się określić rodzaj reakcji (tolerowanie, przeniesienie, wycofanie się, działanie). Należy określić działania, które należy podjąć w celu zmniejszenia danego ryzyka do akceptowanego poziomu.
WYTYCZNE DO SAMOOCENY:
• Zarządzający określił rodzaj reakcji w stosunku do danego ryzyka (np. przeniesienie, tolerowanie, działanie, wycofanie się). W szczególności:
- zostały zaplanowane i wdrożone odpowiednie działania w stosunku do każdego ryzyka, które nie może być przez jednostkę zaakceptowane, zgodnie z ustalonym rodzajem reakcji,
- w stosunku do ryzyk, do których jednostka podejmuje działania, zostały wdrożone odpowiednie mechanizmy kontrolne,
- mechanizmy kontrolne są proporcjonalne do ryzyka, które mają ograniczać, tj. koszty wdrożenia funkcjonowania danego mechanizmu nie są większe niż korzyści uzyskiwane dzięki niemu,
- kierownik jednostki monitoruje funkcjonowanie procesu zarządzania ryzykiem w jednostce.
• Dla każdego ryzyka został ustalony „właściciel", czyli osoba odpowiedzialna za zarządzanie tym ryzykiem.