Rządowy projekt ustawy o finansach publicznych

Wstępny projekt
- "Kontrola wewnętrzna - zintegrowana koncepcja ramowa" oraz "Zarządzanie ryzykiem w
przedsiębiorstwie" - raporty opracowane przez Komitet Organizacji Sponsorujących Komisję
Treadway (Committee of Sponsoring Organizations of the Treadway Commission - COSO),
- "Wytyczne w sprawie standardów kontroli wewnętrznej w sektorze publicznym" - przyjęte w
2004 r. przez Międzynarodową Organizację Najwyższych Organów Kontroli/Audytu
(International Organization of Supreme Audit Institutions - INTOSAI).
Standardy przedstawiono w pięciu obszarach odpowiadających pięciu podstawowym elementom
systemu kontroli wewnętrznej, tj.:
- środowisko wewnętrzne,
- zarządzanie ryzykiem,
- mechanizmy
kontroli,
- informacja i komunikacja,
- monitorowanie i ocena.
Definicje i pojęcia
Zgodnie z art. 58 ustawy, kontrolę zarządczą w jednostkach sektora finansów publicznych
stanowi ogół działań podejmowanych dla zapewnienia realizacji celów i zadań w sposób zgodny
z prawem, efektywny, oszczędny i terminowy. Kontrola zarządcza zapewnia w szczególności:
zgodność działalności z przepisami prawa oraz procedurami wewnętrznymi, skuteczność i
efektywność działania, wiarygodność sprawozdań, ochronę zasobów, przestrzeganie i
promowanie zasad etycznego postępowania, efektywność i skuteczność przepływu informacji,
zarządzanie ryzykiem.
Takie ujęcie kontroli zarządczej nawiązuje do współczesnych koncepcji kontroli wewnętrznej,
prezentowanych w wymienionych wyżej powszechnie uznawanych standardach. W celu
prawidłowego ukazania relacji pomiędzy kontrolą zarządczą zdefiniowaną w przepisach ustawy,
a kontrolą wewnętrzną określoną w tych dokumentach, poniżej przytoczono definicję kontroli
wewnętrznej według "Wytycznych w sprawie standardów kontroli wewnętrznej w sektorze
publicznym" INTOSAI:
"Kontrola wewnętrzna jest integralnym procesem, na który ma wpływ zarząd jednostki oraz jej
personel. Jest ona zaprojektowana tak, aby odnosić się do ryzyk i dawać rozsądne zapewnienie,
że działania jednostki skierowane na wypełnianie jej misji pomagają jej również w osiągnięciu
następujących ogólnych celów:
- prowadzenie
uporządkowanej, etycznej, gospodarnej, skutecznej i wydajnej działalności,
- wypełnianie obowiązków związanych z odpowiedzialnością,
- zgodność z prawem i przepisami,
- ochrona zasobów przed utratą, niewłaściwym wykorzystaniem i zniszczeniem.
Kontrola wewnętrzna jest procesem dynamicznym i integralnym, który musi być ciągle
dostosowywany do zmian w organizacji. Kierownictwo i personel wszystkich szczebli muszą
mieć współudział w tym procesie odnoszenia się do ryzyk i dawania rozsądnego zapewnienia o
osiąganiu misji jednostki i jej ogólnych celów".
Pojęcie kontroli zarządczej należy zatem utożsamić z pojęciem kontroli wewnętrznej w ujęciu
międzynarodowych standardów.

Wstępny projekt
Charakter systemu kontroli zarządczej
System kontroli zarządczej powinien być wbudowany w strukturę jednostki. Skuteczność
kontroli zarządczej wymaga, aby zadania z nią związane dotyczyły bieżącej działalności
jednostki, tj. stanowiły część codziennych zadań wykonywanych przez pracowników na
wszystkich szczeblach organizacyjnych.
System kontroli zarządczej nie zamyka się wyłącznie w procedurach, instrukcjach czy
zarządzeniach kierownictwa. Skuteczność kontroli zarządczej zależy od sposobu, w jaki
kierownictwo i pracownicy jednostki wykonują obowiązki z nią związane.
System kontroli zarządczej, jako narzędzie wspomagające kierowanie jednostką, z uwagi na
ograniczenia swojej skuteczności, nie może dać całkowitej pewności, że cele jednostki zostaną
osiągnięte. Jednak pomimo tych ograniczeń, za pomocą skutecznego systemu kontroli zarządczej
można uzyskać rozsądny stopień pewności, że jednostka osiągnie swoje cele.
II. Standardy kontroli zarządczej
A. Środowisko wewnętrzne
Właściwe środowisko wewnętrzne jest fundamentem dla pozostałych elementów kontroli
zarządczej. Standardy w tym zakresie (pkt 1-5) dotyczą systemu zarządzania jednostką i jej
zorganizowania jako całości. rodowisko wewnętrzne w sposób zasadniczy determinuje jakość
kontroli zarządczej w jednostce.
1)
Uczciwość i inne wartości etyczne
Kierownik jednostki oraz pracownicy, wykonując powierzone im zadania i obowiązki,
kierują się osobistą i zawodową uczciwością. Kierownik jednostki poprzez przykład i
codzienne decyzje wspiera i promuje przyjęte w jednostce wartości etyczne oraz osobistą i
zawodową uczciwość pracowników. Pracownicy rozumieją, jakie zachowanie i
postępowanie jest uważane w jednostce za etyczne. Kierownik jednostki oraz pracownicy są
pozytywnie nastawieni do kontroli zarządczej i wspierają jej funkcjonowanie.
2)
Kompetencje
zawodowe
Kierownik jednostki oraz pracownicy posiadają taki poziom wiedzy, umiejętności i
doświadczenia, który pozwala im skutecznie i efektywnie wypełniać powierzone zadania i
obowiązki, a także rozumieć znaczenie systemu kontroli zarządczej. Proces zatrudnienia
prowadzony jest w taki sposób, który zapewnia wybór najlepszego kandydata na dane
stanowisko pracy. Kierownik jednostki zapewnia rozwijanie kompetencji zawodowych przez
pracowników jednostki.
3)
Struktura
organizacyjna
Zakres zadań, uprawnień i odpowiedzialności poszczególnych komórek organizacyjnych
jednostki oraz zakres sprawozdawczości jest określony w formie pisemnej w sposób
przejrzysty i spójny. Każdemu pracownikowi został przedstawiony na piśmie zakres jego
obowiązków, uprawnień i odpowiedzialności.
4)
Identyfikacja
zadań wrażliwych
Zostały zidentyfikowane zadania, przy wykonywaniu których pracownicy mogą być
szczególnie podatni na wpływy szkodliwe dla gospodarki finansowej lub wizerunku
jednostki oraz zostały ustanowione odpowiednie środki zaradcze. Zestawienie zadań
wrażliwych oraz procedury służące realizacji środków zaradczych zostały określone w
formie pisemnej i zapoznano z nimi pracowników.

Wstępny projekt
5)
Powierzenie
uprawnień
Zakres uprawnień powierzonych poszczególnym pracownikom jest precyzyjnie określony
oraz odpowiedni do wagi podejmowanych decyzji i ryzyka z nimi związanego. Przyjęcie
uprawnień jest potwierdzone podpisem pracownika.
B. Zarządzanie ryzykiem
Osiąganie celów każdej jednostki wiąże się z ryzykiem. Zarządzanie ryzykiem ma na celu
zwiększenie prawdopodobieństwa osiągnięcia celów jednostki. Standardy w obszarze
zarządzania ryzykiem (pkt 6-9) wskazują na niezbędne elementy tego procesu.
6)
Określanie celów i monitorowanie realizacji zadań
W jednostce sporządza się co najmniej roczny plan pracy jednostki określający poszczególne
cele i zadania jednostki, mierzalne wskaźniki lub kryteria ich realizacji, komórki
organizacyjne odpowiedzialne za ich realizację oraz zasoby, w szczególności osobowe,
finansowe, rzeczowe, przeznaczone do ich realizacji. Kierownik jednostki oraz wyznaczeni
pracownicy prowadzą bieżącą ocenę (monitoring) realizacji zadań za pomocą wyznaczonych
wskaźników lub kryteriów.
7)
Identyfikacja
ryzyka
Systematycznie, nie rzadziej niż raz w roku, dokonuje się identyfikacji zewnętrznego i
wewnętrznego ryzyka związanego z poszczególnymi celami i zadaniami jednostki,
dotyczącego zarówno działalności całej jednostki, jak i realizowanych przez jednostkę
konkretnych programów, projektów czy zadań. W przypadku istotnej zmiany warunków, w
których funkcjonuje jednostka, identyfikacja ryzyka jest ponawiana.
8)
Analiza
ryzyka
Zidentyfikowane ryzyka poddawane są analizie mającej na celu określenie możliwych
skutków i prawdopodobieństwa wystąpienia danego ryzyka. Kierownik jednostki lub
upoważnieni pracownicy określają akceptowany poziom ryzyka.

9) Reakcja na ryzyko i działania zaradcze
Określony został rodzaj reakcji w stosunku do każdego istotnego ryzyka (tolerowanie,
przeniesienie, wycofanie się, działanie). Kierownik jednostki lub upoważnieni pracownicy
określają działania, które należy podjąć w celu zmniejszenia danego ryzyka do
akceptowanego poziomu.
C. Mechanizmy kontroli
Standardy w tym zakresie (pkt 10-24) stanowią zestawienie podstawowych mechanizmów, które
mogą funkcjonować w ramach systemu kontroli zarządczej, nie tworząc jednak wyczerpującego
zbioru. System kontroli zarządczej powinien być elastyczny i dostosowany do specyficznych
potrzeb jednostki. Każdy mechanizm kontrolny funkcjonujący w jednostce powinien stanowić
odpowiedź na konkretne ryzyko, które jednostka zamierza ograniczyć. Koszty wdrożenia i
stosowania mechanizmów kontroli nie powinny być wyższe niż uzyskane dzięki nim korzyści.
Wśród mechanizmów kontroli wyodrębniono specyficzną ich grupę dotyczącą systemów
informatycznych (pkt 19-24). Należy jednak zaznaczyć, że w przypadku funkcjonowania
systemów informatycznych zastosowanie mogą mieć także ogólne mechanizmy kontroli.

Wstępny projekt
Ogólne mechanizmy kontroli

10)
Dokumentowanie systemu kontroli zarządczej
System kontroli zarządczej jednostki, w szczególności procedury, instrukcje, wytyczne
kierownictwa, zakresy obowiązków, jest dokumentowany, a dokumentacja ta jest łatwo
dostępna dla wszystkich pracowników, którym te informacje są niezbędne.

11)
Dokumentowanie i rejestrowanie operacji finansowych i gospodarczych
Wszystkie operacje finansowe i gospodarcze, a także inne znaczące zdarzenia, są rzetelnie
dokumentowane, a dokumentacja ta jest łatwo dostępna dla upoważnionych osób.
Dokumentacja jest pełna oraz umożliwia prześledzenie każdej operacji finansowej,
gospodarczej lub zdarzenia od samego początku, w trakcie ich trwania i po zakończeniu.
Operacje finansowe i gospodarcze i inne znaczące zdarzenia są bezzwłocznie rejestrowane i
prawidłowo klasyfikowane.

12)
Zatwierdzanie (autoryzacja) operacji finansowych
Kierownik jednostki lub upoważnieni przez niego pracownicy zatwierdzają wszelkie
operacje finansowe i gospodarcze przed ich realizacją. Poszczególne czynności związane z
realizacją operacji finansowych lub gospodarczych są wykonywane wyłącznie przez
pracowników do tego upoważnionych.
13)
Podział obowiązków
Kluczowe obowiązki dotyczące zatwierdzania (autoryzacji), realizacji i rejestrowania
(księgowania) operacji finansowych, gospodarczych i innych zdarzeń są rozdzielone
pomiędzy różnych pracowników, z uwzględnieniem obowiązków i odpowiedzialności
głównego księgowego jednostki określonych w przepisach prawa. W małych jednostkach,
zatrudniających zbyt mało pracowników, aby móc w pełni wdrożyć ten mechanizm kontroli,
kierownik jednostki rekompensuje te braki za pomocą innych mechanizmów. Sporządzone
jest zestawienie obowiązków, które w danej jednostce muszą być rozdzielone pomiędzy
różnych pracowników.
14)
Weryfikacje
Operacje finansowe, gospodarcze i inne istotne zdarzenia są weryfikowane przed i po
realizacji, np.: wielkość dostawy jest porównywana z zamówieniem; dane dotyczące
dostawy uwidocznione na fakturze porównywane są z danymi dotyczącymi przyjętej
dostawy; stan zapasów weryfikowany jest poprzez inwentaryzację.
15)
Nadzór
Prowadzony jest właściwy nadzór w ramach hierarchii służbowej, którego celem jest
upewnienie się, że zadania jednostki są właściwie realizowane. Właściwy nadzór obejmuje w
szczególności:
- jasne komunikowanie obowiązków, zadań i odpowiedzialności każdemu z pracowników i
systematyczną ocenę ich pracy w niezbędnym zakresie,
- zatwierdzanie wyników pracy w decydujących momentach w celu uzyskania
zapewnienia, że przebiega ona zgodnie z zamierzeniami.
16)
Rejestrowanie
odstępstw
Wszystkie przypadki, w których ze względu na nadzwyczajne okoliczności odstąpiono od
procedur, instrukcji lub wytycznych, są uzasadniane, dokumentowane i zatwierdzane przez
kierownika jednostki lub upoważnionego pracownika.
17)
Ciągłość działalności

Wstępny projekt
Zapewnione są odpowiednie mechanizmy, których celem jest utrzymanie, w każdym czasie i
okolicznościach, ciągłości działalności jednostki, w szczególności operacji finansowych i
gospodarczych.
18)
Ochrona
zasobów
Dostęp do zasobów finansowych, materialnych i informacyjnych jednostki mają wyłącznie
upoważnione osoby. Zostali wyznaczeni pracownicy odpowiedzialni za zapewnienie
ochrony i właściwego wykorzystania zasobów jednostki. Prowadzone są okresowe
porównania rzeczywistego stanu zasobów z zapisami w rejestrach (księgach).
Mechanizmy kontroli systemów informatycznych
19)
Kontrola
dostępu
W jednostce funkcjonują fizyczne lub logiczne mechanizmy kontroli, które ograniczają lub
wykrywają nieuprawniony dostęp do zasobów informatycznych (np. sprzętu, systemu,
aplikacji, danych) mające na celu ich ochronę przed nieautoryzowanymi zmianami, utratą
lub ujawnieniem.

20)
Kontrola oprogramowania systemowego
Wdrożono mechanizmy kontroli, które ograniczają i monitorują dostęp do oprogramowania
systemowego.

21)
Kontrola tworzenia i zmian w aplikacjach
W jednostce funkcjonują mechanizmy kontroli, które zapobiegają działaniom polegającym
na wprowadzaniu nieautoryzowanych aplikacji lub zmian w funkcjonujących aplikacjach i
wykrywają te działania.
22)
Podział obowiązków
Kluczowe obowiązki dotyczące funkcjonowania systemów informatycznych zostały
rozdzielone pomiędzy różne osoby, tak aby uniemożliwić nieuprawniony dostęp do zasobów
lub danych.
23)
Ciągłość działalności
Wdrożono mechanizmy, które w przypadku wystąpienia niespodziewanych zdarzeń
zapewniają, że najważniejsze operacje są prowadzone bez przeszkód lub zostaną wznowione
oraz, że najważniejsze dane są właściwie chronione.
24)
Kontrole
aplikacyjne
Poszczególne aplikacje użytkowe wyposażone są w odpowiednie mechanizmy kontroli,
których celem jest zapobieganie, wykrywanie i korygowanie błędów związanych z
przetwarzaniem i przepływem danych. Aplikacyjne mechanizmy kontroli funkcjonują na
etapie wprowadzania i przetwarzania danych, a także generowania informacji z systemu.
D. Informacja i komunikacja
Standardy w obszarze informacji i komunikacji (pkt 25-27) dotyczą zapewnienia wszystkim
pracownikom jednostki dostępu do informacji niezbędnych do wykonywania przez nich
obowiązków, w szczególności związanych z kontrolą zarządczą, a także zapewnienia
efektywnego systemu komunikacji zarówno wewnętrznej, jak i zewnętrznej. System komunikacji
powinien umożliwiać przepływ potrzebnych informacji wewnątrz jednostki, zarówno w kierunku
pionowym jak i poziomym. System efektywny to taki, który zapewnia nie tylko przepływ
informacji, ale także ich właściwe zrozumienie przez odbiorców.