System. Ale jaki? Narzędzia IT w kontroli zarządczej.
Niniejszy artykuł powstał jako materiał ilustrujący wystąpienie na X Krajowej Konferencji Kontroli Zarządczej w dniu 19 czerwca 2020. Jego zadaniem jest ujęcie wybranych wymogów jakie powinny być stawiane systemom wspomagających budowę i utrzymanie systemu kontroli zarządczej. Poszczególne zagadnienia ilustrowane są odniesieniami do naszego systemu, ale TechneSystem nie realizuje wszystkich przedstawionych w artykule funkcjonalności.
Przedstawione niżej wymogi to z pewnością katalog niekompletny a już na pewno nie jest to SIWZ.
Są to raczej zagadnienia do przemyślenia, zagadnienia które warto uwzględnić decydując się na zakup czy też budowę systemu informatycznego "pod klucz". Pozwalam sobie ułożyć wymogi wobec systemu informatycznego w pewnym oderwaniu od wymogów stawianych kontroli zarządczej - wierzę że pewne działania mają sens nawet jeśli nie są wymogiem prawnym. Z założenia opisywany system nie służy wyłącznie jednostkom audytu wewnętrznego czy osobom zajmującym się kontrolą wewnętrzną.
Ale dlaczego nie zapewnić sobie środowiska, gdzie dowody leżą w zasięgu ręki?
Artykuł rozpocznę od odniesienia do obszernego fragmentu komunikatu nr 23 Ministra Finansów z dnia 16 grudnia 2009 r. (proszę wybaczyć jeśli żyję przeszłością) w sprawie standardów kontroli zarządczej dla sektora finansów publicznych. Chodzi mi o przemapowanie standardów kontroli zarządczej na wymogi dotyczące systemów informatycznych. Oryginał dokumentu znajduje się na stronie:
https://www.gov.pl/web/finanse/standardy-i-wytyczne-kontrola-zarzadcza
W dalszej części (głównie w nagłówkach) będę odnosił się do poszczególnych jego punktów stąd są one dla wygody czytelnika zamieszczone na końcu tego artykułu
Komunikacja i współpraca II.D
System informatyczny w swojej istocie zawsze służy do komunikacji. Czasami jest to komunikacja człowieka z systemem a czasami między jego użytkownikami. Nie inaczej więc będzie w systemie wspierającym organizację i działanie systemu kontroli zarządczej.
Jako, że jestem zwolennikiem informatyzacji od podstaw uważam, że punktem wyjścia organizacji systemu kontroli zarządczej powinna być polityka informacyjna. System jaki zamówimy powinien umożliwiać przynajmniej przechowywanie, publikowanie i nadzór nad procesem zmian polityki informacyjnej.
Ustanowione w polityce informacyjnej kanały komunikacji powinny uwzględniać potrzeby kontroli zarządczej. Powinny zapewnić bezpieczną wewnętrzną komunikację miedzy poszczególnymi użytkownikami. Powinny umożliwić docieranie z informacja do grup użytkowników oraz komunikację w obrębie grup roboczych. Jeśli takiego systemu komunikacji nie ma taki wymóg wobec zamawianego systemu powinien się pojawić. Nawet jeśli będzie wykorzystywany wyłącznie w procesach kontroli zarządczej.
Komunikacja powinna być nadzorowana. Jest to stosunkowo łatwe w komunikacji elektronicznej, trudniejsze w przypadku komunikacji papierowej - ale w tym celu stworzono rejestry korespondencji. Jeśli organizacja nie posiada ich w formie elektronicznej to może warto włączyć taki wymóg do listy wymagań.
Repozytoria procedur i legislacji wewnętrznych II.D.17
System powinien umożliwiać utrzymanie repozytoriów procedur i legislacji wewnętrznych, w szczególności w takim repozytorium powinno być miejsce na misję organizacji. Powinno to być jedyne źródło tych dokumentów dla całej organizacji. Każda zmiana w takich repozytoriach powinna być śledzona i odnotowywana. System powinien umożliwić oddanie poszczególnych repozytoriów innym grupom roboczym i pozwolić na odstęp do informacji wskazanym grupom użytkowników.
Cele i odpowiedzialność II.B.6
System powinien umożliwiać tworzenie struktur opisujących cele jednostki na zasadzie konstrukcji od ogółu do szczegółu i powierzanie ich pracownikom w formie rozliczalnych zadań zarówno do wykonania jak i do nadzoru nad wykonaniem.
Każde zadanie jest miejscem gdzie można gromadzić dokumenty, decyzje, zamieszczać komentarze - jest samodzielna sprawą.
Każdy pracownik powinien widzieć listę powierzonych mu zadań, powinien móc oznaczać stopień ich realizacji.
Każde zadanie realizowane przez pracownika jednostki powinno móc być kojarzone z celem jednostki.
System powinien pozwalać na bieżące rozliczanie pracowników z realizacji powierzonych im celów.
System powinien pozwalać na monitorowanie realizacji celów organizacji.
Procesy biznesowe II.C.12
Osobiście uważam zarządzanie procesowe za zasadniczy element zarządzania organizacją. Organizacje, które nie są na poziomie komunikatywnym świadome swoich procesów nie mają szansy na racjonalne zarządzanie zmianą, optymalizację procesów a co za tym idzie kosztów. Wszelkie zmiany w działaniu organizacji powinny być poprzedzone modyfikacją procesów biznesowych (czy też jeśli kogoś razi w nazwie biznes to procesów administracyjnych).
Procesy powinny być zarządzane w systemie przynajmniej w zakresie centralnego repozytorium map procesów oraz wskazania osób za nie odpowiedzialnych.
Dany proces czy grupa procesów powinny umożliwiać ich selektywne udostępnienie określonym grupom odbiorców.
Optymalne jest gdy system umożliwia realizację przynajmniej części modelowanych procesów - np umożliwia obsługę procesów decyzyjnych w wybranych obszarach.
Ewidencje aktywów II.C.13
System powinien umożliwiać tworzenie ewidencji dowolnych aktywów z możliwością wersjonowania wpisów oraz tworzeniem ustrukturalizowanych pól informacyjnych dedykowanych konkretnym ewidencjom. Każde aktywo powinno mieć wskazaną osobę odpowiedzialną.
Organizacja, która nie jest świadoma swoich aktywów nie może nimi zarządzać a w szczególności może pominąć ryzyka z tym aktywem związane.
Podobnie jak w przypadku legislacji wewnętrznych i procedur, każda zmiana w takich ewidencjach powinna być monitorowana i odnotowywana.
System powinien umożliwić oddanie poszczególnych ewidencji innym grupom roboczym i pozwolić na dostęp do informacji wskazanym grupom użytkowników.
Analiza ryzyk II.B.7,8,9
System powinien pozwalać zarządzać ryzykami - najlepiej w zgodzie z normą ISO 31000. Istotne jest aby w proces analizy ryzyka włączyć całą organizację - każdy użytkownik powinien móc zgłosić potencjalne ryzyko. Ważne aby system umożliwiał budowę spójnego systemu oceny ryzyka dla wszystkich obszarów działania jednostki. Dobrze aby miał funkcje, które pozwalają śledzić jak rozwija się rozumienie zagrożenia w trakcie kolejnych ocen i jakie działania zaradcze są podejmowane. Dobrze aby dało się wiązać identyfikowane ryzyka z wymogami prawnymi czy wymogami norm. Takie funkcjonalności znakomicie ułatwiają wykazanie działań podejmowanych w odpowiedzi na konkretne wymogi stawiane organizacji.
Działania zaradcze powinny stać się zadaniami włączanymi do celów stawianym poszczególnym pracownikom. W ten sposób koncepcja zarządzania poprzez ryzyka zaczyna współdziałać z koncepcją zarządzania poprzez cele.
System powinien posiadać rejestry incydentów i zidentyfikowanych problemów - nie tylko incydentów bezpieczeństwa! Rejestry te powinny być wykorzystywane przy identyfikacji ryzyk. Całościowa wiedza o dolegliwościach z jakimi boryka się organizacja umożliwia racjonalne podejmowanie działań zaradczych.
Szkolenia II.A.1 i 2
Szkolenia pracowników są ważnym elementem wspierania pracodawcy w osiąganiu celów. E-learning daje ogromne możliwości - dostęp do treści szkoleń dla pracowników bez ograniczeń czasu i miejsca, możliwość nauki we własnym tempie, możliwość powrotu do materiałów i powtórek.
Dla pracodawcy z kolei e-learning umożliwia szkolenie dużych grup pracowników w krótkim czasie lub szkolenia indywidualne nowo zatrudnionych pracowników. Umożliwia staranne zaplanowanie procesu kształcenia - dobraniu sekwencji szkoleń, z których następne bazują na wiedzy uzyskanej poprzednio, zaplanowaniu szkoleń przypominających, utrwalających. Pozwala również wykonać ewaluację szkoleń oraz sprawdzanie ich efektywności.
Idealny system powinien umożliwić zarówno zamieszczanie szkoleń kupionych spoza organizacji, jak i tworzenie własnych. To ostatnie pozwala na szybkie dostosowanie treści w sytuacji zmiany przepisów lub tworzenie nowych na cito.
Cały proces szkolenia powinien być ujęty w systemie - od zgłoszenia się pracownika na kurs czy zapisania go, do wystawienia certyfikatu ukończenia. Kursy mogą być ustawione sekwencyjnie i dopiero ukończenie ostatniego poskutkuje certyfikatem. Działania uczestnika w szkoleniu powinny być rejestrowane. W razie braku ukończenia wymaganych szkoleń system automatycznie powinien wysyłać przypomnienia.
Automatycznie powinny się tworzyć rejestry ukończonych szkoleń, zarówno od strony kursu, jak od strony pracownika oraz rejestry wydanych certyfikatów.
Wsparcie procesów audytu II.C.11, 12, 14
System powinien umożliwiać:
- budowę programów audytu wewnętrznego
- tworzenie planu audytu w oparciu o zadania audytowe
- powierzania zadań audytowych audytorom.
- przechowywanie dowodów oraz dokumentów planowania audytu audytowych.
System powinien wspierać tworzenie dokumentacji audytowej w oparciu o wzory dokumentów oraz umożliwiać ich dystrybucję oraz system składowania.
System powinien umożliwiać akwizycję informacji od użytkowników systemu, w szczególności pozwalać na anonimowe zbieranie danych. Jeśli zakładamy, że celowe będzie zbieranie również informacji od klientów naszej organizacji to warto zadbać aby zamawiany system dawał taką możliwość.
System powinien oferować raporty, statystyki i zestawienia dotyczące działań użytkowników w systemie oraz procesów biznesowych obsługiwanych przez system. Takie dane stanowią nieocenione źródło informacji nie tylko w badaniach audytowych ale również w codziennej pracy kierowników jednostek.
Zdarza się, że audytor czy kontroler wewnętrzny może uzyskać stały dostęp do danych, raportów, wyciągów czy statystyki i zestawień z systemów produkcyjnych. Mogą to być mierniki procesowe. Może to być cokolwiek. Zamawiając system warto skatalogować takie strumienie danych i zastanowić się czy nie mogą one stanowić informacji komplementarnych wobec danych o których była mowa w punkcie poprzednim.
Automatyzacja administracji systemem II.A.3
Jeśli nasza organizacja liczy kilkunastu pracowników to ręczna osbługa ich kont i uprawnień nie będzie stanowić problemu dla administratora aplikacji. Jeśli jednak liczba pracowników idzie w setki i tysiące to nie sposób pominąć problemu administracji użytkownikami systemu. W dużych organizacjach problem ten musi być automatyzowany. Konta w systemie muszą powstawać po rejestracji umowy w systemie kadrowym. Konta muszą być zamykane gdy rozwiązywana jest umowa. System musi reagować na zmiany stanowiska czy miejsca pracy pracownika. W końcu jeśli przykładowo kierujemy ankietę do działu kadr to nie chcielibyśmy aby była ona dostępna również byłym pracownikom tego działu.
Stąd system powinien współpracować z systemami ERP organizacji i automatycznie reagować na zmiany warunków umów.
Bezpieczeństwo systemu II.C.15
W końcu nasz system musi być bezpieczny. Bezpieczny z uwagi na bezpieczeństwo danych jak i bezpieczny pod kątem prawnym.
Jeśli organizacja ma już jakiś system zarządzania autoryzacją użytkowników - nowy system powinien z niego korzystać. Czasami warto jednak rozważyć czy nie skorzystać z silniejszego mechanizmy autentykacji niż tylko hasło - system powinien nam gwarantować niezaprzeczalność transakcji i rozliczalność działań konkretnych użytkowników. Szczególnie jeśli system ten ma być dostępny wprost z internetu.
W szerszym kontekście truizmem będzie wskazanie, że system musi być zgodny z przepisami, w szczególności z wymogami RODO
2020-06-19
r.t.
fragmentu komunikatu nr 23
Ministra Finansów z dnia 16 grudnia 2009 r
Sekcja II Standardy kontroli zarządczej
A. Środowisko wewnętrzne
Właściwe środowisko wewnętrzne w sposób zasadniczy wpływa na jakość kontroli zarządczej.
1. Przestrzeganie wartości etycznych
Osoby zarządzające i pracownicy powinni być świadomi wartości etycznych przyjętych w jednostce i przestrzegać ich przy wykonywaniu powierzonych zadań.
Osoby zarządzające powinny wspierać i promować przestrzeganie wartości etycznych dając dobry przykład codziennym postępowaniem i podejmowanymi decyzjami.
2. Kompetencje zawodowe
Należy zadbać, aby osoby zarządzające i pracownicy posiadali wiedzę, umiejętności i doświadczenie pozwalające skutecznie i efektywnie wypełniać powierzone zadania. Proces zatrudnienia powinien być prowadzony w sposób zapewniający wybór najlepszego kandydata na dane stanowisko pracy. Należy zapewnić rozwój kompetencji zawodowych pracowników jednostki i osób zarządzających.
3. Struktura organizacyjna
Struktura organizacyjna jednostki powinna być dostosowana do aktualnych celów i zadań. Zakres zadań, uprawnień i odpowiedzialności jednostek, poszczególnych komórek organizacyjnych jednostki oraz zakres podległości pracowników powinien być określony w formie pisemnej w sposób przejrzysty i spójny. Aktualny zakres obowiązków, uprawnień i odpowiedzialności powinien być określony dla każdego pracownika.
4. Delegowanie uprawnień
Należy precyzyjnie określić zakres uprawnień delegowanych poszczególnym osobom zarządzającym lub pracownikom. Zakres delegowanych uprawnień powinien być odpowiedni do wagi podejmowanych decyzji, stopnia ich skomplikowania i ryzyka z nimi związanego. Zaleca się delegowanie uprawnień do podejmowania decyzji, zwłaszcza tych o bieżącym charakterze. Przyjęcie delegowanych uprawnień powinno być potwierdzone podpisem.
B. Cele i zarządzanie ryzykiem
Jasne określenie misji może sprzyjać ustaleniu hierarchii celów i zadań oraz efektywnemu zarządzaniu ryzykiem. Zarządzanie ryzykiem ma na celu zwiększenie prawdopodobieństwa osiągnięcia celów i realizacji zadań. Proces zarządzania ryzykiem powinien być dokumentowany.
5. Misja
Należy rozważyć możliwość wskazania celu istnienia jednostki w postaci krótkiego i syntetycznego opisu misji. Misja ministerstwa powinna odnosić się do działów administracji rządowej kierowanych przez ministra, a misja urzędu jednostki samorządu terytorialnego odpowiednio do tej jednostki.
6. Określanie celów i zadań, monitorowanie i ocena ich realizacji
Cele i zadania należy określać jasno i w co najmniej rocznej perspektywie. Ich wykonanie należy monitorować za pomocą wyznaczonych mierników.
W jednostce nadrzędnej lub nadzorującej należy zapewnić odpowiedni system monitorowania realizacji celów i zadań przez jednostki podległe lub nadzorowane.
Zaleca się przeprowadzanie oceny realizacji celów i zadań uwzględniając kryterium oszczędności, efektywności i skuteczności.
Należy zadbać, aby określając cele i zadania wskazać także jednostki, komórki organizacyjne lub osoby odpowiedzialne bezpośrednio za ich wykonanie oraz zasoby przeznaczone do ich realizacji.
7. Identyfikacja ryzyka
Nie rzadziej niż raz w roku należy dokonać identyfikacji ryzyka w odniesieniu do celów i zadań. W przypadku działu administracji rządowej lub jednostki samorządu terytorialnego należy uwzględnić, że cele i zadania są realizowane także przez jednostki podległe lub nadzorowane. W przypadku istotnej zmiany warunków, w których funkcjonuje jednostka należy dokonać ponownej identyfikacji ryzyka.
8. Analiza ryzyka
Zidentyfikowane ryzyka należy poddać analizie mającej na celu określenie prawdopodobieństwa wystąpienia danego ryzyka i możliwych jego skutków. Należy określić akceptowany poziom ryzyka.
9. Reakcja na ryzyko
W stosunku do każdego istotnego ryzyka powinno się określić rodzaj reakcji (tolerowanie, przeniesienie, wycofanie się, działanie). Należy określić działania, które należy podjąć w celu zmniejszenia danego ryzyka do akceptowanego poziomu.
C. Mechanizmy kontroli
Standardy w tym zakresie stanowią zestawienie podstawowych mechanizmów, które mogą funkcjonować w ramach systemu kontroli zarządczej. Nie tworzą one jednak zamkniętego katalogu, ponieważ system kontroli zarządczej powinien być elastyczny i dostosowany do specyficznych potrzeb jednostki, działu administracji rządowej lub jednostki samorządu terytorialnego. Mechanizmy kontroli powinny stanowić odpowiedź na konkretne ryzyko. Koszty wdrożenia i stosowania mechanizmów kontroli nie powinny być wyższe niż uzyskane dzięki nim korzyści.
10. Dokumentowanie systemu kontroli zarządczej
Procedury wewnętrzne, instrukcje, wytyczne, dokumenty określające zakres obowiązków, uprawnień i odpowiedzialności pracowników i inne dokumenty wewnętrzne stanowią dokumentację systemu kontroli zarządczej. Dokumentacja powinna być spójna i dostępna dla wszystkich osób, dla których jest niezbędna.
11. Nadzór
Należy prowadzić nadzór nad wykonaniem zadań w celu ich oszczędnej, efektywnej i skutecznej realizacji.
12. Ciągłość działalności
Należy zapewnić istnienie mechanizmów służących utrzymaniu ciągłości działalności jednostki sektora finansów publicznych wykorzystując, między innymi, wyniki analizy ryzyka.
13. Ochrona zasobów
Należy zadbać, aby dostęp do zasobów jednostki miały wyłącznie upoważnione osoby. Osobom zarządzającym i pracownikom należy powierzyć odpowiedzialność za zapewnienie ochrony i właściwe wykorzystanie zasobów jednostki.
14. Szczegółowe mechanizmy kontroli dotyczące operacji finansowych i gospodarczych
Powinny istnieć przynajmniej następujące mechanizmy kontroli dotyczące operacji finansowych i gospodarczych:
a) rzetelne i pełne dokumentowanie i rejestrowanie operacji finansowych i gospodarczych,
b) zatwierdzanie (autoryzacja) operacji finansowych przez kierownika jednostki lub osoby przez niego upoważnione,
c) podział kluczowych obowiązków,
d) weryfikacja operacji finansowych i gospodarczych przed i po realizacji.
15. Mechanizmy kontroli dotyczące systemów informatycznych
Należy określić mechanizmy służące zapewnieniu bezpieczeństwa danych i systemów informatycznych.
D. Informacja i komunikacja
Osoby zarządzające oraz pracownicy powinni mieć zapewniony dostęp do informacji niezbędnych do wykonywania przez nich obowiązków. System komunikacji powinien umożliwiać przepływ potrzebnych informacji wewnątrz jednostki, zarówno w kierunku pionowym jak i poziomym. Efektywny system komunikacji powinien zapewnić nie tylko przepływ informacji, ale także ich właściwe zrozumienie przez odbiorców.
16. Bieżąca informacja
Osobom zarządzającym i pracownikom należy zapewnić, w odpowiedniej formie i czasie, właściwe oraz rzetelne informacje potrzebne do realizacji zadań.
17. Komunikacja wewnętrzna
Należy zapewnić efektywne mechanizmy przekazywania ważnych informacji w obrębie struktury organizacyjnej jednostki oraz w obrębie działu administracji rządowej i jednostki samorządu terytorialnego.
18. Komunikacja zewnętrzna
Należy zapewnić efektywny system wymiany ważnych informacji z podmiotami zewnętrznymi mającymi wpływ na osiąganie celów i realizację zadań.
E. Monitorowanie i ocena
System kontroli zarządczej powinien podlegać bieżącemu monitorowaniu i ocenie.
19. Monitorowanie systemu kontroli zarządczej
Należy monitorować skuteczność poszczególnych elementów systemu kontroli zarządczej, co umożliwi bieżące rozwiązywanie zidentyfikowanych problemów.
20. Samoocena
Zaleca się przeprowadzenie co najmniej raz w roku samooceny systemu kontroli zarządczej przez osoby zarządzające i pracowników jednostki. Samoocena powinna być ujęta w ramy procesu odrębnego od bieżącej działalności i udokumentowana.
21. Audyt wewnętrzny
W przypadkach i na warunkach określonych w ustawie audytor wewnętrzny prowadzi obiektywną i niezależną ocenę kontroli zarządczej.
22. Uzyskanie zapewnienia o stanie kontroli zarządczej
Źródłem uzyskania zapewnienia o stanie kontroli zarządczej przez kierownika jednostki powinny być w szczególności wyniki: monitorowania, samooceny oraz przeprowadzonych audytów i kontroli. Zaleca się coroczne potwierdzenie uzyskania powyższego zapewnienia w formie oświadczenia o stanie kontroli zarządczej za poprzedni rok.