Powinny one stanowić odpowiedź na konkretne ryzyka, a koszt ich wdrożenia i stosowania nie powinien być wyższy niż uzyskane dzięki nim korzyści. Mechanizmy kontroli zarządczej przyjmują postać np.: procedur, przepisów wewnętrznych, zarządzeń, instrukcji, zakresów czynności. Wszystkie mechanizmy powinny być maksymalnie proste i jasne, tak aby nie stanowiły trudności przy przestrzeganiu przez pracowników Szpitala.
1) Dokumentowanie systemu kontroli zarządczej
a) procedury wewnętrzne, instrukcje, wytyczne, dokumenty określające zakres obowiązków, uprawnień i odpowiedzialności pracowników i inne dokumenty wewnętrzne stanowią dokumentację systemu kontroli zarządczej,
b) dokumentacja ta powinna być spójna i dostępna dla wszystkich, dla których jest niezbędna.
Obowiązujące regulaminy, wytyczne, instrukcje itp. Powinny być znane wszystkim pracownikom. Dokumenty te powinny być zgromadzone w jednym miejscu i analizowane na bieżąco w zakresie zgodności z przepisami, strukturą organizacyjną i zadaniami jednostki.
Realizacja standardu:
– prowadzenie Rejestru Zarządzeń Wewnętrznych,
– portal pracowniczy zawierający aktualne zarządzenia dostępny dla pracowników Szpitala,
– wyznaczenie właścicieli merytorycznych zarządzeń wewnętrznych,
– kontrole zarządzeń wewnętrznych w zakresie zgodności z przepisami i zadaniami Szpitala.
2) Nadzór
Należy prowadzić nadzór nad wykonaniem zadań w celu ich oszczędnej, efektywnej i skutecznej realizacji.
Właściwy nadzór obejmuje w szczególności:
a) jasne komunikowanie obowiązków, zadań i odpowiedzialności każdemu z pracowników i systematyczną ocenę ich pracy w niezbędnym zakresie,
b) zatwierdzanie wyników pracy w decydujących momentach w celu uzyskania zapewnienia, że przebiega ona zgodnie z zamierzeniami.
Realizacja standardu:
– system wyrywkowej weryfikacji czynności pracowników,
– przestrzeganie terminów raportowania i sprawozdawczości.
3) Ciągłość działalności
Należy zapewnić istnienie mechanizmów służących utrzymaniu ciągłości działalności Szpitala. Przede wszystkim należy podejmować odpowiednie środki, mające na celu zapewnienie, że kluczowi pracownicy nie odejdą z pracy. Należy także wdrożyć system pozwalający na zastępstwa kluczowych pracowników podczas ich nieobecności tak aby nie zakłócać ciągłości działalności Szpitala.
Realizacja standardu:
– wskazywanie osób zastępujących każdego pracownika w przypadku jego nieobecności,
– plan bezpieczeństwa informatycznego,
– stosowanie procedur postępowania w sytuacjach szczególnych,
– system przechowywania danych, gwarantujący ich nienaruszalność.
4) Ochrona zasobów
a) należy zadbać aby dostęp do zasobów Szpitala miały wyłącznie upoważnione osoby,
b) osobom zarządzającym i pracownikom należy powierzyć odpowiedzialność za zapewnienie ochrony i właściwe wykorzystanie zasobów Szpitala. W sytuacji kiedy Szpital dysponuje wartościowym mieniem ruchomym oraz nieruchomym narażonym na szkodliwe działanie zewnętrzne, należy wdrożyć procedury ograniczające dostęp do zasobów osobom niebędącym pracownikami Szpitala. Należy także przyjąć odpowiednie mechanizmy zabezpieczania newralgicznych miejsc (serwerownia, kancelaria tajna, archiwa). Pracownicy, którym powierzono sprzęt będący własnością Szpitala powinni być uprzedzeni o zakresie ich odpowiedzialności materialnej oraz ich obowiązkach.
Realizacja standardu:
– przestrzeganie systemu obronności,
– przestrzeganie systemu ochrony przeciwpożarowej,
– zabezpieczenie techniczne pomieszczeń,
– plany awaryjne na wypadek przerw w działaniu mediów (prąd, woda, serwery),
– ochrona danych osobowych.
5) Szczegółowe mechanizmy kontroli dotyczące operacji finansowych i gospodarczych
Powinny istnieć przynajmniej następujące mechanizmy kontroli operacji finansowych i gospodarczych:
a) rzetelne i pełne dokumentowanie i rejestrowanie operacji finansowych i gospodarczych,
b) zatwierdzanie operacji finansowych przez Dyrektora Szpitala lub osoby przez niego upoważnione,
c) podział kluczowych obowiązków dotyczących zatwierdzania, realizacji i rejestrowania operacji finansowych i gospodarczych pomiędzy różnych pracowników,
d) weryfikacja operacji gospodarczych i finansowych przed i po realizacji.
Realizacja standardu:
– instrukcja i system obiegu i kontroli dokumentów,
– polityka zasad rachunkowości,
– instrukcja kasowa,
– system upoważnień.
6) Mechanizmy kontroli dotyczące systemów informatycznych
Należy określić mechanizmy służące zapewnieniu bezpieczeństwa danych i systemów informatycznych. Standardy kontroli zarządczej nie wskazują kierownikom szczegółowych rozwiązań w tym zakresie, ale nakładają na nich obowiązek zapewnienia bezpieczeństwa systemów informatycznych pozostawiając daleko idącą autonomię w tym zakresie.
Realizacja standardu:
– plan bezpieczeństwa informatycznego,
– stosowanie procedur postępowania w sytuacjach szczególnych.