Ustawa z 27 sierpnia 2009 roku o finansach publicznych wprowadza pojęcie kontroli zarządczej. Według definicji ustawowej kontrolę zarządczą w jednostkach sektora finansów publicznych stanowi ogół działań podejmowanych dla zapewnienia realizacji celów i zadań w sposób zgodny z prawem, efektywny, oszczędny i terminowy.

Celem takiej kontroli jest zapewnienie w szczególności:

1. zgodności działań z przepisami prawa oraz procedurami wewnętrznymi,
2. skuteczności i efektywności działania,
3. wiarygodności sprawozdań,
4. ochrony zasobów,
5. przestrzegania i promowania zasad etycznego postępowania,
6. efektywności i skuteczności przepływu informacji,
7. zarządzania ryzykiem.

Zapewnienie prawidłowego funkcjonowania adekwatnej, skutecznej i efektywnej kontroli zarządczej należy do obowiązków Dyrektora Szpitala. W systemie tym Główny Księgowy odpowiedzialny jest za wstępną kontrolę zgodności operacji finansowych i gospodarczych z planem finansowym oraz kompletność i rzetelność dokumentów dotyczących tych operacji.

Na podstawie art. 69 ust. 3 oraz art. 71 ustawy z dnia 27 sierpnia 2009r. o finansach publicznych (Dz. U. Nr 157, poz. 1240), Minister Finansów w załączniku do komunikatu nr 23 z dnia 16 grudnia 2009 r. określił standardy kontroli zarządczej dla sektora finansów publicznych. Celem standardów jest promowanie wdrażania w sektorze finansów publicznych spójnego i jednolitego modelu kontroli zarządczej zgodnego z międzynarodowymi standardami w tym zakresie, z uwzględnieniem specyficznych zadań Szpitala, który je wdraża i warunków, w których Szpital działa.

Opublikowane standardy przedstawione zostały w pięciu grupach odpowiadających poszczególnym elementom kontroli zarządczej:

1. Środowisko wewnętrzne,
2. Cele i zarządzanie ryzykiem,
3. Mechanizmy kontrolne,
4. Informacja i komunikacja,
5. Monitoring i ocena.

• osoby zarządzające i pracownicy powinni być świadomi wartości etycznych przyjętych w Szpitalu i przestrzegać ich przy wykonywaniu powierzonych zadań,
• osoby zarządzające powinny wspierać i promować przestrzeganie wartości etycznych dając dobry przykład codziennym postępowaniem i podejmowanymi decyzjami,
• Dyrekcja Szpitala przez swoje codzienne zachowanie musi wyznaczyć wzorce postępowania w Szpitalu. Obok wprowadzenia klimatu akceptacji dla zachowań etycznych należy wprowadzić mechanizmy eliminowania zachowań nieetycznych. (np. kodeks etyki).

• wprowadzenie kodeksu etyki,
• szkolenia pracowników z zakresu kontroli zarządczej,
• wprowadzenie zasad przeciwdziałających konfliktom interesów.

Należy zadbać, aby osoby zarządzające i pracownicy posiadali wiedzę, umiejętności i doświadczenie pozwalające skutecznie i efektywnie wypełnić powierzone zadania. Proces zatrudnienia powinien być prowadzony w sposób zapewniający wybór najlepszego kandydata na dane stanowisko pracy. Należy także zapewnić rozwój kompetencji zawodowych pracowników i osób zarządzających. Elementem wzmacniającym kontrolę zarządczą jest posiadanie w Szpitalu wykwalifikowanych pracowników, potrafiących podejmować samodzielne decyzje na odpowiednim poziomie uprawnień. Nabór takich pracowników powinien być oparty o jasno sformułowane kryteria.

• szkolenia,
• planowanie szkoleń w sposób związany z celami Szpitala, ocena jakości szkoleń,
• motywacyjne systemy wynagradzania,
• odpowiednie procedury naboru nowych pracowników,
• system okresowej weryfikacji wiedzy pracowników.

Struktura organizacyjna Szpitala powinna być dostosowana do aktualnych celów i zadań. Zakres zadań, uprawnień i odpowiedzialności Szpitala, poszczególnych komórek organizacyjnych oraz zakres podległości pracowników powinien być określony w formie pisemnej w sposób przejrzysty i spójny. Aktualny zakres obowiązków, uprawnień i odpowiedzialności powinien być określony dla każdego pracownika.

• regulamin organizacyjny Szpitala,
• regulaminy organizacyjne poszczególnych komórek (działów),
• zakresy czynności,
• system pozwalający na analizę funkcjonalności i efektywności struktury organizacyjnej Szpitala.

Należy precyzyjnie określić zakres uprawnień delegowanych poszczególnym osobom zarządzającym lub pracownikom. Zakres delegowanych uprawnień powinien być odpowiedni do wagi podejmowanych decyzji, stopnia ich skomplikowania i ryzyka z nimi związanego. Zaleca się delegowanie uprawnień do podejmowania decyzji, zwłaszcza tych o bieżącym charakterze.

• system uprawnień i pełnomocnictw, rejestrowanie wydanych upoważnień i pełnomocnictw,
• system decyzyjny z wykorzystaniem kontrasygnat przy najistotniejszych decyzjach.

Zarządzanie ryzykiem ma na celu zwiększenie prawdopodobieństwa osiągnięcia celów i realizacji zadań. Proces ten powinien być dokumentowany.

Elementem niezbędnym do właściwego zorganizowania kontroli zarządczej jest wcześniejsze wyznaczenie misji Szpitala. Wyznaczenie misji jest także punktem wyjścia do zarządzania ryzykiem. Należy rozważyć możliwość wskazania celu istnienia Szpitala w postaci krótkiego i syntetycznego opisu misji.

• wyznaczenie misji stałych i celów okresowych oraz charakteryzowanie misji Szpitala.

• cele i zadania należy określić jasno i w co najmniej rocznej perspektywie. Ich wykonanie należy monitorować za pomocą wyznaczonych mierników,
• w jednostce nadrzędnej lub nadzorującej należy zapewnić odpowiedni system monitorowania realizacji celów i zadań przez jednostki podległe i nadzorowane,
• zaleca się przeprowadzenie oceny realizacji celów i zadań pod względem oszczędności, efektywności i skuteczności,
• należy zadbać, aby określając cele i zadania wskazać także jednostki, komórki organizacyjne lub osoby odpowiedzialne bezpośrednio za ich wykonanie oraz zasoby przeznaczone do ich realizacji.

Jeśli misją określimy podstawowe cele funkcjonowania jednostki to zadaniem możemy określić wydzielony obszar działalności Szpitala służący realizacji tej misji. Dla realizacji każdej misji Dyrektor Szpitala powinien wyznaczyć zadania szczegółowe oraz mierniki pozwalające na ocenę stopnia ich realizacji. W celu wprowadzenia właściwego systemu kontroli zarządczej każde zadanie należy krótko scharakteryzować, wskazać mierniki jego osiągnięcia i komórkę lub komórki je realizujące.

• system planowania celów i mierników, system oceny stopnia osiągnięcia założonych mierników, sprawozdawczość z osiągnięcia założonych celów.

• nie rzadziej niż raz w roku należy dokonać identyfikacji ryzyka w odniesieniu do celów i zadań,
• w przypadku istotnej zmiany warunków, w których funkcjonuje Szpital należy dokonać ponownej identyfikacji ryzyka.
• Dyrektor Szpitala powinien identyfikować wszystkie zagrożenia związane z realizacją celów Szpitala. Bardzo ważna jest identyfikacja ryzyka dotyczącego systemów informatycznych, gdyż ryzyko to wzrasta w skali globalnej bardzo dynamicznie wraz z rozwojem dostępu do Internetu.

• przyjęcie systemu identyfikacji ryzyk (systematyczne narady Dyrekcji Szpitala, wydzielenie organizacyjne komórki odpowiadającej za identyfikacje ryzyk, system identyfikacji oddolnej),
• rozwiązania pozwalające wykorzystanie wyników kontroli wewnętrznych i zewnętrznych do identyfikacji ryzyk,
• mechanizmy dla najważniejszych obszarów działalności określające obowiązki w zakresie ryzyk.

Zidentyfikowane ryzyko należy poddać analizie mającej na celu określenie prawdopodobieństwa wystąpienia danego ryzyka i możliwego jego skutków. Należy określić akceptowalny poziom ryzyka.

• mechanizmy dla najważniejszych obszarów działalności określające obowiązki w zakresie ryzyk: identyfikuj – wyznacz poziom akceptowanego ryzyka – analizuj – reaguj – monitoruj.

• w stosunku do każdego istotnego ryzyka powinno się określić rodzaj reakcji (tolerowanie, przeniesienie, wycofanie się, działanie),
• należy określić działania, które muszą być podjęte w celu zmniejszenia danego ryzyka do akceptowanego poziomu.

• mechanizmy dla najważniejszych obszarów działalności określające obowiązki w zakresie ryzyk: identyfikuj – wyznacz poziom akceptowanego ryzyka – analizuj – reaguj – monitoruj,
• powiązanie audytu z identyfikacją i analizą ryzyka, wprowadzenie zasady okresowej identyfikacji i analizy ryzyka wszystkich elementów kontroli zarządczej.

Powinny one stanowić odpowiedź na konkretne ryzyka, a koszt ich wdrożenia i stosowania nie powinien być wyższy niż uzyskane dzięki nim korzyści. Mechanizmy kontroli zarządczej przyjmują postać np.: procedur, przepisów wewnętrznych, zarządzeń, instrukcji, zakresów czynności. Wszystkie mechanizmy powinny być maksymalnie proste i jasne, tak aby nie stanowiły trudności przy przestrzeganiu przez pracowników Szpitala.

• procedury wewnętrzne, instrukcje, wytyczne, dokumenty określające zakres obowiązków, uprawnień i odpowiedzialności pracowników i inne dokumenty wewnętrzne stanowią dokumentację systemu kontroli zarządczej,
• dokumentacja ta powinna być spójna i dostępna dla wszystkich, dla których jest niezbędna.
• obowiązujące regulaminy, wytyczne, instrukcje itp. Powinny być znane wszystkim pracownikom (potwierdzenie zapoznania się). Dokumenty te powinny być zgromadzone w jednym miejscu i analizowane na bieżąco w zakresie zgodności z przepisami, strukturą organizacyjną i zadaniami jednostki.

• rejestr obowiązujących przepisów wewnętrznych,
• baza danych umożliwiająca pobranie w każdej chwili każdej procedury wewnętrznej,
• system umożliwiający trwałe odnotowywanie uwag pracowników dotyczących procedur.

Należy prowadzić nadzór nad wykonaniem zadań w celu ich oszczędnej, efektywnej i skutecznej realizacji. Właściwy nadzór obejmuje w szczególności:

• jasne komunikowanie obowiązków, zadań i odpowiedzialności każdemu z pracowników i systematyczną ocenę ich pracy w niezbędnym zakresie,
• zatwierdzanie wyników pracy w decydujących momentach w celu uzyskania zapewnienia, że przebiega ona zgodnie z zamierzeniami.

• system wyrywkowej weryfikacji czynności pracowników nadzorowanych,
• opracowanie zasad i terminów raportowania i sprawozdawczości w wynikach pracy w kluczowych obszarach Szpitala.

Należy zapewnić istnienie mechanizmów służących utrzymaniu ciągłości działalności Szpitala. Przede wszystkim należy podejmować odpowiednie środki, mające na celu zapewnienie, że kluczowi pracownicy nie odejdą z pracy. Należy także wdrożyć system pozwalający na zastępstwa kluczowych pracowników podczas ich nieobecności tak aby nie zakłócać ciągłości działalności Szpitala.

• wskazanie osób zastępujących każdego pracownika w przypadku jego nieobecności,
• wskazanie osób zastępujących poszczególne osoby z kadry kierowniczej podczas ich nieobecności,
• powierzenie obowiązków, a przede wszystkim uprawnień i pełnomocnictw na okres nieobecności, aby nie paraliżować pracy Szpitala,
• plan bezpieczeństwa informatycznego,
• plan awaryjny na wypadek przerw w działaniu systemów informatycznych,
• system przechowywania danych gwarantujący ich nienaruszalność.

• należy zadbać aby dostęp do zasobów Szpitala miały wyłącznie upoważnione osoby,
• osobom zarządzającym i pracownikom należy powierzyć odpowiedzialność za zapewnienie ochrony i właściwe wykorzystanie zasobów Szpitala. W sytuacji kiedy Szpital dysponuje wartościowym mieniem ruchomym oraz nieruchomym narażonym na szkodliwe działanie zewnętrzne, należy wdrożyć procedury ograniczające dostęp do zasobów osobom niebędącym pracownikami Szpitala. Należy także przyjąć odpowiednie mechanizmy zabezpieczania newralgicznych miejsc (serwerownia, kancelaria tajna, archiwa). Pracownicy, którym powierzono sprzęt będący własnością Szpitala powinni być uprzedzeni o zakresie ich odpowiedzialności materialnej oraz ich obowiązkach.

• powierzenie odpowiedzialności materialnej za przekazane mienie odpowiednim pracownikom,
• systemy ochrony przeciwpożarowej,
• systemy zabezpieczania technicznego pomieszczeń,
• instrukcja inwentaryzacyjna.

Powinny istnieć przynajmniej następujące mechanizmy kontroli operacji finansowych i gospodarczych:

• rzetelne i pełne dokumentowanie i rejestrowanie operacji finansowych i gospodarczych,
• zatwierdzanie operacji finansowych przez Dyrektora Szpitala lub osoby przez niego upoważnione,
• podział kluczowych obowiązków dotyczących zatwierdzania, realizacji i rejestrowania operacji finansowych i gospodarczych pomiędzy różnych pracowników,
• weryfikacja operacji gospodarczych i finansowych przed i po realizacji.

• instrukcja obiegu i kontroli dokumentów,
• polityka zasad rachunkowości,
• system obiegu i kontroli dokumentów,
• instrukcja kasowa,
• zakresy czynności,
• lista podpisów osób upoważnionych do zatwierdzania operacji,
• system upoważnień.

Należy określić mechanizmy służące zapewnieniu bezpieczeństwa danych i systemów informatycznych. Standardy kontroli zarządczej nie wskazują kierownikom szczegółowych rozwiązań w tym zakresie, ale nakładają na nich obowiązek zapewnienia bezpieczeństwa systemów informatycznych pozostawiając daleko idącą autonomię w tym zakresie.

Osoby zarządzające powinny mieć zapewniony dostęp do informacji niezbędnych do wykonywania odpowiednio swoich obowiązków. System komunikacji powinien umożliwiać przepływ potrzebnych informacji wewnątrz Szpitala, zarówno w kierunku pionowym jak i poziomym. Efektywny system komunikacji powinien zapewnić nie tylko prawidłowy przepływ informacji, ale także właściwe zrozumienie przez odbiorcę.

Osobom zarządzającym i pracownikom należy zapewnić, w odpowiedniej formie i czasie, właściwe i rzetelne informacje potrzebne do realizacji określonych zadań.

Należy zapewnić efektywne mechanizmy przekazywania ważnych informacji w obrębie Szpitala. W praktyce prawidłowa realizacja komunikacji wewnętrznej wymaga dostarczenia komórce organizacyjnej i pracownikom informacji i dokumentów niezbędnych do właściwego wykonania powierzonych zadań. Szczegółowy nacisk należy położyć na taki obieg dokumentów, który umożliwia komórkom finansowo-księgowym bieżące ewidencjonowanie operacji gospodarczych.

• instrukcja obiegu i kontroli dokumentów,
• ścieżki obiegu dokumentów w poszczególnych obszarach działalności Szpitala.

Należy zapewnić efektywny system wymiany ważnych informacji z podmiotami zewnętrznymi mającymi wpływ na osiąganie celów i realizację zadań. W tym celu należy określić:

• źródła informacji zewnętrznych, niezbędnych do funkcjonowania Szpitala i realizacji jej celów,
• miejsca docelowe, do których powinny trafić informacje będące w posiadaniu Szpitala,
• kanały przepływu informacji do i z Szpitala.

• instrukcja obiegu i kontroli dokumentów.

System kontroli zarządczej powinien podlegać bieżącemu monitorowaniu i ocenie. Prowadzi to do sprawdzenia skuteczności systemu kontroli zarządczej przy czym różni się sposobem realizacji. Monitorowanie ma charakter ciągły, mniej sformalizowany. Ocena – samoocena ma natomiast charakter odrębnych mechanizmów i procedur przeprowadzanych planowo w celu ustalenia efektywności kontroli zarządczej.

Należy monitorować skuteczność poszczególnych elementów systemu kontroli zarządczej, co umożliwi bieżące rozwiązywanie zidentyfikowanych problemów.

• zaleca się przeprowadzanie co najmniej raz w roku samooceny kontroli zarządczej przez osoby zarządzające i pracowników Szpitala.
• samoocena powinna być ujęta w ramy procesu odrębnego od bieżącej działalności i udokumentowana. Samoocena systemu kontroli zarządczej wymaga wprowadzenia mechanizmów i procedur (monitorujących) weryfikujących skuteczność funkcjonowania innych mechanizmów i procedur (podstawowych). Należy opracować plan samooceny systemu kontroli zarządczej, wskazując w nim, które procesy, w jakim czasie, przez kogo i za pomocą jakich mechanizmów będą oceniane.

• system planowania celów i mierników,
• listy kontrolne przy realizacji zadań wrażliwych.

W przypadkach i na warunkach określonych w ustawie audytor wewnętrzny prowadzi obiektywną i niezależną ocenę kontroli zarządczej.

Źródłem uzyskania zapewnienia o stanie kontroli zarządczej przez Dyrektora Szpitala powinny być w szczególności wyniki: monitorowania, samooceny oraz prowadzonych audytów i kontroli. Zaleca się coroczne potwierdzanie uzyskania powyższego zapewnienia w formie oświadczenia o stanie kontroli zarządczej za poprzedni rok.

• sprawozdania z funkcjonowania planu działalności,
• oświadczenie o stanie kontroli zarządczej.

Przedstawione powyżej standardy kontroli zarządczej dla sektora finansów publicznych określają podstawowe wymagania odnoszące się do kontroli zarządczej w tym sektorze. Należy podkreślić, że obowiązujące przepisy nie nakładają na Dyrektora Szpitala obowiązku budowania w całości nowego systemu kontroli w Szpitalu. Jednak konieczne staje się zaznaczenie, że obowiązujące do tej pory w Szpitalu procedury, zarządzenia, regulaminy, instrukcje, zakresy czynności, upoważnienia, funkcjonujące systemy bezpieczeństwa zostaną podporządkowane realizacji określonych zadań i celów Szpitala. Wprowadzenie obok dotychczas funkcjonujących mechanizmów nowych rozwiązań, powinno być efektem właściwej identyfikacji i analizy ryzyka, rozumianego jako prawdopodobieństwo niepowodzenia misji Szpitala.