Akademia Medyczna im


Statut Uniwersytetu Medycznego



Pobieranie 0.81 Mb.
Strona2/10
Data26.10.2017
Rozmiar0.81 Mb.
1   2   3   4   5   6   7   8   9   10

Statut Uniwersytetu Medycznego,

  • Struktura organizacyjna Uniwersytetu Medycznego,


  • Regulamin organizacyjny Uczelni i jej poszczególnych jednostek, listy, upoważnień, wzory podpisów,

  • Regulamin Pracy Uczelni,
  • Dane personalne (kto jaką funkcję pełni, liczba i struktura zatrudnionych, itp.),


  • Dane statystyczne i finansowe,

  • Raporty z poprzednich kontroli i zagadnienia do ponownego badania,

  • Zarządzenie Rektora i Kanclerza,

  • Uchwały Senatu Uczelni

  • Instrukcje wewnętrzne,

  • Zarządzenia i polecenia upoważnionych organów zewnętrznych,

  • Przepisy prawne dotyczące działalności Uczelni.


    III. PLANOWANIE AUDYTU WEWNĘTRZNEGO.


      1. IDENTYFIKACJA RYZYKA.

    Przez ryzyko rozumie się: możliwość zaistnienia zdarzenia, które będzie miało wpływ
    na realizację celów Uczelni. Ryzyko jest mierzone wpływem (skutkami)
    i prawdopodobieństwem wystąpienia.


    Ocena ryzyka powinna być obecna na każdym etapie pracy audytora wewnętrznego, poprzedzającym opracowanie sprawozdania z przeprowadzenia audytu. Przeprowadzenie oceny ryzyka powinno w szczególności poprzedzać sporządzenie rocznego planu audytu wewnętrznego.

    Ograniczenie ryzyka w zakresie działalności Uczelni jest podstawowym celem audytu wewnętrznego.



    1.1. W procesie oceny ryzyka wyróżniamy dwa etapy:

    1. identyfikacja obszarów ryzyka

    2. analiza ryzyka, w wyniku której zostaną uszeregowane obszary ryzyka pod względem ich ważności dla działania Uczelni, a w konsekwencji ustalona kolejność przeprowadzania zadań zapewniających.

    Audytor wewnętrzny identyfikuje obszary ryzyka, czyli procesy, zjawiska lub problemy wymagające przeprowadzenia audytu, zgodnie z najlepiej pojętą profesjonalną wiedzą
    i zawodową oceną. Ich rozpoznanie zależeć zawsze będzie od wiedzy audytora na temat działalności Uczelni oraz jego intuicji.


    1.2. Zbierając informacje niezbędne przy identyfikacji obszarów ryzyka audytor powinien brać pod uwagę:

    1. cele i zadania Uczelni,

    2. przepisy prawne dotyczące działania Uczelni (ewentualne zmiany w tych przepisach),

    3. wyniki wcześniej przeprowadzonego audytu lub kontroli,

    4. wyniki wcześniej dokonywanych innych ocen adekwatności, efektywności i skuteczności systemów kontroli w Uczelni, w tym kontroli finansowej,

    5. sprawozdania finansowe oraz sprawozdania z wykonania budżetu,

    6. wyniki rozmów, jakie przeprowadził z kierownictwem, kierownikami jednostek organizacyjnych i innymi pracownikami Uczelni,

    7. pytania i wnioski, jakie kierują do niego pracownicy Uczelni,

    8. ankiety i kwestionariusze badające opinię pracowników Uczelni,

    9. informacje dotyczące Uczelni opublikowane w prasie, radiu, telewizji, na stronach internetowych czy listach dyskusyjnych itp.

    1.3. Identyfikując obszary ryzyka audytor wewnętrzny powinien:

    1. zapewnić sobie dostęp do istotnych źródeł informacji o wszystkim tym, co dotyczy Uczelni,

    2. śledzić wszelkie zmiany w organizacji Uczelni - powoływanie nowych jednostek organizacyjnych, czy grup zadaniowych,

    3. zapoznawać się z harmonogramami prac poszczególnych jednostek organizacyjnych,

    4. zbierać i czytać dokumenty wykorzystywane przez te jednostki do monitorowania postępu swoich prac i osiągania celów (np. składane cyklicznie sprawozdania),

    5. zadbać o to, aby przy zbieraniu informacji odnoszących się do obszaru ryzyka mieć możliwość odbywania rozmów z kluczowymi osobami zajmujących się danym problemem,

    6. mieć możliwość przeglądania korespondencji, a także protokółów spotkań i narad,

    7. uczestniczyć w spotkaniach kierownictwa (jeżeli jest to możliwe w danej jednostce).

    Pomocne dla audytora przy badaniu obszarów ryzyka mogą być także sprawozdania
    i inna dokumentacja kontroli dokonywanych przez Dział Kontroli Wewnętrznej Uczelni, jak również dodatkowe ustne informacje uzyskane od kontrolerów.

    Najważniejszym źródłem informacji mogą się w praktyce okazać rozmowy


    z pracownikami Uczelni. Audytor powinien okazać swoim rozmówcom jak największe zainteresowanie, wysłuchać ich, nie narzucać swoich wniosków założonych z góry. Należy pamiętać, że pracownicy Uczelni na ogół wiedzą znacznie więcej niż audytor
    o określonym problemie i mogą zaproponować jego rozwiązanie. Audytor powinien być dla nich wiarygodnym rozmówcą. Musi zdobyć zaufanie i podkreślać, że skutkiem zbierania przez niego informacji nie będą represje ze strony kontrolerów czy kierownictwa, a jedynie ewentualne podjęcie działań prewencyjnych dla zapewnienia prawidłowego działania Uczelni.

    Nie można przy tym zakładać, że rozmowa przyniesie zawsze konkretne, pożądane przez audytora ustalenia.




      1. ANALIZA RYZYKA.

    Audyt wewnętrzny koncentruje się w pierwszej kolejności na analizie ryzyka wykorzystywanej jako narzędzie planowania i zarządzania.

    Kierowanie Uczelnią wiąże się z realizacją wyznaczonych celów. Dla Uczelni misją jest zaspakajanie określonych potrzeb społecznych. Aby skutecznie funkcjonować
    w zmieniającym się środowisku kierownictwo Uczelni musi zarządzać ryzykiem. Zadaniem kierownictwa wszystkich szczebli jest zwiększanie prawdopodobieństwa osiągnięcia zamierzonych celów. Dostępne zasoby są ograniczone, więc aby uzyskać optymalne efekty zarządzania należy je wykorzystywać rozważnie, uwzględniając wszystkie istotne ryzyka.


    Ryzyko jest to możliwość zaistnienia zdarzenia, które będzie miało wpływ na realizację założonych celów Uczelni. Ryzyko jest mierzone wpływem (skutkami)
    i prawdopodobieństwem wystąpienia.

    Analiza ryzyka obejmuje ocenę ryzyka i zarządzanie ryzykiem. Jest to metoda oceny podatności systemu lub grupy systemów na czynniki ryzyka.

    Czynnik ryzyka jest to zdarzenie, działanie lub zaniechanie działania, które może spowodować wystąpienie ryzyka. Czynniki ryzyka to kryteria używane
    do określenia względnego znaczenia i prawdopodobieństwa zaistnienia sytuacji lub zjawisk mogących mieć wpływ na działalność Uczelni. Liczba wykorzystanych czynników powinna być ograniczona, ale wystarczająca do zapewnienia faktu,
    że ocena ryzyka jest bezstronna.

    2.1. Czynniki ryzyka dzielimy na następujące kategorie:

    1. czynniki wewnętrzne:

    • jakość kontroli wewnętrznej,

    • kompetencje kierownictwa,

    • wielkość jednostki,

    • złożoność działań, skomplikowanie systemu,

    • rotację kluczowej kadry,

    • presję wywieraną przez kierownictwo,

    • struktura organizacyjna i podział obowiązków.

    1. czynniki zewnętrzne:

    • nowe przepisy prawa, zmiana regulacji,

    • zachowanie i praktyki konkurencji,

    • zmiany ekonomiczne,

    • zmiany zachowań i upodobań klientów (studentów, pacjentów),

    • presja społeczna,

    • siły wyższe (pożar, powódź, trzęsienie ziemi),

    • środowisko naturalne i jego ochrona.

    Analiza ryzyka wspomaga planowanie, pozwala ocenić poszczególne elementy systemu kontroli wewnętrznej, pozwala ocenić jak kierownictwo zarządza ryzykiem, pozwala określić źródła i charakter zagrożeń oraz ich wpływ na działalność, ocenia prawdopodobieństwo wystąpienia ryzyka, pozwala wyznaczyć sposoby eliminacji lub zmniejszenia prawdopodobieństwa wystąpienia ryzyka. Ryzyko jest analizowane
    z perspektywy zasobów organizacji (zasobów fizycznych, finansowych, ludzkich oraz niematerialnych). Po uzyskaniu i zebraniu informacji następuje klasyfikacja czynników ryzyka, a następnie pomiar ryzyka.

    2.2. Dokonując analizy napływających informacji audytor zwraca uwagę na newralgiczne, wrażliwe punkty związane z działalnością Uczelni, bierze pod uwagę także takie zagadnienia jak:

    1. działania Uczelni, które mogą wpływać na opinię publiczną,

    2. cele i zadania Uczelni,

    3. przepisy prawne dotyczące działalności Uczelni,

    4. liczba, rodzaj i wielkość dokonywanych operacji finansowych,

    5. wielkość majątku, którym dysponuje Uczelnia,

    6. sytuacja finansowa Uczelni,

    7. możliwość dysponowania przez Uczelnię środkami pochodzącymi ze źródeł zagranicznych, niepodlegających zwrotowi przy uwzględnieniu wymogów dawcy,

    8. liczba i kwalifikacje pracowników Uczelni,

    9. uwagi pracowników Uczelni,

    10. warunki pracy w Uczelni,

    11. postawy etyczne pracowników, ich nastawienie i motywacja do realizacji zadań Uczelni,

    12. przewidywane zmiany przepisów prawnych,

    13. zmiana zakresu rzeczowego lub terytorialnego działalności Uczelni,

    14. zmiany sposobu działalności, zmiany personelu, struktury organizacyjnej oraz systemu informatycznego,

    15. specyficzne ryzyka związane ze sprawami, którymi zajmuje się wybrany wydział, dział itp.

    16. jakość i bezpieczeństwo używanych systemów informatycznych,

    17. jakość kierowania daną jednostką organizacyjną – doświadczenie, kwalifikacje ich kierowników, delegowanie kompetencji,

    18. wyniki wcześniej przeprowadzonego audytu lub kontroli,

    19. czas od poprzedniego audytu lub kontroli,

    20. akceptacja ustaleń poprzedniego audytu lub kontroli w danej jednostce oraz podjęte działania naprawcze.

    2.3. Poszczególne kroki w analizie ryzyka:

    1. wskazanie obszarów ryzyka,

    2. wyodrębnienie systemów w danym obszarze,

    3. określenie ryzyk (zadań), na jakie narażony jest dany system,

    4. określenie poziomu wrażliwości procesu na ryzyko,

    5. wybranie metody obliczania ryzyka,

    6. przeprowadzenie analizy ryzyka,

    7. dokonanie interpretacji uzyskanych wyników.

    Audytor powinien opracować ujednolicone wytyczne dla ocen ryzyka i nadawania znaczenia poszczególnym obszarom ryzyka. Korzystając z ujednoliconych kryteriów (wag) audytor decyduje, jaki czynnik będzie miał decydujący wpływ na wybór obszaru działalności Uczelni do przeprowadzenia zadania zapewniającego.

    2.4. Audytor wewnętrzny może wykorzystać wiele metod oceny ryzyka takich jak:

    1. matryce ryzyka,

    2. mapa ryzyka,

    3. kwestionariusz samooceny ryzyka,

    4. ustalenie znaczenia ryzyka wyłącznie na podstawie opisu ryzyka.

    2.5. Model ryzyka opiera się na następujących sześciu czynnikach ryzyka:

    1. Ustalenia poprzednich audytów. Ustalenia poprzednich audytów świadczą
      o dyscyplinie systemu kontroli wewnętrznej w Uczelni. Istotne odstępstwa, znaczne korekty, większa niż zwykle liczba wniosków oraz ich bezskuteczna powtarzalność często znamionują problemy. Odwrotnie, brak wniosków albo bezzwłoczna reakcja
      na poprzednie ustalenia świadczy o dyscyplinie systemu kontroli wewnętrznej.

    2. Ocena wrażliwości. Wrażliwość w analizie ryzyka jest miarą właściwego ryzyka związanego z ocenianą jednostką, czyli tego, co może się nie udać i jakie to spowoduje konsekwencje. Może to być ryzyko związane z utratą lub uszkodzeniem majątku, nie wykrytym błędem, nieznanym lub błędnie skalkulowanym zobowiązaniem, lub ryzyko niekorzystnej opinii publicznej, odpowiedzialności prawnej, itp. Ocena wrażliwości powinna także uwzględniać wielkość elementu uniwersum w porównaniu z jego elementami, potencjalne zagrożenie i jego prawdopodobieństwo.

    3. Środowisko kontrolne. Reprezentuje łącznie zasady, procedury, zabezpieczenia fizyczne oraz zaangażowany personel. W korzystnym środowisku kontrolnym najważniejsze jest nastawienie kierownictwa, przestrzeganie udokumentowanych zasad i procedur, niezawodne systemy, bezzwłoczne wykrywanie i naprawa błędów, odpowiedni personel o kontrolowanej rotacji. Odwrotnie, brak nadzoru, liczne błędy, brak dokumentacji, niekontrolowane zaległości w pracy, wysoka rotacja oraz nie rutynowe transakcje
      to objawy złego środowiska kontrolnego.

    4. Materialność. Kryterium to odzwierciedla na ile działania jednostek audytowanych wywołują implikacje finansowe. Im większe implikacje finansowe tym większe ryzyko związane z działalnością tych jednostek.

    5. Stabilność - podatność na zmiany. Doświadczenie uczy, że zmiany wywierają duży wpływ na system kontroli wewnętrznej i sprawozdawczość finansową. Zwykle zmiany wywierają korzystne skutki uboczne, które wymagają nasilenia prac audytowych. Zmiany takie to reorganizacje, nagłe i częste wahania obciążenia pracą, nowe systemy, przejęcia, pozbywanie się obowiązków, nowe przepisy oraz rotacja personelu. Jednostki organizacyjne nie podlegające zmianom wymagają mniejszego nasilenia prac audytowych.

    6. Ocena złożoności. Złożoność jest to czynnik ryzyka, który odzwierciedla możliwość przeoczenia błędów lub nieprawidłowości z powodu złożoności środowiska. Ocena złożoności zależy od wielu czynników: zakres automatyzacji, skomplikowane obliczenia, wzajemnie powiązane i współzależne działania, liczba usług, rozpiętość czasowa szacunków, uzależnienie od osób trzecich, oczekiwania opinii publicznej, czas przetwarzania, uregulowania prawne i funkcjonujące przepisy oraz wiele innych czynników, w tym czynniki nieuświadamiane, wpływają na ocenę złożoności danego audytu.


    2.6. W Uczelni analiza ryzyka prowadzona będzie przy pomocy metody matematycznej i mieszanej z wykorzystaniem arkuszy kalkulacyjnych.

    Kryteria i wagi mogą ulegać zmianie w kolejnych latach.



    a) Metoda matematyczna.

    Jest to metoda przeprowadzana w oparciu o wzory matematyczne z zastosowaniem arkuszy kalkulacyjnych. Działania te przeprowadzane są po uzyskaniu opinii od kierownictwa Uczelni, jak również w oparciu o opinię kierowników poszczególnych jednostek organizacyjnych Uczelni. Dostarczają one lepiej udokumentowanych argumentów jednak wymagają stałego uaktualniania. Metoda ta jest subiektywna w doborze faktów, ustaleniu znaczenia tych faktów, ustaleniu wag czynników ryzyka oraz interpretowaniu wyliczonych ryzyk, jednak uwzględnia preferencje kierownictwa. Metoda ta umożliwia pomiar trendów


    i pozwala modelować przyszłe zmiany biorąc pod uwagę potrzeby Uczelni.

    Przykład1

      1. Punktem wyjścia jest identyfikacja wszystkich możliwych systemów, czyli wykonanie oceny potrzeb audytu. Wszystkie systemy wyliczone są w kolumnie 1 ("Opis systemu").

      2. Następnie należy określić wszystkie możliwe zadania zapewniające dla danego systemu (kolumna 2 „Nazwa zadania zapewniającego”).

      3. Po zasięgnięciu opinii kierowników jednostek organizacyjnych określany jest priorytet -kolumna 4 "Priorytet kierowników jednostek organizacyjnych Uczelni". Dla każdego
        z zadań zapewniających przyznawane są wagi, które zostaną użyte w modelu.
        W zależności od znaczenia, jakie audytor wewnętrzny przywiązuje do opinii kierowników przyznane wagi mogą się zmieniać. W prezentowanym modelu przyznane dla ww. priorytetu wagi wynoszą:

    wysoki - 0,30 (tj. 30%),

    średni - 0,15 (tj. 15%),

    niski - 0,0 (tj. 0%).


      1. Po zasięgnięciu opinii kierownictwa wyższego szczebla, określany jest priorytet - kolumna 5 "Priorytet kierownictwa". Dla każdego z zadań zapewniających przyznawane są wagi, które zostaną użyte w modelu. W prezentowanym modelu przyznane dla priorytetu kierownictwa wagi wynoszą:

    wysoki - 0,30 (tj. 30%),

    średni - 0,15 (tj. 15%),

    niski - 0,0 (tj. 0%).


      1. W kolumnie 6 uwzględniany czas jaki upłynął od ostatniego audytu (kolumna 6 „Poprzedni audyt”). W prezentowanym modelu przyznane wagi wynoszą:

    nigdy - 0,3 (tj. 30%),

    >4 lata-0,2 (tj. 20%),

    3-2 lata-0,1 (tj. 10%),

    1 rok - 0 (tj. 0%).



      1. Określenie wag dla kryteriów ryzyka w modelu. Pomocna jest tabela z kryteriami ryzyka. Suma poszczególnych wag musi wynosić 1. Wagi dla poszczególnych kryteriów ustalane są przez audytora na podstawie profesjonalnego osądu. Wagi poszczególnych kryteriów ryzyka mają wpływ na wynik obliczeń wskazany w kolumnie 12 („Ocena ryzyka po uwzględnieniu kryteriów”).

      2. Przyznanie punktów dla przyjętych w tym modelu kategorii ryzyka. Punkty dla poszczególnych kryteriów przyznawane są przez audytora na podstawie jego profesjonalnego osądu. Punkty (1, 2, 3, lub 4) przyznane dla poszczególnych kategorii po uwzględnieniu wag (pkt. 6) są wykorzystane do obliczenia rezultatu w kolumnie 12 („Ocena ryzyka po uwzględnieniu kryteriów”).



      1. Kolumna „Ocena ryzyka po uwzględnieniu kryteriów”. Algorytm obliczeń jest następujący:

    [(waga materialność x liczba punktów) + (waga wrażliwość x liczba punktów) + (waga kontrola wewnętrzna x liczba punktów) + (waga stabilność x liczba punktów) + (waga złożoność x liczba punktów)] / 4.

    (4 to wartość maksymalna jaką można przyznać dla danego kryterium).

    Obliczenia dla zadania zapewniającego nr B:

    [(0,25 x 3) + (0,15 x 3) + (0,25 x 2) + (0,15 x 4) + (0,20 x 2)] / 4 = 0,675 = 67,5%



      1. Ocena ryzyka według daty ostatniego audytu. Obliczenia uwzględniają wynik
        w kolumnie 12 oraz datę przeprowadzenia ostatniego audytu (wynik w kolumnie 13). Algorytm obliczeń jest następujący: wynik kolumna 12 + wartość wagi z pkt. 5 przyznana dla danego okresu w kolumnie 6).

    Obliczenia dla zadania zapewniającego nr B:

    67,5% % + 20% (2000 r. – 0,2 tj. 20%) = 87,5 %



      1. Ocena ryzyka według priorytetu kierownictwa. Obliczenia uwzględniają wynik
        w kolumnie 13 oraz dodatkowo priorytet kierownictwa. Algorytm obliczeń jest następujący:

    Wynik z kolumny 14 („Ocena ryzyka po uwzględnieniu priorytetu kierownictwa”) = Wynik z kolumny 13 + wartość liczbowa odpowiadająca priorytetowi kierownictwa kolumna 5.

    Obliczenia dla zadania zapewniającego nr B:

    87,5 % + 30% (wysoki – 0,3 tj. 30%) = 117,5 %


      1. Ocena ryzyka według priorytetu kierowników jednostek organizacyjnych. Obliczenia uwzględniają wynik w kolumnie 14 oraz dodatkowo priorytet kierowników jednostek organizacyjnych. Algorytm obliczeń jest następujący:

    Wynik z kolumny 15 („Ocena ryzyka po uwzględnieniu priorytetu kierownictwa”) = Wynik z kolumny 14 + wartość liczbowa odpowiadająca priorytetowi kierowników jednostek organizacyjnych kolumna 4. Obliczenia dla zadania zapewniającego nr B:

    87,5 % + 15% (duży – 0,15 tj. 15%) = 102,5 %



      1. Sprowadzenie uzyskanych wyników procentowych do wspólnego mianownika. Wynik zapisany jest w kolumnie 16 („Końcowa ocena ryzyka”). Algorytm obliczeń jest następujący:

    Obliczenia dla zadania zapewniającego nr B:

    102,5% : 190% = 0,593 = 53,9 %

    190 % jest wartością maksymalną jaką może uzyskać w analizie ryzyka zadanie zapewniające. Każde zadanie może uzyskać od 13,2 % (25 % : 190 % x 100) do 100 % (190 % : 190 % x 100).


      1. Kolumna 17 („Ilość dni audytowych”) pozwala przyporządkować poszczególnym zadaniom zapewniającym odpowiednią ilość dni roboczych

    100 % do 75 % - najwyższy priorytet – 90 dni roboczych,

    75 % do 50 % - wysoki priorytet – 60 dni roboczych,

    50 % do 30 % - średni priorytet – 45 dni roboczych,

    poniżej 30 % – niski priorytet - 30 dni roboczych.




    MATRYCA RYZYKA


    Opis systemu

    Nazwa zadania zapewniającego

    Priorytet audytu

    Priorytet kierowników jednostek organizacyj-nych

    Priorytet Kierownictwa

    Poprzedni audyt

    Kategoria ryzyka

    Ocena ryzyka po uwzględnieniu

    OCENA KOŃCOWA RYZYKA

    Ilość dni audyto-wych

    Materialność

    Wrażliwość

    Kontrola wew.

    Stabilność

    Złożoność

    Kryteriów

    Daty ost. Audytu

    Priorytetów kierownictwa

    prorytet kierowników jednostek organizacyjnych

    1%-75%-niski

    75%-90%-średni

    90%-100%-wysoki

    wysoki - 0,30

    średni - 0,15

    niski - 0

    wysoki - 0,30

    średni - 0,15

    niski - 0

    nigdy-0,3

    >4 lata-0,2

    3-2 lata-0,1

    1 rok - 0

    0,25

    0,15

    0,25

    0,15

    0,2

    (waga)

    Punktacja 1 - 4 zgodnie z tabelą kryteriów

    1

    2

    3



    5

    6

    7

    8

    9

    10

    11

    12

    13

    14

    15

    16

    17

    System 1

    Zadanie A

    Wysoki

    Średni

    Wysoki

    2000

    4

    4

    4

    4

    4

    100,0%

    120,0%

    150,0%

    180,0%

    94,7%

    90

    System 1

    Zadanie B

    Średni

    Średni

    Wysoki

    2000

    3

    3

    2

    4

    2

    67,5%

    87,5%

    117,5%

    102,5%

    53,9%

    60

    System 2

    Zadanie C

    Niski

    Wysoki

    Niski

    2002

    4

    2

    1

    3

    4

    70,0%

    70,0%

    70,0%

    70,0%

    36,8%

    45

    System 2

    Zadanie D

    Niski

    Niski

    Niski

    2000

    1

    1

    1

    1

    1

    25,0%

    45,0%

    45,0%

    45,0%

    23,7%

    30


    Pobieranie 0.81 Mb.

    Share with your friends:
  • 1   2   3   4   5   6   7   8   9   10




    ©operacji.org 2020
    wyślij wiadomość

        Strona główna