Sprawozdanie za rok 2007 - Witamy w Biuletynie Informacji

Prudnik, dnia 10 marca 2008 r.
(nazwa i adres jednostki
sektora finansów publicznych)
SPRAWOZDANIE
Z WYKONANIA PLANU AUDYTU WEWNĘTRZNEGO
ZA ROK 2007
1.
Podstawowe informacje
a) Informacje o jednostce sektora finansów publicznych
Wykaz jednostek sektora finansów publicznych,
w których audytor wewnętrzny prowadził audyt wewnętrzny w roku sprawozdawczym
a) Liczba osób zatrudnionych w jednostce, w której
jest zatrudniony audytor wewnętrzny (jednostce zatrudniającej)
1.
2.
3.*)
Powiatowe Centrum Pomocy Rodzinie w Prudniku
Powiatowy Zarząd Dróg w Prudniku
Starostwo Powiatowe w Prudniku
a) 74
b) Łączna liczba osób zatrudnionych w pozostałych
jednostkach, w których audytor wewnętrzny prowadził b) 638
audyt wewnętrzny (według stanu na dzień 31 grudnia
roku, za który sporządzane jest sprawozdanie)
Łączna liczba jednostek podległych jednostce zatrud18
niającej lub nadzorowanych przez jednostkę zatrudniającą
(według stanu na dzień 31 grudnia roku, za który
sporządzane jest sprawozdanie)
b) Informacje o komórce audytu wewnętrznego
1.
Nazwa komórki audytu wewnętrznego
Samodzielne stanowisko: Audytor Wewnętrzny
2.*)
Adres pocztowy/numer telefonu/adres e-mail koordynatora komórki audytu wewnętrznego
Liczba osób faktycznie zatrudnionych w komórce
audytu wewnętrznego.
(wg stanu na dzień 31 grudnia roku, za który sporządzane jest sprawozdanie)
Czy koordynator komórki audytu wewnętrznego podlega bezpośrednio kierownikowi jednostki (dyrektorowi generalnemu)?
Czy komórka audytu wewnętrznego posiada zatwierdzony przez kierownika jednostki (dyrektora generalnego) dokument określający jej cele, zadania i uprawnienia? (np. karta audytu wewnętrznego, regulamin
organizacyjny)
48-200 Prudnik, ul. Kościuszki 76, tel. (077)406-81-80 wew. 211
[email protected]
3.
4.*)
5.
6.
1
TAK
TAK
Nazwa dokumentu:
REGULAMIN AUDYTU WEWNĘTRZNEGO w Starostwie Powiatowym oraz powiatowych jednostkach organizacyjnych
Procedury audytu wewnętrznego uregulowane zostały w Regulaminie
Czy istnieją pisemne procedury audytu wewnętrznego? Audytu Wewnętrznego.
TAK
7.
8.
9.
10.
Czy dokonywana była zewnętrzna ocena pracy komórki audytu wewnętrznego?
Czy dokonano udokumentowanej samooceny pracy
komórki audytu wewnętrznego?
Czy opracowano wieloletni/ strategiczny plan audytu
wewnętrznego?
Czy prace komórki audytu wewnętrznego są wspomagane przez odpowiednie systemy informatyczne (jakie)?
Organ oceniający: Najwyższa Izba Kontroli
NIE
NIE
NIE
1
2.
L.p.
1.
2.
3.
3.
Lp
1.
2.
3.
Zakres tematyczny i organizacja zadań audytowych zrealizowanych w roku sprawozdawczym
Temat zadania audytowego
Organizowanie
opieki w rodzinach
zastępczych przez
Powiatowe Centrum
Pomocy Rodzinie w
Prudniku
Analiza kosztów
działalności Powiatowego Zarządu
Dróg obecnie oraz
w przypadku włączenia go w strukturę organizacyjną
Starostwa Powiatowego
Bezpieczeństwo
danych informatycznych Starostwie Powiatowym
w Prudniku
Rodzaj
audytu
Czy dotyczy Termin przeprowadześrodków
nia zadania audytowewymieniogo
nych w art.
PlanoZrealizo5 ust. 1 pkt
wany
wany
2 i 3 uofp ?
Obszar
ryzyka
Wykorzystane
zasoby ludzkie (liczba
osobodni)
Opinie rzeczoznawców
Czy ją
uzyskano?
Zakres
czas
F - finansowy
Z - zgodności
Nie
I/II kw.
2007 r.
03.01. –
01.02.
2007 r.
Rodziny
zastępcze
22 dni
-
-
F - finansowy
D - działalności
Nie
-
08.02 –
22.02.
2007 r.
Koszty
działalności
11 dni
-
-
I kw.
2007 r.
19.11 –
18.12.
2007 r.
Bezpieczeństwo
danych
informatycznych
22 dni
-
-
IT –
systemów
informatycznych
Nie
Wydane zalecenia w ramach zadań audytowych zrealizowanych w roku sprawozdawczym
Temat zadania
audytowego
Organizowanie opieki
w rodzinach zastępczych przez Powiatowe Centrum Pomocy
Rodzinie w Prudniku
Analiza kosztów działalności Powiatowego
Zarządu Dróg obecnie
oraz w przypadku
włączenia go w strukturę organizacyjną
Starostwa Powiatowego
Bezpieczeństwo danych informatycznych
Starostwie Powiatowym w Prudniku
Rodzaj
audytu
Czy dotyczy środków wymienionych w art. 5 ust. 1
pkt 2 i 3 uofp ?
Liczba zaleceń
zawartych w
sprawozdaniu z
przeprowadzenia audytu
wewnętrznego
Liczba dodatkowych wyjaśnień
i umotywowanych zastrzeżeń
złożonych audytorowi ****
***
Uwzględnione w
całości
Uwzględnione w
części
Liczba podjętych dodatkowych
czynności
Odrzu- wyjaśniających **
cone
F - finansowy
Z - zgodności
Nie
27
27
-
-
1 (radca
prawny)
F - finansowy
D - działalności
Nie
4
4
-
-
-
IT – systemów informatycznych
Nie
16
16
-
-
-
2
4.
Czynności sprawdzające
(należy podać dane dotyczące czynności sprawdzających podjętych przez audytora wewnętrznego w odniesieniu do zadań
audytowych zrealizowanych w roku sprawozdawczym oraz w latach poprzedzających rok sprawozdawczy)
L.p.
1.
5.
L.p.
1.
Rok realizacji zadania audytowego
Temat zadania audytowego
Liczba podjętych
czynności sprawdzających
Czy dotyczy środków wymienionych w art. 5 ust. 1
pkt 2 i 3 uofp ?
Uwagi
2007
Organizowanie opieki w rodzinach zastępczych przez Powiatowe Centrum Pomocy Rodzinie w
Prudniku
16
Nie
-
Ocena efektów zrealizowanych zadań audytowych
Temat zadania
audytowego
Organizowanie
opieki w rodzinach
zastępczych przez
Powiatowe Centrum Pomocy Rodzinie w Prudniku
Podstawowe zalecenia ***
1) Uaktualnić Regulamin Organizacyjny Powiatowego Centrum Pomocy Rodzinie w Prudniku.
2) Uaktualnić podstawę prawną Zarządzenie nr 1/05
Kierownika PCPR z dnia 29.06.2005 r. w sprawie
ustalenia procedur kontroli finansowej w PCPR
w Prudniku, zapoznać pracowników z wprowadzonymi przepisami oraz zobowiązać do ich
przestrzegania – fakt ten powinni potwierdzić pisemnie.
3) Uaktualnić oraz uzupełnić kartę wzorów podpisów, stanowiącą załącznik do w/w zarządzenia.
4) Dokonać sprostowania w drodze postanowienia
powstałych błędów rachunkowych w wydanych
decyzjach nr ….
5) Z przeprowadzanych szkoleń dla rodzin zastępczych sporządzać dokumenty świadczące o przeszkoleniu.
6) Dokonać zwrotu na rachunek budżetu Powiatu
środków niesłusznie wypłaconych.
7) Dokonać wyrównania brakujących kwot pomocy
pieniężnej dla rodzin zastępczych, którym pomoc
zaniżono.
8) Dokonywać co najmniej raz w roku oceny sytuacji opiekuńczo – wychowawczej w stosunku do
wszystkich dzieci umieszczonych w rodzinach
zastępczych.
9) Decyzje wydawać po otrzymaniu kwestionariusza świadczącego o przeprowadzeniu wywiadu
środowiskowego.
10) Kierownik PCPR powinien każdorazowo na
kwestionariuszach wywiadu potwierdzać decyzję
o przyznaniu pomocy.
11) Informować co najmniej raz w roku właściwy sąd
opiekuńczy o sytuacji rodziny naturalnej dziecka
umieszczonego w rodzinie zastępczej, w oparciu
o przeprowadzony rodzinny wywiad środowiskowy.
12) Przestrzegać zaleceń art. 35 i 36 kodeksu postępowania administracyjnego.
13) Bezwzględnie pamiętać, że warunkiem przyzna-
3
Ocena wykorzystania zaleceń, ich
wpływ na funkcjonowanie
i efektywność zarządzania
jednostką
1) Wykrycie nadużycia finansowego
zwróciło uwagę Kierownictwa na
brak kontroli w obszarze objętym
zadaniem. Audyt przyczynił się
do zapobieżenia nieprawidłowego
wydatkowania środków oraz
wzmocnienia mechanizmów kontroli wewnętrznej w procesie wydatkowania pomocy pieniężnej
dla rodzin zastępczych.
2) Audytor wskazał na nieprawidłowości i uchybienia wynikające
z nieznajomości przepisów ustawy o pomocy społecznej oraz jej
aktów wykonawczych, co niewątpliwie powinno wpłynąć na
prawidłowość dalszej realizacji
przedmiotowego zadania przez
Powiatowe Centrum Pomocy Rodzinie w Prudniku.
3) Działania audytu przyczyniły się
również do ulepszenia istniejącego systemu ochrony danych osobowych.
14)
15)
16)
17)
18)
19)
20)
21)
22)
23)
24)
25)
nia pomocy osobie usamodzielnianej jest m.in.
złożenie indywidualnego programu usamodzielnienia oraz zobowiązanie się tej osoby do realizacji programu.
Kierownik PCPR powinien zatwierdzać indywidualny program usamodzielnienia.
Informować starostę właściwego ze względu na
planowane miejsce osiedlenia się osoby usamodzielnianej o zamiarze osiedlenia się tej osoby w
miejscowości wskazanej w indywidualnym programie usamodzielnienia.
Po zakończeniu realizacji indywidualnego programu usamodzielnienia dokonywać oceny końcowej procesu usamodzielnienia.
Opracować druk wniosku dla osób usamodzielniających się, zawierający wszystkie formy przysługującej pomocy, w celu ułatwienia jasnego i
świadomego wyboru pomocy dokonywanego
przez wnioskodawcę.
Opracować oraz wdrożyć politykę bezpieczeństwa zawierającą w szczególności elementy
wskazane w § 4 rozporządzenia MSWiA z dnia
29.04.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne
służące do przetwarzania danych osobowych (Dz.
U. Nr 100, poz. 1024).
Uaktualnić Instrukcję określającą sposób zarządzania systemem informatycznym, służącym do
przetwarzania danych osobowych, ze szczególnym uwzględnieniem bezpieczeństwa informacji i
Instrukcję postępowania w sytuacji naruszenia
ochrony danych osobowych. Obie instrukcje stanowią akty normatywne o charakterze wewnętrznym, więc należy wprowadzić je zarządzeniem
kierownika jednostki.
Zaprowadzić rejestr zarządzeń wydawanych
przez Kierownika PCPR.
Przeanalizować zgłoszone w 1999 r. do GIODO
zbiory danych do rejestracji oraz porównać wykazane zbiory oraz dane we wnioskach ze zbiorami przetwarzanymi na dzień dzisiejszy. W razie
wykrycia zbioru danych, który nie został jeszcze
zarejestrowany, niezwłocznie dokonać jego rejestracji.
Pisemnie upoważnić każdego z pracowników
uprawnionego do obsługi odpowiednich zbiorów
danych osobowych, w tym również pracownika
ds. kadr.
Prowadzić ewidencję osób upoważnionych do
przetwarzania danych osobowych zawierającą w
szczególności elementy wskazane w art. 39 ustawy o ochronie danych osobowych.
Zastosować odrębne identyfikatory i hasła dla
użytkowników systemu. Stosować hasła odpowiednie do środków bezpieczeństwa na poziomie
wysokim.
Podjąć odpowiednie kroki zmierzające do zakupu
systemu Firewall służącego do ochrony dostępu
4
2.
3.
do sieci komputerowej.
26) Ewidencję na koncie pozabilansowym 998 prowadzić zgodnie z rozporządzeniem Ministra Finansów z dnia 28.07.2006 r. w sprawie szczególnych zasad rachunkowości oraz planów kont dla
budżetu państwa, budżetów jednostek samorządu
terytorialnego oraz niektórych jednostek sektora
finansów publicznych (Dz. U. Nr 142, poz.
1020).
27) Wzmocnić system kontroli wewnętrznej w obszarze działalności jednostki objętym zadaniem.
Analiza kosztów
1) Uaktualnić Regulamin Organizacyjny Powiatodziałalności Powiawego Zarządu Dróg w Prudniku, projekt Regutowego Zarządu
laminu wraz z projektem uchwały przedstawić
Dróg obecnie oraz
Zarządowi Powiatu, celem uchwalenia.
w przypadku włą2) Uaktualnić zakresy czynności pracowników
czenia go w strukPZD.
turę organizacyjną 3) Ustalić w drodze zarządzenia miesięczne limity
Starostwa Powiafinansowe na pokrycie rozmów służbowych i
towego
opłat stałych z telefonów komórkowych.
4) Podjąć stosowne działania zmierzające do powierzenia, osobie pełniącej obecnie funkcję kierowniczą, stanowiska odpowiedniego do posiadanych
kwalifikacji.
Bezpieczeństwo
1) Rozważyć możliwość powierzenia funkcji administratora bezpieczeństwa informacji odpowieddanych informatycznych Staroniej osobie, w celu uniknięcia konfliktu interesów.
stwie Powiatowym
w Prudniku
2) Jasno określić, kto jest odpowiedzialny za zgłoszenie nowego zbioru danych osobowych oraz
zmian aktualizujących zarejestrowane zbiory danych do Generalnego Inspektora Ochrony Danych Osobowych.
3) Rozważyć możliwość przejęcia obowiązku prowadzenia „Rejestru zbiorów danych osobowych”
przez ABI od Naczelnika Wydziału Spraw Obywatelskich i Zarządzania Kryzysowego.
4) Określić, kto powinien prowadzić „Wykaz budynków, pomieszczeń lub części pomieszczeń
tworzących obszar, w którym przetwarzane są
dane osobowe”.
5) Wyjaśnić oraz doprowadzić do zgodności „Rejestr zbiorów danych osobowych” z „Wykazem
budynków, pomieszczeń lub części pomieszczeń
tworzących obszar, w którym przetwarzane są
dane osobowe”. Oba wykazy porównać ze zbiorami zarejestrowanymi przez GIODO umieszczonymi na stronie internetowej GIODO. Uzupełnić „Wykaz zbiorów danych osobowych przetwarzanych w systemie informatycznym”.
6) W „Ewidencji osób upoważnionych do przetwarzania danych osobowych w systemach informatycznych” uzupełnić dane w kolumnie „Identyfikator”.
7) Dostosować wzór „Ewidencji osób upoważnionych do przetwarzania danych osobowych” znajdującej się w „Instrukcji w sprawie ochrony danych osobowych” do wymagań ustawowych.
8) Jasno określić, kto jest odpowiedzialny za szkolenie osób upoważnionych do przetwarzania da-
5
Audytor rekomendował wykonanie
niniejszych zaleceń w przypadku
dalszego funkcjonowania Powiatowego Zarządu Dróg jako jednostki budżetowej.
W dniu 27.04.2007 r. decyzją Rady
Powiatu w Prudniku zlikwidowany
został Powiatowy Zarząd Dróg, natomiast zadania zarządcy dróg przejęło
Starostwo Powiatowe. W związku z
powyższym zalecenia nie podlegały
realizacji.
W wyniku audytu:
1) wprowadzono jasny podział
kompetencji, odpowiedzialności i
uprawnień w stosunku do służb
informatycznych oraz innych
pracowników w obszarze objętym zadaniem,
2) wzmocniono system bezpieczeństwa danych informatycznych w
Starostwie Powiatowym w Prudniku.
Powierzenie odpowiedniej osobie
funkcji Administratora Bezpieczeństwa Informacji przyczyni się do
uniknięcia potencjalnego lub rzeczywistego konfliktu interesów. Zmiana
na stanowisku administratora bezpieczeństwa informacji powinna pozytywnie wpłynąć na prawidłowość
nadzoru nad przestrzeganiem stosowania środków technicznych i organizacyjnych zapewniających ochronę
przetwarzanych danych osobowych w
sposób odpowiedni do zagrożeń oraz
kategorii danych objętych ochroną.
9)
10)
11)
12)
13)
14)
15)
16)
6.
nych osobowych przed dopuszczeniem ich do
pracy z tymi danymi.
Wprowadzić zasady dotyczące użytkowania oraz
przechowywania komputerów przenośnych.
Uszczegółowić stosowane środki i metody uwierzytelniania, stopień złożoności haseł, częstotliwość zmiany haseł.
Wyjaśnić, kto powinien odpowiadać za administrowanie kontami użytkowników (rejestracja,
wyrejestrowanie) i zastosować to w praktyce.
Aktualnie instrukcja nakłada ten obowiązek na
Administratora Bezpieczeństwa Informacji, w
zakresie czynności zadanie to przypisane ma
Administrator Systemu Informatycznego, a w
rzeczywistości wykonują to inne osoby.
Określić metody oraz częstotliwość tworzenia
kopii zapasowych danych oraz systemów informatycznych (o ile nie jest to zabronione przez autora programu), określić dla jakich danych tworzone będą kopie zapasowe, kto jest odpowiedzialny za ich tworzenie, czas przechowywania
oraz procedury likwidacji. Wprowadzić w tej
części obowiązek prowadzenia „Dziennika ewidencji kopii bezpieczeństwa” (który instrukcja
wprowadziła już w innej części).
Zaprowadzić aktualny wykaz sprzętu komputerowego oraz oprogramowania.
Rozważyć możliwość wymiany sprzętu komputerowego w Wydziale Infrastruktury Powiatu na
sprzęt nowszej generacji.
Wdrożyć programy antywirusowe w Wydziale
Geodezji (...).
Jeżeli umowa zlecenie na obsługę informatyczną
zostanie przedłużona, Administrator Danych powinien upoważnić Zleceniobiorcę do przetwarzania danych osobowych.
Niezrealizowane zadania audytowe
Lp.
Temat zadania audytowego
1.
Udzielanie zamówień
publicznych przez Powiatowy Zarząd Dróg w Prudniku
7.
Czy dotyczy środków
wymienionych w art. 5
ust. 1 pkt 2 i 3 ustawy?
Przyczyna niezrealizowania zadania
Nie
Na wniosek Starosty Prudnickiego, audyt w Powiatowym
Zarządzie Dróg przeprowadzony został w innym temacie,
(na dany okres pilniejszym) tj. „Analiza kosztów działalności Powiatowego Zarządu Dróg obecnie oraz w przypadku włączenia go w strukturę organizacyjną Starostwa
Powiatowego”.
Organizacja pracy komórki audytu wewnętrznego
L.p.
Zadania
1.
2.
Przeprowadzanie zadań audytowych
Opracowanie technik przeprowadzania
zadania audytowego
Przeprowadzanie czynności sprawdzających
3.
Zasoby ludzkie
(liczba osobodni)
plan
wykonanie
70
55
15
14
-
6
3
Uwagi
W związku z dużą ilość
nieprawidłowości wykrytych w trakcie realizacji
zadania w PCPR prze-
4.
5.
6.
7.
Współpraca z innymi służbami kontrolnymi
Czynności organizacyjne, w tym planowanie i sprawozdawczość
Szkolenia i rozwój zawodowy
Urlopy/czas dostępny
8.
Inne działania, w tym rezerwa czasowa
8.
3
20
3
10
prowadzono czynności
sprawdzające
-
5
100
26
10
3
100
26
35
Urlop macierzyński
Urlop wypoczynkowy
Zwolnienie chorobowe
Zadania dodatkowe nie ujęte w planie audytu
Lp.
Temat zadania
Rodzaj audytu
(jak w tab. 2)
1.
Analiza kosztów działalności Powiatowego Zarządu Dróg obecnie oraz
w przypadku włączenia go w strukturę organizacyjną Starostwa Powiatowego
F - finansowy
D - działalności
9.
Czy dotyczy środków wymienionych
w art. 5 ust. 1 pkt 2
i 3 ustawy?
Wykorzystane
zasoby
(liczba osobodni)
Uwagi
Nie
11
-
Inne uwagi
(w tym w szczególności: informacja o przypadkach niepodjęcia przez kierownika jednostki, w terminie dwóch miesięcy od
dnia otrzymania sprawozdania z przeprowadzonego audytu wewnętrznego, działań mających na celu usunięcie uchybień
zgodnie z art. 56 ust. 3 ustawy; inne ewentualne zauważone trudności lub wnioski zmierzające do usprawnienia pracy audytora wewnętrznego)
brak
10.03.2008 r.
(data)
(podpis i pieczątka audytora wewnętrznego)
*) W przypadku jednostek podsektora samorządowego wypełnienie nie jest obowiązkowe.
**) Niepotrzebne skreślić. W przypadku wersji elektronicznej sprawozdania, przy odpowiedzi „tak” zaznaczyć pole, przy odpowiedzi
„nie” pozostawić pole bez zaznaczenia.
***) Dotyczy zaleceń, o których mowa w §21 ust. 2 pkt 12 rozporządzenia Ministra Finansów z dnia 24 czerwca 2006 r. w sprawie szczegółowego sposobu i trybu przeprowadzania audytu wewnętrznego (Dz. U. Nr 112, poz. 765).
****) Dotyczy dodatkowych wyjaśnień i umotywowanych zastrzeżeń, o których mowa w §22 ust. 3 rozporządzenia Ministra Finansów
z dnia 24 czerwca 2006 r. w sprawie szczegółowego sposobu i trybu przeprowadzania audytu wewnętrznego (Dz. U. Nr 112,
poz. 765).
7