Kontrola zarządcza i zarządzanie ryzykiem

System kontroli zarządczej w jednostkach sektora finansów publicznych — kto za co odpowiada?

7/6/20269 min read

⚙️ System kontroli zarządczej w jednostkach sektora finansów publicznych — kto za co odpowiada?

Autor: Adrian Chodubski | Świat Audytu

Kontrola zarządcza to jedno z tych pojęć, które w sektorze publicznym funkcjonuje od ponad 15 lat — a mimo to wciąż budzi nieporozumienia. Część kierowników traktuje ją jako zbiór procedur do "odhaczenia", część pracowników nie wie, że w ogóle ją stosuje. W tym artykule wyjaśniam, czym jest system kontroli zarządczej, jakie obowiązki nakładają standardy i wytyczne Ministra Finansów oraz kto — na każdym szczeblu organizacji — ponosi za ten system odpowiedzialność.

📌 CZĘŚĆ I: PODSTAWY PRAWNE I DEFINICJA

Czym jest kontrola zarządcza?

Zgodnie z art. 68 ust. 1 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, kontrolę zarządczą stanowi ogół działań podejmowanych dla zapewnienia realizacji celów i zadań w sposób zgodny z prawem, efektywny, oszczędny i terminowy.

Ustawa wskazuje, że kontrola zarządcza ma zapewniać w szczególności:

→ zgodność działalności z przepisami prawa oraz procedurami wewnętrznymi

→ skuteczność i efektywność działania

→ wiarygodność sprawozdań

→ ochronę zasobów

→ przestrzeganie i promowanie zasad etycznego postępowania

→ efektywność i skuteczność przepływu informacji

→ zarządzanie ryzykiem

Kluczowe jest słowo "ogół działań" — kontrola zarządcza to nie jeden dokument ani jedna procedura. To cały system, który przenika każdy aspekt funkcjonowania jednostki.

Podstawy standardów i wytycznych

Szczegółowe wymagania wobec systemu kontroli zarządczej określają dwa dokumenty Ministra Finansów:

Komunikat nr 23 MF z 16 grudnia 2009 r. — Standardy kontroli zarządczej dla sektora finansów publicznych, oparte na modelu COSO, organizujące system w pięć grup tematycznych.

Komunikat nr 6 MF z 6 grudnia 2012 r. — Szczegółowe wytyczne w zakresie kontroli zarządczej dla sektora finansów publicznych, w tym wytyczne dotyczące zarządzania ryzykiem.

📌 CZĘŚĆ II: PIĘĆ ELEMENTÓW SYSTEMU — STANDARDY KONTROLI ZARZĄDCZEJ

Standardy organizują system kontroli zarządczej w pięć grup, wzorowanych na modelu COSO. To nie jest lista zadań do wykonania — to opis architektury, którą każda jednostka powinna zbudować i utrzymywać.

🔹 Grupa A — Środowisko wewnętrzne

Środowisko wewnętrzne to fundament całego systemu. Obejmuje kulturę organizacyjną, wartości etyczne, kompetencje pracowników i strukturę organizacyjną.

Standardy wymagają w tym obszarze:

Przestrzeganie wartości etycznych. Kierownik jednostki powinien dawać przykład właściwych postaw etycznych i promować je w całej organizacji. Musi istnieć jasny kodeks etyczny lub zbiór zasad postępowania — nie jako dokument w szufladzie, lecz jako żywy element kultury organizacyjnej.

Kompetencje zawodowe. Pracownicy powinni posiadać wiedzę, umiejętności i doświadczenie niezbędne do realizacji powierzonych zadań. Obowiązkiem kierownika jest zapewnienie szkoleń i warunków do rozwoju zawodowego.

Struktura organizacyjna. Powinna być adekwatna do realizowanych celów i zadań. Zakresy obowiązków, uprawnień i odpowiedzialności muszą być jasno określone i zakomunikowane pracownikom.

Delegowanie uprawnień. Kierownik jednostki może delegować uprawnienia — ale nie może delegować odpowiedzialności. Pracownik, któremu powierzono zadanie, musi mieć wystarczające uprawnienia do jego realizacji.

🔹 Grupa B — Cele i zarządzanie ryzykiem

To serce systemu kontroli zarządczej — obszar, w którym teoria spotyka się z praktyką zarządzania.

Misja, cele i zadania. Jednostka powinna mieć jasno określoną misję i wynikające z niej cele operacyjne. Cele muszą być mierzalne, realistyczne i zakomunikowane pracownikom — bo pracownik, który nie zna celów swojej jednostki, nie może świadomie przyczyniać się do ich realizacji.

Monitorowanie i ocena realizacji celów. Jednostka powinna posiadać system monitorowania stopnia realizacji celów i zadań, oparty na mierzalnych wskaźnikach. Wyniki monitorowania muszą być regularnie analizowane i komunikowane kierownictwu.

Identyfikacja ryzyka. Jednostka powinna systematycznie identyfikować ryzyka związane z realizacją celów — zarówno wewnętrzne, jak i zewnętrzne. Identyfikacja ryzyka nie jest jednorazowym ćwiczeniem — powinna być procesem ciągłym, uruchamianym zawsze gdy zmieniają się cele, otoczenie prawne lub warunki działania jednostki.

Analiza ryzyka. Każde zidentyfikowane ryzyko powinno być poddane analizie pod kątem prawdopodobieństwa wystąpienia i możliwego wpływu na realizację celów. Wynikiem analizy jest przypisanie ryzyka do odpowiedniego poziomu istotności.

Reakcja na ryzyko. Dla każdego istotnego ryzyka jednostka powinna określić sposób reakcji: tolerowanie ryzyka, jego przeniesienie (np. przez ubezpieczenie), ograniczenie przez wdrożenie mechanizmów kontrolnych lub wycofanie się z działania je generującego.

🔹 Grupa C — Mechanizmy kontroli

Mechanizmy kontroli to konkretne działania, procedury i narzędzia, które ograniczają zidentyfikowane ryzyka do akceptowalnego poziomu.

Standardy wskazują na kilka kluczowych mechanizmów:

Dokumentowanie systemu kontroli zarządczej. Procedury wewnętrzne, instrukcje, zakresy obowiązków i inne dokumenty opisujące system kontroli powinny być kompletne, aktualne i dostępne dla pracowników. Dokumentacja powinna być adekwatna do rozmiaru i złożoności jednostki — nie chodzi o tworzenie procedur dla samych procedur.

Nadzór. Kierownicy na każdym szczeblu powinni na bieżąco nadzorować realizację zadań przez podległych pracowników. Nadzór nie jest kontrolą — to wsparcie, weryfikacja i bieżące korygowanie odchyleń.

Ciągłość działania. Jednostka powinna posiadać plany ciągłości działania na wypadek zdarzeń zakłócających normalne funkcjonowanie — awarii systemów IT, kluczowych nieobecności pracowników, klęsk żywiołowych.

Ochrona zasobów. Zasoby jednostki — finansowe, rzeczowe i informacyjne — powinny być odpowiednio zabezpieczone przed utratą, nieuprawnionym dostępem i zniszczeniem.

Szczegółowe mechanizmy kontroli finansowej i operacyjnej. Obejmują m.in. zasadę dwóch par oczu (cztery oczy) przy weryfikacji dokumentów finansowych, podział obowiązków uniemożliwiający popełnienie i ukrycie błędu przez jedną osobę, autoryzację transakcji przed ich realizacją.

🔹 Grupa D — Informacja i komunikacja

System kontroli zarządczej nie działa w próżni — wymaga sprawnego przepływu informacji na wszystkich szczeblach organizacji.

Bieżąca informacja. Pracownicy powinni mieć dostęp do informacji niezbędnych do wykonywania swoich zadań. Informacja musi być aktualna, rzetelna i przekazana w odpowiednim czasie.

Komunikacja wewnętrzna. Cele, zadania, procedury i oczekiwania powinny być jasno komunikowane pracownikom. Pracownicy powinni mieć możliwość zgłaszania nieprawidłowości i sugestii bez obawy o negatywne konsekwencje.

Komunikacja zewnętrzna. Jednostka powinna posiadać skuteczne mechanizmy komunikacji z podmiotami zewnętrznymi — obywatelami, organami nadzoru, instytucjami współpracującymi.

🔹 Grupa E — Monitorowanie i ocena

System kontroli zarządczej musi być stale monitorowany i doskonalony.

Monitorowanie systemu. Kierownik jednostki powinien na bieżąco monitorować funkcjonowanie systemu kontroli zarządczej, identyfikować słabości i podejmować działania naprawcze.

Samoocena. Co najmniej raz w roku jednostka powinna przeprowadzić samoocenę systemu kontroli zarządczej — ocenę jego adekwatności i skuteczności w odniesieniu do realizowanych celów.

Audyt wewnętrzny. Tam gdzie jest prowadzony, audyt wewnętrzny dostarcza niezależnej oceny systemu kontroli zarządczej i stanowi kluczowe narzędzie jego doskonalenia.

Oświadczenie o stanie kontroli zarządczej. Kierownik jednostki składa corocznie oświadczenie o stanie kontroli zarządczej za rok poprzedni. To nie jest formalność — to formalne potwierdzenie, że kierownik zbadał stan systemu i bierze za niego odpowiedzialność.

📌 CZĘŚĆ III: WYTYCZNE W ZAKRESIE ZARZĄDZANIA RYZYKIEM

Komunikat nr 6 MF precyzuje wymagania dotyczące zarządzania ryzykiem, które jest — zgodnie ze standardami — jednym z najważniejszych elementów systemu kontroli zarządczej.

Cele zarządzania ryzykiem

Zarządzanie ryzykiem ma zwiększać prawdopodobieństwo osiągnięcia celów jednostki poprzez systematyczne identyfikowanie, analizowanie i reagowanie na zagrożenia. Nie chodzi o wyeliminowanie ryzyka — to jest niemożliwe. Chodzi o jego świadome zarządzanie w granicach akceptowalnego poziomu.

Proces zarządzania ryzykiem — krok po kroku

Krok 1 — Określenie kontekstu. Przed identyfikacją ryzyk jednostka musi określić cele, których realizacja jest zagrożona, oraz środowisko wewnętrzne i zewnętrzne, w którym działa. Ryzyko zawsze odnosi się do konkretnego celu — nie istnieje w próżni.

Krok 2 — Identyfikacja ryzyk. Systematyczne poszukiwanie zdarzeń i okoliczności, które mogą negatywnie wpłynąć na realizację celów. Identyfikacja powinna obejmować ryzyka wewnętrzne (kadrowe, procesowe, finansowe, informatyczne) i zewnętrzne (prawne, ekonomiczne, środowiskowe).

Krok 3 — Analiza ryzyk. Dla każdego zidentyfikowanego ryzyka należy ocenić: prawdopodobieństwo wystąpienia (jak często może się zdarzyć?) oraz wpływ na cele jednostki (jak dotkliwe byłyby skutki?). Połączenie obu wymiarów daje poziom ryzyka, który pozwala na ustalenie priorytetów działania.

Krok 4 — Reakcja na ryzyko. W zależności od poziomu ryzyka i możliwości jednostki stosuje się jedną z czterech strategii: tolerowanie (akceptacja ryzyka w obecnym poziomie), ograniczenie (wdrożenie mechanizmów kontrolnych), przeniesienie (np. ubezpieczenie, outsourcing), unikanie (rezygnacja z działania generującego ryzyko).

Krok 5 — Monitorowanie i przegląd. Ryzyka i mechanizmy kontrolne muszą być regularnie przeglądane — bo zarówno ryzyka, jak i otoczenie jednostki zmieniają się w czasie. Ryzyko niskie w zeszłym roku może być krytyczne w roku bieżącym.

Rejestr ryzyk

Wytyczne rekomendują prowadzenie rejestru ryzyk jako narzędzia dokumentowania i monitorowania całego procesu zarządzania ryzykiem. Rejestr powinien zawierać: opis ryzyka, przypisanie do celu, ocenę prawdopodobieństwa i wpływu, poziom ryzyka, wybraną strategię reakcji, mechanizmy kontrolne oraz osobę odpowiedzialną za monitorowanie.

📌 CZĘŚĆ IV: KTO ZA CO ODPOWIADA — OBOWIĄZKI NA KAŻDYM SZCZEBLU

To obszar, który w praktyce generuje najwięcej nieporozumień. Ustawa o finansach publicznych jasno rozdziela odpowiedzialność za system kontroli zarządczej między trzy poziomy organizacji.

🔴 Kierownik jednostki — odpowiedzialność systemowa

Zgodnie z art. 69 ust. 1 ustawy o finansach publicznych, zapewnienie funkcjonowania adekwatnej, skutecznej i efektywnej kontroli zarządczej należy do obowiązków kierownika jednostki.

To fundamentalna zasada: odpowiedzialność za system kontroli zarządczej nie może być zdelegowana. Kierownik może delegować zadania, ale ponosi pełną odpowiedzialność za to, czy system jako całość funkcjonuje prawidłowo.

Konkretne obowiązki kierownika jednostki:

Ustanowienie systemu — zaprojektowanie i wdrożenie wszystkich elementów systemu kontroli zarządczej adekwatnych do rozmiaru i specyfiki jednostki

Określenie misji, celów i zadań — sformułowanie jasnych, mierzalnych celów i zakomunikowanie ich wszystkim szczeblom organizacji

Zarządzanie ryzykiem na poziomie strategicznym — określenie apetytu na ryzyko jednostki i nadzór nad procesem zarządzania ryzykiem

Zapewnienie zasobów — zagwarantowanie, że pracownicy posiadają kompetencje, uprawnienia i narzędzia niezbędne do realizacji zadań

Promowanie kultury etycznej — dawanie przykładu właściwych postaw i egzekwowanie przestrzegania wartości etycznych

Złożenie oświadczenia o stanie kontroli zarządczej — coroczne formalne potwierdzenie oceny stanu systemu, oparte na wynikach samooceny, audytu wewnętrznego i innych źródłach zapewnienia

Reagowanie na wyniki monitorowania — podejmowanie działań naprawczych w odpowiedzi na stwierdzone słabości systemu

🟠 Kierownicy komórek organizacyjnych — odpowiedzialność operacyjna

Kierownicy wydziałów, referatów i innych komórek organizacyjnych są odpowiedzialni za funkcjonowanie systemu kontroli zarządczej w powierzonych im obszarach. To oni przekładają strategię kierownika jednostki na codzienną praktykę.

Konkretne obowiązki kierowników średniego szczebla:

Wdrożenie procedur w podległym obszarze — zapewnienie, że procedury wewnętrzne są znane, rozumiane i stosowane przez podległych pracowników

Identyfikacja i zarządzanie ryzykiem operacyjnym — systematyczna identyfikacja ryzyk w podległym obszarze i zgłaszanie ich do rejestru ryzyk jednostki

Nadzór bieżący — weryfikacja prawidłowości realizacji zadań przez pracowników, identyfikacja odchyleń i podejmowanie działań korygujących

Weryfikacja i autoryzacja — sprawdzanie dokumentów i transakcji przed ich zatwierdzeniem zgodnie z zasadą "czterech oczu"

Komunikacja pionowa i pozioma — przekazywanie celów i oczekiwań kierownictwa w dół oraz informacji o problemach i ryzykach w górę struktury organizacyjnej

Ocena kompetencji — identyfikacja potrzeb szkoleniowych podległych pracowników i wnioskowanie o zapewnienie odpowiednich szkoleń

Uczestnictwo w samoocenie — rzetelna ocena funkcjonowania systemu kontroli zarządczej w podległym obszarze w ramach corocznej samooceny

🟢 Pracownicy — odpowiedzialność wykonawcza i samokontrola

Pracownicy są ostatnim ogniwem systemu kontroli zarządczej — i nie są w tym systemie biernymi wykonawcami. Standardy explicite wskazują na samoocenę jako jeden z mechanizmów kontroli.

Konkretne obowiązki pracowników:

Znajomość i stosowanie procedur — obowiązkiem pracownika jest znajomość procedur dotyczących jego zakresu zadań i ich rzetelne stosowanie

Samokontrola — każdy pracownik jest odpowiedzialny za bieżącą weryfikację prawidłowości własnej pracy przed jej przekazaniem dalej. Błąd wykryty przez samego pracownika jest zawsze lepszy od błędu wykrytego przez kontrolera

Zgłaszanie nieprawidłowości — pracownik, który stwierdzi nieprawidłowość lub ryzyko, ma obowiązek zgłoszenia tego bezpośredniemu przełożonemu. System kontroli zarządczej musi gwarantować, że takie zgłoszenia są możliwe bez obawy o negatywne konsekwencje

Przestrzeganie zasad etycznych — pracownik jest zobowiązany do działania zgodnie z wartościami etycznymi przyjętymi przez jednostkę, unikania konfliktów interesów i zgłaszania sytuacji, w których taki konflikt może wystąpić

Uczestnictwo w szkoleniach — aktywny udział w szkoleniach z zakresu kontroli zarządczej, zarządzania ryzykiem i procedur wewnętrznych

Rzetelność dokumentowania — prawidłowe i terminowe dokumentowanie wykonywanych czynności, stanowiące podstawę dla nadzoru i weryfikacji

✅ Podsumowanie

System kontroli zarządczej nie jest zestawem dokumentów do wypełnienia raz w roku. To żywy organizm, który działa — albo nie działa — każdego dnia, na każdym szczeblu organizacji.

Kierownik jednostki odpowiada za to, że system istnieje i jest adekwatny. Kierownicy komórek odpowiadają za to, że działa w ich obszarach. Pracownicy odpowiadają za to, że stosują go w codziennej pracy.

Gdy każdy z tych poziomów rozumie swoją rolę i ją wypełnia — ryzyko nieprawidłowości maleje, efektywność rośnie, a coroczne oświadczenie o stanie kontroli zarządczej przestaje być formalnością, stając się rzeczywistym potwierdzeniem sprawnego zarządzania.

Jako audytor wewnętrzny widzę to wyraźnie: jednostki, w których kierownictwo traktuje kontrolę zarządczą jako narzędzie, a nie obowiązek, działają sprawniej, lepiej znoszą kontrole zewnętrzne i rzadziej trafiają na pierwsze strony gazet z powodów, których wolałyby uniknąć.

Chcesz ocenić stan systemu kontroli zarządczej w swojej jednostce lub przeprowadzić samoocenę? Skontaktuj się ze mną — adrianchodubski.pl

chodubski.doradztwo@gmail.com

+48 792-008-131

© 2026. All rights reserved.

Kontakt