ZARZĄDZANIE RYZYKIEM

XXIII Promocja

Krajowa Szkoła Administracji Publicznej

ZARZĄDZANIE RYZYKIEM

Zarządzanie ryzykiem jest elementem budowy dobrego ładu organizacyjnego w instytucji. Jako element good governance zarządzanie ryzykiem sprzyja realizacji celów, efektywniejszemu wykorzystaniu zasobów i lepszemu reagowaniu na sytuacje nieprzewidziane.

KORZYŚCI WYPŁYWAJĄCE Z ZARZĄDZANIA RYZYKIEM

KONTEKST PRAWNY

Podstawy prawne dla wdrażania zarządzania ryzykiem

USTAWA Z DNIA 27 SIERPNIA 2009 O FINANSACH PUBLICZNYCH

art. 68 – jednym z celów kontroli zarządczej jest wdrożenie w urzędzie zarządzania ryzykiem. ust.1 Kontrolę zarządczą w jednostkach sektora

finansów publicznych stanowi ogół działań podejmowanych dla zapewnienia realizacji celów i zadań w sposób zgodny z prawem, efektywny, oszczędny i terminowy.

ust.2 Celem kontroli zarządczej jest w szczególności (…) zarządzanie ryzykiem.

art. 69 – za zapewnienie funkcjonowania zarządzania ryzykiem w ministerstwie (tak jak i całej kontroli zarządczej) odpowiedzialny jest minister.

KOMUNIKAT NR 23 MINISTRA FINANSÓW Z DNIA 16 GRUDNIA 2009 W SPRAWIE STANDARDÓW KONTROLI ZARZĄDCZEJ DLA

SEKTORA FINANSÓW PUBLICZNYCH

Komunikat formułuje standardy kontroli zarządczej,w tym wytyczne i wskazówki w zakresie zarządzania ryzykiem skierowane do podmiotów sektora finansów publicznych.

Standardy określają podstawowe wymagania odnoszące się do sposobu wdrażania zarządzania ryzykiem w urzędzie.

Wymienia się takie elementy jak określenie celów i zadań (oraz ocena ich realizacji i monitorowanie), identyfikacja ryzyka, analiza ryzyka i reakcja na ryzyko.

ROLA PLANU DZIAŁALNOŚCI W ZARZĄDZANIU RYZYKIEM

PLAN DZIAŁALNOŚCI DLA DZIAŁU

Minister sporządza do końca listopada każdego roku plan działalności na rok następny dla kierowanych przez niego działów (Art. 70 ufp). Plan ten zawiera cele wraz z miernikami stopnia ich realizacji. W odniesieniu

do celów i zadań przeprowadza się kompleksowe zarządzanie ryzykiem (identyfikacja, analiza, reagowanie).

Jako jednostkę właściwą w obszarze monitorowania i koordynowania zarządzania ryzykiem w ministerstwie powinno wyznaczać się departamenty strategii i analiz.

PLANY DZIAŁALNOŚCI KOMÓRKI ORGANIZACYJNEJ

Akty prawne nie dają szczegółowych wytycznych, w jaki sposób zorganizować proces zarządzania ryzykiem w całym urzędzie.

Dobrą praktyką jest opieranie zarządzania ryzykiem na celach zawartych w planie działalności ministra. Komórki organizacyjne urzędu (departamenty merytoryczne) tworzą wówczas własne plany działalności zawierające szczegółowe cele i zadania w obszarze ich kompetencji. Muszą być one spójne z celami strategicznymi z planu działalności urzędu i stanowić ich uszczegółowienie. W odniesieniu do tak sformułowanych celów, komórki te przeprowadzają identyfikację i analizę ryzyka na swoim poziomie.

KWESTIA AUDYTU WEWNĘTRZNEGO

Kontroli zarządczej nie należy mylić z działaniami podejmowanymi w ramach audytu wewnętrznego, a planu działalności z planem audytu urzędu.

Audyt wewnętrzny w ministerstwie wspiera proces zarządzania ryzykiem, nie odpowiada jednak za całokształt działań w tym obszarze.

Analizy ryzyka o której mowa w art. 283 ust. 3 i 4 ufp nie należy mylić z analizą ryzyka dokonywaną w ramach zarządzania ryzykiem. Analiza ryzyka przeprowadzana przez komórkę audytu służy jedynie przygotowaniu planu audytu.

Z uwagi na powyższe, nie jest wskazane przypisywanie komórce audytu wiodącej roli w zakresie zarządzania ryzykiem. Właściwymi jednostkami w tym obszarze byłyby departamenty odpowiedzialne za strategie.

Poziom operacyjny – narzędzia zarządzania ryzykiem

IDETYFIKACJA RYZYKA

IDENTYFIKACJA RYZYKA

Zgodnie ze standardami kontroli zarządczej identyfikacja ryzyk powinna być dokonywana w odniesieniu do zadań określonych w planie działalności urzędu, mając przy tym zawsze na uwadze cele, jakie mają być osiągnięte dzięki realizacji tych zadań.

OPIS RYZYKA

Do sporządzania opisu ryzyka może służyć trójelementowa metoda R-P-S: ryzyko (R), jego przyczyna (P), skutek (S).

Należy unikać stwierdzenia ryzyka, które nie ma wpływu na cele, jak również stwierdzenia ryzyka, które jest po prostu odwrotnością celów. Konieczne jest odróżnienie samego ryzyka od jego oddziaływania.

METODY IDENTYFIKACJI RYZYKA

TABELA IDENTYFIKACJI RYZYKA

ZBIORCZA TABELA IDENTYFIKACJI RYZYKA (WRAZ Z PRZYKŁADEM)

Zadanie Kategoria ryzyka Opis ryzyka(max. 5) Sygnatura

Umożliwienie składania deklaracji podatkowych drogą elektroniczną poprzez udostępnienie przez Ministerstwo Finansów odpowiednich usług informatycznych.

Zasoby ludzkie

Obecnie w Wydziale X nie są obsadzone dwa etaty, w których opisie stanowisk znajduje się obowiązek zajmowania się zagadnieniem wskazanym w zadaniu. Kwestią tą zajmować się będzie tylko jeden pracownik. Istnieje zatem ryzyko przedłużania się okresu prac nad projektem, a w konsekwencji nie wykonania zadania w terminie

DY1

Obecnie w Departamencie Y brakuje zastępcy dyrektora, który nadzoruje wydziały odpowiedzialne za realizację zadania. Pan Z pełni jedynie obowiązki zastępcy dyrektora. Zmiana na tym stanowisku może oznaczać pojawienie się nowej koncepcji realizacji zadania, co skutkować będzie brakiem terminowości w realizacji zadania.

DY2

Sprzęt i informacja

Program komputerowy potrzebny do realizacji zadania ulega częstym awariom. Kilkukrotnie doprowadziło to do utraty wprowadzanych danych. Powtarzanie się awarii spowoduje nie możność kontynuowania pracy a w konsekwencji nie zrealizowanie zadania.

DZ1

Zebrane dane na temat ryzyka należy zestawić tak, aby możliwe było dalsze przetwarzanie tych informacji. Może do tego służyć zbiorcza tabela identyfikacji ryzyka.

ANALIZA RYZYKA

ANALIZA RYZYKA

Analiza pod kątem

identyfikacji ryzyka

krzyżowego

Kolejnym etapem po identyfikacji ryzyka jest poddanie go szczegółowej analizie, tak, aby możliwe stało się zrozumienie jego istoty, a następnie dokonanie we właściwy sposób jego oceny. Wyróżnić można cztery etapy analizy:

OKREŚLENIE PRZYCZYN I SKUTKÓW ZIDENTYFIKOWANEGO RYZYKA

W opisie ryzyka dokonanym w trakcie identyfikacji każdemu z zagrożeń została przyporządkowana przyczyna oraz skutek. Jednak pogłębiona analiza ryzyka wymaga wypunktowania wszystkich oddziaływań, dlatego należy zwrócić szczególną uwagę na: wpływ na przestrzeganie prawa przez urząd, wpływ na zdrowie/życie pracowników, straty finansowe, wpływ na wizerunek urzędu, wpływ na standard świadczenia usług.

ANALIZA POD KĄTEM IDENTYFIKACJI RYZYKA KRZYŻOWEGO

Pewne ryzyka mogą mieć wpływ na różne działania podejmowane przez urząd lub powtarzać się w jej poszczególnych jednostkach. W związku z tym bardzo ważne jest, aby na etapie analizy ryzyka zidentyfikować takie niebezpieczeństwo i przygotować kompleksowy plan działania, który uwzględni zagrożenie w różnych aspektach działalności urzędu.

ODDZIELENIE RYZYKA ISTOTNEGO OD NIEWIELKIEGO

Odróżnianie ryzyka niewielkiego od istotnego jest dokonywane przede wszystkim poprzez “Punktową ocenę poziomu ryzyka”, która stanowi kolejny etap procesu zarządzania ryzykiem. Jednak prowadząc szczegółową analizę ryzyka warto zebrać już na tym etapie odpowiednie informacje dotyczące zidentyfikowanego ryzyka. W tym celu można posłużyć się odpowiednią tabelą wyszczególniającą przyczyny i skutki określonego ryzyka, funkcjonujące w urzędzie mechanizmy kontrolne wraz z określeniem ich adekwatności, skuteczności oraz efektywności.

OCENA RODZAJU I KATEGORII RYZYKA

Odpowiednie wyodrębnienie rodzaju i kategorii ryzyka ułatwi na dalszym etapie kwestię określenia jego właściciela. Ryzyko może mieć charakter strategiczny lub operacyjny. Ryzyko strategiczne wpływa na podstawy

funkcjonowania urzędu. Zarządzanie nim jest przede wszystkim zadaniem kierownika jednostki we współdziałaniu z innymi pracownikami na kluczowych stanowiskach.

Ryzyko operacyjne jest elementem codziennej pracy całego personelu. W związku z tym nie jest z góry określone, że zarządzanie nim należy do zadań kierownika jednostki.

PUNKTOWA OCENA RYZYKA

PUNKTOWA OCENA RYZYKA

Punktowa ocena ryzyka jest etapem dostarczającym informacji, które pozwalają na uszeregowanie ryzyk oraz tym samym pomagają w podjęciu decyzji, dotyczących sposobów postępowania z nimi. Ryzyko ocenia się, biorąc pod uwagę: Prawdopodobieństwo jego wystąpienia oraz Jego oddziaływanie na urząd w razie wystąpienia (skutek).

W tym celu wykorzystywane są skale punktowe (najczęściej stosuje się skale 3-stopniowe, 4-stopniowe i 5-stopniowe). Niezwykle istotne jest, aby przed oceną punktową wypracować jednolite dla całego urzędu definicje prawdopodobieństwa oraz poziomu oddziaływania. Należy także pamiętać o tym, że punktową analizę ryzyka przeprowadzamy, biorąc pod uwagę istniejące w urzędzie mechanizmy kontrolne.

MATRYCA RYZYKA

Skutek

Bardzo duży 5 10 15 20 25

Duży 4 8 12 16 20

Średni 3 6 9 12 15

Mały 2 4 6 8 10

Nieznaczny 1 2 3 4 5

RzadkieMało

prawdopodobneŚrednie Prawdopodobne Prawie pewne Prawdopodobieństwo

Nakładając na siebie wymiar oddziaływania oraz wymiar prawdopodobieństwa, uzyskujemy matrycę ryzyka. Każdemu zidentyfikowanemu ryzyku w urzędzie odpowiada jedno pole na matrycy ryzyka. Istotność danego ryzyka uzyskujemy mnożąc punktową ocenę prawdopodobieństwa oraz skutku. Matryca ryzyka jest podstawą do ustalenia hierarchii (ewentualnych) działań, mających na celu zmniejszenie

MAPA RYZYKA

Wykorzystując indywidualne oceny poszczególnych ryzyk możemy stworzyć mapę ryzyka, umożliwiającą ustalenie „progów tolerancji” dla zidentyfikowanych ryzyk. Przy pomocy mapy ryzyka możliwe staje się określenie: poziomów akceptowanego ryzyka dla kategorii

prawdopodobieństwa oraz kategorii oddziaływania (skutku)

lub poziomu akceptowanego ryzyka dla kategorii istotności,

rozumianej jako iloczyn punktowej oceny prawdopodobieństwa oraz oddziaływania (skutku).

REJESTR RYZYKA

Jest to dokument podsumowujący, w którym umieszczane są informacje dotyczące wszystkich zidentyfikowanych zagrożeń.

Aktualizacja dokumentu powinna odbywać się regularnie, co najmniej raz w roku, tak, aby zarządzający ryzykiem mogli porównać stan obecny z poprzednim.

Rada: Podczas opracowywania rejestru ryzyka warto przed jego stworzeniem, pamiętać o celach, jakie postawione są przed urzędem.

METODY SPORZĄDZANIA REJESTRU RYZYKA

SZABLON REJESTRU RYZYKA

SZABLON REJESTRU RYZYKA

Identyfikator ryzyka Kategoria ryzyka

Przyczyna ryzyka, charakter, skutek

Punktowa ocena ryzyka

Reakcja na ryzyko

Ryzyko Rezydualne

Właściciel ryzyka

DX1 Zasoby ludzkie

Opis zgodny z analizą

przeprowadzoną w pkt. 2

opracowania

20Dyrektor

departamentu X

DZ1Sprzęt

i informacja

Opis zgodny z analizą

przeprowadzoną w pkt. 2

opracowania

16

Naczelnik wydziału Z

w departamencie X

Kolejność kolumn w powyższym szablonie, jak i kolumn dodawanych do niego, powinna odzwierciedlać sekwencję, w jakiej informacje są pozyskiwane

PROCES ZARZĄDZANIA RYZYKIEM

PROCES ZARZĄDZANIA RYZYKIEM

DECYZJE I DZIAŁANIA ZMNIEJSZAJĄCE RYZYKO

MECHANIZMY KONTROLI

MONITORING RYZYKA

WIĘCEJ SZCZEGÓŁÓW POD ADRESEM:

www.XXIII.pl