Zarządzenie ryzykiem - podręcznik XXIII Promocji KSAP
28
ZESTAW NARZĘDZI DO ANALIZY RYZYKA W URZĘDACH XXIII PROMOCJA KRAJOWA SZKOŁA ADMINISTRACJI PUBLICZNEJ
-
Upload
pawel-pietrzak -
Category
Documents
-
view
2.301 -
download
4
description
Zarządzenie ryzykiem - podręcznik przygotowany przez słuchaczy XXIII Promocji KSAP
Transcript of Zarządzenie ryzykiem - podręcznik XXIII Promocji KSAP
ZESTAW NARZĘDZI DO ANALIZY RYZYKA
W URZĘDACH
XXIII PROMOCJA
KRAJOWA SZKOŁA ADMINISTRACJI PUBLICZNEJ
1
Spis treści
IDENTYFIKACJA RYZYKA ................................................................................. 2
ANALIZA RYZYKA ........................................................................................... 12
PUNKTOWA OCENA RYZYKA ......................................................................... 15
REJESTR RYZYKA ............................................................................................ 18
ZARZĄDZANIE RYZYKIEM ............................................................................... 20
2
Zgodnie ze standardami kontroli zarządczej identyfikacja ryzyk powinna być dokonywana
w odniesieniu do zadań określonych w planie działalności urzędu, mając przy tym zawsze
na uwadze cele, jakie mają być osiągnięte dzięki realizacji tych zadań.
Do sporządzania opisu ryzyka może służyć trójelementowa metoda R-P-S: ryzyko
(R), jego przyczyna (P), skutek (S). Na przykład, jeśli określimy cel jako dojechanie pociągiem
na spotkanie o określonej godzinie, to opis ryzyka może wyglądać następująco: (R) ryzyko
pociąg nie odjedzie, (P) z powodu złej pogody, (S) co będzie skutkować nieprzybyciem
na spotkanie.
Opisując ryzyko należy uważać, aby unikać stwierdzenia oddziaływania ryzyka, które może
wydawać się samym ryzykiem, a także by unikać stwierdzenia ryzyka, które nie
ma wpływu na cele; podobnie należy uważać, by unikać określania ryzyka sformułowaniami,
które są po prostu odwrotnością celów. Przykład właściwego opisu ryzyka oraz najczęstsze
błędy opisane są w poniższym przykładzie.
Cel – dojechać pociągiem z A do B na spotkanie o określonej godzinie
Nie dojechanie z A do B na spotkanie o określonej godzinie Jest to po prostu odwrotność celu
Spóźnienie się i opuszczenie spotkania Jest to stwierdzenie wpływu ryzyka, a nie samego ryzyka
W pociągu nie ma bufetu, więc zgłodnieję Nie ma to wpływu na osiągnięcie celu
Jeśli nie zdążę na pociąg, to spóźnię się i nie zdążę na spotkanie
J Jest to ryzyko, które można kontrolować upewniając się, że przeznaczę dużo czasu na dotarcie do stacji
Zła pogoda uniemożliwi odjazd pociągu, a mi dotarcie na spotkanie
Jest to ryzyko, którego nie mogę kontrolować, ale mogę stworzyć plan awaryjny
Źródło: Ministerstwo Skarbu Jej Królewskiej Mości, Pomarańczowa księga. Zarządzanie ryzykiem – zasady i koncepcje, październik 2004, s. 15.
OPIS RYZYKA
IDENTYFIKACJA RYZYKA
3
Nie ma pojedynczej „właściwej” metody identyfikacji ryzyka. Każda urząd może opracować
własną metodę, biorąc pod uwagę swoje doświadczenie, wielkość i charakter,
a przede wszystkim zadania opisane w planie działalności. Poniżej zaproponowano metody
najczęściej wykorzystywane. Można je stosować zarówno pojedynczo, jak i łącząc
poszczególne sposoby.
Kwestionariusz identyfikacji ryzyka jest to wstępnie uzgodniona lista pytań umożliwiających
zidentyfikowanie obszarów ryzyka. Powinien on być przesłany do jak największej liczby osób,
które mogą pomóc nam w identyfikacji ryzyka dla określonego zadania.
Poniżej znajduje się propozycja zagadnień, które mogą stać się inspiracją dla identyfikacji
ryzyka. Należy pamiętać, że katalog ten nie jest zamknięty, może więc zostać zarówno
poszerzony, jak i skrócony w zależności od specyfiki urzędu, a także zadania, dla którego
ryzyka mają być identyfikowane.
1. Możliwość otrzymania opinii od dużej liczby pracowników
2. Wyliczenie poszczególnych ryzyk pozwala mieć pewność, że najbardziej interesujące nas ryzyka znajdują się na liście i będą wzięte pod uwagę
1. Kwestionariusz nie rozwija kreatywnego myślenia na temat ryzyk (dysponujemy tylko zamkniętym katalogiem, a rzeczywistość się zmienia)
2. Możliwa zła interpretacja zaproponowanych ryzyk przez pracowników
3. Możliwy niewielki poziom zwrotu wypełnionych ankiet lub pospieszne i nierzetelne wypełnianie ankiet, co zakłóca obraz rzeczywistości
METODY IDENTYFIKACJI RYZYKA
KWESTIONARIUSZ
4
Zadanie
Obszary potencjalnego ryzyka Występowanie
ryzyka T/N
Opis ryzyka
Wewnętrzne
Kwestie organizacyjne
- przygotowanie i planowanie
- jakość tworzonych produktów i usług
- terminowość w realizacji zadań
- monitorowanie postępów w realizacji zadań
- efektywność procedur
- efektywność struktur
- sposób zdefiniowania ról i zadań komórek organizacyjnych
- adekwatność czasu do zadania
Kwestie finansowe
- dostosowanie budżetu do powierzonych zadań
- płynność finansowa
- terminowość płatności
- liczba operacji wykonywanych na bardzo dużych kwotach
- jakość procesu zarządzania budżetem
Zasoby ludzkie
- adekwatność etatów/pracowników do wyznaczonego zadania
- posiadanie niezbędnej wiedzy/umiejętności/doświadczenia dla realizacji zadania
- adekwatność sposobu prowadzenia polityki rekrutacyjnej do potrzeb
- stopień rotacji pracowników
- obsadzenie kluczowych stanowisk
- jakość kwalifikacji osób na kluczowych stanowiskach
- przewidywana nieobecność pracowników
- stopień motywacji i morale pracowników
- relacje między pracownikami
- staranności pracowników
- program szkoleń
- zachowywanie przez pracowników zasad, procedur
5
Sprzęt i informacja
- posiadanie podstawowych narzędzi pracy dla realizacji zadania
- dostosowanie sprzętu/warunków pracy do przepisów BHP
- posiadanie odpowiedniego oprogramowania
- awaryjność sprzętu komputerowego
- czas oczekiwania na naprawę sprzętu
- obieg informacji w urzędzie
- komunikacja między pracownikami
- baza informacji
- bezpieczeństwo informacji
- aktualność informacji
Zewnętrzne
Kwestie polityczne
- wpływ cyklu politycznego (kampania wyborcza, zmiana ekipy rządzącej itp.)
- sposób prowadzenia polityki przez obecny rząd
- ważne decyzje polityczne
- reakcja opozycyjnych sił politycznych na prowadzone działania
Kwestie prawne
- wpływ istniejących regulacji na podejmowanie działań
- wpływ zapowiadanych zmian w przepisach
- liczba pozwów lub spraw sądowych
- jakość podpisywanych umów
Interesariusze (w tym obywatele)
- zły wizerunek urzędu
- sprzeciw/protesty obywateli wobec zamierzonych działań
- jakość i rodzaj wsparcia interesariuszy w podejmowanych działaniach
- wysoki stopień uzależnienia od organizacji zewnętrznych
Identyfikacja ryzyka powinna być dokonywana zawsze w odniesieniu do zadań opisanych
w planie działalności urzędu, dlatego w nagłówku kwestionariusza wpisujemy nazwę
zadania, dla którego chcemy zidentyfikować ryzyka. W kolumnie po lewej stronie
wymienione są obszary potencjalnego ryzyka podzielone na kategorie, które mają stanowić
6
pomoc dla osoby wypełniającej kwestionariusz. Jeśli ankietowany uzna, że wykonanie
zadania może być realnie zagrożone w związku z określonym zagadnieniem, powinien opisać
to ryzyko w kolumnie po prawej stronie. Sposób opisu ryzyka został przedstawiony już
wcześniej.
Przesyłając kwestionariusz ankietowanym należy do niego dołączyć instrukcję wypełnienia
oraz instrukcję sposobu opisu ryzyka. Należy także wskazać, że ankietowany
ma prawo dopisywać własne propozycje zagadnień problemowych. W tym celu należy
pozostawić wolne pola pod każdą z kategorii.
Umożliwienie składania deklaracji podatkowych drogą elektroniczną poprzez udostępnienie przez Ministerstwo Finansów odpowiednich usług informatycznych
Obszary potencjalnego ryzyka Występowanie
ryzyka T/N
Opis ryzyka
Wewnętrzne
Zasoby ludzkie
Adekwatność etatów/pracowników do wyznaczonego zadania
T Obecnie w Wydziale X nie są obsadzone dwa etaty, w których opisie stanowisk znajduje się obowiązek zajmowania się zagadnieniem wskazanym w zadaniu. Kwestią tą zajmować się będzie tylko jeden pracownik. Istnieje zatem ryzyko przedłużania się okresu prac nad projektem, a w konsekwencji nie wykonania zadania w terminie
Obsadzenie kluczowych stanowisk T Obecnie w Departamencie Y brakuje zastępcy dyrektora, który nadzoruje wydziały odpowiedzialne za realizację zadania. Pan Z pełni jedynie obowiązki zastępcy dyrektora. Zmiana na tym stanowisku może oznaczać pojawienie się nowej koncepcji realizacji zadania, co skutkować będzie brakiem terminowości w realizacji zadania.
Przewidywana nieobecność pracowników
N
(…)
7
Aby „burza mózgów” była skuteczna:
Należy rozważyć, kogo zaprosić na taką sesję. Powinniśmy wziąć pod uwagę liczbę
osób ich wiedzę, doświadczenie, miejsce w strukturze urzędu;
Przygotowując się do sesji, uczestnicy powinni mieć możliwość rozważenia
oddziaływania ryzyka na działalność urzędu lub usługi świadczone przez jednostkę.
Należy sporządzić szablon identyfikacji ryzyka i przekazać go każdemu uczestnikowi
przed sesją;
Na wykonanie zadania należy wyznaczyć czas niezbędny do omówienia ryzyka, jego
przyczyn i skutków;
Należy zapewnić środki zachęcające do rozpoczęcia i kontrolowania dyskusji,
pobudzania do dyskusji, utrzymania sesji w wyznaczonych ramach godzinowych
i zarejestrowania wyników sesji;
Każdy uczestnik sesji może zadawać pytania/określać ryzyko bez obawy
o jakiekolwiek reperkusje. Sesje powinny być otwartym forum, na którym pracownicy
mogą bezpiecznie dyskutować o zidentyfikowanym ryzyku;
Wyniki sesji należy zapisać i przekazać do weryfikacji i rozpatrzenia uczestnikom sesji,
co umożliwi wyjaśnienie lub poszerzenie opisów ryzyka.
Poniższa propozycja szablonu identyfikacji ryzyka ma pomóc w systematyzacji wiedzy
podczas sesji burzy mózgów. Kategorie ryzyka są tu spójne z kategoriami zawartymi
w kwestionariuszu, co pozwala w przypadku zastosowania obu narzędzi, na zestawianie
1. Możliwość uzyskania wielu nowych pomysłów
2. Pobudzenie do kreatywnego myślenia
3. Dosyć szybkie zgromadzenie informacji
4. Możliwość interakcji między uczestnikami
1. Możliwość zdominowania rozmowy przez silną osobowość
2. Istnieje lęk przed cudzą oceną własnych pomysłów
BURZA MÓZGÓW
8
informacji. Charakterystyka kategorii pozwala na doprecyzowanie, o jakim rodzaju ryzyka
mówimy w danej kategorii.
Podczas sesji burzy mózgów można procedować w dwojaki sposób. Po pierwsze
zastanawiając się najpierw nad ryzykami istniejącymi w urzędzie/komórce organizacyjnej,
a następnie rozważając, jaki wpływ mają one na realizowane zadania. Drugim sposobem jest
rozważanie istnienia ryzyk dla kolejnych zadań wpisanych w planie działalności urzędu
(zadania te można wypisać w ostatniej kolumnie).
Szablon identyfikacji ryzyka
Kategoria ryzyka Charakterystyka kategorii Opis ryzyka Zadania, z którymi
wiąże się ryzyko
Wewnętrzne
Kwestie organizacyjne Procedury, struktura urzędu, jakość usług i produktów tworzonych przez urząd, planowanie, organizacja pracy
Kwestie finansowe Operacje finansowe, budżet, procedury finansowe
Zasoby ludzkie Kwestie zatrudnienia, jakość kadry, szkolenia, kwestie pracownicze
Sprzęt i informacja Narzędzia niezbędne do wykonywania zadań, jakość i dostęp do informacji, komunikacja
Zewnętrzne
Kwestie polityczne Cykle polityczne, decyzje polityczne, sposób prowadzenia polityki przez rząd i opozycję
Kwestie prawne Wpływ obecnych i przyszłych przepisów prawa, sprawy sądowe, jakość umów
Interesariusze (w tym obywatele)
Wizerunek urzędu, współpraca z interesariuszami, protesty
9
Informacje niezbędne do identyfikacji ryzyka można również zaczerpnąć z różnego rodzaju
dokumentów istniejących w urzędzie. Ich uważna analiza pozwala nie tylko
na wyodrębnienie faktycznie występujących zdarzeń, ale również tych, które potencjalnie
mogą się wydarzyć. Poniżej przedstawiono przykłady dostępnych informacji, które mogą
wskazywać obszary ryzyka1.
Skargi: czy pewne piony urzędu otrzymują ilość zażaleń wyższą niż akceptowalny poziom?
Czy zażalenia te są skutecznie rozpatrywane?
Raporty z audytu i kontroli: czy dokumenty te dotyczą istotnych pionów/obszarów? Czy
są skutecznie wykorzystywane?
Szkody ubezpieczeniowe: czy z obecnych tendencji wynika, iż napotykamy na szczególne
problemy? Czy posiadamy odpowiednią polisę? Czy pojawiły się nowe rodzaje ryzyka,
na które nie jesteśmy przygotowani? Czy nasz zakres ubezpieczenia jest zbyt szeroki? Czy
pozytywnie rozpatrujemy zbyt wiele szkód bez przeprowadzenia koniecznego dochodzenia?
Czy nasze koszty ubezpieczenia wzrosły, a jeśli tak, to dlaczego?
Dzienniki wypadków: czy występują tendencje sugerujące określone problemy? Czy
skutecznie reagujemy na zgłaszane wypadki?
Ankiety zadowolenia: czego urząd się z nich dowiaduje? Jakie podjęliśmy działania? Czy
są one skuteczne?
1Ministerstwo Finansów, Zarządzanie ryzykiem w sektorze publicznym, s. 24-26.
1. Operowanie na dokumentach, które dają mocną podstawę do identyfikacji ryzyka
2. Możliwość zestawiania danych z różnych lat
1. Czasochłonność
2. Często potrzeba wiedzy i doświadczenia z danej dziedziny
DOŚWIADCZENIA I PROGNOZY NA PRZYSZŁOŚĆ
10
Prognozy budżetowe i finansowe: czy urząd ma problemy z planowaniem zrównoważonego
budżetu? Czy niedostateczny budżet ma wpływ na świadczone usługi? Czy budżety
są solidne? Czy występują obszary, w których regularnie wydaje się za dużo lub
za mało?
Opóźnienia projektowe/programowe: czy uczestniczymy w wielu pracach projektowych?
Czy napotykamy na problemy z zarządzaniem projektami – czasowe, budżetowe, z zasobami,
wykonawcami i partnerami? Jakie działania podejmuje urząd w odpowiedzi na te problemy?
Czy działania te są skuteczne?
Ryzyko zgłaszane przez podobne instytucje, do celów porównawczych: Czy jesteśmy
narażeni na podobne rodzaje ryzyk?
Zmiany populacji: Czy urząd może sprostać występującym zmianom – czy będzie świadczyć
właściwe usługi lub utrzyma odpowiedni poziom usług?
Doniesienia medialne: czy urząd ma złą prasę? Dlaczego, i jakie działania urząd podjął w tym
celu? Czy urząd może utrzymać dobry wizerunek?
Zebrane dane na temat ryzyka należy zestawić tak, aby możliwe było dalsze przetwarzanie
tych informacji. Może do tego służyć zbiorcza tabela identyfikacji ryzyka.
Każde ryzyko musi mieć swojego indywidulanie określonego właściciela, który jest
odpowiedzialny za zapewnienie, że ryzyko jest zarządzane i monitorowane. Każdemu ryzyku
należy w tym celu nadać symbol w następujący sposób: symbol komórki organizacyjnej
i kolejny numer ryzyka np. DA1, DA2 (ramowe zasady kontroli zarządczej s.9).
W procesie identyfikacji ryzyka należy uwzględnić, że do każdego zadania zaleca się
identyfikowania co najwyżej pięciu ryzyk. Ograniczenie to ma zapobiegać nadmiernemu
uszczegóławianiu planów, które powinny cechować się przejrzystością. W przypadku
zidentyfikowania większej liczby ryzyk należy się zastanowić, czy można sformułować ryzyka
w sposób bardziej ogólny lub też w planie umieścić tylko te najwyżej oceniane.
W szczególnych przypadkach w planie pracy można jednak opisać więcej niż pięć ryzyk
(Ramowe zasady kontroli zarządczej s.9).
TABELA IDENTYFIKACJI RYZYKA
11
Zbiorcza tabela identyfikacji ryzyka (wraz z przykładem)
Zadanie Kategoria
ryzyka Opis ryzyka(max. 5) Sygnatura
Umożliwienie składania deklaracji podatkowych
drogą elektroniczną poprzez udostępnienie przez
Ministerstwo Finansów odpowiednich usług
informatycznych
Zasoby ludzkie
Obecnie w Wydziale X nie są obsadzone dwa etaty, w których opisie stanowisk znajduje się obowiązek zajmowania się zagadnieniem wskazanym w zadaniu. Kwestią tą zajmować się będzie tylko jeden pracownik. Istnieje zatem ryzyko przedłużania się okresu prac nad projektem, a w konsekwencji nie wykonania zadania w terminie
DY1
Obecnie w Departamencie Y brakuje zastępcy dyrektora, który nadzoruje wydziały odpowiedzialne za realizację zadania. Pan Z pełni jedynie obowiązki zastępcy dyrektora. Zmiana na tym stanowisku może oznaczać pojawienie się nowej koncepcji realizacji zadania, co skutkować będzie brakiem terminowości w realizacji zadania.
DY2
Sprzęt i informacja
Program komputerowy potrzebny do realizacji zadania ulega częstym awariom. Kilkukrotnie doprowadziło to do utraty wprowadzanych danych. Powtarzanie się awarii spowoduje nie możność kontynuowania pracy a w konsekwencji nie zrealizowanie zadania.
DZ1
12
Kolejnym etapem po identyfikacji ryzyka jest poddanie go szczegółowej analizie, tak, aby
możliwe stało się zrozumienie jego istoty, a następnie dokonanie we właściwy sposób jego
oceny. Należy bardzo dokładnie znać jednostkę, rozumieć jej otoczenie, cele oraz zadania,
aby:
1. określić przyczyny i skutki zidentyfikowanego ryzyka;
2. dokonać analizy pod kątem identyfikacji ryzyka krzyżowego;
3. oddzielić ryzyko istotne od niewielkiego;
4. ocenić rodzaj i kategorię ryzyka.
Wybranie odpowiedniej metody zarządzania ryzykiem wymaga rzetelnego podejścia
do określenia jego przyczyn oraz skutków. W opisie ryzyka dokonanym na etapie identyfikacji
każdemu z zagrożeń została przyporządkowana przyczyna oraz skutek. Jednak pogłębiona
analiza ryzyka wymaga wypunktowania wszystkich oddziaływań. Zaniechanie tego kroku
uniemożliwi dalsze prawidłowe przeprowadzenie procesu, a w szczególności może
negatywnie wpłynąć na dokonanie punktowej oceny ryzyka, dlatego analizując skutki ryzyka
należy zwrócić szczególną uwagę na następujące kwestie:
Wpływ na przestrzeganie prawa przez urząd; Wpływ na zdrowie/życie pracowników; Straty finansowe; Wpływ na wizerunek urzędu; Wpływ na standard świadczenia usług.
Nietrudno sobie wyobrazić, że pewne ryzyka mogą mieć wpływ na różne działania
podejmowane przez urząd lub powtarzać się w jej poszczególnych jednostkach. Np.: Brak
planu przywrócenia działalności w razie nieprzewidzianego poważnego zdarzenia –
kierownicy poszczególnych szczebli mogą podjąć we własnym zakresie kroki służące
ANALIZA RYZYKA
PRZYCZYNY I SKUTKI
ZIDENTYFIKOWANEGO
RYZYKA
ANALIZA POD KĄTEM IDENTYFIKACJI
RYZYKA KRZYŻOWEGO
13
stworzeniu takiego planu dla własnej jednostki. Jednak w tym przypadku nie chodzi
o indywidualne działania, wymagane jest wdrożenie tego rodzaju planu dla całego urzędu.
W związku z tym bardzo ważne jest, aby na etapie analizy ryzyka zidentyfikować takie
niebezpieczeństwo i przygotować kompleksowy plan działania, który uwzględni zagrożenie
w różnych aspektach działalności urzędu.
Odróżnianie ryzyka niewielkiego od istotnego jest dokonywane przede wszystkim poprzez
Punktową ocenę poziomu ryzyka, która stanowi kolejny etap procesu zarządzania ryzykiem.
Jednak prowadząc szczegółową analizę ryzyka warto zebrać już na tym etapie odpowiednie
informacje dotyczące zidentyfikowanego ryzyka, które ułatwią dalsze kroki.
W tym celu można posłużyć się tabelą.
Ryzyko
Przyczyna
i skutek
ryzyka
Funkcjonujące mechanizmy
kontrolne ryzyka
Relacja pomiędzy
oddziaływaniem,
prawdopodobieństwem oraz
mechanizmami kontrolnymi
Przyczyny ryzyka: - … - … - …
Skutki ryzyka: - … - … - …
Wewnętrzne mechanizmy kontrolne stanowią część kultury urzędu, ułatwiając szybką reakcję na ryzyko zagrażające realizacji celów. Opierając się na standardach kontroli zarządczej można wyodrębnić następujące mechanizmy kontrolne: dokumentacja systemu
kontroli zarządczej (np. procedury wewnętrzne, instrukcje, wytyczne, dokumenty określające zakres obowiązków);
nadzór; ciągłość działalności
(np. plan działania w sytuacjach nadzwyczajnych i kryzysowych, plany urlopów pracowników, system szkoleń, przekazywanie wiedzy między
Chociaż dokładne określenie
oddziaływania ryzyka, czyli możliwych
skutków, oraz prawdopodobieństwa
jego wystąpienia jest dokonywane
dopiero w kolejnym etapie, to jednak
już teraz możliwe staje się określenie
wpływu mechanizmów kontrolnych.
1. Czy mechanizmy kontroli
rzeczywiście istnieją?
2. Czy mechanizmy kontroli
są adekwatne, skuteczne
i efektywne?
3. Czy zmniejszają
prawdopodobieństwo
wystąpienia ryzyka?
4. Czy mogą przyczynić się
do złagodzenia skutków
w przypadku wystąpienia
ryzyka?
RYZYKO NIEWIELKIE
A RYZYKO ISTOTNE
14
pracownikami); ochrona zasobów
(np. ochrona fizyczna jednostki i jej pracowników, ochrona zasobów materialnych, ochrona środków finansowych, ochrona informacji);
operacje finansowe i gospodarcze (np. dokumentacja operacji finansowych i gospodarczych, podział kluczowych obowiązków, autoryzacja i weryfikacja operacji);
systemy informatyczne (np.
system przydzielania i
ograniczania dostępu,
podział obowiązków,
mechanizmy samokontroli
systemu).
Istniejące mechanizmy kontrolne
wpływają na ocenę poziomu ryzyka,
czyniąc je mniej istotnym.
Brak takich mechanizmów zwiększa
poziom ryzyka. Jednak nie zawsze
mechanizmy kontroli muszą być
sformalizowane.
Brak procedur ≠ brak mechanizmów
Nie bez znaczenia w tym kontekście
jest również określenie poziomu
ryzyka, które urząd może ponieść tzw.
apetytu na ryzyko. Im niższy poziom
akceptacji danego ryzyka, tym wyższy
priorytet powinien zostać nadany
postępowaniu wobec niego. Z drugiej
strony uznanie ryzyka za
dopuszczalne ze względu na koszty
jego ograniczania bądź postrzeganie
ryzyka jako nadchodzącej szansy
może skutkować przekonaniem
o konieczności ograniczenia
wewnętrznych mechanizmów
kontrolnych.
Ryzyko może mieć charakter strategiczny lub operacyjny.
Ryzyko strategiczne wpływa na podstawy funkcjonowania urzędu. Zarządzanie nim jest
przede wszystkim zadaniem kierownika jednostki we współdziałaniu z innymi pracownikami
na kluczowych stanowiskach. Przykładowe kategorie ryzyka strategicznego: ekonomiczne,
legislacyjne, polityczne, społeczne, środowiskowe, technologiczne.
Ryzyko operacyjne jest natomiast elementem codziennej pracy całego personelu.
W związku z tym nie jest z góry określone, że zarządzanie nim należy do zadań kierownika
jednostki. Przykładowe kategorie ryzyka operacyjnego: finansowe, fizyczne (zagrożenia dla
budynków, sprzętu itp.), prawne, środowiskowe, technologiczne, zawodowe.
Odpowiednie wyodrębnienie rodzaju i kategorii ryzyka ułatwi na dalszym etapie kwestię
określenia jego właściciela.
RODZAJE I KATEGORIE
RYZYKA
15
Punktowa ocena ryzyka jest kolejnym, pogłębionym etapem jego analizy, który
ma na celu lepsze zrozumienie wcześniej zidentyfikowanych ryzyk. Dostarcza informacji,
pozwalających na uszeregowanie ryzyk oraz tym samym pomaga w podjęcie decyzji,
dotyczących sposobów postępowania z nimi.
Ryzyko ocenia się, biorąc pod uwagę:
1. Prawdopodobieństwo jego wystąpienia oraz
2. jego oddziaływanie na urząd w razie wystąpienia (skutek).
Zarówno prawdopodobieństwo, jak i skutek oceniamy, wykorzystując skale punktowe
(najczęściej stosuje się skale 3-stopniowe, 4-stopniowe i 5-stopniowe). Niezwykle istotne
jest, aby przed oceną punktową wypracować jednolite dla całego urzędu definicje
prawdopodobieństwa oraz poziomu oddziaływania. Należy także pamiętać o tym,
że punktową analizę ryzyka przeprowadzamy, biorąc pod uwagę istniejące w urzędzie
mechanizmy kontrolne.
Tabela punktowa oddziaływania ryzyka
Liczba punktów
Opis
KRYTERIA
Finansowe (strata
finansowa) Organizacyjne
Ochrona zdrowia i bezpieczeństwa
Reputacja
5 Bardzo duże
Powyżej 100 tys. PLN
Brak realizacji kluczowych celów
Utrata życia Doniesienia prasowe w całym kraju
4 Duże 10 tys. PLN-100 tys. PLN
Brak realizacji kluczowego celu
Poważne obrażenia
Informacje w mediach ogólnokrajowych
3 Średnie 1 tys. PLN- 10 tys. PLN
Zakłócenia w działalności
Pewne obrażenia
Informacje w mediach regionalnych i lokalnych
2 Małe 100 PLN- 1 tys. PLN
Niewielkie zakłócenia w działalności
Niewielkie obrażenia
Ograniczone informacje w mediach lokalnych
1 Nieznaczne
Do 100 PLN Krótkotrwałe zakłócenia w działalności
Małe obrażenia Ubogie informacje w mediach lokalnych
PUNKTOWA OCENA RYZYKA
16
Nakładając na siebie wymiar oddziaływania oraz wymiar prawdopodobieństwa, uzyskujemy
matrycę ryzyka. Każdemu zidentyfikowanemu ryzyku w urzędzie odpowiada jedno pole
na matrycy ryzyka. Istotność danego ryzyka uzyskujemy mnożąc punktową ocenę
prawdopodobieństwa oraz skutku2.
Skutek
Bardzo duży 5 10 15 20 25
Duży 4 8 12 16 20
Średni 3 6 9 12 15
Mały 2 4 6 8 10
Nieznaczny 1 2 3 4 5
Rzadkie Mało
prawdopodobne Średnie Prawdopodobne
Prawie pewne
Prawdopodobieństwo
Matryca ryzyka jest podstawą do ustalenia hierarchii (ewentualnych) działań, mających
na celu jego zmniejszenie3. Kierownictwo urzędu może przyjąć na przykład, że ryzyka
ocenione najniżej (pola zielone) nie wymagają dodatkowych działań, ryzyka średnie (pola
żółte) wymagają dodatkowego monitoringu, natomiast ryzyka wysokie (pola czerwone)
wymagają podjęcia dodatkowych działań.
2 Kierownictwo urzędu może jednak ustalić inną metodologię, która na przykład przykładać będzie większą
wagę do oceny skutku (w tej sytuacji punktową ocenę skutku mnożymy przez wyznaczony wcześniej współczynnik np. 1,5). 3 Możliwe działania opisane zostały w dalszej części opracowania, dotyczącej zarządzania ryzykiem.
Tabela punktowa prawdopodobieństwa wystąpienia ryzyka
Liczba punktów 1 2 3 4 5
Opis Rzadkie Mało
prawdopodobne Średnie Prawdopodobne
Prawie pewne
Prawdopodobieństwo 0-20% 20-40% 40-60% 60-80% 80-100%
MATRYCA RYZYKA
17
Wykorzystując indywidualne oceny poszczególnych ryzyk możemy stworzyć mapę ryzyka.
Obrazuje ona wszystkie ryzyka, zidentyfikowane w danym urzędzie lub komórce
organizacyjnej. Jednocześnie umożliwia ustalenia „progów tolerancji” dla zidentyfikowanych
ryzyk.
Na powyższym wykresie zaznaczone zostały ryzyka zidentyfikowane dla danego urzędu.
Wykorzystując mapę ryzyka może określić:
poziomy akceptowanego ryzyka dla kategorii prawdopodobieństwa oraz kategorii
skutku (na przykładzie zaznaczone dwoma pomarańczowymi prostymi4) lub
poziom akceptowanego ryzyka dla kategorii istotności, rozumianej jako iloczyn
punktowej oceny prawdopodobieństwa oraz skutku (na przykładzie zaznaczony
czerwoną krzywą)5.
Dla zaprezentowanego przykładu jedynie Ryzyko A nie wymaga podjęcia dodatkowych
działań (gdyż znajduje się zarówno poniżej krzywej obrazującej istotność, jak
i spełnia minimalne wymagania wyznaczone dla kategorii skutku i prawdopodobieństwa ).
Jednocześnie, im ryzyko znajduje się bliżej prawego górnego rogu wykresu, tym jest
poważniejsze i tym pilniej wymaga podjęcia działań je ograniczających (w zaprezentowanym
przykładzie najpoważniejszym ryzykiem jest Ryzyko C).
4 Na przykładzie przyjęto, że akceptowany poziom ryzyka zarówno dla kategorii prawdopodobieństwa, jak
i kategorii wynosi 2. 5 Na przykładzie przyjęto, że akceptowany poziom ryzyka dla kategorii istotność wynosi 4. Krzywą możemy
uzyskać wykorzystując funkcję y=4/x, gdzie y to ocena skutku, x natomiast ocena prawdopodobieństwa.
Ryzyko A
Ryzyko C
Ryzyko B
Ryzyko D
Ryzyko E
0
1
2
3
4
5
6
0 1 2 3 4 5 6
Sku
tek
Prawdopodobieństwo
Mapa ryzyka
MAPA RYZYKA
18
Rejestr ryzyka jest dokumentem podsumowującym, w którym umieszczamy informacje
dotyczące wszystkich zidentyfikowanych zagrożeń. Musi on być aktualizowany podczas
wszystkich kroków procesu zarządzania ryzykiem. Aktualizacja dokumentu powinna
odbywać się regularnie, co najmniej raz w roku, tak, aby zarządzający ryzykiem mogli
porównać stan obecny z poprzednim. Rejestr ryzyka może być prowadzony dla pojedynczego
projektu, usługi lub działalności, a także dla całego urzędu.
PORADA: Podczas opracowywania rejestru ryzyka warto przed jego stworzeniem, pamiętać
o celach, jakie postawione są przed urzędem. Jest to przydatne, gdyż pozwala
to twórcom rejestru, jak i uczestnikom procesu identyfikacji ryzyka na pamiętanie o fakcie,
iż identyfikują ryzyko, które wpływa na cele urzędu.
Do sporządzenia rejestru ryzyka możliwe jest wykorzystanie poniższego szablonu. Istnieje
kilka metod sporządzania rejestru ryzyka, jednakowoż wszystkie metody posiadają kilka
wspólnych cech, które będą stanowiły trzon każdego rejestru ryzyka. Są to:
Identyfikator ryzyka – Każde ryzyko wprowadzone do rejestru powinno mieć swój
identyfikator, składający się z cyfr bądź liter.
Kategoria ryzyka – wprowadzenie kategorii ryzyka pozwala na ustrukturyzowanie rejestru
ryzyka. Kategorie powinny pochodzić ze struktury podziału ryzyka, a wyglądać mogą
następująco: strategiczne/rynkowe/ustawowe/czynniki ludzkie/polityka/siła wyższa etc.
Przyczyna ryzyka, charakter, skutek – w procesie identyfikacji ryzyka pozycja to sprowadza
się do jednoznacznego i jasnego określenia danego ryzyka. Przyczyna ryzyka opisuje źródło
ryzyka, tzn. wydarzenie lub sytuację, która je wyzwala. Charakter ryzyka opisuje rodzaj
zdarzenia w kategoriach zagrożenia lub okazji. Efekt ryzyka jest opisem potencjalnego
wpływu danego ryzyka na rozważane przedsięwzięcie w sytuacji, gdyby ryzyko się
zmaterializowało. Przykład: gwóźdź jest przyczyną, dziura w oponie jest zmaterializowanym
zagrożeniem, a spóźnienie na spotkanie jest efektem.
Punktowa ocena ryzyka – wartość, która została określona dla danego ryzyka przy
opracowywaniu jego punktowej oceny.
Reakcja na ryzyko – opis działań i w miarę możliwości termin ich podjęcia.
Ryzyko rezydualne – Nawet mimo podjęcia działań neutralizujących ryzyko, nie uda nam się
go zlikwidować. Ryzyko, które powstaje w wyniku takiej sytuacji nazywamy rezydualnym.
Właściciel ryzyka – konkretna osoba odpowiedzialna za zarządzanie i kontrolę wszystkich
aspektów danego ryzyka.
REJESTR RYZYKA
19
Dodatkowo, w zależności od podejścia zarządzających w ryzykiem w urzędzie, rejestr ryzyka
może zostać wzbogacony o kolejne kolumny. Kolejność kolumn w powyższym szablonie, jak
i kolumn dodawanych do niego, powinna odzwierciedlać sekwencję, w jakiej informacje są
pozyskiwane.
Poniższe elementy rejestru ryzyka nie znajdują odzwierciedlenia w tym opracowaniu, lecz
mogą być przydatne przy korzystaniu z innych źródeł traktujących o zarządzaniu ryzykiem.
Prawdopodobieństwo – prawdopodobieństwo wystąpienia ryzyka, powinno być
oszacowane w oparciu o opisy zawarte w tabelach planu zarządzania ryzykiem.
Spodziewany skutek – skutek powinien być oszacowany w oparciu o opisy zawarte tabelach
planu zarządzania ryzykiem. Istnieje możliwość rozbicia skutku na skutek przed
i po zastosowaniu planu zarządzania ryzykiem.
Kategoria reakcji na ryzyko – jedna z kategorii zdefiniowanych w planie zarządzania
ryzykiem.
Bliskość – w tej kolumnie powinno zawierać się określenie czasu, w którym spodziewana jest
materializacja ryzyka.
Status ryzyka – wyróżniamy dwa statusy: aktywne, czyli takie, które jest stale obecne
i zamknięte, czyli ryzyko, które już się nie wydarzy.
Właściciel reakcji związanych z ryzykiem – osoba odpowiedzialna za reakcję lub wiele
różnych reakcji w stosunku do wybranego ryzyka lub ich grupy. Osoba taka wspiera
właściciela ryzyka i otrzymuje od niego wytyczne.
SZABLON REJESTRU RYZYKA
Identyfikator
ryzyka
Kategoria
ryzyka
Przyczyna ryzyka,
charakter, skutek
Punktowa
ocena
ryzyka
Reakcja
na ryzyko
Ryzyko
rezydualne Właściciel ryzyka
DX1 Zasoby
ludzkie
Opis zgodny
z analizą
przeprowadzoną
w pkt. 2 opracowania
20 Dyrektor
departamentu X
DZ1 Sprzęt i
informacja
Opis zgodny
z analizą
przeprowadzoną
w pkt. 2 opracowania
16 Naczelnik wydziału
Z w departamencie X
20
Proces zarządzania ryzykiem
Podjęcie działań zmniejszających ryzyko
(w razie potrzeby)
Zapewnianie skuteczności
mechanizmów kontrolnych w urzędzie
Monitoring i raportowanie ryzyka
Reakcja na ryzyko dotyczy ryzyk wrażliwych dla urzędu lub będących w szczególnym zainteresowaniu kierownictwa. Powinny one być utrzymywane na określonym przez system zarządzania tzw. akceptowalnym poziomie ryzyka – osiągnąć to można poprzez następujące czynności:
Podejmowanie decyzji i działań
Tolerowanie
Zmniejszanie
Zapobiegawcze
Korygujące
Nakazowe
Wykrywające
Przeniesienie
Likwidacja
ZARZĄDZANIE RYZYKIEM
PODEJMOWANIE DECYZJI
I DZIAŁAŃ
21
Akceptowalny poziom ryzyka i reakcja na występujące ryzyko uzależniona jest od:
apetytu na ryzyko (przykładowo ryzyko oceniane jako mało istotne może być
przez jednostkę tolerowane)
relacji kosztów reakcji na ryzyko do korzyści z niej uzyskanych (koszty
podejmowanych działań nie powinny być wyższe niż spodziewane korzyści
z tych działań)
zakresu kontroli ryzyka przez Urząd
odpowiedzialności za efekty wystąpienia ryzyka (ubezpieczenie)
i współdzielenie go.
Typ działania Wskazówki
TOLEROWANIE
Ma miejsce wtedy, gdy: narażenie na ryzyko uznajemy za dopuszczalne (jego ewentualny skutek
niski bądź mało istotny), wywarcie wpływu na ryzyko jest ograniczone koszt reakcji na ryzyko przewyższyłby ewentualnie odniesione korzyści
tego działania
Decyzja: Tolerujemy ryzyko
Rekomenduje się: W celu lepszego reagowania na skutki powstałe przez urzeczywistnienie ryzyka (które zdecydowaliśmy się tolerować) można sporządzić plany awaryjne.
ZMNIEJSZANIE
ZAPOBIEGAWCZE
Idea: ograniczenie możliwości urzeczywistnienia się niepożądanego wyniku.
Decyzja: Chcąc, aby niepożądane zjawisko nie wystąpiło, wdrażamy zapobiegawcze punkty kontrolne Przykłady:
rozdział obowiązków, gdzie żadna osoba nie jest upoważniona do działania bez zgody innej (np. inna osoba zatwierdza płatność faktury, inna zamawia towary);
ograniczenie wykonywania czynności do osób upoważnionych (np. do udzielanie odpowiedzi na pytania mediów tylko przez odpowiednio przeszkolone i uprawnione osoby).
KORYGUJĄCE
Idea: powrót do utraconego stanu, w razie poniesienia straty bądź szkody w wyniku urzeczywistnienia się ryzyka
Decyzja: Wdrażanie działań korygujących niepożądane wyniki, które stały się rzeczywistością. Przykłady:
sformułowanie warunków umownych w sposób umożliwiający odzyskanie nadpłaty;
ubezpieczenie (ułatwia odzyskanie równowagi finansowej).
Rekomenduje się: Tworzenie awaryjnych planów działania, w celu utrzymania ciągłości działania Urzędu i szybkiego powrotu do poprzedniego stanu po urzeczywistnieniu się ryzyka.
22
NAKAZOWE
Idea: osiągnięcie konkretnego wyniku, aby uniknąć wystąpienia niepożądanego zdarzenia . Stosuje się zwykle w sytuacji zagrożenia zdrowia lub bezpieczeństwa
Decyzja: stosowanie nakazowych punktów kontrolnych
Przykłady: dodanie wymogu noszenia odzieży ochronnej w trakcie wykonywania
niebezpiecznych obowiązków; przeszkolenie personelu z zakresu koniecznych umiejętności przed
pozwoleniem na pracę bez nadzoru.
WYKRYWAJĄCE
Idea: identyfikowanie okazji do powstania niepożądanych wyników, które już się pojawiły.
Ich efekt występuje, z definicji, „po zdarzeniu”, więc są odpowiednie tylko wtedy, gdy możliwe jest zaakceptowanie poniesionej straty lub szkody.
Przykłady: sprawdzenia stanów zapasów lub aktywów; uzgodnienie stanu kont; „przeglądy powdrożeniowe”;
działania monitoringowe, wykrywające zmiany wymagające reakcji.
PRZENIESIENIE
Opcja stosowana zazwyczaj przy ryzykach typu finansowego lub majątkowego.
Przeniesienie ryzyka ma miejsce poprzez: wykup konwencjonalnego ubezpieczenia zapłata stronie trzeciej za przejęcie ryzyka w inny sposób.
Rekomenduje się:
Przenieść ryzyko można zwłaszcza gdy: celem jest zmniejszenie narażenia urzędu na ryzyko inna organizacja ma większą zdolność do efektywnego zarządzania
ryzykiem.
Uwaga!
Niektóre rodzaje ryzyka nie są (w pełni) możliwe do przeniesienia, np. utrata reputacji.
LIKWIDACJA
Idea: zmniejszenie lub sprowadzenie do akceptowalnych poziomów poprzez zaprzestanie ryzykownych działań lub zlikwidowanie ryzyka
Rekomenduje się:
Stosowanie szczególnie przy zarządzaniu projektem, gdy przewidywany stosunek kosztów do korzyści jest zagrożony.
Uwaga!
Stosowanie opcji zakończenia działalności jest poważnie ograniczone w sektorze rządowym. Niektóre czynności są realizowane w sektorze rządowym, właśnie z uwagi na duże ryzyko z nimi związane.
23
Umożliwiają wykonanie zaplanowanych celów i zadań oraz stanowią odpowiedź
na ryzyka. Dlatego też powinny występować na wszystkich szczeblach zarządzania i odnosić
się do wyników procesu analizy ryzyka.
Podstawowe mechanizmy kontrolne (katalog otwarty):
1. Dokumentowanie systemu kontroli zarządczej
Procedury wewnętrzne, instrukcje, wytyczne, dokumenty określające zakres obowiązków, uprawnień i odpowiedzialności pracowników. Sporządzane w formie pisemnej, spójnej i dostępnej dla wszystkich osób, dla których jest niezbędna.
Uwaga!
Szczególnie powinny być dokumentowane i archiwizowane operacje krytyczne dla funkcjonowania jednostki, w tym operacje gospodarcze i finansowe
Nie warte dokumentowania są czynności, którym przypisane jest niewielkie ryzyko (np. przekazywanie informacji w ramach komórki organizacyjnej).
2. Nadzór
Służy wykonaniu celów oraz oszczędnej, efektywnej i skutecznej realizacji zadań.
Mechanizm kontrolny polega na ukształtowaniu obowiązków osób kierujących komórkami organizacyjnym i ustanowieniu potrzebnych mechanizmów w stosunkach pomiędzy kierownikiem i podległymi mu pracownikami oraz pomiędzy pracownikami różnych szczebli (kierującym i kierowanymi lub nadzorującym i nadzorowanymi).
Komunikacja w obu kierunkach na linii:
wykonawczej (nadzorujący-nadzorowany); wykonawczo-kierowniczej (nadzorujący-kierownictwo).
W drodze nadzoru wykrywa się i eliminuje błędy, nieporozumienia i nieprawidłową praktykę oraz zapobiega się ich powtarzaniu w przyszłości..
3. Ciągłość działalności
Zapewnienie istnienia mechanizmów służących utrzymaniu ciągłości działalności Urzędu.
Kluczową role odgrywają następujące elementy:
zarządzanie zasobami ludzkimi (polityka kadrowa) – identyfikacja pracowników, którzy z uwagi na swoją szczególną wiedzę, mają kluczowe znaczenie dla prawidłowej działalności jednostki;
MECHANIZMY KONTROLNE
24
uruchomienie odpowiednich środków zaradczych np. uruchomienie szkolenia nowozatrudnionych, przekazywanie wiedzy przez bardziej doświadczonych pracowników;
odpowiednie zasady udzielania urlopów oraz sporządzanie planów urlopów pracowników, w tym kadry kierowniczej.
4. Ochrona zasobów
Obejmuje trzy aspekty:
ochronę fizyczną jednostki i jej pracowników, ochronę zasobów materialnych, ochronę środków finansowych oraz ochronę informacji.
Rekomenduje się:
zastosowanie analizy ryzyka w celu zidentyfikowania zasobów o znaczeniu krytycznym dla funkcjonowania jednostki;
określenie granic odpowiedzialności materialnej za ochronę i podjęcie działań zabezpieczających;
dokonywanie okresowych przeglądów bezpieczeństwa; zwrócenie uwagi an inwentaryzację (narzędzia ochrony zasobów
materialnych); objęcie ochroną informacji wytwarzanych i przechowywanych w każdej
formie, również zapisanej na nośnikach elektronicznych.
Uwaga!
Dostęp do zasobów Urzędu powinny mieć JEDYNIE upoważnione osoby.
Wymagana jest analiza ryzyka związanego z utratą chronionego dobra i istnieniem zabezpieczeń.
5. Szczegółowe mechanizmy kontroli dotyczące operacji finansowych
i gospodarczych
Zachowywanie dokumentacji oraz jej prawidłowe zabezpieczenie przed osobami niepowołanymi i nieautoryzowanymi zmianami. Powinny istnieć następujące mechanizmy kontroli dotyczące operacji finansowych i gospodarczych:
pełne dokumentowanie i rejestrowanie operacji finansowych i gospodarczych; autoryzacja operacji finansowych przez kierownika jednostki lub osoby przez
niego upoważnione; podział kluczowych obowiązków; weryfikacja operacji finansowych i gospodarczych przed i po realizacji.
25
6. Mechanizmy kontroli dotyczące systemów informatycznych
Zabezpieczenie informacji i dokumentów ujętych w systemach informatycznych. Uwzględniając fakt, iż informację elektroniczną łatwiej jest powielić i rozpowszechnić.
Rekomenduje się:
opracowanie odpowiednich procedur i mechanizmów zabezpieczających dane (dotyczących bezpieczeństwa systemów informatycznych);
zbudowanie systemu przydzielania i ograniczania dostępu do systemu informatycznego i późniejsze zbadanie jego szczelności;
zabezpieczenie się przed nieuprawnionymi lub niezatwierdzonymi modyfikacjami systemu;
dokonanie podziału obowiązków pomiędzy pracowników (uniknięcie wykonywania kluczowych operacji przez jednego pracownika);
wprowadzenie mechanizmu samokontroli systemu.
Wraz z działaniami związanymi z zarządzaniem ryzykiem ustanawia się mechanizmy, które umożliwiają monitorowanie wdrożonych rozwiązań i dokonywanie oceny ich efektywności. Jak również pozwalają poszukać odpowiedzi na następujące pytania:
czy system zarządzania ryzykiem spełnia założone cele? czy polityki i procedury ustanowione w jego ramach są nadal aktualne
i wydajne?
MONITOROWANIE
MONITORING RYZYKA
Monitorowanie systemu kontroli
zarządczej Samoocena Audyt wewnętrzny
Uzyskanie zapewnienia o stanie kontroli
zarządczej
26
Każdy element systemu kontroli zarządczej powinien być sprawdzany pod kątem swojej skuteczności. Za proces ten odpowiedzialne jest ścisłe kierownictwo, jak również inne osoby zarządzające Komorkami organizacyjnymi w Urzędzie.
Szczególną uwagę należy przykładać do zaleceń i opinii dotyczących niedoskonałości systemu w Urzędzie, kierowanych przez organy i jednostki nadzorujące lub kontrolne. Ważnym elementem monitorowania poszczególnych elementów kontroli zarządczej powinno być również wskazywanie słabości systemu przez pracowników Urzędu (np. podczas szkoleń i spotkań).
Efektem czynności kontrolnych powinno być ciągłe udoskonalanie procesu w Urzędzie poprzez identyfikowanie problemów i naprawianie ich, aby zapobiec negatywnym zdarzeniom w przyszłości.
Zakres samooceny kontroli zarządczej może dotyczyć:
poszczególnych procesów zachodzących w jednostce, a także poszczególnych elementów kontroli zarządczej.
W procesie samooceny uczestniczą kierownicy oraz pracownicy jednostki bezpośrednio zaangażowani w daną działalność.
Uwaga!
Samoocena powinna być ujęta w ramy procesu odrębnego od bieżącej działalności i udokumentowana.
Warto przeprowadzać ja przynajmniej raz w roku.
Ustawa o finansach publicznych gwarantuje przeprowadzenie obiektywnej i niezależnej oceny kontroli zarządczej przez audytora wewnętrznego.
Czynności audytora określone są w rocznym planie audytu, opracowanym na podstawie analizy ryzyka. Podczas przeprowadzenia audytu oceniane są elementy kontroli zarządczej i stwierdzana ich zgodność bądź niezgodność z normami.
MONITOROWANIE SYSTEMU KONTROLI ZARZĄDCZEJ
SAMOOCENA
AUDYT WEWNĘTRZNY
27
Wszystkie wyszczególnione przez audytora wady powinny być jak najszybciej zakomunikowane pracownikom bezpośrednio odpowiedzialnym za dane zadanie oraz ich bezpośrednim przełożonym.
Uwaga!
Poważne słabości powinno się przekazać niezwłocznie najwyższemu kierownictwu, któremu podlega audytor.
Źródłem uzyskania zapewnienia o stanie kz przez kierownika jednostki są wyniki:
monitorowania; samooceny; przeprowadzonych audytów i kontroli.
Uwaga!
Zaleca się coroczne potwierdzenie uzyskania powyższego zapewnienia w formie oświadczenia o stanie kontroli zarządczej za poprzedni rok.
Rekomenduje się:
regularne raportowanie nt. ryzyka i postępów w realizacji planu radzenia sobie
z ryzykiem,
ocenianie funkcjonowania zarządzania ryzykiem przy wykorzystaniu ustalonych wcześniej
(i okresowo przeglądanych) wskaźników – spełnianie przez system zarządzania ryzykiem
założonych celów,
dokonywanie przeglądu zasad zarządzania ryzykiem, uwzględniając zmiany zachodzące
w urzędzie i jego otoczeniu.
UZYSKANIE ZAPEWNIENIA
O STANIE KONTROLI ZARZĄDCZEJ
