2. ZARZĄDZANIE RYZYKIEM
Zarządzanie ryzykiem jest elementem budowy dobrego
ładu organizacyjnego w instytucji. Jako element good
governance zarządzanie ryzykiem sprzyja realizacji
celów, efektywniejszemu wykorzystaniu zasobów i
lepszemu reagowaniu na sytuacje nieprzewidziane.
5. USTAWA Z DNIA 27 SIERPNIA 2009
O FINANSACH PUBLICZNYCH
art. 68 – jednym z celów kontroli zarządczej jest wdrożenie w
urzędzie zarządzania ryzykiem.
ust.1 Kontrolę zarządczą w jednostkach sektora finansów
publicznych stanowi ogół działań podejmowanych dla zapewnienia
realizacji celów i zadań w sposób zgodny
z prawem, efektywny, oszczędny i terminowy.
ust.2 Celem kontroli zarządczej jest w szczególności (…)
zarządzanie ryzykiem.
art. 69 – za zapewnienie funkcjonowania zarządzania
ryzykiem w ministerstwie (tak jak i całej kontroli zarządczej)
odpowiedzialny jest minister.
6. KOMUNIKAT NR 23 MINISTRA FINANSÓW Z DNIA 16 GRUDNIA 2009 W
SPRAWIE STANDARDÓW KONTROLI ZARZĄDCZEJ DLA SEKTORA
FINANSÓW PUBLICZNYCH
Komunikat formułuje standardy kontroli zarządczej,
w tym wytyczne i wskazówki w zakresie zarządzania ryzykiem
skierowane do podmiotów sektora finansów publicznych.
Standardy określają podstawowe wymagania odnoszące się do
sposobu wdrażania zarządzania ryzykiem
w urzędzie.
Wymienia się takie elementy jak określenie celów i zadań (oraz
ocena ich realizacji i monitorowanie), identyfikacja ryzyka,
analiza ryzyka i reakcja na ryzyko.
8. PLAN DZIAŁALNOŚCI DLA DZIAŁU
Minister sporządza do końca listopada każdego roku plan
działalności na rok następny dla kierowanych przez niego
działów (Art. 70 ufp). Plan ten zawiera cele wraz
z miernikami stopnia ich realizacji. W odniesieniu
do celów i zadań przeprowadza się kompleksowe
zarządzanie ryzykiem (identyfikacja, analiza, reagowanie).
Jako jednostkę właściwą w obszarze monitorowania
i koordynowania zarządzania ryzykiem w ministerstwie
powinno wyznaczać się departamenty strategii i analiz.
9. PLANY DZIAŁALNOŚCI KOMÓRKI ORGANIZACYJNEJ
Akty prawne nie dają szczegółowych wytycznych, w jaki
sposób zorganizować proces zarządzania ryzykiem
w całym urzędzie.
Dobrą praktyką jest opieranie zarządzania ryzykiem na
celach zawartych w planie działalności ministra. Komórki
organizacyjne urzędu (departamenty merytoryczne) tworzą
wówczas własne plany działalności zawierające szczegółowe
cele i zadania
w obszarze ich kompetencji. Muszą być one spójne
z celami strategicznymi z planu działalności urzędu
i stanowić ich uszczegółowienie. W odniesieniu do tak
sformułowanych celów, komórki te przeprowadzają
identyfikację i analizę ryzyka na swoim poziomie.
11. Kontroli zarządczej nie należy mylić z działaniami podejmowanymi
w ramach audytu wewnętrznego, a planu działalności z planem audytu
urzędu.
Audyt wewnętrzny w ministerstwie wspiera proces zarządzania ryzykiem,
nie odpowiada jednak za całokształt działań w tym obszarze.
Analizy ryzyka o której mowa w art. 283 ust. 3 i 4 ufp nie należy mylić z
analizą ryzyka dokonywaną w ramach zarządzania ryzykiem. Analiza
ryzyka przeprowadzana przez komórkę audytu służy jedynie
przygotowaniu planu audytu.
Z uwagi na powyższe, nie jest wskazane przypisywanie komórce audytu
wiodącej roli w zakresie zarządzania ryzykiem. Właściwymi jednostkami
w tym obszarze byłyby departamenty odpowiedzialne za strategie.
13. IDENTYFIKACJA RYZYKA
Zgodnie ze standardami kontroli zarządczej identyfikacja ryzyk
powinna być dokonywana w odniesieniu do zadań określonych
w planie działalności urzędu, mając przy tym zawsze
na uwadze cele, jakie mają być osiągnięte dzięki realizacji tych
zadań.
14. OPIS RYZYKA
Do sporządzania opisu ryzyka może służyć trójelementowa
metoda R-P-S: ryzyko (R), jego przyczyna (P), skutek (S).
Należy unikać stwierdzenia ryzyka, które nie ma wpływu na
cele, jak również stwierdzenia ryzyka, które jest
po prostu odwrotnością celów. Konieczne jest odróżnienie
samego ryzyka od jego oddziaływania.
16. TABELA IDENTYFIKACJI RYZYKA
ZBIORCZA TABELA IDENTYFIKACJI RYZYKA (WRAZ
Z PRZYKŁADEM)
Zadanie Kategoria ryzyka Opis ryzyka(max. 5) Sygnatura
Obecnie w Wydziale X nie są obsadzone dwa etaty, w których opisie stanowisk znajduje się DY1
obowiązek zajmowania się zagadnieniem wskazanym w zadaniu. Kwestią tą zajmować się
będzie tylko jeden pracownik. Istnieje zatem ryzyko przedłużania się okresu prac nad
projektem, a w konsekwencji nie wykonania zadania w terminie
Umożliwienie składania
deklaracji Zasoby ludzkie
Obecnie w Departamencie Y brakuje zastępcy dyrektora, który nadzoruje wydziały DY2
podatkowych drogą odpowiedzialne za realizację zadania. Pan Z pełni jedynie obowiązki zastępcy dyrektora.
elektroniczną poprzez Zmiana na tym stanowisku może oznaczać pojawienie się nowej koncepcji realizacji
udostępnienie przez zadania, co skutkować będzie brakiem terminowości w realizacji zadania.
Ministerstwo Finansów
odpowiednich usług
informatycznych. Program komputerowy potrzebny do realizacji zadania ulega częstym awariom. DZ1
Kilkukrotnie doprowadziło to do utraty wprowadzanych danych. Powtarzanie się awarii
spowoduje nie możność kontynuowania pracy a w konsekwencji nie zrealizowanie zadania.
Sprzęt i informacja
Zebrane dane na temat ryzyka należy zestawić tak, aby możliwe było dalsze przetwarzanie
tych informacji. Może do tego służyć zbiorcza tabela identyfikacji ryzyka.
18. ANALIZA RYZYKA
Kolejnym etapem po identyfikacji ryzyka jest poddanie
go szczegółowej analizie, tak, aby możliwe stało się zrozumienie
jego istoty, a następnie dokonanie we właściwy sposób jego
oceny. Wyróżnić można cztery etapy analizy:
Analiza pod
kątem
identyfikacji
ryzyka
krzyżowego
19. OKREŚLENIE PRZYCZYN I SKUTKÓW
ZIDENTYFIKOWANEGO RYZYKA
W opisie ryzyka dokonanym w trakcie identyfikacji każdemu z
zagrożeń została przyporządkowana przyczyna oraz skutek.
Jednak pogłębiona analiza ryzyka wymaga wypunktowania
wszystkich oddziaływań, dlatego należy zwrócić szczególną
uwagę na: wpływ na przestrzeganie prawa przez urząd, wpływ
na zdrowie/życie pracowników, straty finansowe, wpływ na
wizerunek urzędu, wpływ na standard świadczenia usług.
20. ANALIZA POD KĄTEM IDENTYFIKACJI RYZYKA
KRZYŻOWEGO
Pewne ryzyka mogą mieć wpływ na różne działania
podejmowane przez urząd lub powtarzać się w jej
poszczególnych jednostkach. W związku z tym bardzo ważne
jest, aby na etapie analizy ryzyka zidentyfikować takie
niebezpieczeństwo i przygotować kompleksowy plan
działania, który uwzględni zagrożenie w różnych aspektach
działalności urzędu.
21. ODDZIELENIE RYZYKA ISTOTNEGO
OD NIEWIELKIEGO
Odróżnianie ryzyka niewielkiego od istotnego jest dokonywane
przede wszystkim poprzez “Punktową ocenę poziomu ryzyka”,
która stanowi kolejny etap procesu zarządzania ryzykiem. Jednak
prowadząc szczegółową analizę ryzyka warto zebrać już na tym
etapie odpowiednie informacje dotyczące zidentyfikowanego
ryzyka. W tym celu można posłużyć się odpowiednią tabelą
wyszczególniającą przyczyny i skutki określonego ryzyka,
funkcjonujące w urzędzie mechanizmy kontrolne wraz z
określeniem ich adekwatności, skuteczności oraz
efektywności.
22. OCENA RODZAJU I KATEGORII RYZYKA
Odpowiednie wyodrębnienie rodzaju i kategorii ryzyka
ułatwi na dalszym etapie kwestię określenia jego
właściciela. Ryzyko może mieć charakter strategiczny lub
operacyjny.
Ryzyko strategiczne wpływa na podstawy funkcjonowania urzędu.
Zarządzanie nim jest przede wszystkim zadaniem kierownika jednostki
we współdziałaniu
z innymi pracownikami na kluczowych stanowiskach.
Ryzyko operacyjne jest elementem codziennej pracy całego personelu.
W związku z tym nie jest z góry określone, że zarządzanie nim należy
do zadań kierownika jednostki.
24. PUNKTOWA OCENA RYZYKA
Punktowa ocena ryzyka jest etapem dostarczającym informacji, które pozwalają na
uszeregowanie ryzyk oraz tym samym pomagają w podjęciu decyzji, dotyczących
sposobów postępowania z nimi. Ryzyko ocenia się, biorąc pod uwagę:
Prawdopodobieństwo jego wystąpienia oraz
Jego oddziaływanie na urząd w razie wystąpienia (skutek).
W tym celu wykorzystywane są skale punktowe (najczęściej stosuje się skale
3-stopniowe, 4-stopniowe i 5-stopniowe). Niezwykle istotne jest, aby przed oceną
punktową wypracować jednolite dla całego urzędu definicje prawdopodobieństwa
oraz poziomu oddziaływania. Należy także pamiętać
o tym, że punktową analizę ryzyka przeprowadzamy, biorąc pod uwagę istniejące
w urzędzie mechanizmy kontrolne.
25. MATRYCA RYZYKA
Nakładając na siebie wymiar oddziaływania oraz wymiar prawdopodobieństwa,
uzyskujemy matrycę ryzyka. Każdemu zidentyfikowanemu ryzyku w urzędzie
odpowiada jedno pole na matrycy ryzyka. Istotność danego ryzyka
uzyskujemy mnożąc punktową ocenę prawdopodobieństwa oraz skutku.
Matryca ryzyka jest podstawą do ustalenia hierarchii (ewentualnych) działań,
mających na celu zmniejszenie
Skutek
Bardzo duży 5 10 15 20 25
Duży 4 8 12 16 20
Średni 3 6 9 12 15
Mały 2 4 6 8 10
Nieznaczny 1 2 3 4 5
Mało
Rzadkie Średnie Prawdopodobne Prawie pewne Prawdopodobieństwo
prawdopodobne
26. MAPA RYZYKA
Wykorzystując indywidualne oceny poszczególnych ryzyk
możemy stworzyć mapę ryzyka, umożliwiającą ustalenie
„progów tolerancji” dla zidentyfikowanych ryzyk. Przy
pomocy mapy ryzyka możliwe staje się określenie:
poziomów akceptowanego ryzyka dla kategorii
prawdopodobieństwa oraz kategorii oddziaływania (skutku)
lub
poziomu akceptowanego ryzyka dla kategorii istotności, rozumianej
jako iloczyn punktowej oceny prawdopodobieństwa oraz
oddziaływania (skutku).
27. REJESTR RYZYKA
Jest to dokument podsumowujący, w którym umieszczane są
informacje dotyczące wszystkich zidentyfikowanych zagrożeń.
Aktualizacja dokumentu powinna odbywać się regularnie,
co najmniej raz w roku, tak, aby zarządzający ryzykiem mogli
porównać stan obecny
z poprzednim.
Rada: Podczas opracowywania rejestru ryzyka warto przed jego
stworzeniem, pamiętać o celach, jakie postawione są przed
urzędem.
29. SZABLON REJESTRU RYZYKA
SZABLON REJESTRU RYZYKA
Identyfikator Przyczyna ryzyka, Punktowa Reakcja na Ryzyko
Kategoria ryzyka Właściciel ryzyka
ryzyka charakter, skutek ocena ryzyka ryzyko Rezydualne
Opis zgodny z
analizą
Dyrektor
DX1 Zasoby ludzkie przeprowadzoną 20
departamentu X
w pkt. 2
opracowania
Opis zgodny z
Naczelnik wydziału
analizą
Sprzęt Z
DZ1 przeprowadzoną 16
i informacja w departamencie
w pkt. 2
X
opracowania
Kolejność kolumn w powyższym szablonie, jak i kolumn dodawanych
do niego, powinna odzwierciedlać sekwencję, w jakiej informacje
są pozyskiwane