XXIII Promocja Krajowa Szkoła Administracji Publicznej Zarządzanie ryzykiem XXIII Promocja Krajowa Szkoła Administracji Publicznej

ZARZĄDZANIE RYZYKIEM Zarządzanie ryzykiem jest elementem budowy dobrego ładu organizacyjnego w instytucji. Jako element good governance zarządzanie ryzykiem sprzyja realizacji celów, efektywniejszemu wykorzystaniu zasobów i lepszemu reagowaniu na sytuacje nieprzewidziane.

KORZYŚCI WYPŁYWAJĄCE Z ZARZĄDZANIA RYZYKIEM Instytucja staje się bardziej elastyczna, szybciej reaguje na zmiany w środowisku zewnętrznym, łatwiej adaptuje się do nowych wyzwań Wzrasta jej odporność na negatywne zdarzenia Cele i zadania realizowane są szybciej, przy mniejszym nakładzie środków; Łatwiej zidentyfikować przyczyny ewentualnych niepowodzeń i wyeliminować błędy w przyszłości; Maleje ryzyko „rozmycia odpowiedzialności” za opóźnienia lub niezrealizowanie zadania; Poprawia się przepływ informacji pomiędzy poszczególnymi szczeblami organizacji; Polepsza się kultura pracy w instytucji i wzrasta motywacja pracowników; Szkolenia dla pracowników dostosowane są do realnych potrzeb instytucji Wzrasta efektywność i transparentność wydatkowania pieniędzy publicznych; Ulega poprawie wizerunek urzędu

KONTEKST PRAWNY Podstawy prawne dla wdrażania zarządzania ryzykiem

USTAWA Z DNIA 27 SIERPNIA 2009 O FINANSACH PUBLICZNYCH art. 68 – jednym z celów kontroli zarządczej jest wdrożenie w urzędzie zarządzania ryzykiem. ust.1 Kontrolę zarządczą w jednostkach sektora finansów publicznych stanowi ogół działań podejmowanych dla zapewnienia realizacji celów i zadań w sposób zgodny z prawem, efektywny, oszczędny i terminowy. ust.2 Celem kontroli zarządczej jest w szczególności (…) zarządzanie ryzykiem. art. 69 – za zapewnienie funkcjonowania zarządzania ryzykiem w ministerstwie (tak jak i całej kontroli zarządczej) odpowiedzialny jest minister.

KOMUNIKAT NR 23 MINISTRA FINANSÓW Z DNIA 16 GRUDNIA 2009 W SPRAWIE STANDARDÓW KONTROLI ZARZĄDCZEJ DLA SEKTORA FINANSÓW PUBLICZNYCH Komunikat formułuje standardy kontroli zarządczej, w tym wytyczne i wskazówki w zakresie zarządzania ryzykiem skierowane do podmiotów sektora finansów publicznych. Standardy określają podstawowe wymagania odnoszące się do sposobu wdrażania zarządzania ryzykiem w urzędzie. Wymienia się takie elementy jak określenie celów i zadań (oraz ocena ich realizacji i monitorowanie), identyfikacja ryzyka, analiza ryzyka i reakcja na ryzyko.

ROLA PLANU DZIAŁALNOŚCI W ZARZĄDZANIU RYZYKIEM

PLAN DZIAŁALNOŚCI DLA DZIAŁU Minister sporządza do końca listopada każdego roku plan działalności na rok następny dla kierowanych przez niego działów (Art. 70 ufp). Plan ten zawiera cele wraz z miernikami stopnia ich realizacji. W odniesieniu do celów i zadań przeprowadza się kompleksowe zarządzanie ryzykiem (identyfikacja, analiza, reagowanie). Jako jednostkę właściwą w obszarze monitorowania i koordynowania zarządzania ryzykiem w ministerstwie powinno wyznaczać się departamenty strategii i analiz.

PLANY DZIAŁALNOŚCI KOMÓRKI ORGANIZACYJNEJ Akty prawne nie dają szczegółowych wytycznych, w jaki sposób zorganizować proces zarządzania ryzykiem w całym urzędzie. Dobrą praktyką jest opieranie zarządzania ryzykiem na celach zawartych w planie działalności ministra. Komórki organizacyjne urzędu (departamenty merytoryczne) tworzą wówczas własne plany działalności zawierające szczegółowe cele i zadania w obszarze ich kompetencji. Muszą być one spójne z celami strategicznymi z planu działalności urzędu i stanowić ich uszczegółowienie. W odniesieniu do tak sformułowanych celów, komórki te przeprowadzają identyfikację i analizę ryzyka na swoim poziomie.

KWESTIA AUDYTU WEWNĘTRZNEGO

Kontroli zarządczej nie należy mylić z działaniami podejmowanymi w ramach audytu wewnętrznego, a planu działalności z planem audytu urzędu. Audyt wewnętrzny w ministerstwie wspiera proces zarządzania ryzykiem, nie odpowiada jednak za całokształt działań w tym obszarze. Analizy ryzyka o której mowa w art. 283 ust. 3 i 4 ufp nie należy mylić z analizą ryzyka dokonywaną w ramach zarządzania ryzykiem. Analiza ryzyka przeprowadzana przez komórkę audytu służy jedynie przygotowaniu planu audytu. Z uwagi na powyższe, nie jest wskazane przypisywanie komórce audytu wiodącej roli w zakresie zarządzania ryzykiem. Właściwymi jednostkami w tym obszarze byłyby departamenty odpowiedzialne za strategie.

IDETYFIKACJA RYZYKA Poziom operacyjny – narzędzia zarządzania ryzykiem

IDENTYFIKACJA RYZYKA Metody identyfikacji ryzyka Opis ryzyka Zgodnie ze standardami kontroli zarządczej identyfikacja ryzyk powinna być dokonywana w odniesieniu do zadań określonych w planie działalności urzędu, mając przy tym zawsze na uwadze cele, jakie mają być osiągnięte dzięki realizacji tych zadań. Opis ryzyka Metody identyfikacji ryzyka Tabela identyfikacji ryzyka

OPIS RYZYKA Do sporządzania opisu ryzyka może służyć trójelementowa metoda R-P-S: ryzyko (R), jego przyczyna (P), skutek (S). Należy unikać stwierdzenia ryzyka, które nie ma wpływu na cele, jak również stwierdzenia ryzyka, które jest po prostu odwrotnością celów. Konieczne jest odróżnienie samego ryzyka od jego oddziaływania.

METODY IDENTYFIKACJI RYZYKA KWESTIONARIUSZ Wstępnie uzgodniona lista pytań umożliwiających zidentyfikowanie obszarów ryzyka. Powinien on być przesłany do jak największej liczby pracowników, którzy mogą pomóc w identyfikacji ryzyka dla określonego zadania. BURZA MÓZGÓW Należy sporządzić szablon identyfikacji ryzyka i przekazać go każdemu uczestnikowi przed sesją. Podczas sesji burzy mózgów można procedować w dwojaki sposób. Po pierwsze zastanawiając się najpierw nad ryzykami istniejącymi w urzędzie/komórce organizacyjnej, a następnie rozważając, jaki wpływ mają one na realizowane zadania. Drugim sposobem jest rozważanie istnienia ryzyk dla kolejnych zadań wpisanych w planie działalności urzędu DOŚWIADCZENIA I PROGNOZY NA PRZYSZŁOŚĆ Informacje niezbędne do identyfikacji ryzyka można również zaczerpnąć z różnego rodzaju dokumentów istniejących w urzędzie m.in. skarg, raportów z audytu i kontroli, szkód ubezpieczeniowych, dzienników wypadków, prognoz budżetowych i finansowych, opóźnień projektowych, ryzyk zgłaszanych przez podobne instytucje, ankiet zadowolenia czy doniesień medialnych.

TABELA IDENTYFIKACJI RYZYKA ZBIORCZA TABELA IDENTYFIKACJI RYZYKA (WRAZ Z PRZYKŁADEM) Zadanie Kategoria ryzyka Opis ryzyka(max. 5) Sygnatura Umożliwienie składania deklaracji podatkowych drogą elektroniczną poprzez udostępnienie przez Ministerstwo Finansów odpowiednich usług informatycznych. Zasoby ludzkie Obecnie w Wydziale X nie są obsadzone dwa etaty, w których opisie stanowisk znajduje się obowiązek zajmowania się zagadnieniem wskazanym w zadaniu. Kwestią tą zajmować się będzie tylko jeden pracownik. Istnieje zatem ryzyko przedłużania się okresu prac nad projektem, a w konsekwencji nie wykonania zadania w terminie DY1 Obecnie w Departamencie Y brakuje zastępcy dyrektora, który nadzoruje wydziały odpowiedzialne za realizację zadania. Pan Z pełni jedynie obowiązki zastępcy dyrektora. Zmiana na tym stanowisku może oznaczać pojawienie się nowej koncepcji realizacji zadania, co skutkować będzie brakiem terminowości w realizacji zadania. DY2 Sprzęt i informacja Program komputerowy potrzebny do realizacji zadania ulega częstym awariom. Kilkukrotnie doprowadziło to do utraty wprowadzanych danych. Powtarzanie się awarii spowoduje nie możność kontynuowania pracy a w konsekwencji nie zrealizowanie zadania. DZ1 Zebrane dane na temat ryzyka należy zestawić tak, aby możliwe było dalsze przetwarzanie tych informacji. Może do tego służyć zbiorcza tabela identyfikacji ryzyka.

ANALIZA RYZYKA

ANALIZA RYZYKA Kolejnym etapem po identyfikacji ryzyka jest poddanie go szczegółowej analizie, tak, aby możliwe stało się zrozumienie jego istoty, a następnie dokonanie we właściwy sposób jego oceny. Wyróżnić można cztery etapy analizy: Określenie przyczyn i skutków zidentyfikowanego ryzyka Oddzielenie ryzyka istotnego od niewielkiego Ocena rodzaju i kategorii ryzyka Analiza pod kątem identyfikacji ryzyka krzyżowego

OKREŚLENIE PRZYCZYN I SKUTKÓW ZIDENTYFIKOWANEGO RYZYKA W opisie ryzyka dokonanym w trakcie identyfikacji każdemu z zagrożeń została przyporządkowana przyczyna oraz skutek. Jednak pogłębiona analiza ryzyka wymaga wypunktowania wszystkich oddziaływań, dlatego należy zwrócić szczególną uwagę na: wpływ na przestrzeganie prawa przez urząd, wpływ na zdrowie/życie pracowników, straty finansowe, wpływ na wizerunek urzędu, wpływ na standard świadczenia usług.

ANALIZA POD KĄTEM IDENTYFIKACJI RYZYKA KRZYŻOWEGO Pewne ryzyka mogą mieć wpływ na różne działania podejmowane przez urząd lub powtarzać się w jej poszczególnych jednostkach. W związku z tym bardzo ważne jest, aby na etapie analizy ryzyka zidentyfikować takie niebezpieczeństwo i przygotować kompleksowy plan działania, który uwzględni zagrożenie w różnych aspektach działalności urzędu.

ODDZIELENIE RYZYKA ISTOTNEGO OD NIEWIELKIEGO Odróżnianie ryzyka niewielkiego od istotnego jest dokonywane przede wszystkim poprzez “Punktową ocenę poziomu ryzyka”, która stanowi kolejny etap procesu zarządzania ryzykiem. Jednak prowadząc szczegółową analizę ryzyka warto zebrać już na tym etapie odpowiednie informacje dotyczące zidentyfikowanego ryzyka. W tym celu można posłużyć się odpowiednią tabelą wyszczególniającą przyczyny i skutki określonego ryzyka, funkcjonujące w urzędzie mechanizmy kontrolne wraz z określeniem ich adekwatności, skuteczności oraz efektywności.

OCENA RODZAJU I KATEGORII RYZYKA Odpowiednie wyodrębnienie rodzaju i kategorii ryzyka ułatwi na dalszym etapie kwestię określenia jego właściciela. Ryzyko może mieć charakter strategiczny lub operacyjny. Ryzyko strategiczne wpływa na podstawy funkcjonowania urzędu. Zarządzanie nim jest przede wszystkim zadaniem kierownika jednostki we współdziałaniu z innymi pracownikami na kluczowych stanowiskach. Ryzyko operacyjne jest elementem codziennej pracy całego personelu. W związku z tym nie jest z góry określone, że zarządzanie nim należy do zadań kierownika jednostki.

PUNKTOWA OCENA RYZYKA

PUNKTOWA OCENA RYZYKA Punktowa ocena ryzyka jest etapem dostarczającym informacji, które pozwalają na uszeregowanie ryzyk oraz tym samym pomagają w podjęciu decyzji, dotyczących sposobów postępowania z nimi. Ryzyko ocenia się, biorąc pod uwagę: Prawdopodobieństwo jego wystąpienia oraz Jego oddziaływanie na urząd w razie wystąpienia (skutek). W tym celu wykorzystywane są skale punktowe (najczęściej stosuje się skale 3-stopniowe, 4-stopniowe i 5-stopniowe). Niezwykle istotne jest, aby przed oceną punktową wypracować jednolite dla całego urzędu definicje prawdopodobieństwa oraz poziomu oddziaływania. Należy także pamiętać o tym, że punktową analizę ryzyka przeprowadzamy, biorąc pod uwagę istniejące w urzędzie mechanizmy kontrolne. MATRYCA RYZYKA MAPA RYZYKA

MATRYCA RYZYKA Nakładając na siebie wymiar oddziaływania oraz wymiar prawdopodobieństwa, uzyskujemy matrycę ryzyka. Każdemu zidentyfikowanemu ryzyku w urzędzie odpowiada jedno pole na matrycy ryzyka. Istotność danego ryzyka uzyskujemy mnożąc punktową ocenę prawdopodobieństwa oraz skutku. Matryca ryzyka jest podstawą do ustalenia hierarchii (ewentualnych) działań, mających na celu zmniejszenie Skutek Bardzo duży 5 10 15 20 25 Duży 4 8 12 16 Średni 3 6 9 Mały 2 Nieznaczny 1 Rzadkie Mało prawdopodobne Średnie Prawdopodobne Prawie pewne Prawdopodobieństwo

MAPA RYZYKA Wykorzystując indywidualne oceny poszczególnych ryzyk możemy stworzyć mapę ryzyka, umożliwiającą ustalenie „progów tolerancji” dla zidentyfikowanych ryzyk. Przy pomocy mapy ryzyka możliwe staje się określenie: poziomów akceptowanego ryzyka dla kategorii prawdopodobieństwa oraz kategorii oddziaływania (skutku) lub poziomu akceptowanego ryzyka dla kategorii istotności, rozumianej jako iloczyn punktowej oceny prawdopodobieństwa oraz oddziaływania (skutku).

REJESTR RYZYKA Jest to dokument podsumowujący, w którym umieszczane są informacje dotyczące wszystkich zidentyfikowanych zagrożeń. Aktualizacja dokumentu powinna odbywać się regularnie, co najmniej raz w roku, tak, aby zarządzający ryzykiem mogli porównać stan obecny z poprzednim. Rada: Podczas opracowywania rejestru ryzyka warto przed jego stworzeniem, pamiętać o celach, jakie postawione są przed urzędem.

METODY SPORZĄDZANIA REJESTRU RYZYKA IDENTYFIKATOR RYZYKA Ryzyko powinno mieć swój identyfikator, składający się z cyfr bądź liter. KATEGORIA RYZYKA Kategorie powinny pochodzić ze struktury podziału ryzyka (np. strategiczne, rynkowe, ustawowe, czynniki ludzkie) W procesie identyfikacji ryzyka pozycja to sprowadza się do jednoznacznego i jasnego określenia danego ryzyka. PRZYCZYNA RYZYKA, CHARAKTER, SKUTEK Wartość, która została określona dla danego ryzyka przy opracowywaniu jego punktowej oceny. PUNKTOWA OCENA RYZYKA Opis działań i w miarę możliwości termin ich podjęcia REAKCJA NA RYZYKO Sytuacja, w której podjęte zostały działania neutralizujące ryzyko, ale nie udaje się go całkowicie zlikwidować. RYZYKO REZYDUALNE Wskazanie osoby odpowiedzialnej za zarządzanie i kontrolę wszystkich aspektów danego ryzyka. WŁAŚCICIEL RYZYKA

SZABLON REJESTRU RYZYKA Identyfikator ryzyka Kategoria ryzyka Przyczyna ryzyka, charakter, skutek Punktowa ocena ryzyka Reakcja na ryzyko Ryzyko Rezydualne Właściciel ryzyka DX1 Zasoby ludzkie Opis zgodny z analizą przeprowadzoną w pkt. 2 opracowania 20 Dyrektor departamentu X DZ1 Sprzęt i informacja 16 Naczelnik wydziału Z w departamencie X Kolejność kolumn w powyższym szablonie, jak i kolumn dodawanych do niego, powinna odzwierciedlać sekwencję, w jakiej informacje są pozyskiwane

PROCES ZARZĄDZANIA RYZYKIEM

PROCES ZARZĄDZANIA RYZYKIEM Podejmowanie decyzji i działań zmniejszających ryzyko Monitoring i raportowanie ryzyka Zapewnienie skuteczności mechanizmów kontrolnych w urzędzie

DECYZJE I DZIAŁANIA ZMNIEJSZAJĄCE RYZYKO TOLEROWANIE ZMNIEJSZANIE ZAPOBIEGAWCZE KORYGUJĄCE NAKAZOWE WYKRYWAJĄCE PRZENIESIENIE LIKWIDACJA

MECHANIZMY KONTROLI DOKUMENTOWANIE SYSTEMU KONTROLI ZARZĄDCZEJ Procedury wewnętrzne, instrukcje, wytyczne, dokumenty określające zakres obowiązków, uprawnień i odpowiedzialności pracowników. NADZÓR Służy wykrywaniu i eliminowaniu błędów, nieporozumień i nieprawidłowych praktyk, w celu zapobiegnięcia ich występowania w przyszłości. CIĄGŁOŚĆ DZIAŁALNOŚCI Zapewnienie istnienia mechanizmów służących utrzymaniu ciągłości działalności Urzędu. OCHRONA ZASOBÓW W jej zakres wchodzi: ochrona fizyczna jednostki i jej pracowników, ochrona zasobów materialnych, ochrona środków finansowych oraz ochrona informacji. SZCZEGÓŁOWE MECHANIZMY KONTROLI DOT. OPERACJI FINANSOWYC I GOSPODARCZYCH Zachowywanie dokumentacji dotyczącej operacji finansowych i gospodarczych oraz jej prawidłowe zabezpieczenie przed osobami niepowołanymi i nieautoryzowanymi zmianami MECHANIZMY KONTROLI DOTYCZĄCE SYSTEMÓW INFORMATYCZNYCH Zabezpieczenie informacji i dokumentów ujętych w systemach informatycznych.

MONITORING RYZYKA Każdy element systemu kontroli zarządczej powinien być sprawdzany pod kątem swojej skuteczności. Za proces ten odpowiedzialne jest ścisłe kierownictwo MONITOROWANIE SYSTEMU KONTROLI ZARZĄDCZEJ Jej zakres może dotyczyć: poszczególnych procesów zachodzących w jednostce, a także poszczególnych elementów kontroli zarządczej SAMOOCENA Czynności audytora określone są w rocznym planie audytu, opracowanym na podstawie analizy ryzyka. Wady wyszczególnione przez audytora powinny być jak najszybciej zakomunikowane pracownikom bezpośrednio odpowiedzialnym za dane zadanie oraz ich bezpośrednim przełożonym. AUDYT WEWNĘTRZNY Jej źródłem są wyniki: monitorowania, samooceny oraz przeprowadzonych audytów i kontroli O STANIE KONTROLI ZARZĄDCZEJ UZYSKANIE ZAPEWNIENIA

WIĘCEJ SZCZEGÓŁÓW POD ADRESEM: www.XXIII.pl