Realizacja celów a zarządzanie ryzykiem w ARiMR Warszawa, styczeń 2013r.
Plan prezentacji Działalność ARiMR- zdefiniowanie kontekstu zarządzania ryzykiem. Plan operacyjny a zarządzanie ryzykiem w ARiMR. Efekty polityki zarządzania ryzykiem. Interoperacyjność systemów informatycznych- wpływ na politykę zarządzania ryzykiem w organizacji. Podsumowanie i wnioski.
Kilka słów o ARiMR Trzypoziomowa struktura organizacyjna: Centrala 16 Oddziałów Regionalnych 314 Biur Powiatowych Liczba obsługiwanych podmiotów: 2,1 mln Zatrudnienie: ponad 11 tys. pracowników
ARiMR – skala działalności
Realizacja EFRROW na tle innych krajów UE (w mln euro), wg stanu na 31 Realizacja EFRROW na tle innych krajów UE (w mln euro), wg stanu na 31.12.2011 r.
Perspektywa Strategiczna – Strategia ARiMR na lata 2011 - 2015 Cele Strategiczne ARiMR Wspieranie rozwoju obszarów wiejskich i rybołówstwa poprzez wypłatę pomocy z funduszy UE i budżetu krajowego w kwocie 100 mld zł; Zapewnienie bezpieczeństwa żywności poprzez spójny system identyfikacji i rejestracji zwierząt; Uruchomienie naborów we wszystkich wdrażanych przez ARiMR działaniach nowego programu rozwoju obszarów wiejskich do końca 2015 roku; Zapewnienie efektywnej i racjonalnej kosztowo realizacji powierzonych zadań.
Wprowadzenie zarządzania ryzykiem krok po kroku Wsparcie Kierownictwa - oznacza uzyskanie jednoznacznego poparcia dla nowej inicjatywy. Najlepszym przykładem poparcia jest wyznaczenie jednej osoby z najwyższego kierownictwa, która będzie odpowiedzialna za wdrożenie. Zdefiniowanie kontekstu - stworzenie warunków dla funkcjonowania zarządzania ryzykiem. W miejscach gdzie funkcjonowanie jsfp opiera się na tradycyjnym podejściu „realizacji zadań” a nie osiąganiu celów oraz na procedurach, a nie na produktach i procesach - skutkiem czego jest brak zdefiniowanych oczekiwań odnośnie efektów działalności organizacji oraz brak miar tych efektów - zarządzanie ryzykiem nie może funkcjonować skutecznie. Budowa struktury ZR, na przykład powołanie zespołu, który będzie tworzył ten system, a następnie nadzorował jego funkcjonowanie, tzw. komitetu ds. ryzyka. Opracowanie, wdrożenie i realizacja polityki zarządzania ryzykiem – w oparciu o rzetelną bazę informacyjną rzeczową i finansową. © 2012 Daria Bochnar, CIA, CGAP 7
Formułowanie celów w ARiMR - definiowanie kontekstu Prezes ARiMR Dyrektorzy Departamentów Propozycje celów operacyjnych na kolejny rok Konsultacje z Dyrektorami Oddziałów Regionalnych Wstępny przegląd propozycji celów Departament odpowiedzialny za przygotowanie i monitorowanie realizacji strategii ARiMR Weryfikacja zgodności celów ze strategią ARiMR Wewnętrzne konsultacje Weryfikacja zgodności pionowej i poziomej wyznaczonych celów Przygotowanie projektu dokumentu „Cele operacyjne ARiMR na rok …” Prezes ARiMR Dyrektor Gabinetu Prezesa Wstępny przegląd projektu dokumentu Wewnętrzne konsultacje Zatwierdzenie dokumentu
Cele operacyjne – formułowanie i rozliczalność Każdy określony cel operacyjny posiada przypisany miernik. Dla wybranego miernika określana jest wartość bazowa (na dzień formułowania celu) oraz wartość docelowa (zgodnie z określoną pespektywą czasową). Rozliczalność realizacji celów zapewniona jest poprzez porównanie osiągniętych w danym roku wartości mierników z wartościami zaplanowanymi.
Monitoring realizacji Planu operacyjnego Dyrektorzy Departamentów Dyrektorzy Oddziałów Regionalnych Kwartalnie Zespół ds. Zarządzania Ryzykiem Kwartalny przegląd realizacji celów i zadań Analiza ryzyk Identyfikacja i analiza ryzyk Opracowanie kwartalnego raportu ryzyk Raportowanie do departamentu odpowiedzialnego za opracowanie i monitoring wdrażania strategii ARiMR Plan operacyjny na rok … Corocznie Sprawozdanie z realizacji Planu operacyjnego
Cele operacyjne a polityka zarządzania ryzykiem Celem wdrożonej polityki zarządzania ryzykiem jest zapewnienie mechanizmu identyfikowania wszystkich ryzyk zagrażających realizacji celów Agencji w sposób zgodny z prawem, efektywny, oszczędny i terminowy. Przede wszystkim polityka zarządzania ryzykiem wspiera efektywne i racjonalne osiąganie celów i realizację zadań Agencji. Jak ? Korelowanie informacji o niezrealizowanych celach (monitoring) ze zgłaszanymi ryzykami, Podejmowanie decyzji o konieczności podjęcia działań naprawczych, Rozliczalność wdrożonych działań naprawczych: rezultat, czas, koszt, zasoby.
ARiMR doświadczenie 2005 – uruchomienie zarządzania procesowego, od 2006 - prace nad ustanowieniem SZBI i wdrożeniem normy bezpieczeństwa informacji 27001, 2006 - nadal wdrożenie/ rozwój systemowego monitoringu zarządczego – w ramach sprawowanego nadzoru merytorycznego, 2008 - wdrożenie SZBI opartego o normę 27001 (ustanowienie KSBI- Komitet Sterujący Bezpieczeńtwem Informacji), 2009 – wdrożenie systemu zarządzania ryzykiem (powołanie Zespółu ds. Ryzyka), Obecnie - rozwój systemów pomiarowych , raportowanie zarządcze.
Zarządzanie ryzykiem – macierz modelu dojrzałości Poziom początkowy Poziom powtarzalny Poziom zdefiniowany Poziom optymalizowany Poziom zarządzany Dostępna wymagana wiedza ekspercka i doświadczenie, W pełni udokumentowany proces zarządzania ryzykiem, jasna mapa procesu, Zintegrowana działalność na wszystkich poziomach organizacyjnych, Zarządzanie ryzykiem wspiera redefiniowanie celów w ramach planowania reakcji na ryzyko.
Przykład– kontrola gospodarstw rolnych (beneficjentów pomocowych środków UE) Cele operacyjne: zakończenie realizacji kampanii kontrolnej w terminach ściśle określonych w Planie operacyjnym (terminowość), zachowanie określonych poziomów kontroli (ilość) wynikających z prawodawstwa wspólnotowego i krajowego oraz Planu operacyjnego, zapewnienie odpowiedniej jakości sporządzanej dokumentacji poprzez ograniczenie liczby dokumentacji zawierających uchybienia (jakość), zgodnie z kryteriami określonymi w wewnętrznych regulacjach. Plan operacyjny przewiduje dla określonych celów operacyjnych zmianę wartości miernika planowanego do osiągnięcia o ok. 2-5% w skali roku w stosunku do wartości bazowej.
Przykład– wdrożone działania korygujące Działania korygujące podjęte w wyniku zidentyfikowanych ryzyk: Wprowadzenie zadaniowego systemu pracy Optymalizacja procesu kontroli na miejscu poprzez wdrożenie projektu „Mobilny inspektor” (mechanizmy kontroli: nadzór, mechanizmy kontroli dotyczące systemów informatycznych, informacja i komunikacja: bieżąca informacja, komunikacja wewnętrzna, komunikacja zewnętrzna).
Przykład (działania korygujące – realizacja) „Mobilny inspektor” : import danych z systemu dziedzinowego w postaci pliku *.xml , plik raportu zawiera te same dane co wydruk, możliwość przesłania raportu przez e-mail, USB, czytnik kart pamięci, automatyczne wyszukanie wszystkich działek do kontroli, automatyczne wypełnianie raportu w odbiorniku GPS, możliwość wydruku raportu u rolnika lub przesłania elektroniczne do biura
aktualne instrukcje i wytyczne aktualizacje aplikacji Dedykowane dla kontroli oprogramowanie - CGIS znacząca poprawa wydajności pracy stabilność działania obsługa mobilnego raportu weryfikacja pomiarów z terenu możliwość podłączenia odbiornika GPS Wsparcie dla inspektorów - strona WWW opracowana na wzór stron WikiCAP dostępna w terenie aktualne instrukcje i wytyczne aktualizacje aplikacji archiwum informacji
Rozkład kosztów kontroli na miejscu Koszty kontroli w latach 2008-2011 Rok kampanii Liczba kontroli Koszt kontroli Wykonawcy Zewnętrznego Euro Koszt jedn. kontroli Euro IT FOTO Razem 2008 85 910 21 809 107 719 14 500 000 134,54 2009 68 199 56 089 124 288 13 300 000 106,86 2010 49 089 78 665 127 754 9 245 567 72,37 2011 24 414 110 011 134 425 7 499 982 55,79 Wzrost wydajności zespołu kontrolnego na przestrzeni lat 2008-2011 Liczba kontroli* rok 2008 rok 2009 rok 2010 rok 2011 - plan liczba kontroli WZ 103 278 121 423 117 509 110 011 liczba kontroli ARiMR 33 570 62 881 66 253 83 357 liczba IT zatrudnionych na stałe 342 335 402 427 liczba SPOD zatrudnionych na stałe 185 228 269 292 liczba kontroli na zespół kontrolny 196 375 330 390 * bez uwzględnienia pracowników sezonowych
Podsumowanie- rezultaty Optymalizacja i przyspieszenie procesów: wydawania danych do kontroli, przeprowadzenia kontroli, logistyki planowania kontroli w terenie, weryfikacji wyników kontroli. Wzrost wydajności zespołu kontrolnego, Obniżenie kosztów jednostkowych kontroli na miejscu, i ….. osiągnięcie mierników przewidzianych w Planie operacyjnym
Zarządzanie ryzykiem - wyzwania
Ustawa o informatyzacji działalności podmiotów realizujących zadania publiczne. (Dz.U. 2005 nr 64 poz. 565) Rozporządzenia Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. (Dz.U.z 2012 poz. 526) System Zarządzania Bezpieczeństwem Informacji (SZBI) PN-ISO/IEC 27001 Zarządzanie ryzykiem PN-ISO/IEC 27005
Wdrożenie ram interoperacyjności = konieczność ustanowienia SZBI. Krajowe Ramy Interoperacyjności Wdrożenie ram interoperacyjności = konieczność ustanowienia SZBI. Wybór zabezpieczeń musi wynikać z przeprowadzonego w podmiocie szacowania ryzyka. Wymagania dotyczące SZBI określone w rozporządzeniu spełnione są jeżeli proces zarządzania ryzykiem opiera się na normie PN-ISO/IEC 27005.
Zarządzanie ryzykiem Kontrola zarządcza PN ISO 31 000 Problemy Zarządzanie ryzykiem w obszarze bezpieczeństwa informacji (Krajowe Ramy Interoperacyjności) PN-ISO/IEC 27005 Zarządzanie ryzykiem Kontrola zarządcza PN ISO 31 000 dwa niezależnie funkcjonujące procesy zarządzania ryzykiem różne definicje tych samych terminów (lub odwrotnie) dualizm postępowania, zwiększenie obciążenia organizacyjnego brak zrozumienia dla idei zarządzania ryzykiem (bagatelizacja) nadmiar obowiązków osób odpowiedzialnych za zarządzanie ryzykiem (właściciel procesu) brak kompetencji / ograniczenia etatowe brak narzędzi informatycznych (brak danych ilościowych/ funkcji controlingowej w administracji publicznej)
Zarządzanie ryzykiem – główne szanse i zagrożenia Podejście kierownictwa do procesu zarządzania ryzykiem akceptacja idei zarządzania ryzykiem w organizacji, negatywny i lekceważący stosunek pracowników do zrządzania ryzykiem. Powiązanie zarządzania ryzykiem z celami organizacji identyfikowanie konkretnych i mierzalnych ryzyk, identyfikowanie głównie „ryzyk wirtualnych”. Złożoność systemu zarządzania ryzykiem akceptacja prostego systemu (ograniczona liczba dokumentacji, prosta ścieżka przepływu informacji), traktowanie zarządzania ryzykiem jako „kolejnej papierologii” (złożony system)
Zarządzanie ryzykiem – główne szanse i zagrożenia Precyzyjne określanie właścicieli ryzyk wysoki poziom odpowiedzialności za zidentyfikowane ryzyka, zjawisko „niechcianych ryzyk” Powiązanie systemu zarządzania ryzykiem z monitoringiem komplementarność skutecznych narzędzi zarządzania i kontroli, postrzeganie zarządzania ryzykiem jako konkurencyjnego, dublującego czynności monitoringowe narzędzia .
Dziękuję za uwagę. Daria Bochnar CIA, CGAP, CICA Dyrektor Departamentu Audytu Wewnętrznego ARiMR