Obowiązek wdrożenia przez kierowników

Transkrypt

1 Zarządzanie ryzykiem w jednostce sektora finansów publicznych Ustawa o finansach publicznych nałożyła na kierowników jednostek sektora finansów publicznych obowiązek wdrożenia procesu zarządzania ryzykiem w kierowanych przez nich jednostkach. Warto zatem wiedzieć, kto powinien być zaangażowany w taki proces i jak powinny przebiegać poszczególne etapy zarządzania ryzykiem. Piotr Domagalski pracownik administracji rządowej, specjalista w zakresie wdrażania kontroli zarządczej i budżetu zadaniowego Obowiązek wdrożenia przez kierowników jednostek procesu zarządzania ryzykiem w kierowanych jednostkach wynika z ustawy z 27 sierpnia 2009 r. o finansach publicznych (dalej: uofp). Zobowiązała ona ministrów kierujących działami administracji rządowej, wójtów, burmistrzów, prezydentów miast, przewodniczących zarządu jednostek samorządu terytorialnego (starostę w powiecie i marszałka w samorządzie województwa) oraz kierowników każdej jednostki sektora finansów publicznych do zapewnienia funkcjonowania adekwatnej, skutecznej i efektywnej kontroli zarządczej (art. 69 uofp). Skoro wymienione podmioty odpowiadają za funkcjonowanie kontroli zarządczej, to odpowiadają również za zarządzanie ryzykiem. Celem kontroli zarządczej jest bowiem zapewnienie w szczególności: 1) zgodności działalności z przepisami prawa oraz procedurami wewnętrznymi; 2) skuteczności i efektywności działania; 3) wiarygodności sprawozdań; 4) ochrony zasobów; 5) przestrzegania i promowania zasad etycznego postępowania; 6) efektywności i skuteczności przepływu informacji; 7) zarządzania ryzykiem (art. 68 ust. 2 uofp). Zarządzanie ryzykiem stanowi zatem również część całego systemu kontroli zarządczej. Pamiętając, że kontrolę zarządczą w jsfp stanowi ogół działań podejmowanych dla zapewnienia realizacji celów i zadań w sposób zgodny z prawem, efektywny, oszczędny i terminowy (art. 68 ust. 1 ustawy o finansach publicznych), dochodzimy do najważniejszego uzasadnienia dla działań zmierzających do ustanowienia procesu zarządzania ryzykiem. Oczywiste jest, że każdy kierownik jsfp powinien przestrzegać obowiązujących przepisów prawa i dlatego zarządzanie ryzykiem będzie wdrażane w sektorze publicznym. Jednak przede wszystkim każdy kierownik dąży do tego, żeby cele i zadania jednostki zostały zrealizowane. Nie będzie to możliwe, jeżeli nie zostaną zidentyfikowane zagrożenia, które mogą mieć negatywny wpływ na realizację założonych celów, a także gdy nie zostaną określone sposoby zabezpieczające realizację celów i zadań przed tymi zagrożeniami. To główny powód opracowania procedury zarządzania ryzykiem. Jest to krok do unowocześnienia zarządzania w sektorze publicznym. Plan działalności Proces zarządzania ryzykiem nie stanowi samodzielnej części działalności jednostki, lecz wpisuje się w zarządzanie jednostką, tak jak cały system kontroli zarządczej. Niezbędne jest zatem przyjęcie w jednostce takich rozwiązań zarządczych, które doprowadzą do wyznaczania celów działalności, zadań, których wykonanie jest niezbędne do realiza- styczeń

2 cji założonych celów oraz metod monitorowania stopnia realizacji celów (ustalenie mierników). Zalecane jest zatem przygotowywanie w jednostkach planów działalności. Kwestię tę regulują przepisy prawa oraz wskazówki zawarte w standardach kontroli zarządczej. Minister kierujący działem administracji rządowej ma obowiązek sporządzać roczny plan działalności zgodnie z rozporządzeniem z 29 września 2010 r. w sprawie planu działalności i sprawozdania z jego wykonania. Minister może również zobowiązać kierowników nadzorowanych przez niego jednostek do sporządzania takich samych planów. Pozostałym kierownikom jednostek, w tym jednostkom samorządu terytorialnego i samorządowym jednostkom organizacyjnym, w standardach kontroli zarządczej dla sektora finansów publicznych, zaleca się sporządzanie rocznych planów działalności. Wzór planu działalności określony w rozporządzeniu przewiduje ustalenie m.in. następujących elementów: CELE I ZADANIA IDENTYFIKACJA RYZYKA OCENA RYZYKA USTALENIE METODY I PRZECIWDZIAŁANIE RYZYKU MONITOROWANIE PROCESU I DOKONYWANIE ZMIAN Schemat nr 1. Zarządzanie ryzykiem w jednostce głównych celów, mierników przyjętych do monitorowania stopnia realizacji celów, zadań (podzadań) służących realizacji celów. Istnienie tego rodzaju dokumentu pozwoli przystąpić do szeregu działań, które składają się na proces nazywany zarządzanie ryzykiem. Poniżej graficznie przedstawiono w sposób uproszczony proces zarządzania ryzykiem w jednostce. Kto powinien być zaangażowany w proces zarządzania ryzykiem? Na każdym poziomie funkcjonowania jednostki można wdrożyć czynności i działania związane z zarządzaniem ryzykiem. Z charakteru tego procesu wynika jednak, że powinien on być zadaniem kadry zarządzającej średniego i wyższego szczebla. Można również przyjąć inne rozwiązanie, polegające na powołaniu grupy roboczej, złożonej z osób przygotowanych merytorycznie do identyfikacji i oceny ryzyka. Natomiast wyniki jej pracy poddać akceptacji najwyższego kierownictwa jednostki. Ustalenie celów i zadań w jednostce stanowi podstawę do rozpoczęcia analizy ryzyka W dużych organizacjach optymalnym i zalecanym rozwiązaniem jest utworzenie na stałe komórki ds. zarządzania ryzykiem. Takie rozwiązanie zapewni profesjonalne podejście do zarządzania ryzykiem w jednostce oraz stałe monitorowanie tego procesu. Jednak nawet w takim przypadku najważniejsze decyzje powinny być podejmowane przez najwyższe kierownictwo. Etapy zarządzania ryzykiem Proces zarządzania ryzykiem (przedstawiony na schemacie nr 1) można podzielić na następujące etapy: identyfikację ryzyka, ocenę (analizę) ryzyka, określenie i podjęcie czynności zapobiegawczych/zaradczych, ograniczających ryzyko, monitorowanie. 1. Identyfikacja ryzyka Procedura identyfikacji ryzyka polega na ustaleniu, jakie zagrożenia mogą wystąpić (ewentualnie, z których szans jednostka może nie skorzystać), a gdy wystąpią, jaki będzie ich wpływ na założone cele. Dlatego też jeszcze raz należy podkreślić wagę tworzenia planów działalności, zawierających cele i zadania jednostki. Najprostszą i bardzo skuteczną metodą identyfikacji ryzyka jest tzw. burza mózgów. Metoda ta wymaga oceny wszystkich źródeł ryzyka pochodzących z czynników wewnętrznych i zewnętrznych. W sesjach tych powinny uczestniczyć osoby z różnych szczebli organizacji. Sesje muszą być odpowiednio zorganizowane w celu zapewnienia systematycznej identyfikacji ryzyka. Dobrym punktem wyjścia jest identyfikacja ryzyka związanego z realizacją celów strategicznych i operacyjnych. Należy też rozpatrzyć ryzyko 2

3 Kategorie ryzyka strategicznego KATEGORIE RYZYKA Opis 1 Polityczne Związane z brakiem możliwości świadczenia usług zgodnie z wymaganiami władz centralnych lub samorządowych. 2 Ekonomiczne Mające wpływ na zdolność organizacji do realizacji zobowiązań finansowych. Ryzyko to obejmuje czynniki, takie jak: wewnętrzne naciski budżetowe, brak wykupionej polisy ubezpieczeniowej oraz zmiany ogólnej sytuacji gospodarczej. 3 Społeczne Dotyczące skutków zmian tendencji demograficznych, społeczno-gospodarczych oraz odnoszących się do miejsca zamieszkania. 4 Technologiczne Związane ze zdolnością organizacji do nadążenia za tempem/skalą zmian technologicznych lub możliwością wykorzystania odpowiednich technologii, by sprostać zmianom popytu. Ryzyko to może obejmować oddziaływanie wewnętrznych niepowodzeń technologicznych na zdolność organizacji do realizacji jej celów. 5 Legislacyjne Związane z bieżącymi lub możliwymi zmianami w ustawodawstwie krajowym lub europejskim. 6 Środowiskowe Dotyczące konsekwencji środowiskowych wynikających z realizacji celów organizacji, np. wydajności energetycznej, hałasu, zanieczyszczenia lub skażenia. Kategorie ryzyka operacyjnego 1 Finansowe Związane z planowaniem finansowym i kontrolą. 2 Prawne Dotyczące ewentualnego naruszenia przepisów prawa. 3 Zawodowe Związane z charakterem konkretnego zawodu, np. usługi społeczne związane z pomocą społeczną dla młodych osób. 4 Fizyczne Dotyczące pożaru, bezpieczeństwa, zapobiegania wypadkom oraz kwestii ochrony zdrowia i bezpieczeństwa osób, np. zagrożenia dla budynków, pojazdów, zakładów lub sprzętu itd. 5 Umowne Związane z brakiem realizacji usług lub dostarczenia produktów przez dostawców według uzgodnionej ceny i specyfikacji. 6 Technologiczne Dotyczące uzależnienia instytucji od sprzętu wykorzystywanego w jej działalności, np. systemów informatycznych lub sprzętu i maszyn. 7 Środowiskowe Dotyczące hałasu lub energooszczędności bieżącej działalności usługowej. Źródło: Zarządzanie ryzykiem w sektorze publicznym. Podręcznik wdrażania zarządzania ryzykiem w administracji publicznej w Polsce, s. 36 w kilku kategoriach. Katalogi kategorii ryzyka mogą być różne. Kierownictwo może przyjąć jeden z powszechnie dostępnych funkcjonujących w innych jednostkach lub opracować własny katalog. Służy on głównie uporządkowaniu dyskusji w trakcie burzy mózgów i usystematyzowaniu identyfikacji ryzyka. Poniżej przedstawiono przykładowy katalog kategorii ryzyka. Podkreślenia wymaga fakt, że należy udokumentować przeprowadzenie identyfikacji ryzyka. Każdy z uczestników może przygotować własne zestawienie zawierające ryzyka według kategorii, ich opis oraz wskazanie celów, z którymi związane jest ujawnione ryzyko. Następnie w drodze dyskusji i uzgadniania stanowisk powinien zostać stworzony arkusz zawierający wszystkie zidentyfikowane ryzyka związane z działalnością jednostki. Przykładowy dokument może wyglądać następująco: Kategoria ryzyka Opis ryzyka Cele działania jednostki, z którymi wiąże się ryzyko Strategiczne Polityczne. Operacyjne Finansowe Na tym proces identyfikacji ryzyka się kończy. Identyfikacja ryzyka metodą burzy mózgów jest tym skuteczniejsza, im większe doświadczenie i znajomość styczeń

4 funkcjonowania jednostki posiada kadra zarządzająca i inne osoby uczestniczące w tym procesie. Identyfikując ryzyko, należy pamiętać, że zagrożeń, na które narażona jest jednostka organizacyjna, jest bardzo wiele, jednak do przygotowanego arkusza należy wpisać tylko te, które mogą mieć wpływ na poziom realizacji założonych celów i zadań jednostki. 2. Ocena ryzyka Zidentyfikowane ryzyko należy poddać analizie mającej na celu określenie prawdopodobieństwa wystąpienia danego zdarzenia i możliwych jego skutków. Tak jak w przypadku identyfikacji ryzyka, również ocenę ryzyka można przeprowadzić różnymi metodami, m.in.: matematyczną metodą analizy ryzyka, metodą szacunkową analizy ryzyka metodą delficką (grupa ekspercka); metodą mieszaną analizy ryzyka. Niezależnie od tego, która metoda oceny ryzyka zostanie w jednostce przyjęta, należy pamiętać, że podstawą oceny prawdopodobieństwa i skutku związanego z ryzykiem zawsze jest intuicja i doświadczenie zawodowe osób przeprowadzających analizę. Warto przyjąć do przeprowadzenia oceny prawdopodobieństwa wystąpienia ryzyka oraz skutków z nimi związanych wartości punktowe. Pozwoli to sporządzić matrycę ryzyka, a następnie dokonać hierarchizacji ryzyka. Liczbowe oceny punktowe oddziaływania i prawdopodobieństwa wystąpienia ryzyka mnoży się, by uzyskać łączną Prawdopodobieństwo Prawie pewne Bardzo prawdopodobne Prawdopodobne Mało prawdopodobne Znikome punktową ocenę ryzyka. Jeżeli np. ocena punktowa oddziaływania wynosi 5 punktów, a prawdopodobieństwa wynosi 4 punkty, to ocena tego ryzyka wynosi 20, tj Można w jednostce przyjąć skalę trzy-, pięcio-, siedmiopunktową lub dowolnie inną. Wydaje się, że najbardziej optymalną jest skala pięciopunktowa, chociaż równie często można spotkać stosowanie skali trzypunktowej. Ocena prawdopodobieństwa zaistnienia zagrożenia opiera się na: subiektywnej i instynktownej ocenie osób bezpośrednio narażonych na ryzyko (realizujących zadania i cele zagrożone ryzykiem), historycznych danych, pochodzących z obiektywnych i rzetelnych źródeł (to zdarzenia z przeszłości pomogą ustalić, czy jest prawdopodobne, by zidentyfikowane ryzyko zaistniało w najbliższym czasie). Przykład ustalenia zasad przypisywania wartości punktowych poszczególnym zidentyfikowanym ryzykom, pod względem prawdopodobieństwem ich wystąpienia, przedstawia poniższa tabela: Opis Oczekuje się, iż takie zagrożenie wystąpi. Wystąpienie zagrożenia jest bardzo prawdopodobne. Zagrożenie może wystąpić w określonych przypadkach. Istnieje niewielkie prawdopodobieństwo zaistnienia zagrożenia. Zagrożenie może wystąpić jedynie w wyjątkowych okolicznościach. Ocena punktowa Natomiast oceniając skutki wystąpienia zdarzenia, należy przede wszystkim uwzględniać konsekwencje: dla ludzi, dla realizowanego zadania, dla wizerunku firmy, prawne, finansowe. Przykład ustalenia zasad przypisywania wartości punktowych poszczególnym zidentyfikowanym ryzykom, pod względem skutków ich wystąpienia, przedstawia poniższa tabela:

5 Ocena skutku Opis Koszt w złotych Minimalny Nieznaczny Umiarkowany Poważny Katastrofalny Brak skutków o wymiarze publicznym lub prawnym. Brak wpływu na bezpieczeństwo ludzi. Bardzo mały skutek finansowy. Brak skutków o wymiarze publicznym lub prawnym. Brak wpływu na bezpieczeństwo ludzi. Mały skutek finansowy. Umiarkowane konsekwencje publiczne i prawne. Brak wpływu na bezpieczeństwo ludzi. Odczuwalny skutek finansowy. Poważne pogorszenie wizerunku publicznego. Poważne zagrożenie dla ludzi. Poważne straty finansowe. Bezpośrednie zagrożenie dla zdrowia i życia. Ogromne straty finansowe. Ocena punktowa < > Uwzględniając przyjęte zasady oceny ryzyka pod względem prawdopodobieństwa wystąpienia i skutków związanych z zagrożeniem, należy dokonać oceny wszystkich zidentyfikowanych ryzyk i przyporządkować im ocenę punktową. Następnie tak ocenione ryzyka należy nałożyć na matrycę ryzyka i dokonać hierarchizacji ryzyk tzn. uszeregować ryzyka według wagi lub kryteriów matrycy punktowej. Wszystkie ryzyka, których ocena punktowa (iloczyn punktów prawdopodobieństwa i skutku) zawiera się w polach w kolorze czerwonym wymagają działania organizacji są to ryzyka istotne (poważne). Ryzyka znajdujące się w środku matrycy (pola żółte) Matryca oceny punktowej ryzyka należy omówić i monitorować (ryzyko średnie). Zaleca się jednak podjęcie działań w miarę możliwości ograniczających również to ryzyko. Ryzyka zawierające się w polach w kolorze zielonym to ryzyka o najniższym zagrożeniu dla jednostki (ryzyko niskie/ nieistotne) i z reguły jest to jednocześnie ryzyko akceptowane. Kierownictwo jednostki powinno zawsze określić poziom ryzyka akceptowanego. Jest to tzw. apetyt na ryzyko. Przez to określenie należy rozumieć wielkość ryzyka, jaką organizacja jest gotowa w dowolnym czasie zaakceptować, dopuścić lub być na nią narażona. Poziom ryzyka akceptowanego określa zawsze najwyższe kierownictwo. Wydaje się, że ryzyko niskie (nieistotne) z reguły będzie ryzykiem akceptowanym. Nie można jednak wykluczyć sytuacji, gdy niektóre ryzyka średnie będą uznane w jednostce jako akceptowane. Podsumowując ten etap zarządzania ryzykiem, należy pamiętać, że ocenę ryzyka można przeprowadzić na dwa sposoby: 1) tak, jakby nie występowały żadne mechanizmy kontrolne (ryzyko nieodłączne), 2) biorąc pod uwagę istniejące mechanizmy kontrolne (ryzyko rezydualne). Oddziaływanie Katastrofalne Poważne Średnie Małe Nieznaczne Rzadkie Mało prawdopodobne Średnie Prawdopodobne Prawie pewne Taki sposób przeprowadzania oceny służy zademonstrowaniu skuteczności wewnętrznych mechanizmów kontro- Prawdopodobieństwo Źródło: Zarządzanie ryzykiem w sektorze publicznym. Podręcznik wdrażania zarządzania ryzykiem w administracji publicznej w Polsce styczeń

6 lnych przy zmniejszaniu ryzyka oraz uwypuklenia poważnego ryzyka, które może być ukryte mimo funkcjonujących mechanizmów kontrolnych. 3. Reakcja na ryzyko Po identyfikacji ryzyka i analizie pod względem prawdopodobieństwa jego wystąpienia i skutków z nim związanych, kolejnym krokiem jest podjęcie działań zmierzających do jego ograniczenia. Celem tych działań jest przekształcenie niepewności w korzyść dla organizacji w drodze ograniczania zagrożeń (do poziomu akceptowanego) i korzystania z szans. Każde działanie podejmowane przez organizację w ramach postępowania wobec ryzyka tworzy część większej całości stanowiącej systemem kontroli zarządczej. Można wyróżnić pięć głównych aspektów postępowania wobec ryzyka: 1) tolerowanie narażenie na ryzyko może być dopuszczalne bez podejmowania jakichkolwiek dalszych działań. Nawet jeśli nie jest dopuszczalne, zdolność do wywarcia wpływu na niektóre rodzaje ryzyka może być ograniczona lub też koszt podjęcia jakiegokolwiek działania może być niewspółmierny do potencjalnych korzyści, które można odnieść. W takich przypadkach odpowiedzią może być tolerowanie istniejącego poziomu ryzyka. Taka opcja może oczywiście być uzupełniana przez plany awaryjne, mające na celu radzenie sobie z oddziaływaniem ryzyka powstałym w przypadku jego urzeczywistnienia się. 2) zmniejszanie (obniżenie) poprzez ustanowienie mechanizmów kontroli w ten sposób postępuje się z największą liczbą ryzyk. Celem zmniejszania jest pomimo kontynuowania w organizacji działalności powodującej powstanie ryzyka podjęcie działania (mechanizm kontrolny) w celu ograniczenia ryzyka do możliwego do zaakceptowania poziomu. 3) przeniesienie bardzo skuteczną reakcją wobec niektórych rodzajów ryzyka może być ich przeniesienie. Można to uczynić za pomocą ubezpieczenia (np. majątkowego) lub płacąc stronie trzeciej za przejęcie ryzyka w inny sposób, np. zlecenie realizacji zadania podmiotowi zewnętrznemu. Opcja ta jest szczególnie dobra w przypadku zmniejszania ryzyka finansowego lub ryzyka majątkowego. Przeniesienie ryzyka można rozważać albo w celu zmniejszenia narażenia organizacji, albo kiedy inna organizacja ma większą zdolność do efektywnego zarządzania ryzykiem. 4) rezygnacja z działalności obarczonej istotnym ryzykiem (zakończenie) niektóre rodzaje ryzyka można zmniejszać lub sprowadzać do akceptowalnych poziomów, jedynie kończąc działalność. Należy zwrócić uwagę, iż stosowanie opcji zakończenia działalności może być poważnie ograniczone w sektorze publicznym. 5) korzystanie z szans opcja ta nie jest alternatywą wobec wymienionych powyżej. Jest to raczej opcja, która powinna być poddana rozwadze zawsze w przypadku dopuszczania ryzyka, przenoszenia go lub zmniejszania. 4. Monitorowanie Zidentyfikowane ryzyko oraz ustalone metody jego ograniczania do tolerowanego (akceptowanego) poziomu powinno być na bieżąco oceniane (monitorowane) przez kierownictwo. Monitorowanie ryzyka obejmuje przeprowadzanie okresowych przeglądów w celu określenia, czy ryzyko uległo zmianie, tj. czy wszystkie ryzyka występują nadal, a także czy nie pojawiły się nowe zagrożenia związane z realizacją celów i zadań jednostki. Należy okresowo sprawdzać, czy punktowa ocena ryzyka jest wciąż odpowiednia oraz czy podjęte działania ograniczające ryzyko, a w szczególności ustanowione mechanizmy kontroli, są skuteczne. Wyniki monitorowania procesu zarządzania ryzykiem powinny być wykorzystane do poprawy efektywności nie tylko zarządzania ryzykiem, ale również całego systemu kontroli zarządczej funkcjonującej w jednostce. W jednostkach, które zatrudniają audytora wewnętrznego, oceny efektywności zarządzania ryzykiem dokonuje także audytor. Jednak jego ocena nie może zastępować monitorowania przeprowadzanego przez kierownictwo jednostki i innych pracowników zobowiązanych do tego rodzaju działań. Ważnym i zalecanym narzędziem 6

7 ułatwiającym monitorowanie ryzyka w jednostce organizacyjnej jest rejestr ryzyk. Taki dokument powinien zawierać co najmniej: numer identyfikacyjny ryzyka, opis ryzyka, rodzaj i kategorię ryzyka np. strategiczne / polityczne, punktową ocenę ryzyka nieodłącznego tzw. ryzyka brutto bez uwzględnienia istniejących mechanizmów kontroli, planowane działania ograniczające ryzyko, punktową ocenę ryzyka rezydualnego tzw. ryzyko netto uwzględniające działania, w szczególności ustanowione mechanizmy kontroli ograniczające ryzyko, osobę odpowiedzialną za wprowadzenie planowanych działań ograniczających ryzyko oraz termin realizacji. Wprowadzenie rejestru ryzyk przynosi wiele korzyści, ale również stanowi pewne zagrożenie. Wśród nich można wskazać: 1) korzyści związane z rejestrowaniem ryzyk: ułatwia zarządzanie, wymusza zajęcie się problemem, pokazuje zależności między zagrożeniami, wskazuje odpowiedzialnych za problem, spełnia wymagania standardów kontroli zarządczej. 2) zagrożenia związane z rejestrowaniem ryzyk: sprzyja spychologii, odsłania słabe strony jednostki organom kontroli zewnętrznej, rozrasta się, przez co może się stać trudny do zarządzania, brak zagrożeń w rejestrze może złudnie uspokajać. Zarządzenie kierownika jednostki Wymaga się, by zarządzanie ryzykiem było w każdej jednostce dokumentowane. W tym celu warto przygotować zarządzenie kierownika jednostki, które będzie regulowało sposób zarządzania ryzykiem. Przykład takiej regulacji poniżej. Zarządzenie nr /11... (kierownika jednostki)... z dnia r. w sprawie zarządzania ryzykiem Na podstawie... (statutu/regulaminu jednostki)... oraz działając w oparciu o Standardy kontroli zarządczej w jednostkach sektora finansów publicznych stanowiące załącznik do komunikatu nr 23 Ministra Finansów z 16 grudnia 2009 r., zarządza się, co następuje: Zarządzenie określa zasady i tryb zarządzania ryzykiem w... (nazwa jednostki) Ilekroć w zarządzeniu jest mowa o: 1) Urzędzie należy przez to rozumieć... (nazwa jednostki)...; 2) wydziałach należy przez to rozumieć wydziały i komórki równorzędne; 3) ryzyku należy przez to rozumieć prawdopodobieństwo wystąpienia zdarzenia mającego negatywny wpływ na osiąganie celów i wykonywanie zadań; 4) wpływie ryzyka należy przez to rozumieć skutki dla osiągania celów i realizowania zadań spowodowane przez zdarzenie objęte ryzykiem; 5) prawdopodobieństwie ziszczenia się ryzyka należy przez to rozumieć częstotliwość występowania zdarzenia objętego ryzykiem; 6) istotności ryzyka należy przez to rozumieć kombinację wpływu ryzyka i prawdopodobieństwa jego ziszczenia się; 7) akceptowanym poziomie ryzyka należy przez to rozumieć ustalony w zarządzeniu poziom istotności ryzyka, przy którym nie jest wymagane podejmowanie działań przeciwdziałających ryzyku; 8) zarządzaniu ryzykiem należy przez to rozumieć proces identyfikacji, oceny i przeciwdziałania ryzyku; proces ten obejmuje także monitorowanie ryzyka i środków podejmowanych w celu jego ograniczenia; 9) mechanizmach kontroli zarządczej należy przez to rozumieć wszystkie działania i procedury podejmowane lub ustanawiane w celu zwiększenia prawdopodobieństwa osiągania celów i realizacji zadań, w tym zwłaszcza: styczeń

8 a) dokumentację systemu kontroli zarządczej (procedury, instrukcje, wytyczne), b) dokumentowanie poszczególnych zdarzeń finansowych i gospodarczych, c) zatwierdzanie operacji finansowych i gospodarczych, d) podział obowiązków, e) nadzór, f) rejestrowanie istotnych odstępstw od zasad zapisanych w procedurach, instrukcjach czy wytycznych, g) ograniczenie dostępu do zasobów materialnych, finansowych i informacyjnych osobom nieuprawnionym Celem zarządzania ryzykiem w Urzędzie jest zwiększenie prawdopodobieństwa osiągania celów jednostki i realizacji zadań. 2. Zarządzanie ryzykiem odbywa się według zasad: 1) integracji z procesem zarządzania; 2) powiązania z celami i zadaniami Urzędu; 3) przypisania odpowiedzialności; 4) proporcjonalności działań przeciwdziałających ryzyku do jego istotności. 3. Proces zarządzania ryzykiem obejmuje: 1) monitorowanie realizacji zadań; 2) identyfikację i ocenę ryzyka oraz odniesienie go do akceptowanego poziomu ryzyka; 3) ustalenie metody przeciwdziałania ryzyku; 4) przeciwdziałanie ryzyku Identyfikacja i ocena ryzyka oraz ustalenie metody przeciwdziałania ryzyku dokonywane jest podczas przygotowywania propozycji do rocznego planu działania Urzędu. 2. Identyfikacji i oceny ryzyka oraz ustalenia metody przeciwdziałania ryzyku dokonują kierownicy komórek organizacyjnych Identyfikacja ryzyka polega na ustaleniu ryzyka zagrażającego poszczególnym celom i zadaniom proponowanym do zamieszczenia w rocznym planie działania Urzędu. 2. Podczas identyfikacji należy przeanalizować: 1) cele i zadania proponowane do zamieszczenia w planie działania Urzędu; 2) zagrożenia, związane z osiąganiem celów i realizowaniem zadań proponowanych do zamieszczenia w planie działania Urzędu, wraz z ich wewnętrznymi i zewnętrznymi przyczynami oraz możliwymi scenariuszami rozwoju zdarzeń. 3. Podczas identyfikacji stosowana jest kategoryzacja ryzyka. 4. Ustala się następujące kategorie ryzyka: 1) ryzyko finansowe; 2) ryzyko dotyczące zasobów ludzkich; 3) ryzyko działalności; 4) ryzyko zewnętrzne. Przykłady ryzyka występującego w ramach poszczególnych kategorii przedstawia tabela stanowiąca załącznik nr 1 do zarządzenia Ocena ryzyka polega na określeniu wpływu i prawdopodobieństwa ziszczenia się ryzyka a następnie ustaleniu jego istotności według zasad określonych w Ustalenie wpływu ryzyka polega na określeniu przewidywanych skutków jakie będzie miało, dla realizacji zadania lub osiągania celu proponowanego do zamieszczenia w programie działania Urzędu, wystąpienie zdarzenia objętego ryzykiem. Do określenia wpływu używana jest następująca skala ocen: wysoki 3 punkty, średni 2 punkty, niski 1 punkt. 8

9 3. Ustalenie prawdopodobieństwa ziszczenia się ryzyka polega na określeniu przewidywanej częstotliwości występowania zdarzenia objętego ryzykiem w trakcie roku. Do określenia prawdopodobieństwa stosowana jest następująca skala ocen: wysokie 3 punkty, średnie 2 punkty, niskie 1 punkt. 4. Podczas określania wpływu i prawdopodobieństwa ziszczenia się ryzyka stosowane są zasady zawarte w załączniku nr 2 do zarządzenia W oparciu o dokonaną ocenę wpływu i prawdopodobieństwa wystąpienia ryzyka ustalany jest poziom istotności ryzyka. 2. Ustala się następujące poziomy istotności ryzyka: 1) ryzyko poważne, tj. ryzyko, którego iloczyn prawdopodobieństwa wystąpienia danego zdarzenia oraz jego wpływu na organizację wynosi 6 lub 9 punktów, 2) ryzyko umiarkowane, tj. ryzyko, którego iloczyn prawdopodobieństwa wystąpienia danego zdarzenia oraz jego wpływu na organizację wynosi 3 lub 4 punkty; 3) ryzyko nieznaczne, tj. ryzyko, którego iloczyn prawdopodobieństwa wystąpienia danego zdarzenia oraz jego wpływu na organizację wynosi 1 lub 2 punkty Ryzykiem akceptowanym jest ryzyko nieznaczne. Ryzyko umiarkowane i poważne przekracza akceptowany poziom ryzyka. 2. Ryzyko przekraczające akceptowany poziom ryzyka wymaga ustalenia i podjęcia działań ograniczających je do poziomu akceptowanego poprzez zmniejszenie jego wpływu lub prawdopodobieństwa wystąpienia (przeciwdziałania ryzyku) Metodami przeciwdziałania ryzyku są: 1) przeniesienie ryzyka przekazanie ryzyka podmiotowi zewnętrznemu np. w drodze ubezpieczenia; 2) przeciwdziałanie stosowanie mechanizmów kontroli; 2. W celu określenia metody przeciwdziałania ryzyku należy przeanalizować: 1) przyczyny (źródła) ryzyka i możliwe scenariusze rozwoju wydarzeń; 2) istniejące mechanizmy kontroli stosowane w celu ograniczenia lub uniknięcia tego ryzyka Na podstawie dokonanej identyfikacji i oceny ryzyka oraz określenia metody przeciwdziałania ryzyku, kierownicy komórek organizacyjnych wypełniają Arkusze identyfikacji, oceny i przeciwdziałania ryzyku według wzoru zamieszczonego w załączniku nr 3 do zarządzenia. 2. Odnotowania w arkuszu, o którym mowa w ust. 1, wymagają wszystkie zidentyfikowane ryzyka. W przypadku ryzyka poważnego i umiarkowanego w arkuszu należy podać planowaną metodę ograniczania go do akceptowanego poziomu. W przypadku ryzyka nieznacznego ewentualną planowaną metodę jego ograniczenia 3. Arkusze, o których mowa w ust. 1, przedkładane są do (nazwa komórki organizacyjnej) wraz z propozycjami do rocznego planu działania Urzędu. Arkusze podlegają zatwierdzeniu na zasadach przewidzianych dla programu działania Urzędu. 11. W przypadku istotnych zmian w warunkach funkcjonowania Urzędu, identyfikacja i ocena ryzyka jest przeprowadzana ponownie Zidentyfikowane ryzyko oraz ustalone metody jego ograniczania do akceptowanego poziomu są na bieżąco oceniane (monitorowane) przez: 1) kierowników komórek organizacyjnych, którzy oceniają poziom zidentyfikowanego ryzyka oraz skuteczność stosowanych metod jego ograniczania; 2) kierownictwo Urzędu w ramach bieżącego zarządzania Urzędem, w tym w szczególności w trakcie narad najwyższego kierownictwa. styczeń

10 2. Efektywność zarządzania ryzykiem oraz system kontroli zarządczej podlega niezależnej i obiektywnej ocenie audytora wewnętrznego. 3. Wyniki oceny, o której mowa w ust. 1 i 2, wykorzystywane są do poprawy efektywności zarządzania ryzykiem oraz usprawnienia systemu kontroli zarządczej. 13. Zarządzenie wchodzi w życie z dniem podpisania. Załącznik nr 1 do zarządzenia nr /11 z dnia r. Kategorie ryzyka Poniższa tabela przedstawia kategorie ryzyka wraz z przykładami dotyczącymi jego możliwych źródeł (przyczyn) oraz skutków. Tabela nie określa zamkniętego katalogu ryzyka. Budżetowe Oszustwa i kradzieży Podlegające ubezpieczeniu Zamówień publicznych i zlecania zadań publicznych Odpowiedzialności Personelu Bhp Regulacji wewnętrznych Organizacji i podejmowania decyzji Kontroli zarządczej Kategoria ryzyka Ryzyko finansowe Związane z planowaniem dochodów i wydatków, dostępnością środków publicznych, dokonywaniem wydatków i pobieraniem dochodów. Związane ze stratą środków rzeczowych i finansowych będącą wynikiem przestępstwa lub wykroczenia. Związane ze stratami finansowymi, które mogą być przedmiotem ubezpieczenia np. ryzyko pożaru, wypadku. Związane z podejmowaniem decyzji oraz udzielaniem zamówień publicznych lub zlecaniem zadań publicznych innym podmiotom, np. ryzyko naruszenia zasad, form lub trybu ustawy Prawo zamówień publicznych. Związane z obowiązkiem zapłaty kwot pieniężnych tytułem, np. odszkodowań, odsetek karnych, kosztów procesowych. Ryzyko dot. zasobów ludzkich Związane z liczebnością i kompetencjami pracowników. Związane ze zdrowiem pracowników i wypadkami przy pracy. Ryzyko działalności Związane z istnieniem i adekwatnością regulacji wewnętrznych. Związane ze strukturą organizacyjną, organizacją pracy oraz przekazywaniem obowiązków i uprawnień, np. ryzyko nieprecyzyjnie określonych obowiązków, ryzyko braku formalnie powierzonych obowiązków, ryzyko nieodpowiedniej struktury organizacyjnej. Związane z funkcjonowaniem systemu kontroli zarządczej np. ryzyko niedostatecznej kontroli, ryzyko nieskutecznych mechanizmów kontrolnych. 10

11 Informacji Wizerunku Systemów informatycznych Infrastruktury Gospodarcze Środowiska prawnego Związane z jakością informacji na podstawie których podejmowane są decyzje np. ryzyko braku komunikacji wewnętrznej i zewnętrznej. Związane z wizerunkiem Urzędu, np. ryzyko negatywnych opinii. Związane z używanymi w Urzędzie systemami i programami informatycznymi oraz ochroną zawartych w nich danych, np. ryzyko awarii, ryzyko udostępnienia danych osobom nieuprawnionym, ryzyko nieuprawnionej modyfikacji danych. Ryzyko zewnętrzne Związane z infrastrukturą, np. wyposażeniem, bazą lokalową, środkami transportu i środkami łączności. Związane z czynnikami ekonomicznymi, np. kursy walut, inflacja. Związane ze skomplikowaniem i zmianami prawa oraz niejednolitym orzecznictwem. Załącznik nr 2 do zarządzenia nr /11 z dnia r. 1. Zasady oceny wpływu ryzyka: Wpływ Wysoki Średni Niski Przesłanki Zdarzenie objęte ryzykiem powoduje uszczerbek mający krytyczny lub bardzo duży wpływ na osiągnięcie celów strategicznych i na realizację kluczowych zadań poważny uszczerbek w zakresie jakości wykonywanych zdań, poważna strata finansowa albo na wizerunku. Z wystąpieniem zdarzenia objętego ryzykiem wiąże się długotrwały i trudny proces przywracania stanu poprzedniego. Zdarzenie objęte ryzykiem powoduje znaczącą stratę posiadanych zasobów, ma negatywny wpływ na efektywność działania, jakość wykonywanych zadań, wizerunek Urzędu. Z wystąpieniem zdarzenia objętego ryzykiem może się wiązać trudny proces przywracania stanu poprzedniego. Zdarzenie objęte ryzykiem powoduje niewielką stratę finansową, zakłócenie lub opóźnienie w wykonywaniu zadań. Nie wpływa na reputację Urzędu. Skutki zdarzenia można łatwo usunąć. 2. Zasady oceny stopnia prawdopodobieństwa ziszczenia się ryzyka: Prawdopodobieństwo Wysokie Średnie Niskie Przesłanki Istnieją uzasadnione powody, by sądzić, że zdarzenie objęte ryzykiem zdarzy się wielokrotnie w ciągu roku. Istnieją uzasadnione powody, by sądzić, że zdarzenie objęte ryzykiem zdarzy się kilkukrotnie w ciągu roku. Istnieją uzasadnione powody, by sądzić, że zdarzenie objęte ryzykiem zdarzy się raz w ciągu roku lub że nie zdarzy się w ciągu roku. styczeń

12 Arkusz identyfikacji, oceny i przeciwdziałania ryzyku l.p. Cel zadanie Załącznik nr 3 do zarządzenia nr /11 z dnia r. RYZYKO Ryzyko (wraz z podaniem kategorii) Wpływ Prawdopodobieństwo Poziom istotności ryzyka PRZECIWDZIAŁANIE RYZYKU Planowana metoda przeciwdziałania ryzyku (podpis kierownika komórki organizacyjnej) Zasady wypełniania Arkusza: Kolumna Sposób wypełnienia 1 Numer kolejny celu i zadania według propozycji do planu działania jednostki 2 Nazwa celu i zadania zamieszczonego w propozycji do planu działania jednostki 3 Wskazanie kategorii ryzyka oraz krótki opis ryzyka np. ryzyko finansowe związane z nieterminowym odprowadzaniem dochodów 4 Ocena wpływu w skali wysoki średni niski od 1 do 3 punktów 5 Ocena prawdopodobieństwa w skali wysokie średnie niskie od 1 do 3 punktów 6 Poziom istotności ryzyka wynikający z przyznanych ocen prawdopodobieństwa i wpływu (poważny, umiarkowany, nieznaczny) 7 Wskazanie planowanej metody przeciwdziałania ryzyku np. powierzenie odpowiedzialności wyznaczonemu pracownikowi, bieżący nadzór Głównego Księgowego. Podstawa prawna: Ustawa z 27 sierpnia 2009 r. o finansach publicznych (Dz.U. nr 157, poz ze zm.), Rozporządzenie Ministra Finansów z 29 września 2010 r. w sprawie planu działalności i sprawozdania z jego wykonania (Dz.U. nr 187, poz. 1254), Komunikat nr 23 Ministra Finansów z 16 grudnia 2009 r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych (Dz. Urz. MF nr 15, poz. 84). Napiszcie do nas: e-meil: listy@finansepubliczne.pl, fax: (+71) Na naszych łamach odpowiedzą Państwu eksperci. 12