Załącznik do Zarządzenia nr 70/2015 Rektora UEP z dnia 27 listopada 2015 roku Polityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu 1 Definicje Określenia użyte w Polityce zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu (dalej UEP) oznaczają: 1) Polityka zarządzania ryzykiem na UEP (zwana dalej: polityką zarządzania ryzykiem lub polityką) zbiór reguł i zasad postępowania w zakresie zarządzania ryzykiem w odniesieniu do celów i zadań UEP; 2) ryzyko możliwość zaistnienia zdarzenia, które będzie miało wpływ na osiągnięcie założonych celów i realizację zadań UEP; 3) akceptowany poziom ryzyka poziom ryzyka, który właściciel ryzyka gotowy jest przyjąć bez dodatkowych działań zaradczych lub zmian w istniejących mechanizmach kontrolnych; 4) jednostka organizacyjna komórka organizacyjna i samodzielne stanowisko pracy w administracji UEP objęte regulaminem organizacyjnym administracji UEP oraz pozostałe jednostki organizacyjne wymienione w statucie UEP; 5) mechanizmy kontrolne w szczególności podejmowane czynności lub działania, a także procedury, instrukcje i zasady, służące zapewnieniu osiągnięcia celów i realizacji zadań UEP, ograniczeniu wystąpienia ryzyka nieosiągnięcia celów i niewykonania zadań lub zmniejszeniu jego negatywnych skutków; 6) właściciel ryzyka osoba odpowiedzialna za skuteczne zarządzanie danym ryzykiem, w tym za utrzymanie go na akceptowanym poziomie, posiadająca uprawnienia do podjęcia działań zaradczych w stosunku do obszaru działalności, którym zarządza; 7) zarządzanie ryzykiem jeden z elementów kontroli zarządczej; polega na: identyfikowaniu i ocenie ryzyka, postępowaniu z ryzykiem oraz na monitorowaniu ryzyka; 8) reakcja na ryzyko działania, które należy podjąć w celu zmniejszenia danego ryzyka do akceptowanego poziomu; 9) rejestr ryzyka zestawienie wszystkich zidentyfikowanych ryzyk, obrazujące przebieg zarządzania ryzykiem, sporządzane przez właściciela ryzyka według wzoru stanowiącego załącznik nr 1 do niniejszej polityki; 10) zbiorczy rejestr ryzyka rejestr ryzyka zawierający ryzyka kluczowe dla działalności UEP, opracowywany na podstawie rejestrów ryzyka, o których mowa w punkcie 9; 1
11) mapa ryzyka graficzna forma prezentacji istotności ryzyka, której wzór stanowi załącznik nr 2 do niniejszej polityki. 2 Cel zarządzania ryzykiem Celem zarządzania ryzykiem jest zwiększenie prawdopodobieństwa osiągnięcia celów i realizacji zadań UEP poprzez podejmowanie działań zaradczych zmierzających do zmniejszenia ryzyka do akceptowanego poziomu oraz uzyskiwanie informacji zarządczej dotyczącej ryzyk. 3 Zakres zarządzania ryzykiem 1. Polityka zarządzania ryzykiem jest stosowana we wszystkich jednostkach organizacyjnych Uczelni oraz przez wszystkich jej pracowników. 2. Zarządzanie ryzykiem odbywa się na trzech poziomach: strategicznym, operacyjnym oraz projektu. 3. Na poziomie strategicznym zarządzanie ryzykiem dokonuje się w odniesieniu do celów wynikających ze strategii UEP. 4. Na poziomie operacyjnym zarządzanie ryzykiem dokonuje się w odniesieniu do zadań realizowanych w jednostkach organizacyjnych UEP, określonych w regulacjach wewnętrznych oraz w powszechnie obowiązujących aktach prawa. 5. Na poziomie projektu zarządzanie ryzykiem dokonuje się w odniesieniu do celów projektu finansowanego ze środków europejskich, projektu badawczo-rozwojowego lub innego przedsięwzięcia realizowanego na UEP, którego głównym źródłem finansowania nie są środki UEP. 4 Odpowiedzialność za zarządzanie ryzykiem 1. Za funkcjonowanie oraz zapewnienie adekwatności, skuteczności i efektywności zarządzania ryzykiem na UEP odpowiada rektor. 2. Za zarządzanie ryzykiem, w ramach zadań i kompetencji, powierzonych lub wynikających z przepisów prawa, odpowiedzialni są właściciele ryzyka: 1) na poziomie strategicznym rektor i prorektorzy; 2) na poziomie operacyjnym dziekani, kanclerz, kierownicy jednostek organizacyjnych; 3) na poziomie projektu kierownik projektu. 2
5 Podmioty wspierające zarządzanie ryzykiem 1. Podmiotami wspierającymi zarządzanie ryzykiem na UEP są: pełnomocnik rektora ds. koordynacji kontroli zarządczej, audytor wewnętrzny i Zespół ds. Controllingu. 2. Pełnomocnik rektora ds. koordynacji kontroli zarządczej wspiera zarządzanie ryzykiem na UEP w szczególności poprzez: 1) koordynację działań w zakresie zarządzania ryzykiem; 2) opracowywanie zbiorczego rejestru ryzyka; 3) opracowywanie na potrzeby rektora dodatkowych informacji dotyczących zarządzania ryzykiem na UEP; 4) przegląd i aktualizację polityki zarządzania ryzykiem; 5) szkolenia i rozwój wiedzy pracowników z zakresu zarządzania ryzykiem. 3. Audytor wewnętrzny wspiera zarządzanie ryzykiem na UEP w szczególności poprzez: 1) identyfikację i ocenę ryzyka w ramach prowadzonego audytu wewnętrznego; 2) ocenę adekwatności, efektywności i skuteczności zarządzania ryzykiem na UEP i przyczynianie się do jego usprawnienia; 3) szkolenia i rozwój wiedzy pracowników z zakresu zarządzania ryzykiem. 4. Zespół ds. Controllingu wspiera zarządzanie ryzykiem na UEP w szczególności poprzez: 1) dostarczanie władzom Uczelni informacji do podejmowania decyzji dotyczących zidentyfikowanych ryzyk i ich oceny; 2) szkolenia i rozwój wiedzy pracowników z zakresu zarządzania ryzykiem. 5. Podmioty wymienione w ust. 1 nie mogą przejmować od właścicieli ryzyka odpowiedzialności za zarządzanie ryzykiem, w szczególności audytor wewnętrzny nie może przejmować jakichkolwiek obowiązków władz Uczelni i faktycznego zarządzania ryzykiem. 6 Identyfikacja ryzyka 1. Na każdym z poziomów wymienionych w 3 ust. 2 właściciel ryzyka dokonuje identyfikacji ryzyka, które może oddziaływać na osiągnięcie celów lub realizację zadań. 2. W identyfikacji ryzyka na poziomie strategicznym mogą uczestniczyć dziekani, kanclerz i kierownicy jednostek organizacyjnych. 3. Identyfikacja ryzyka projektu odbywa się na etapie wnioskowania i realizacji projektu. 4. Pracownicy UEP w zakresie powierzonych zadań są w szczególności zobowiązani do 3
informowania przełożonego o wszelkich zdarzeniach, które mogą doprowadzić do wystąpienia negatywnych skutków w działalności UEP, w tym o istotnych zmianach zidentyfikowanego ryzyka lub o potencjalnych nowych ryzykach. 5. Ryzyka zgłoszone przez pracowników UEP są analizowane przez właściciela ryzyka pod kątem ich istotności dla wyznaczonych celów lub zadań. 7 Ocena ryzyka 1. Ocena ryzyka na każdym z poziomów wymienionych w 3 ust. 2 obejmuje następujące etapy: 1) identyfikację istniejących mechanizmów kontrolnych ograniczających ryzyko; 2) dokonanie punktowej oceny zidentyfikowanego ryzyka poprzez dokonanie oceny oddziaływania ryzyka oraz prawdopodobieństwa jego wystąpienia; 3) dokonanie oceny istotności ryzyka poprzez obliczenie iloczynu punktowej oceny oddziaływania i punktowej oceny prawdopodobieństwa ryzyka. 2. Dokonując identyfikacji istniejących mechanizmów kontrolnych, należy określić ich skuteczność i uwzględnić ją w trakcie dokonywania oceny ryzyka. 3. Ocena oddziaływania ryzyka polega na określeniu jego wpływu na osiągnięcie celów i realizację zadań, o których mowa w 3 ust. 3-5, w sytuacji gdyby takie ryzyko wystąpiło. 4. Ocena oddziaływania ryzyka jest dokonywana poprzez nadanie oceny punktowej od 1 do 4, gdzie: 1) 1 oznacza niskie oddziaływanie; 2) 2 oznacza umiarkowane oddziaływanie; 3) 3 oznacza wysokie oddziaływanie; 4) 4 oznacza bardzo wysokie oddziaływanie. 5. Przy dokonywaniu oceny oddziaływania ryzyka należy wziąć pod uwagę potencjalne skutki finansowe oraz niefinansowe, np. utratę reputacji, konsekwencje prawne, opóźnienia, obniżenie jakości pracy itp. 6. Ocenę prawdopodobieństwa wystąpienia ryzyka dokonuje się w skali punktowej od 1 do 4, gdzie: 1) 1 oznacza niskie prawdopodobieństwo; 2) 2 oznacza umiarkowane prawdopodobieństwo; 3) 3 oznacza wysokie prawdopodobieństwo; 4) 4 oznacza bardzo wysokie prawdopodobieństwo. 7. Istotność ryzyka jest odczytywana z mapy ryzyka. 4
8. Przyjmuje się następującą skalę istotności ryzyka: 1) ryzyko niskie oznaczone na mapie ryzyka kolorem zielonym; 2) ryzyko umiarkowane oznaczone na mapie ryzyka kolorem żółtym; 3) ryzyko wysokie oznaczone na mapie ryzyka kolorem pomarańczowym; 4) ryzyko bardzo wysokie oznaczone na mapie ryzyka kolorem czerwonym. 8 Postępowanie z ryzykiem 1. Postępowanie z ryzykiem na każdym z poziomów wymienionych w 3 ust. 2 obejmuje następujące etapy: 1) określenie, czy ryzyko jest na akceptowanym poziomie; 2) wskazanie rodzaju reakcji na ryzyko w przypadku ryzyka, którego poziom jest wyższy niż akceptowany poziom; 3) wskazanie osób odpowiedzialnych za podjęcie działań oraz określenie terminu, do którego należy je podjąć. 2. Akceptowany poziom ryzyka wyznacza właściciel ryzyka z uwzględnieniem m.in. istniejących mechanizmów kontrolnych, przepisów prawa, wysokości kosztów ograniczenia danego ryzyka, możliwości wpływu na ryzyko. 3. W zależności od istotności ryzyka przyjmuje się następujące zasady postępowania: 1) ryzyko niskie stanowi najniższe zagrożenie, można rozważyć jego akceptację; 2) ryzyko umiarkowane należy je monitorować i rozważyć wskazanie rodzaju reakcji na ryzyko, biorąc pod uwagę związane z nią koszty; 3) ryzyko wysokie wymaga wskazania odpowiedniego rodzaju reakcji na ryzyko oraz monitorowania; 4) ryzyko bardzo wysokie nie może być akceptowane, wymaga natychmiastowego wskazania rodzaju reakcji na ryzyko oraz ciągłego monitorowania. 4. Wyróżnia się następujące rodzaje reakcji na ryzyko: 1) działanie wdrożenie lub wzmocnienie mechanizmów kontrolnych, które pozwolą na zmniejszenie ryzyka do akceptowanego poziomu; 2) przeniesienie przeniesienie ryzyka na podmiot zewnętrzny; 3) wycofanie się zaniechanie działań wiążących się ze zbyt wysokim ryzykiem; 4) tolerowanie rezygnacja z wdrożenia lub wzmocnienia mechanizmów kontrolnych w przypadku, gdy koszty tych działań mogą przekroczyć przewidywane korzyści. 5. Decyzję o rodzaju reakcji na ryzyko, podjęciu określonych działań, osobach odpowiedzialnych oraz terminie ich podjęcia podejmuje, w granicach powierzonych kompetencji, właściciel ryzyka. 5
9 Monitorowanie ryzyka 1. Monitorowanie ryzyka jest dokonywane systematycznie przez właściciela ryzyka. 2. Przynajmniej raz w roku należy dokonać przeglądu ryzyk w celu wykazania: 1) czy ryzyko nadal występuje; 2) czy pojawiło się nowe ryzyko; 3) czy istotność ryzyka uległa zmianie; 4) czy wdrożone mechanizmy kontrolne są skuteczne. 10 Dokumentowanie zarządzania ryzykiem 1. Zarządzanie ryzykiem na każdym etapie jest dokumentowane przez właściciela ryzyka lub wyznaczoną przez niego osobę poprzez sporządzanie: 1) rejestru ryzyka; 2) mapy ryzyka. 2. Dokumenty wymienione w ust. 1 należy aktualizować przynajmniej raz w roku. 3. Dokumenty wymienione w ust. 1 są sporządzane w wersji elektronicznej i w dwóch egzemplarzach w wersji papierowej, z czego: 1) jeden egzemplarz jest przechowywany przez właściciela ryzyka; 2) drugi egzemplarz oraz wersja elektroniczna są przekazywane pełnomocnikowi rektora ds. koordynacji kontroli zarządczej do dnia 15 stycznia każdego roku. 4. Pełnomocnik rektora ds. koordynacji kontroli zarządczej opracowuje zbiorczy rejestr ryzyka, który jest przekazywany rektorowi do akceptacji. 11 Aktualizacja polityki zarządzania ryzykiem Polityka zarządzania ryzykiem podlega corocznemu przeglądowi pod kątem skuteczności zarządzania ryzykiem na UEP w celu jej ewentualnej aktualizacji. 6