- procedurę zarządzania ryzykiem w Ośrodku Pomocy Społecznej w Sandomierzu

Podobne dokumenty
ZARZĄDZENIE NR WÓJTA GMINY DOBROMIERZ. z dnia 10 wrzesień 2014 r.

3 Wykonanie zarządzenia powierza się przewodniczącemu grupy ds ryzyka

Procedury zarządzania ryzykiem w Zespole Szkolno-Przedszkolnym

ZARZĄDZENIE NR Or BURMISTRZA MIASTA SANDOMIERZA. w sprawie zarządzania ryzykiem w Urzędzie Miejskim w Sandomierzu.

LWKZ Zarządzenie nr 4/2017

Procedura zarządzania ryzykiem w Urzędzie Miejskim w Radomiu

REGULAMIN REGULUJĄCY SPOSÓB ZARZĄDZANIA RYZYKIEM

ZARZĄDZENIE NR 44/2013 BURMISTRZA MIASTA-GMINY STRYKÓW. z dnia 7 czerwca 2013 r. w sprawie zarządzanie ryzykiem

Zarządzenie nr 116/2012 Burmistrza Karczewa z dnia 21 sierpnia 2012 roku

Zarządzenie Nr 87/2011 Burmistrza Miasta i Gminy Prabuty z dnia r.

Właściwe środowisko wewnętrzne w sposób zasadniczy wpływa na jakość kontroli zarządczej.

Zarządzenie Nr 43/2010/2011 Rektora Akademii Wychowania Fizycznego Józefa Piłsudskiego w Warszawie z dnia 6 lipca 2011r.

Regulamin zarządzania ryzykiem. Założenia ogólne

Dyrektora Gminnego Zespołu Szkół w Ozimku

3 Wykonanie zarządzenia powierzam Sekretarzowi Gminy Pszczółki. Zarządzenie wchodzi w życie z dniem podjęcia

Wytyczne do systemu zarządzania ryzykiem w Urzędzie Miejskim w Złotowie i jednostkach organizacyjnych Gminy Miasto Złotów

Procedura zarządzania ryzykiem w Urzędzie Miejskim w Radomiu

Procedura zarządzania ryzykiem w Urzędzie Gminy Damasławek

Zarządzenie nr 9a / 2011 Dyrektora Domu Pomocy Społecznej Betania" w Lublinie z dnia roku

Procedura zarządzania ryzykiem w Urzędzie Miejskim w Radomiu

ZARZĄDZENIE NR B-0151/224/10 BURMISTRZA MIASTA BIERUNIA z dnia r.

Karta identyfikacji, szacowania i zarządzania ryzykiem Skład zespołu identyfikującego ryzyko

Zarządzenie Nr 18/2011 Rektora Państwowej Wyższej Szkoły Zawodowej w Koninie z dnia 29 marca 2011 r.

Procedura zarządzania ryzykiem w Państwowej WyŜszej Szkole Zawodowej w Elblągu

PROCEDURA Zarządzania ryzykiem w Miejskim Zespole Gospodarki Lokalowej i Administracji w Knurowie

Zarządzenie Nr 7/UM/2019 Prezydenta Miasta Konina z dnia 26 lutego 2019 roku. w sprawie zarządzania ryzykiem w Urzędzie Miejskim w Koninie

Rektora Państwowej Wyższej Szkoły Zawodowej w Tarnowie z dnia 30 grudnia 2013 roku

Procedura zarządzania. w Sępólnie Krajeńskim z siedzibą w Więcborku;

ZASADY ZARZĄDZANIA W URZĘDZIE MIASTA I GMINY W KAZIMIERZY WIELKIEJ

ZARZĄDZENIE NR 19/2011/2012 DYREKTORA PRZEDSZKOLA KRÓLA Maciusia I w Komornikach z dnia w sprawie przyjęcia regulaminu kontroli zarządczej

Zarządzenie nr Burmistrza Radzymina. z dnia 29 grudnia 2017

Zarządzenie wewnętrzne Nr 19/2013 Burmistrza Miasta Środa Wielkopolska z dnia 26 września 2013 r.

ZARZĄDZENIE NR 483/14 PREZYDENTA MIASTA ZDUŃSKA WOLA z dnia 22 grudnia 2014 r.

Zarządzenie Nr 38/2015 Wójta Gminy Michałowice z dnia 24 lutego 2015 roku w sprawie ustalenia wytycznych kontroli zarządczej.

Instrukcja zarządzania ryzykiem

Polityka zarządzania ryzykiem

S Y S T E M K O N T R O L I Z A R Z Ą D C Z E J W U NI WE RSYTECIE JANA KO CHANOWS KIE GO W KIE LCACH

Zarządzenie Nr 1901/2012

Regulamin organizacji i zasad funkcjonowania kontroli zarządczej w Powiatowym Urzędzie Pracy w Tarnobrzegu

POLITYKA ZARZĄDZANIA RYZYKIEM ROZDZIAŁ I. Postanowienia ogólne

Zarządzenie Nr 7/2014 Prezydenta Miasta Konina z dnia 6 marca 2014 roku

ANKIETA dla kadry kierowniczej samoocena systemu kontroli zarządczej za rok

ZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku

Zarządzenie Nr 17/2016 Dyrektora Zarządu Dróg Miejskich w Koninie z dnia 11 maja 2016 roku

ZASADY ZARZĄDZANIA RYZYKIEM. Rozdział I Postanowienia ogólne

S Y S T E M KO N T R O L I Z A R Z Ą D C Z E J PRZEDSZKOLA NR 8 W SKIERNIEWICACH

REGULAMIN FUNKCJONOWANIA KONTROLI ZARZADCZEJ W POWIATOWYM URZĘDZIE PRACY W GIśYCKU. Postanowienia ogólne

Zarządzenie Nr 508 / 2016 Prezydenta Miasta Kalisza z dnia 9 września 2016 r.

Plan realizacji celów głównych i zadań... w roku...

ZARZĄDZENIE Nr 128/2012 BURMISTRZA ŻNINA. z dnia 25 września 2012 r.

Przedszkole Nr 30 - Śródmieście

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów

Polityka zarządzania ryzykiem w Uniwersytecie Mikołaja Kopernika w Toruniu

Wstęp 1. Misja i cele Zespołu Szkół Integracyjnych w Siemianowicach Śląskich 2

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 IM. ŚW. WOJCIECHA W KRAKOWIE

KONTROLA ZARZĄDCZA. Ustawa z dnia 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych (Dz. U. z 2013 r. poz.

ZARZĄDZENIE NR 125/2014 WÓJTA GMINY WERBKOWICE. z dnia 9 października 2014 r.

SKZ System Kontroli Zarządczej

ZARZĄDZENIE Nr 14 /2013. w sprawie przeprowadzenia samooceny kontroli zarządczej

Procedura zarządzania ryzykiem w Sądzie Okręgowym w Białymstoku

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin akceptowalny poziom ryzyka

ZARZĄDZENIE Nr BO BURMISTRZA OZIMKA. z dnia 8 listopada 2012

REGULAMIN KONTROLI ZARZĄDCZEJ W ZESPOLE SZKÓŁ Nr 3 W PŁOŃSKU

Zarządzenie Nr 1486/2015 Prezydenta Miasta Płocka z dnia 22 grudnia 2015 r.

KWESTIONARIUSZ SAMOOCENY SYSTEMU KONTROLI ZARZĄDCZEJ ZA ROK..

Załącznik nr 4 do Zarządzenia Dyrektora nr 15/2010 z dnia 8 marca 2010 r.

Polityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu. Definicje

W celu skutecznego zarządzania ryzykiem, wprowadzam zasady zarządzania ryzykiem w PWSZ w Ciechanowie.

Zarządzenie nr 28/2014 z dnia 21 października 2014 roku Dyrektora Młodzieżowego Ośrodka Wychowawczego w Jaworku

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 W KROŚNIE ODRZAŃSKIM

Polityka kontroli zarządczej w Bibliotece Publicznej im. Jana Pawła II w Dzielnicy Rembertów m.st. Warszawy

POLITYKA ZARZĄDZANIA RYZYKIEM

Zarządzenie Nr 96/2012 Burmistrza Karczewa z dnia 29 czerwca 2012 roku

publicznych (Dz. U. z 2009r. Nr 157, poz. 1240) wprowadza się w Szkole

Kryteria oceny Systemu Kontroli Zarządczej

Regulamin Kontroli Zarządczej Centrum Kształcenia Praktycznego w Toruniu

Kwestionarisz samooceny

POLITYKA ZARZĄDZANIA RYZYKIEM W MIEJSKO-GMINNYM OŚRODKU KULTURY SPORTU I REKREACJI W GNIEWKOWIE

ZARZĄDZENIE NR 1/2016 WÓJTA GMINY CZERNIKOWO z dnia 4 stycznia 2016r.

SYSTEM ZARZĄDZANIA RYZYKIEM W DZIAŁALNOŚCI POLITECHNIKI WARSZAWSKIEJ FILII w PŁOCKU

Regulamin kontroli zarządczej w Gminnym Ośrodku Kultury

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin

ZARZĄDZENIE NR 1/2016 STAROSTY POLKOWICKIEGO. z dnia 11 stycznia 2016 r.

ZARZĄDZENIE Nr 33/14 PROKURATORA GENERALNEGO

Zasady analizy ryzyka w Urzędzie Miasta Leszna

POLITYKA ZARZĄDZANIA RYZYKIEM

P O L I T Y K A ZARZĄDZANIA RYZYKIEM W KURATORIUM OŚWIATY W WARSZAWIE. Rozdział I TERMINY I DEFINICJE

Rozdział I Postanowienia ogólne

ZASADY POLITYKI ZARZĄDZANIA RYZYKIEM W AKADEMII PEDAGOGIKI SPECJALNEJ IM. MARII GRZEGORZEWSKIEJ.

Z A R Z Ą D Z E N I E Nr 3/2011

I. Postanowienia ogólne.

Regulamin Kontroli Zarządczej

Zasady monitorowania i dokonywania samooceny systemu kontroli zarządczej oraz udzielania zapewnienia o stanie kontroli zarządczej

5 Wykonanie zarządzenia powierza się Sekretarzowi Gminy. Zarządzenie wchodzi w życie z dniem podpisania.

Standardy kontroli zarządczej

Zarządzenie Nr 15/2015 Burmistrza Miasta Łańcuta z dnia 21 stycznia 2015 r.

Kontrola zarządcza stanowi ogół działań podejmowanych dla zapewnienia realizacji celów w sposób zgodny z prawem, efektywny, oszczędny i terminowy.

Zarządzanie ryzykiem w rozwiązaniach prawnych. by Antoni Jeżowski, 2014

Zarządzenie Nr 33/2011 zmieniające zarządzenie nr 23/2010 z dnia

Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem

Transkrypt:

Zarządzenie Nr 0152/ 79/11 Dyrektora Ośrodka Pomocy Społecznej z dnia22.12.2011 w sprawie wprowadzenia Polityki zarządzania ryzykiem i procedury ramowej określającej sposób identyfikacji, oceny i zarządzania ryzykiem w Ośrodku Pomocy Społecznej w Sandomierzu Na podstawie art. 68 ustawy z dnia 27.08.2009 o finansach publicznych (Dz. U. Nr 157 poz. 1240) oraz Komunikatu Nr 23 Ministra finansów z dnia 16.12.2009 w sprawie standardów kontroli zarządczej dla sektora finansów publicznych (Dz. Urz. MF Nr 15 poz. 84 ) zarządzam, co następuje: 1 Wprowadza się do stosowania przez wszystkich pracowników Ośrodka Pomocy Społecznej w Sandomierzu: -Politykę zarządzania ryzykiem, stanowiącą załącznik Nr 1 do zarządzenia -Procedurę zarządzania ryzykiem w Ośrodku Pomocy Społecznej w Sandomierzu stanowiącą załącznik Nr 2 do zarządzenia 2 Z dniem wejścia zarządzenia uchyla się: - procedurę zarządzania ryzykiem w Ośrodku Pomocy Społecznej w Sandomierzu wprowadzonej zarządzeniem Nr OPS0152/14/10 w sprawie wprowadzenia procedury zarządzania ryzykiem w Ośrodku Pomocy Społecznej w Sandomierzu zmienionym zarządzeniem Nr OPS 0152/54/2010 z dnia 20.10.2010 oraz zarządzeniem Nr 0152/70/2010 z dnia 29.12.2010, zarządzeniem Nr OPS 0152/13/2011 z dnia 17.02.2011, tekst jednolity zarządzenie Nr OPS 0152.50/11 z dnia 24.08.2011 r. - zarządzenie Nr OPS 0152/21/2010 w sprawie ustalania sposobu monitorowania i dokonywania przeglądów wewnętrznych w ramach kontroli zarządczej zmienionym zarządzeniem Nr 0152/71/2010 oraz zarządzeniem Nr OPS 0152/12/2011 z dnia 17.02.2011 3 Wykonanie zarządzenia powierza się przewodniczącemu grupy ds ryzyka, kierownikom komórek wewnętrznych i Głównemu księgowemu 4 Zarządzenie wchodzi w życie z dniem podpisania.

PROCEDURA ZARZĄDZANIA RYZYKIEM W OŚRODKU POMOCY SPOŁECZNEJ W SANDOMIERZU ROZDZIAŁ PIERWSZY. POSTANOWIENIA OGÓLNE. 1 Procedura określa sposób analizy, identyfikacji, hierarchizacji i zarządzania ryzykiem operacyjnym w Ośrodku Pomocy Społecznej w Sandomierzu. Proces zarządzania ryzykiem składa się z następujących etapów: 1. ; 2. ; 3. Analiza; 4. Ocena ryzyka; 5. Hierarchizacja ryzyka; 6. Zarządzanie. 2 Niniejsza procedura powstała w oparciu o: 1. Statut Ośrodka Pomocy Społecznej 2. Standardy Ministra Finansów - komunikat Nr 23 z 19.12.2009 r. 3. Ustawę z dnia 27.08.2009 o finansach publicznych 3 Ilekroć w niniejszej procedurze mowa o : - Dyrektorze -należy przez to rozumieć Dyrektora Ośrodka Pomocy Społecznej w Sandomierzu; - pracownikach- pracownicy Ośrodka Pomocy Społecznej w Sandomierzu; - Ośrodku-Ośrodek Pomocy Społecznej w Sandomierzu; - Sekcji należy rozumieć wymienioną w Regulaminie jednostkę organizacyjną lub inną równoważną, dla której ustalono inna nazwę; - kierownictwie wyższego stopnia- kierowników sekcji; - akceptowanym poziomie ryzyka- wielkości ryzyka oraz jego skutków jakie Ośrodek jest gotowy zaakceptować - Czynnikach ryzyka- okolicznościach, które mogą wywołać ryzyko wystąpienia nieprawidłowości - mechanizmach kontrolnych pisemne instrumenty ( procedury, instrukcje, upoważnienia, dokumenty i inne) wprowadzone w Ośrodku w celu ograniczenia prawdopodobieństwa wystąpienia ryzyka lub służące zniwelowaniu skutków zaistniałej nieprawidłowości - Obszarze ryzyka- obszar, w którym występują istotne z punktu widzenia Ośrodki czynniki ryzyka - analizie ryzyka ocena ryzyka pod kątem możliwych skutków jego oddziaływania oraz prawdopodobieństwa jego wystąpienia - ryzyku prawdopodobieństwo wystąpienia zdarzeń (pozytywnych i negatywnych) które mogą mieć wpływ na osiągnięcie zamierzonych celów jednostki lub powodują odchylenia od oczekiwanych stanów 4

1. Zarządzanie ryzykiem polega na podejmowaniu działań zmierzających do obniżenia poziomu ryzyka do poziomu akceptowalnego. Zarządzenie ryzykiem obejmuje identyfikacje i ocenę ryzyka oraz reagowanie na nie. 2. Celem zarządzania ryzykiem jest w szczególności : a) usprawnienie efektywności zarządzania Ośrodkiem b) lepsze wykorzystanie zasobów finansowych i ludzkich c) zabieganie stratom finansowym d) ograniczenie możliwości niepowodzenia realizowanych w Ośrodku przedsięwzięć i projektów e) wdrażanie mechanizmów kontrolnych proporcjonalnie do występującego ryzyka f) rozpoznawanie obszarów nadmiernie kontrolowanych 3. Zarządzanie ryzykiem w Ośrodku obejmuje etapy : a) identyfikację ryzyka, które może oddziaływać na realizację celów oraz zadań Ośrodka b) ocenę istniejących środków wykorzystywanych do utrzymania ryzyka pod kontrolą c) analizę i hierarchizację ryzyka wg oddziaływania i prawdopodobieństwa wystąpienia ryzyka d) określenie sposobu postępowania z ryzykiem nie akceptowalnym, a w tym określenie środków zaradczych i mechanizmów kontrolnych e) wskazanie osób z kierownictwa odpowiedzialnych za podjęcie działań zaradczych oraz ustalenie daty od której należy podjąć działanie f) monitorowanie i składanie raportów dot. postępów w tej dziedzinie. ROZDZIAŁ DRUGI. ZADANIA I OBOWIĄZKI PRACOWNIKÓW W ZAKRESIE ZARZADZNAIA RYZYKIEM 5 1. Za wdrożenie systemu zarządzania ryzykiem odpowiedzialny jest Dyrektor. 2. Dla potrzeb zarządzania ryzykiem w Ośrodku Pomocy Społecznej w Sandomierzu tworzy się grupę ds zarządzania ryzykiem. Skład grupy określa dyrektor Ośrodka w drodze zarządzenia wewnętrznego. 4. Do zadań grupy ds zarządzania ryzykiem należy : a) opracowanie i nadzór nad realizacją harmonogramu zadań i wdrożenia kontroli zarządczej, wg załącznika Nr 8 do procedury b) oceny kompleksowości i skuteczności podjętych działań w ramach systemu zarządzania ryzykiem c) opracowanie kategorii ryzyka występującego w Ośrodku d) weryfikacja otrzymanych od kierowników komórek organizacyjnych Kwestionariuszy zarządzania ryzykiem w tym analiza zidentyfikowanych ryzyk, e) przeprowadzenie analizy ryzyka, sporządzenie matrycy punktowej analizy ryzyka f) ułatwienie podejmowania inicjatyw z zakresu zarządzania ryzykiem oraz ich przegląd na poziomie komórek wewnętrznych i całej organizacji g) składanie raportów dot. inicjatyw i czynności z zakresu zarządzania ryzykiem oraz ich wyników; h) podnoszenie świadomości problematyki zarządzania ryzykiem; i) sporządzenie rejestru ryzyk oraz monitorowanie ryzyk o największej wartości j) przeprowadzanie okresowych przeglądów i aktualizacji rejestru ryzyk i matrycy punktowej analizy ryzyka

Regulamin prac grupy ds. zarządzania ryzykiem stanowi załącznik Nr 1 do procedury. 5. Członkowie grupy składają na I spotkaniu deklarację wg wzoru stanowiącego załącznik Nr 2 do procedury. 6 1. Za realizację obowiązków związanych z zarządzaniem ryzykiem na poziomie operacyjnym odpowiedzialni są kierownicy komórek organizacyjnych Ośrodka. 2. Obowiązki kierowników komórek obejmują w szczególności : - określenie celów i zadań realizowanych przez nadzorowane komórki wewnętrzne, - identyfikację czynników ryzyka oraz analizę ryzyka na poziomie operacyjnym w stosunku do zadań i celów komórki organizacyjnej - podjęcie działań w celu zmieniejszenia ryzyka do poziomu akceptowalnego - monitoring poziomu ryzyka operacyjnego - monitoring funkcjonowania mechanizmów kontrolnych - projektowanie działań zaradczych w zakresie swojego obszaru działalności - zgłaszanie Dyrektorowi lub przewodniczącemu grupy ds zarządzania ryzykiem propozycji wdrożenia środków zaradczych, które przyczynią się do ograniczenia ryzyka do poziomu akceptowalnego 3. Zgłoszenie czynnika ryzyka następuje poprzez wypełnienie arkusza Zgłoszenia stanowiącego załącznik Nr 3 do procedury 4. Kierownicy komórek wewnętrznych przekazują przewodniczącemu grupy ds zarządzania ryzykiem, w terminie do końca danego roku, czynniki ryzyka jakie mogą wystąpić przy realizacji zadań i celów w kolejnym roku kalendarzowym w tym zestawienie zadań wrażliwych ROZDZIAŁ TRZECI. IDENTYFIKACJA I ANALIZA RYZYKA 1. Materiałami wejściowymi do identyfikacji ryzyka są: 7 procedury zarządzania ryzykiem będący efektem zarządzania ryzykiem w latach poprzednich, rezultaty procesów planowania pracy Ośrodka do których należą: plan pracy, statut Ośrodka, przepisy prawa, zadania do realizacji, zidentyfikowane zagrożenia i ograniczenia, cele strategiczne dane historyczne dotyczące wcześniejszych realizacji zadań ustalenia kontroli zewnętrznych i audytu doświadczenia i prognozy na przyszłość 2. Metoda identyfikacji ryzyka niezależnie od poziomu ryzyka, jest spójna w całym Ośrodku

3. Identyfikacja ryzyka prowadzona jest w sposób planowy i systematyczny, nie rzadziej niż raz w roku. 4. Proces identyfikacji ryzyka jest dokumentowany. 5. Identyfikacja ryzyka przeprowadzana jest przez kierowników sekcji i komórek wewnętrznych na podstawie kwestionariusza pytań. 6.Kwestionariusz każdorazowo przez użyciem jest aktualizowany przez grupę ds. ryzyka i potwierdzana jest jego aktualność i zasięg oddziaływania 7. Podczas identyfikacji ryzyka stosowana jest kategoryzacja ryzyka. 8. Ustala się następujące kategorie (obszary) ryzyka: a) ryzyko finansowe, b) ryzyko dotyczące zasobów ludzkich, c) ryzyko procesu zarządzania jednostką d) ryzyko dotyczace systemów informatycznych e) ryzyko zewnętrzne. 9. Przykłady ryzyka występującego w ramach poszczególnych kategorii (obszarów) określa załącznik nr 10 do niniejszego zarządzenia. 10. Identyfikacja ryzyka dotyczy także systemów informatycznych oraz korzyści i szans, których Ośrodek może nie wykorzystać. Identyfikuje się ryzyko dotyczące całej jednostki jak i ryzyko odnoszące się do każdego istotnego obszaru działalności czy programu. Przykładowy kwestionariusz identyfikacji ryzyka stanowi załącznik Nr 4 do procedury. 11. Na podstawie kwestionariusza identyfikacji ryzyka kierownicy określają sposób jego oddziaływania na realizację celów i zadań wg wzoru określonego w załączniku Nr 3 do procedury. 8 1. Grupa ds zarządzania ryzykiem dokonuje weryfikacji otrzymanych od kierowników komórek kwestionariuszy zarządzania ryzykiem, dokonuje analizy zidentyfikowanych ryzyk i reakcji na ryzyko, ocenę adekwatności reakcji na ryzyko i dokonuje analizy zidentyfikowanych ryzyk w oparciu o delficka metodę analizy ryzyka lub metodę punktową. Metody mogą być stosowane łącznie Szczegółową procedurę przeprowadzania analizy delfickiej określa załącznik Nr 5 do procedury. 2. Każde zidentyfikowane ryzyko podlega analizie pod kątem jego wpływu na osiąganie przez Ośrodek założonych celów i prawdopodobieństwa tego ryzyka. Przy ocenie prawdopodobieństwa zdarzenia należy wziąć pod uwagę istniejące mechanizmy kontrolne, ich skuteczność i poziom wdrożenia. 3. Prawdopodobieństwo wystąpienia ryzyka oznacza się jako rzadkie, mało prawdopodobne, średnie, prawdopodobne i prawie pewne. 4. Przy ocenie skutków należy wziąć pod uwagę zarówno skutki finansowe jak również nie finansowe. Skutki i wpływ oddziaływania oznacza się jako nieznaczny, mały, średni, poważny, katastrofalny 9

1. Punktowe wartości oceny ryzyka ze względu na prawdopodobieństwo jego wystąpienia oraz skutek zawiera poniżej tabela: ocena ryzyka wg delfickiej analizy ryzyka % ODDZIAŁYWANIE- WPŁYW NA DZIAŁALNOŚĆ OŚRODKA, SKUTEK wartość punktowa nazwa PRAWDOPODOBIEŃSTWO WYSTAPIENIA wartość punktowa nazwa opis 10-20 1 nieznaczny 1 rzadkie nie istnieją uzasadnione powody by sadzić, ze zdarzenie objęte ryzykiem zdarzy się w ciągu roku. Na podstawie danych historycznych zdarzenie wystąpiło 1 raz na 5 lat. Nie wypływa na reputację Ośrodka 20-40 2 mały 2 mało prawdopodobne nie istnieją uzasadnione powody by sadzić, ze zdarzenie objęte ryzykiem zdarzy się w ciągu roku. Na podstawie danych historycznych zdarzenie wystąpiło 1 raz na 3 lat 41-60 3 średni 3 średnie istnieją uzasadnione powody by sądzić, że zdarzenie objęte ryzykiem zdarzy się w ciągu roku lub nie zdarzy się w ciągu roku 61-80 4 poważny 4 prawdopodobne istnieją uzasadnione powody by sadzić, że zdarzenie objęte ryzykiem zdarzy się kilkakrotnie w ciągu roku 81-100 5 katastrofalny 5 prawie pewne istnieją uzasadnione powody by sadzić, że zdarzenie objęte ryzykiem zdarzy się wielokrotnie w ciągu roku Tabela 1. Punktowe odniesienie prawdopodobieństwa wystąpienia i wpływu ryzyka na działalność Ośrodka do analizy ryzyka metodą delficką. 2. Do określenia skutku ( straty, wpływu) wystąpienia ryzyka na realizację zadań należy stosować następujące definicje: Wpływ waga wpływu Kryteria finansowe organizacyjne ochrona zdrowia i bezpieczeństwo reputacja nieznaczny 1 strata finansowa mniej niż 100 zł. krótkotrwałe zakłócenia działalności powodujący opóźnienie wykonaniu zadań w niewielkie obrażenia, (otarcia) nie występują informacje w mediach lokalnych lub regionalnych. Nie wpływa na reputację Ośrodka mały 2 strata finansowa pomiędzy 100 a 1000 zł. niewielkie zakłócenia działalności w niewielkie obrażenia, obtarcia ubogie informacje w mediach lokalnych lub regionalnych średni 3 strata finansowa 1.000-10.000 zakłócenia działalności mający wpływ na pewne obrażenia pewne informacje w mediach lokalnych lub regionalnych

efektywność działania, jakosć zadań poważny 4 strata finansowa 10.000-100.000 Brak realizacji kluczowego celu cięzki uszczerbek zdrowiu, obrażenia na pewne informacje w mediach ogólnokrajowych katastrofalny 5 strata finansowa powyżej 100.000 brak realizacji kluczowych celów utrata życia doniesienia prasowe w całym kraju Tabela 2. Tabela punktowa oddziaływania skutku 10 1. Pomiar ryzyka jest dokonywany metodą jakościową i ilościową 2. Ryzyko poddane ocenie pod katem wpływu na osiągania przez Ośrodek założonych celów oraz prawdopodobieństwa wystąpienia podlega ocenie pod katem istotności. 2. Istotność ryzyka oznacza się jako iloraz punktów skutków i prawdopodobieństwa jego wystąpienia i określa się : - ryzyko niewielkie - jest to ryzyko akceptowalne. zaakceptowanie ryzyka nie wyklucza konieczności jego monitorowania. Ryzyko niewielkie występuje wówczas gdy iloczyn wartości punktowej skutku i przyczyny waha się pomiędzy 1a 9 - ryzyko średnie - wymaga rozważenia potrzeby wdrożenia działań zaradczych. Średnie ryzyko może zostać zaakceptowane, jeśli koszty wdrożenia działań zaradczych zapobiegania ryzyku są zbyt wysokie. Ryzyko średnie to ryzyko pomiędzy 1 0 a 12 wartości punktowej iloczynu skutku i przyczyny - ryzyko wysokie mieści się pomiędzy 15 a 25 wartości punktowych i wymaga wprowadzenia działań zaradczych, w tym modyfikacji lub uzupełniania mechanizmów kontroli, które ograniczą prawdopodobieństwo wystąpienia ryzyka. Decyzję o tolerowaniu ryzyka wysokiego może podjąć wyłącznie dyrektor Ośrodka 3. Akceptowanym poziomem ryzyka w Ośrodku jest ryzyko niewielkie. ROZDZIAŁ CZWARTY. ZARZĄDZANIE RYZYKIEM 11 1. Kierownicy komórek wewnętrznych są zobowiązani do monitorowania wystąpienia czynników mogących doprowadzić do wystąpienia ryzyka. 2. W przypadku wystąpienia nowych zdarzeń mających wpływ na realizację celów lub wyodrębnienia nowych zadań wrażliwych, kierownicy informują niezwłocznie o powyższym fakcie Przewodniczącego grupy ds. zarządzania ryzykiem przedkładając kwestionariusz zarządzania ryzykiem. 3. Analizę, Hierarchizację nowo wyodrębnionego ryzyka przeprowadza się w sposób określony w niniejszej procedurze w terminie do 30 dni od dnia przedłożenia przez kierownika komórki wewnętrznej zgłoszenia zdarzenia/ zadania/ nowego ryzyka. 12 W Ośrodku przyjmuje się następujące sposoby postępowania z ryzykiem : a) przeniesienie na inną instytucję, np. poprzez ubezpieczenie, b) tolerowanie ryzyka- w przypadku gdy istnieją określone trudności w przeciwdziałaniu ryzykom, a także gdy koszty podjętych działań mogą przekroczyć przewidywane korzyści.

c) przeciwdziałanie- działania pozwalające na ograniczenie ryzyka do akceptowalnego poziomu, np. dzięki wzmocnieniu mechanizmów kontroli wewnętrznej (poprzez procedury, wytyczne, zasady, nadzór itd.) wbudowanych w realizowane procesy. d) przesunięcie w czasie (wycofanie)- zawieszenie, jeśli to możliwe, działań rodzących zbyt duże ryzyko. 13 1. Ogólnymi mechanizmami kontrolnymi obniżającymi poziom ryzyka są w szczególności : a) regulacje prawne, takie jak ustawy rozporządzenia b) dokumentowanie systemu kontroli zarządczej c) procedury wewnętrzne d) kontrola funkcjonalna e) uzgadnianie stanowisk i danych f) zabezpieczenia teleinformatyczne g)ochrona danych osobowych h) zabezpieczenia fizyczne i) ubezpieczenia 2. Kierownicy sekcji określają działania, które należy podając w celu zmniejszenia danego ryzyka do akceptowalnego poziomu. 14 1. Kierownicy komórek wewnętrznych przedkładają do grupy ds. zarządzania ryzykiem sposób monitorowania wyodrębnianych ryzyk za I półrocze do dnia 10 lipca każdego roku oraz sprawozdanie roczne do dnia 20 stycznia kolejnego roku za rok poprzedni. 2. Dokumentację dotycząca ryzyka, jego analizy, hierarchizacji prowadzi Przewodniczący ds grupy ryzyka. 3. Dokumentację dotyczącą Polityki Zarządzania Ryzykiem, procedur zarządzania ryzykiem aktualizuje grupa ds zarządzania ryzykiem nie rzadziej niż raz na 6 miesięcy na podstawie sprawozdań kierowników komórek wewnętrznych. Ocenę kompleksowości i skuteczności podjętych działań w ramach systemu zarządzania ryzykiem grupa dokonuje na podstawie listy kontrolnej. Wzór listy kontrolnej określa załącznik Nr 9 do procedury 4. Grupa ds zarządzania ryzykiem przedkłada Dyrektorowi sprawozdania z realizacji Polityki zarządzania ryzykiem w odstępach półrocznych. 5. Monitorowanie zarządzania ryzykiem w Ośrodku jest procesem ciągłym realizowanym przez kierowników sekcji. ROZDZIAŁ PIATY. POSTANOWIENIA KOŃCOWE. 15 Procedura obowiązuje wszystkich pracowników Ośrodka. 16

Systemy zarządzania ryzykiem ustalone przez kierowników sekcji mogą określać inne zagrożenia i sposób kontrolowania poprzez uzupełnienia bieżących wytycznych jednak nie mogą pozostawać w sprzeczności z niniejszą procedurą. Załącznik Nr 1 do procedury zarządzania ryzykiem REGULAMIN PRACY GRUPY DS. ZARZĄDZANIA RYZYKIEM 1. W skład grupy ds. zarządzania ryzykiem wchodzą kierownicy sekcji i komórek wewnętrznych Ośrodka oraz inni pracownicy Ośrodka posiadający wiedzę z zakresu realizowanych zadań. 2. W skład grupy wchodzi od 3 do 5 osób. Imienny skład grupy określany jest corocznie przez Dyrektora Ośrodka w drodze zarządzenia wewnętrznego. 3. Pierwsze spotkanie grupy ds zarządzania ryzykiem odbywa się niezwłocznie po ogłoszeniu zarządzenia, nie później niż w okresie 1 miesiąca od daty opublikowania zarządzenia. Pierwsze posiedzenie grupy organizuje dotychczasowy przewodniczący grupy ds zarządzania ryzykiem. W pierwszym spotkaniu udział biorą dotychczasowi członkowie grupy ds ryzyka oraz nowopowołani członkowie grupy ds zarządzania ryzykiem. 4. Na pierwszym posiedzeniu grupy członkowie wybierają składają deklarację wg wzoru określonego w załączniku Nr 2 do procedury zapoznają się z danymi archiwalnymi dot. zarządzania ryzykiem, i ustalają harmonogram roczny spotkań grupy. 5. Kolejne spotkania organizowane są przez przewodniczącego grupy zgodnie z przyjętym harmonogramem spotkań. 6. Każdorazowo o terminie i miejscu spotkania grupy ds zarządzania ryzykiem informowany jest dyrektor Ośrodka. 7. Przewodniczący grupy decyduje o konieczności zaproszenia na spotkanie kierowników sekcji, lub innych pracowników których obecność jest niezbędna do eliminacji zagrożeń związanych z ryzykiem. 8. Prace grupy ds ryzyka sa protokołowane a protokoły przekazywane do Dyrektora. 9. Do zadań grupy należy : a) Zarządzanie ryzykiem. Rozważenie czy podjęte działania są adekwatne dla osiągnięcia celów i wyników w najbardziej ekonomiczny i skuteczny sposób. Ocenę kompleksowości podjętych działań oraz ich skuteczności grupa przeprowadza w oparciu o karty kontrolne Dokonanie, we współpracy z Dyrektorem oraz kierownictwem wyższego szczebla, przeglądu sposobu, w jaki kierownictwo identyfikuje i zarządza ryzykiem oraz rodzaju reakcji podejmowanych w związku z występującym ryzykiem, w ramach pełnionych obowiązków. b) Działania kontrolne Nadzorowanie stosowności działań, oraz odbieranie i ocena wyników działań podejmowanych w celu kontroli ryzyka. Rozpatrzenie adekwatności środowiska kontroli wewnętrznej, w tym wykorzystanie rezultatów działań wewnętrznych, takich jak zarządzanie ryzykiem, oraz zewnętrznych organów kontrolnych w uzupełnieniu do działań audytu i innych organów zajmujących się zagadnieniami kontroli ryzyka. c) Reakcja kierownictwa na działania kontrolne Rozpatrzenie, wraz z Dyrektorem oraz kierownictwem wyższego szczebla, adekwatności działań podejmowanych w odpowiedzi na przedłożone zalecenia oraz sprawdzenie, bazując na zaleceniach audytorów/organów kontrolnych, czy zalecenia zostały właściwie wdrożone. d) Ciągłość działalności Coroczna ocena adekwatności planów ciągłości działania oraz planów awaryjnych. e) nadzór nad opracowaniem i realizacją harmonogramu wdrożenia kontroli zarządczej 10. Grupa ds zarządzania ryzykiem ma prawo : - przeprowadzać wewnętrzne przeglądy realizacji procedury zarządzania ryzykiem, planów rocznych - żądać do kierowników sekjci i komórek sprawozdań i raportów dotyczących sposobu zarządzania ryzykiem i realizacji planów rocznych, założonych celów.

- wnioskować do Dyrektora o nałożenie kary porządkowej za brak realizacji celów, zadań, procedur związanych z kontrolą zarządczą a w szczególności z ryzykiem. - wnioskować do kierowników sekjci i pracowników merytorycznych o usunięcie uchybień w zakresie zarządzania ryzykiem, realizacji celów i zadań 11. Grupa ds zarządzania ryzykiem ma obowiązek : - informowania kierowników sekcji o sposobie realizacji procedur związanych z zarządzaniem ryzyka - zidentyfikować, przeprowadzić analizę i dokonać oceny możliwych zagrożeń oraz ustalić mechanizmy kontrolne, sposób monitorowania ryzyka - przeprowadzać szkolenia z zakresu zarządzania ryzyka kierowników sekjci - podejmować wszelkich działań w zakresie realizacji zadań związanych z zarządzaniem ryzykiem. 12. Dyrektor może w każdym czasie dokonać zmiany składu osobowego grupy w drodze zarządzenia wewnętrznego.

Załącznik nr 2 do procedury zarządzania ryzykiem Coroczna deklaracja dot. zarządzania ryzykiem: Deklaracja złożona przez: odpowiedzialnego/ą za:... (obszar odpowiedzialności) Podpisując niniejszą deklarację, uznaję, iż: 1) Wraz ze swoimi pracownikami przestrzegamy polityki organizacji dotyczącej zarządzania ryzykiem, w zakresie, w jakim ma ona wpływ na pełnione przeze mnie obowiązki; 2) Prowadzę i dokonuję przeglądu właściwych rejestrów ryzyka i monitoruję podjęcie odpowiednich działań w celu zarządzania najważniejszymi rodzajami ryzyk, które mi przypisano; 3) Niezwłocznie podejmuję działania w celu wdrożenia uzgodnionych zaleceń Audytu Wewnętrznego i Zewnętrznego oraz raportów stron trzecich; 4) Podlegli pracownicy są aktywnie zachęcani do identyfikacji i zarządzania ryzykiem; oraz 5) Podlegli pracownicy są aktywnie zachęcani do informowania personelu kierowniczego wyższego szczebla o nowym ryzyku oraz/lub istotnych kwestiach. Podpisano.

Załącznik Nr 3 do procedury zarządzania ryzykiem. Zgłoszenie czynnika ryzyka... Sandomierz,... ( dane kierownika komórki wewnętrznej) Dyrektor Ośrodka/ Przewodniczący grupy ds zarządzania ryzykiem Cel cel i zadania komórki identyfikacja skutek jaki proponowana nadzór i strategiczny organizacyjnej ryzyka może wywołać reakcja na ryzyko monitoring ryzyko dla Ośrodka... ( podpis kierownika komórki)

Załacznik Nr 4 do procedury zarządzania ryzykiem Przykładowy kwestionariusz identyfikacji ryzyka Pytanie/ zadanie / wskaźnik Czy występuje opis ryzyka co może pójść nie tak? ryzyko ( tak, nie) SYSTEMY INFORMATYCZNE Zapewnia utrzymanie ciągłości pracy systemów informatycznych? Możliwość zatrzymania pracy systemów informatycznych Drożne kanały przepływu informacji o błędach w systemach informatycznych Sposób uzyskiwania dostępu do danych w systemach informatycznych czy procedury dot systemów informatycznych są realizowane? Czy zabezpieczenia podjęte uniemożliwiają wypływ informacji z systemów informatycznych, włamania do systemów i fałszowanie danych czy przyjęte procedury skutecznie rozwiązują system awarii sprzętu, niedopasowania systemów do bazy sprzętowej Czy wszystkie programy i systemy posiadają licencję Czy przyjęte procedury określają sposób legalizacji oprogramowania i przeciwdziałają wykorzystywaniu nielegalnego oprogramowania Czy przyjęte procedury uniemożliwiają wdrożenie zmian w oprogramowaniu i bazach danych Czy upoważniono osoby do przetwarzania danych w systemach informatycznych oraz czy przyjęte procedury uniemożliwiają dopuszczenie do przetwarzania danych w systemach osób nieupoważnionych ŻRÓDŁA ZEWNĘTRZNE Zakłócenia w dostawach energii, przerwy w łączności telefonicznej Zakłócenia w dostępie do Internetu i poczty elektronicznej Zmiana rządu, władz samorządowych Zmiany na stanowiskach istotnych dla funkcjonowania Ośrodka Częste zmiany przepisów prawa lub nowe ustawy oraz czy występują skomplikowane i niejasne przepisy lub brak regulacji prawnych katastrofa ekologiczna, protesty społeczne z zakresu działania Ośrodka zagrożenie wystąpienia siły wyższej pożaru, powodzi, trzęsienia ziemi, huraganu Narażenie na zagrożenia terrorystyczne, przestępcze Naciski zewnętrzne, presja społeczne lub naciski grup interesu, naciski polityczne Problemy z dostawcami niestabilne zaopatrzenie, częste zmiany dostawców, pozycja monopolistyczna dostawcy Zmiany oczekiwań klientów, zmiany popytu na usługi Zagrożenie konkurencją ZAGROŻENIE O CHARAKTERZE FINANSOWYM

Zbyt mały budżet Rosnące wymagania płacowe Zmiana wysokości posiadanych środków budżetowych i pozabudżetowych ( dotacji) Zmiana wydatków i rozchodów w sposób powodujący niewypłacalności Ośrodka Płynność środków - zatory płatnicze, zadłużenie Czy podjęte działania uniemożliwiają skutecznie podjęcie niewłaściwych decyzji inwestycyjnych Czy istnieje możliwość braku źródła finansowania zadania postawionego do realizacji Kradzież środków finansowych i środków trwałych Brak możliwości ubezpieczenia strat Wysokich kar i grzywień Nie zauważenia wykonania niewłaściwych operacji bankowych Rosnące koszty Brak planowania finansowego Słaba sprawozdawczość finansowa, częste zmiany osób sporządzających sprawozdania Brak kontroli rozbieżności finansowych Wysoki poziom inwestycji Wysoki poziom szkód ubezpieczeniowych Nadmierne koszty ubezpieczenia Poziom niebezpiecznych szkód Częste zmiany w sposobie księgowania CHARAKTER PROWADZONEJ DZIAŁALNOŚCI Słabe przygotowanie i planowanie Brak realizacji celów organizacyjnych Brak identyfikacji przyczyn słabej wydajności Brak poprawy słabej wydajności lub niskich standardów Brak monitorowania postępów w realizacji planów i działań Słaba komunikacja Niejasne priorytety Słabe planowanie organizacyjne Brak zewnętrznego zaufania do Ośrodka Brak zaufania wewnątrz Ośrodka Zła prasa/ niekorzystne doniesienia medialne Niekorzystne raporty organów kontrolnych Brak planowania ciągłości działalności Niesprawdzone plany ciągłości działalności Wysoki poziom uzależnienia od zewnętrznych organizacji i instytucji Niewystarczające kompetencje zawodowe pracowników Brak motywacji pracowników Częste zmiany personalne na kluczowych stanowiskach Nieadekwatność informacji na podstawie których podejmowane sa decyzje Utrata informacji Naruszenie poufności informacji Znaczny wzrost zadań jednostki Częste zmiany organizacyjne Decentralizacja działalności, programów Nowe zadania i projekty- środki na realizację, opóźnienia w realizacji projektów lub programów, nie zrealizowanie projektów Brak odpowiednich zasobów do realizacji nowych zadań Krótkie terminy realizacji zadania

Konflikty wewnętrzne, opór pracowników na nowe zadania lub procesy Nie podejmowanie działań w oparciu o nowe technologie z uwagi na brak skłonności do zmiany. Konieczność współpracy z innymi instytucjami w celu realizacji zadania Identyfikacja problemów w ramach oceny pracowników Rosnący lub niedopuszczalny poziom skarg i reklamacji Wysoki poziom działań dyscyplinarnych Wysoki poziom wykrywanych oszustw Wysoki poziom nieetycznego zachowania CZYNNIKI ZWIĄZANE Z ZARZĄDZANIEM Zależność od kontrahentów zewnętrznych lub współpracujących instytucji w realizacji zadania Znaczna lub niewystarczająca cześć zadań zlecanych poza Ośrodek Spadek reputacji Ośrodka na skutek niewłaściwego działania lub zaniedbań pracowników Niewłaściwa realizacja zadań przez jednostkę Złe zarządzanie realizacją zadań Duża liczba wolnych etatów Nieobsadzone główne stanowiska Duży wskaźnik zachorowalności Zbyt wielu pracowników Zbyt niski poziom zatrudnienia Brak możliwości zatrudnienia pracowników Wysoka rotacja pracowników negatywne raporty z zakresu ochrony zdrowia i bezpieczeństwa osób Wysoki poziom środków trwałych Utrzymywanie zapasów i środków trwałych nieproporcjonalne do prowadzonej działalności Brak zaangażowania w pracę organizacji Częste protesty związkowe Informacje o naruszeniu procedur finansowych Decyzje wydawane w nieodpowiednim terminie Zadawalający poziom dycyzyjny słabe pl brak zdefiniowanych procesów i procedur dot realizacji zdań i funkcjonowania Ośrodka Niedostateczna jakość informacji zarządczej Opór pracowników lub brak środków na podnoszenie kwalifikacji zawodowych Luki w bezpieczeństwie Częste wypadki w pracy Brak kontroli wykorzystywania zapasów i zasobów Nieadekwatna struktura organizacyjna Brak zakresów obowiązków lub zakresy w formie ustnej Nieefektywny system przepływu informacji Znaczne zmiany w zakresie odpowiedzialności kierownictwa Niesprawiedliwa praktyka wynagradzania Niska wynagrodzenia Nie zapewnienie szkoleń Brak działań motywujących pracowników Wyznaczenie osób odpowiedzialnych za realizację celów krytycznych Nowe programy, projekty sa poddawane systemowi identyfikacji ryzyka

Ujawnione nowe ryzyka sa monitorowane Zmiany siedziby Ośrodka Dzielenie, likwidacja Ośrodka Istotna zmiana struktury organizacyjnej Znaczna redukcja zatrudnienia Załącznik Nr 5. DELFICKA METODA ANALIZY RYZYKA Analizę ryzyka w oparciu o metodę delficką przeprowadza powołania grupa ds zarządzania ryzykiem. Na wniosek grupy Dyrektor może w skład tzw. ekspertów powołać innych pracowników posiadających duże doświadczenie zawodowe i wiedze merytoryczną. Sposób postępowania w przypadku analizy ryzyka dokonywanej tą metodą jest następujący : 1. Zadaniom/ celom przypisuje się kolejne numery. 2. Każdy z ekspertów, nie uwzględniając ocen z innymi tworzy własną listę rankingową przypisując poziom ryzyka dla każdego zadania 3. Zadanie, które powinno być zrealizowane jako pierwsze (największe ryzykoprawdopodobieństwo, skutek) otrzymuje liczbę punktów równą liczbie ocenionych zadań. 4. Eksperci oceniają zarówno skutek jakie dane ryzyko może nieść dla Ośrodka jak również prawdopodobieństwo jego wystąpienia, wypełniając dwukrotnie arkusze 5. Każde kolejne zadanie otrzymuje o jeden punkt mniej - ostatnie zadanie otrzymuje punktów 1 6. Punkty przyznane przez każdego eksperta są sumowane i tworzony jet ranking zadań począwszy od tego które otrzymało najwięcej punktów 7. Aby wyrazić otrzymany wynik w procentach dzieli się liczbę punktów, które otrzymało każde zadanie łącznie przez liczbę punktów które otrzymało zadanie pierwsze na liście. 8. Pierwsze na liście zadanie ma ryzyko równe 1 (100 %), każde następne ma mniej niż 1 ( 100 % ) Jest możliwe uzyskanie przez dwa lub więcej zadań takiego samego wyniku punktowego. Przykładowa tabela analizy ryzyka- przy założeniu, że grupa do oceny ryzyka liczy 5 osób, ocenie poddawanych jest 4 zadania Eksperci pozycja w zadanie Nr 1 Zadanie Nr 2 Zadanie Nr 3 Zadanie Nr 4 I II III IV V suma uzyskanych punktów rankingu Ocena ryzyka w %

Załącznik Nr 6 do procedury zarządzania ryzykiem. Rejestr ryzyk Nr ryzyka w rankingu właściciel ryzyka zadanie. cel kategoria ryzyka opis ryzyka oce ryzyka S P Funkcjonujące mechanizmy kontrolne wymagane działaniareakcja na ryzyko termin wykonania.

Załącznik Nr 7. Matryca skutek katastrofalny 5 10 15 20 25 powazny średni mały nieznaczny 4 3 2 8 12 16 20 6 9 12 15 4 6 8 10 2 3 4 5 LEGENDA: 1 nieznaczn e prawdopodobieństwo mało prawdopodobne średnie prawdopodobne pewne ryzyko niewielkie- AKCEPTOWALNE ryzyko średnie ryzyko wysokie

Załącznik nr 8 do procedury zarzadznaia ryzykiem HARMONOGRAM ZADAŃ ORGANIZACJI I WDROŻENIA KONTROLI ZARZĄDCZEJ w Ośrodku Pomocy Społecznej w Sandomierzu Nr standardu Nazwa zadania A ŚRODOWISKO WEWNĘTRZNE 1. Przestrzeganie wartości etycznych 2. Kompetencje zawodowe 3. Struktura organizacyjna 1. 4. Delegowanie uprawnień B CELE I ZARZĄDZANIE RYZYKIEM 5. Misja Określanie celów i zadań, 6. monitorowanie i ocena ich realizacji 7. Identyfikacja ryzyka 8. Analiza ryzyka 9. Reakcja na ryzyko C MECHANIZMY KONTROLI 10. Dokumentowanie systemu kontroli zarządczej 11. Nadzór 12. Ciągłość działalności 13. Ochrona zasobów Sposób realizacji zadania Osoba odpowiedzialna za realizację zadania Termin realizacji zadania Uwagi 14. 15. Szczegółowe mechanizmy kontroli dotyczące operacji finansowych i gospodarczych Mechanizmy kontroli dotyczące systemów

informatycznych 16. Bieżąca informacja 17. Komunikacja wewnętrzna 18. Komunikacja zewnętrzna E MONITOROWANIE I OCENA 19. Monitorowanie systemu kontroli zarządczej 20. Samoocena 22. Uzyskanie zapewnienia o stanie kontroli zarządczej * opracowany na podstawie standardów kontroli zarządczej, określonych w Komunikacie Nr 23 Ministra Finansów z dnia 16.12.2009 r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych (Dz.Urz. MF z 30.12.2009 r. Nr 15, poz. 84).

Załącznik Nr 9 do procedury zarządzania ryzykiem Lista kontrolna Poniższa lista kontrolna może być wypełniana przez członków zespołu ds. zarządzania ryzykiem, ale też udostępniana właścicielom procesów, jako pomoc w oszacowaniu i zarządzaniu ryzykiem. Zawarty w niej katalog pytań dotyczy elementów składowych całego procesu zarządzania ryzykiem, w tym etapu identyfikacji. Na jej podstawie będziemy mogli dokonać oceny kompleksowości i skuteczności podjętych przez nas działań w ramach systemu zarządzania ryzykiem. Data: Komórka organizacyjna (członek zespołu ds. zarządzania ryzykiem): Osoba odpowiedzialna (właściciel procesu): Identyfikacja ryzyka Lp. Identyfikacja Potencjalne ryzyko Podjęte działania (istniejące mechanizmy kontrolne)/propozycja działania 1. Czy ocenia się ryzyka okresowo w ciągu roku? 2. Czy oceniając ryzyko, uwzględnia się wpływ czynników zewnętrznych i wewnętrznych? 3. Czy w procesie identyfikacji ryzyk uwzględnia się inne informacje, dane, którymi dysponuje organizacja (sprawozdania, plany, strukturę kosztów)? 4. Czy identyfikując ryzyko, przeprowadza się rozmowy z uczestnikami procesu? 5. Czy istnieje dokumentacja, będąca wynikiem identyfikowania ryzyka zewnętrznego i wewnętrznego, związanego z realizacją celów i zadań komórki (jednostki)? 6. Czy stwierdzone problemy są analizowane pod kątem wystąpienia w innych procesach? Oszacowanie ryzyka, hierarchizacja 1. Czy proces oszacowania ryzyka jest wystandaryzowany w całej organizacji (jednolita forma pomiaru)? 2. Czy proces pomiaru i hierarchizacji umożliwia podjęcie właściwej decyzji w zakresie przeciwdziałania potencjalnym zagrożeniom? 3. Czy stosowana metoda pomiaru jest odpowiednia i efektywna dla zidentyfikowanych procesów?

4. Czy przy oszacowaniu ryzyka korzysta się z pomocy ekspertów zewnętrznych? 5. Czy w wyniku hierarchizacji ryzyka powstaje katalog szans, które można wykorzystać, oraz zagrożeń, które wymagają wzmożonej uwagi? 1. Czy w wyniku identyfikacji ryzyk podjęto działania mające na celu zminimalizowanie ich do akceptowalnego poziomu? 2. Czy zostały zaprojektowane plany działania (awaryjne), dla ryzyk, których istotność dla organizacji jest wysoka? 3. Czy ustanowiono mechanizmy kontroli do zmniejszenia ryzyka w przypadku pozostałych ryzyk Monitoring 1. Czy plany zarządzania ryzykiem podlegają okresowej aktualizacji? 2. Czy dokonuje się oceny podjętych działań ograniczających ryzyko? 3. Czy stwierdzone słabości kontroli są raportowane wyższemu kierownictwu? 4. Czy prowadzony jest rejestr zdarzeń (wypadków), na podstawie którego organizacja wyciąga wnioski na przyszłość?

Załącznik Nr 10 do procedury Kategoria ryzyka Ryzyko wewnętrzne KATEGORIE RYZYKA WYSTEPUJACEGO W OŚRODKU POMOCY SPOŁECZNEJ W SANDOMIERZU 1. Ryzyko finansowe, w tym: Budżetowe Zamówień publicznych i zlecania zadań innym podmiotom Odpowiedzialności Kradzieże i oszustwa Ryzyko dotyczące procesu zarządzania jednostką, w tym : Regulacji wewnętrznych Organizacji i podejmowania decyzji Kontroli wewnętrznej Informacji Reputacji Ryzyko dotyczące zarządzania zasobami ludzkimi, w tym: Personel Ryzyko dotyczące systemów informatycznych, w tym: Systemów informatycznych Ryzyko zewnętrzne, w tym ryzyko związane z Infrastrukturą Środowiskiem prawnym Polityką lokalną, polityką Państwa Kradzieże i oszustwa Związane z planowaniem wydatków, dostępnością środków publicznych, dokonywaniem wydatków Związane z podejmowaniem decyzji oraz udzielaniem zamówień publicznych lub zlecaniem zadań innym podmiotom, np. ryzyko naruszenia zasad, trybu ustawy Prawo zamówień publicznych Związane z obowiązkiem zapłaty kwot pieniężnych tytułem np. odszkodowań, odsetek karnych, kosztów procesowych Związane z utratą składników majątkowych w wyniku oszustwa, kradzieży Związane z istnieniem i adekwatnością regulacji wewnętrznych Związane ze strukturą organizacyjną, organizacją pracy oraz przekazywaniem obowiązków i uprawnień, np. ryzyko nieterminowego rozpatrywania spraw, nieprecyzyjnie określonych obowiązków, ryzyko związane z planowaniem w tym nieodpowiedniej struktury organizacyjnej, brak identyfikacji przyczyn słabej wydajności Związane z funkcjonowaniem systemu kontroli wewnętrznej, np. ryzyko niedostatecznej kontroli, ryzyko nieskutecznych mechanizmów kontrolnych Związane z jakością informacji, na podstawie których podejmowane są decyzje, np. ryzyko braku komunikacji wewnętrznej i zewnętrznej, ryzyko utraty informacji, naruszenie poufności informacji Związane z reputacją Urzędu, np. ryzyko negatywnych opinii Związane z liczebnością i kompetencjami pracowników, bezpieczeństwo i higiena w pracy Związane z używanymi w Urzędzie systemami i programami informatycznymi oraz ochroną zawartych w nich danych, np. ryzyko awarii, ryzyko udostępnienia danych osobom nieuprawnionym, ryzyko nieuprawnionej modyfikacji danych Związane z infrastrukturą, np. brak popytu na usługi, duża konkurencyjność na rynku lokalnym Związane ze skomplikowaniem i zmianami prawa oraz niejednolitym orzecznictwem, Zwiazane ze zmianami kadry rządzącej, co powoduje zmiany w budżecie ustalonym w danym roku, Związane z utratą składników majątkowych w wyniku oszustwa, kradzieży