ZARZĄDZENIE Nr 1930/12 PREZYDENTA MIASTA GDAŃSKA z dnia 17 grudnia 2012 roku w sprawie systemu kontroli zarządczej w Gminie Miasta Gdańska Na podstawie art. 33 ust. 3 i 5, art. 60 ust.1 ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (tj.: Dz. U. z 2001 r. Nr 142, poz. 1591, zm. z 2002 r. Nr 23, poz. 220, Nr 62, poz. 558 i Nr 113, poz. 984, Nr 153, poz. 1271, Nr 214, poz. 1806; z 2003 r. Nr 80, poz. 717, Nr 162, poz. 1568, zm.: z 2004 r. Nr 102, poz. 1055, Nr 116, poz. 1203, z 2005 r. Nr 172, poz. 1441, Nr 175, poz. 1457, z 2006 r. Nr 17, poz. 128, Nr 181, poz. 1337, z 2007 r. Nr 48, poz. 327, Nr 138, poz. 974, Nr 173, poz. 1218; z 2008 r. Nr 180, poz. 1111, Nr 223, poz. 1458, z 2009 r. Nr 52, poz. 420, Nr 157, poz. 1241, z 2010 r. Nr 28, poz. 142 i poz. 146, Nr 40, poz. 230, Nr 106, poz. 675, z 2011 r. Nr 21, poz. 113, Nr 117, poz. 679, Nr 134, poz. 777, Nr 149, poz. 887, Nr 217, poz. 1281, z 2012 r. poz. 567) i art. 35 ust.2 ustawy z dnia 5 czerwca 1998 r. o samorządzie powiatowym (tj.: Dz. U. z 2001 r. Nr 142, poz. 1592, zm.: z 2002 r. Nr 23, poz. 220, Nr 62, poz. 558 i Nr 113, poz. 984, Nr 153, poz. 1271, Nr 200, poz. 1688, Nr 214, poz. 1806, zm.: z 2003 r. Nr 162, poz. 1568, zm.: 2004 r. Nr 102, poz. 1055, z 2007 r. Nr 173, poz. 1218, z 2008 r. Nr 180, poz. 1111, Nr 223, poz. 1458, z 2009 r. Nr 92, poz. 753, Nr 157, poz. 1241, z 2010 r. Nr 28, poz. 142 i 146, Nr 40, poz. 230, Nr 106, poz. 675, z 2011 r. Nr 21, poz. 113, Nr 149, poz. 887, Nr 217, poz. 1281) oraz art. 68 i art. 69 ust. 1 pkt 2 i 3 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. Nr 157, poz. 1240, zm. z 2010 Nr 28, poz.146, Nr 96, poz. 620, Nr 123,poz. 835, Nr 152, poz. 1020, Nr 238, poz. 1578, Nr 257, poz. 1726, z 2011r. Nr 185, poz. 1092, Nr 201, poz. 1183, Nr 234, poz. 1386, Nr 240, poz. 1429, Nr 291, poz. 1707 ) w związku z Komunikatem Nr 23 Ministra Finansów z dnia 16 grudnia 2009 r. w sprawie ustanowienia standardów kontroli zarządczej dla sektora finansów publicznych (Dz. Urz. MF Nr 15, poz.84) i Komunikatem Nr 3 Ministra Finansów z dnia 16 lutego 2011 r. w sprawie szczegółowych wytycznych w zakresie samooceny kontroli zarządczej dla jednostek sektora finansów publicznych (Dz. Urz. MF Nr 2, poz. 11) zarządza się, co następuje: Rozdział I Postanowienia ogólne 1 Niniejsze zarządzenie określa zakres, zasady i sposób funkcjonowania systemu kontroli zarządczej w Urzędzie Miejskim w Gdańsku oraz jednostkach organizacyjnych Miasta, w tym: 1) definicję kontroli zarządczej, 2) cele systemu kontroli zarządczej, 3) elementy systemu kontroli zarządczej, 4) zasady dokumentowania systemu kontroli zarządczej, 5) odpowiedzialność za funkcjonowanie systemu kontroli zarządczej. 2 Podstawowe definicje Ilekroć w treści zarządzenia jest mowa o: 1) Mieście, należy przez to rozumieć Gminę Miasta Gdańsk, 2) Prezydencie, należy przez to rozumieć Prezydenta Miasta Gdańska, 3) Kolegium Prezydenta, należy przez to rozumieć ciało opiniodawczo-doradcze Prezydenta, które tworzą Zastępcy Prezydenta, Sekretarz Miasta i Skarbnik Miasta, 4) jednostce organizacyjnej, należy przez to rozumieć jednostkę organizacyjną utworzoną do realizacji zadań Miasta, wykaz tych jednostek ustalany jest odrębnym zarządzeniem. 5) Urzędzie, należy przez to rozumieć Urząd Miejski w Gdańsku,
6) wydziale, należy przez to rozumieć wyodrębnione w strukturze Urzędu, wydziały oraz inne równorzędne komórki organizacyjne tego Urzędu, 7) dyrektorze wydziału, należy przez to rozumieć dyrektora wydziału oraz innej równorzędnej komórki organizacyjnej Urzędu, 8) audycie wewnętrznym, należy przez to rozumieć Zespół Audytorów Wewnętrznych Urzędu, 9) kontroli zarządczej, należy przez to rozumieć ogół działań podejmowanych, aby zapewnić realizację celów i zadań w sposób zgodny z prawem, efektywny, oszczędny, rzetelny i terminowy, 10) koordynatorze, należy przez to rozumieć Biuro Kontroli Urzędu, które odpowiada za koordynację prac związanych z funkcjonowaniem systemu kontroli zarządczej, 11) podmiot nadzorujący, należy przez to rozumieć członków Kolegium Prezydenta, którzy sprawują nadzór nad działalnością jednostek organizacyjnych Miasta lub właściwe wydziały Urzędu, prowadzące monitoring działalności tych jednostek, 12) rejestrze ryzyka, należy przez to rozumieć dokument odzwierciedlający przeprowadzoną identyfikację i analizę ryzyka, a także zaproponowaną reakcję na ryzyko,. 13) ryzyku, należy przez to rozumieć możliwość zaistnienia zdarzenia, które będzie miało wpływ na realizację założonych celów, zadań lub podzadań, 14) samoocenie, należy przez to rozumieć formalny proces, który umożliwia dokonanie przeglądu istniejących elementów kontroli pod względem adekwatności, w celu proponowania i wdrażania ulepszeń w istniejącym systemie kontroli zarządczej, 15) właścicielu celu, zadania lub podzadania, należy przez to rozumieć kierownika jednostki lub dyrektora wydziału, który jest bezpośrednio odpowiedzialny za wykonanie danego celu, zadania lub podzadania, 16) zarządzaniu ryzykiem, należy przez to rozumieć działania podejmowane w celu identyfikacji, analizy oraz określenia reakcji na ryzyko. 3 Kontrola zarządcza w Mieście Kontrola zarządcza w Mieście funkcjonuje na dwóch poziomach: 1) poziom pierwszy - to system kontroli zarządczej w Urzędzie Miejskim w Gdańsku i jednostkach organizacyjnych Miasta, za funkcjonowanie którego odpowiadają kierownicy tych jednostek, 2) poziom drugi - to system kontroli zarządczej w Mieście, za funkcjonowanie którego odpowiada Prezydent. 4 Cele systemu kontroli zarządczej Celem systemu kontroli zarządczej jest realizacja celów i zadań w sposób zgodny z prawem, skuteczny, efektywny, oszczędny i terminowy, a w szczególności zapewnienie: 1) zgodności działalności z przepisami prawa oraz procedurami wewnętrznymi, 2) skuteczności i efektywności działania, 3) wiarygodności sprawozdań, 4) ochrony zasobów, 5) przestrzegania i promowania zasad etycznego postępowania, 6) efektywności i skuteczności przepływu informacji, 7) zarządzania ryzykiem.
5 Elementy systemu kontroli zarządczej Na system kontroli zarządczej składają się następujące elementy: 1) środowisko wewnętrzne, które stanowi podstawę dla wszystkich pozostałych elementów systemu kontroli zarządczej i na które składają się działania podejmowane w zakresie: a) przestrzegania wartości etycznych, b) zapewnienia kompetencji zawodowych pracowników jednostki, c) zapewnienia struktury organizacyjnej odpowiadającej celom i zadaniom jednostki, d) delegowania uprawnień i obowiązków osobom zarządzającym lub pracownikom, 2) cele i zarządzanie ryzykiem, które mają doprowadzić do zwiększenia prawdopodobieństwa osiągnięcia celów i realizacji zadań jednostki oraz minimalizację negatywnych skutków wystąpienia ryzyka między innym poprzez: a) sformułowanie misji jednostki, b) określanie celów i zadań, ich monitorowanie oraz ocenę realizacji, c) identyfikację ryzyka czyli określenia zdarzeń, które mogą mieć wpływ na realizację założonych celów, d) analizę ryzyka, rozumianego jako określenie prawdopodobieństwa wystąpienia danego ryzyka i możliwych jego skutków, a także określenie akceptowalnego poziomu ryzyka, e) reakcję na ryzyko, 3) mechanizmy kontroli, które mają stanowić efektywną i skuteczną realizację reakcji na ryzyko, poprzez podejmowanie między innym następujących działań: a) dokumentowanie systemu kontroli zarządczej, b) nadzór nad wykonaniem zadań w celu ich oszczędnej, efektywnej i skutecznej realizacji, c) zapewnienie ciągłości działalności jednostki, d) zapewnienia właściwej ochrony i wykorzystania zasobów jednostki, e) wdrożenia szczegółowych mechanizmów kontroli dotyczących operacji gospodarczych, w tym finansowych, f) określenie mechanizmów kontroli zapewniających bezpieczeństwo danych i systemów informatycznych, 4) informacja i komunikacja, które mają zapewnić wszystkim pracownikom w jednostce dostęp do informacji niezbędnych do wykonywania przypisanych im celów i zadań, między innymi poprzez: a) zapewnienie bieżącej informacji, b) zapewnienie komunikacji wewnętrznej w ramach jednostki, c) zapewnienie komunikacji zewnętrznej z podmiotami zewnętrznymi, 5) monitorowanie i ocena, które mają stanowić weryfikację funkcjonowania elementów systemu kontroli zarządczej między innymi poprzez: a) monitorowanie systemu kontroli zarządczej, b) prowadzenie samooceny - procesu niezależnego od bieżącej działalności, c) działania prowadzone przez służby audytu i kontroli, d) uzyskanie corocznej informacji o stanie kontroli zarządczej.
Rozdział II Kontrola zarządcza w Mieście 6 Odpowiedzialność kierowników jednostek organizacyjnych Kierownicy jednostek organizacyjnych Miasta zobowiązani są do: 1) wdrożenia adekwatnego, skutecznego i efektywnego systemu kontroli zarządczej, dostosowując go odpowiednio do zakresu zadań i wielkości zasobów kierowanej jednostki, 2) zapewnienia zgodności systemu kontroli zarządczej z treścią niniejszego zarządzenia, a także ze Standardami kontroli zarządczej dla sektora finansów publicznych zawartymi w Komunikacie nr 23 Ministra Finansów z dnia 16 grudnia 2009r. (Dz. Urz. MF Nr 15, poz. 84). 7 Zasady i tryb wyznaczania celów 1. Kierownicy jednostek organizacyjnych Miasta zobowiązani są do wyznaczania w co najmniej rocznej perspektywie celów oraz do monitorowania ich realizacji. 2. Podmioty nadzorujące są zobowiązane do weryfikacji celów nadzorowanych przez siebie jednostek organizacyjnych. 3. Przy określaniu celów bierze się pod uwagę przede wszystkim: 1) misję jednostki, 2) przepisy prawa, 3) budżet zadaniowy Miasta, 4) wytyczne określane przez podmioty nadzorujące. 4. Określone przez jednostki organizacyjne cele powinny być: 1) istotne, czyli ważne dla realizacji misji oraz ważne dla potrzeb klientów zewnętrznych i wewnętrznych, 2) precyzyjne, czyli formułowane w sposób jasny i zapewniający jednoznaczną interpretację, 3) spójne, czyli zapewniające wzajemną zgodność i brak powielania się, 4) realne, czyli możliwe do realizacji z uwzględnieniem ryzyk związanych z ich osiągnięciem, 5) mierzalne, czyli pozwalające określić ich planowaną wartość oraz stopień realizacji. 5. W terminie do końca stycznia każdego roku jednostki organizacyjne Miasta przekazują podmiotom nadzorującym informację o głównych celach na rok bieżący, przy czym liczba tych celów nie może być większa niż pięć. 6. Do wyznaczania i przekazywania informacji o celach jednostek organizacyjnych służy wzór Planu działalności, stanowiący załącznik nr 1 do niniejszego zarządzenia. 8 Zasady i tryb wyznaczania mierników 1. Wszystkim wyznaczonym w jednostkach organizacyjnych Miasta celom przypisane są mierniki określające ich docelową wartość.
2. Odpowiedzialność za określenie miernika spoczywa na kierowniku jednostki organizacyjnej Miasta. 3. Przy określaniu miernika i jego docelowej wartości bierze się pod uwagę przede wszystkim: 1) przepisy prawa, 2) regulacje wewnętrzne określające obowiązki i zakres kompetencji, 3) wytyczne podmiotów nadzorujących. 4. Przypisane poszczególnym celom mierniki powinny: 1) umożliwiać wartościowe, ilościowe lub opisowe określenie bazowego i docelowego poziomu efektów z poniesionych nakładów, 2) zostać określone w perspektywie roku, w którym dany cel ma być zrealizowany. 5. Do wyznaczania i przekazywania informacji o miernikach w terminie do końca stycznia każdego roku służy wzór Planu działalności, stanowiący załącznik nr 1 do niniejszego zarządzenia. 9 Zasady i tryb monitorowania realizacji celów 1. Jednostki organizacyjne zobowiązane są do monitorowania i informowania o stanie realizacji celów poprzez przekazywanie do podmiotów nadzorujących: 1) sprawozdania za pierwsze półrocze do 31 lipca każdego roku, 2) sprawozdania rocznego do końca stycznia każdego roku. 2. W przypadku wystąpienia istotnego zagrożenia dotyczącego realizacji założonych celów, jednostki organizacyjne mają obowiązek niezwłocznego przekazywania do podmiotu nadzorującego informacji na ten temat. 3. Do przekazywania sprawozdań o stanie realizacji celów służy wzór sprawozdania, który stanowi załącznik nr 2 do niniejszego zarządzenia. 10 Zasady zarządzania ryzykiem Kierownicy jednostek organizacyjnych Miasta zobowiązani są do ustanowienia zasad zarządzania ryzykiem w ramach prowadzonej działalności, w tym informowania podmiotów nadzorujących o istotnych zagrożeniach dla realizacji kluczowych celów kierowanej jednostki. 11 Samoocena i informacja o stanie kontroli zarządczej 1. Kierownicy jednostek organizacyjnych Miasta zobowiązani są raz w roku do przeprowadzania samooceny systemu kontroli zarządczej. Samoocena odnosi się do zdarzeń z minionego roku budżetowego. 2. Samoocena powinna być ujęta w ramy procesu odrębnego od bieżącej działalności i udokumentowana. 3. W ramach samooceny należy dokonać oceny poszczególnych elementów kontroli zarządczej według przyjętej 5 stopniowej skali ocen dojrzałości jednostki stanowiącej załącznik nr 3 do niniejszego zarządzenia. 4. Podczas samooceny należy wziąć pod uwagę również wszelkie informacje na temat nieprawidłowości i ryzyk w funkcjonowaniu systemu kontroli zarządczej o jakich mowa w raportach z kontroli lub audytu.
5. W terminie do końca stycznia każdego roku, kierownicy jednostek organizacyjnych zobowiązani są do składania do podmiotu nadzorującego informacji o stanie kontroli zarządczej za rok poprzedni, według wzoru stanowiącego załącznik nr 4 do niniejszego zarządzenia. 6. W przypadku wystąpienia słabości dotyczących funkcjonowania kontroli zarządczej, osoba podpisująca informację o stanie kontroli zarządczej zobowiązana jest do określenia działań naprawczych. 7. W terminie do 15 lutego każdego roku podmiot nadzorujący przekazuje informacje jednostek organizacyjnych oraz ewentualne uwagi do ich treści do Biura Kontroli Urzędu. Rozdział III Kontrola zarządcza w Urzędzie Miejskim w Gdańsku 12 Funkcjonowanie systemu kontroli zarządczej 1. Wszyscy pracownicy Urzędu biorą udział w funkcjonowaniu systemu kontroli zarządczej poprzez właściwe wykonywanie powierzanych im obowiązków, uprawnień i odpowiedzialności. 2. Pracownicy Urzędu zobowiązani są do przekazywania swoim przełożonym informacji, które mogą mieć wpływ na funkcjonowanie i doskonalenie kontroli zarządczej oraz realizację założonych celów, w szczególności w zakresie: 1) wykrytych nieprawidłowości i nadużyć, 2) skarg mieszkańców, klientów i kontrahentów, 3) innych istotnych różnic i odchyleń od działalności planowej. 3. Obowiązkiem Biura Kontroli Urzędu jest koordynowanie prac związanych z funkcjonowaniem kontroli zarządczej, określonych w niniejszym zarządzeniu. 13 1. Audyt wewnętrzny stanowi wsparcie dla Prezydenta poprzez wykonywanie zadań audytowych w zakresie oceny i doskonalenia kontroli zarządczej w badanych obszarach. 2. Składane przez audyt wewnętrzny sprawozdanie z wykonania planu audytu zawiera informacje o istotnych ryzykach i słabościach kontroli zarządczej. 14 Dokumentacja systemu kontroli zarządczej Oprócz niniejszego zarządzenia dokumentację systemu kontroli zarządczej stanowią wewnętrzne akty prawne, dokumentacja Systemu Zarządzania Jakością, a także instrukcje, dokumenty określające zakres obowiązków, uprawnień i odpowiedzialności pracowników oraz wszystkie inne dokumenty wewnętrzne.
15 Misja Misją Urzędu jest uzyskanie zadowolenia Klienta poprzez sprawną i terminową obsługę, jak również dopasowanie oferty świadczonych usług do potrzeb klientów oraz kształtowanie wizerunku instytucji solidnej, życzliwej i otwartej dla klienta. 16 System wyznaczania i monitorowania realizacji celów i zadań 1. Podstawowym zadaniem Urzędu w ramach systemu kontroli zarządczej jest wyznaczanie - w co najmniej rocznej perspektywie celów, zadań i podzadań Urzędu oraz monitorowanie ich realizacji. 2. Wyznaczanie celów, zadań i podzadań w ramach poszczególnych funkcji realizowane jest w ramach budżetu zadaniowego Miasta. 3. System monitorowania realizacji celów, zadań i podzadań prowadzony jest na podstawie odrębnych aktów prawnych określających zakres i formę informacji o przebiegu wykonania budżetu. 17 Zasady zarządzania ryzykiem 1. Celem funkcjonującego w Urzędzie procesu zarządzania ryzykiem jest zwiększenie prawdopodobieństwa osiągnięcia wyznaczonych celów, zadań i podzadań. 2. Za zarządzanie ryzykiem odpowiada Prezydent poprzez: 1) kształtowanie i wdrażanie zasad zarządzania ryzykiem, 2) nadzór i monitorowanie skuteczności procesu zarządzania ryzykiem, 3) podejmowanie decyzji dotyczących określenia właścicieli ryzyka. 3. Koordynowanie prac w obszarze zarządzania ryzykiem, realizuje Koordynator poprzez: 1) zebranie wszystkich zidentyfikowanych ryzyk, 2) przygotowywanie zbiorczych informacji o ryzykach przekazywanych przez poszczególne jednostki i komórki organizacyjne, 3) prowadzenie zbiorczego rejestru ryzyka, 4) sporządzanie okresowych raportów i zestawień dotyczących zarządzania ryzykiem. 4. Wskazani w budżecie zadaniowym Miasta właściciele poszczególnych podzadań odpowiadają za zarządzanie ryzykiem poprzez: 1) identyfikację ryzyk związanych z realizacją wyznaczonych im podzadań, 2) przeprowadzanie analizy ryzyka dla zidentyfikowanych ryzyk, 3) proponowanie sposobu postępowania w odniesieniu do poszczególnych ryzyk, 4) wdrażanie działań zaradczych w stosunku do zidentyfikowanych ryzyk. 5. Kolegium Prezydenta odpowiedzialne jest za: 1) dokonywanie ewentualnych korekt poziomu ryzyka akceptowalnego, 2) zarządzanie ryzykiem strategicznym. 6. W przypadku celów, zadań lub podzadań nie określonych w budżecie zadaniowym Miasta, a związanych z realizacją poszczególnych projektów, zasady i zadania związane z zarządzaniem ryzykiem projektowym określa dokumentacja dotycząca tego projektu.
18 Identyfikacja ryzyka 1. W terminie do końca stycznia każdego roku właściciele ryzyka dokonują identyfikacji ryzyka w odniesieniu do podzadań określonych w budżecie zadaniowym. 2. W przypadku korekty budżetu zadaniowego należy dokonać oceny potrzeby ponownej identyfikacji ryzyka. 3. Identyfikacja ryzyka dokonywana jest również w przypadku istotnej zmiany warunków, w których funkcjonuje jednostka. 4. Każde zidentyfikowane ryzyko ujmowane jest w rejestrze ryzyka zgodnie z zasadami określonymi w 23 zarządzenia. 5. Jeśli Prezydent nie postanowi inaczej, właścicielem danego ryzyka jest właściciel podzadania, do którego odnosi się to ryzyko. 19 1. W procesie identyfikacji ryzyka wykorzystuje się między innymi następujące źródła informacji: 1) wyniki monitoringu realizacji wyznaczonych celów, zadań i podzadań, 2) dane na temat realizacji celów, zadań i podzadań z lat ubiegłych, 3) ustalenia z przeprowadzonych audytów i kontroli. 2. W procesie identyfikacji ryzyka rozważane są czynniki sprzyjające wystąpieniu ryzyk wynikających ze źródeł zewnętrznych i wewnętrznych. 20 Analiza ryzyka 1. Każde zidentyfikowane ryzyko podlega analizie pod kątem jego znaczenia dla osiągnięcia założonych podzadań. 2. Proces analizy ryzyka odbywa się do końca stycznia każdego roku. 3. Każde poddane analizie ryzyko ujmowane jest w rejestrze ryzyka zgodnie z zasadami określonymi w 23 niniejszego zarządzenia. 4. Każde ryzyko poddane analizie przypisywane jest do odpowiednich podzadań ujętych w rejestrze ryzyka. 21 1. Każde ryzyko oceniane jest pod kątem siły oddziaływania i prawdopodobieństwa jego wystąpienia. 2. Ocena danego ryzyka stanowi iloczyn siły oddziaływania i prawdopodobieństwa jego wystąpienia. 3. Ocena siły oddziaływania danego ryzyka polega na przypisaniu każdemu z ryzyk punktacji od 1 do 5, gdzie: 1) 1 oznacza oddziaływanie nieznaczne, 2) 2 oznacza oddziaływanie małe, 3) 3 oznacza oddziaływanie średnie, 4) 4 oznacza oddziaływanie poważne, 5) 5 oznacza oddziaływanie katastrofalne dla wyznaczonych celów, zadań lub podzadań. 4. Ocena prawdopodobieństwa wystąpienia danego ryzyka polega na przypisaniu każdemu z ryzyk punktacji od 1 do 5, gdzie: 1) 1 oznacza prawdopodobieństwo znikome, 2) 2 oznacza prawdopodobieństwo niskie,
3) 3 oznacza prawdopodobieństwo średnie, 4) 4 oznacza prawdopodobieństwo wysokie, 5) 5 oznacza prawdopodobieństwo bardzo wysokie. 5. Szczegółowy opis punktacji stosowanej do oceny siły oddziaływania i prawdopodobieństwa wystąpienia ryzyka został zawarty w załączniku nr 5 do niniejszego zarządzenia. 6. Wyniki analizy ryzyka ujmowane są w rejestrze ryzyka zgodnie z zasadami określonymi w 23 niniejszego zarządzenia. 22 Reakcja na ryzyko 1. Dla każdego zidentyfikowanego i poddanego analizie ryzyka jego właściciel wskazuje właściwą, optymalną jego zdaniem, reakcję: 1) tolerowanie - czyli akceptacja ryzyka w sytuacji, gdy możliwość przeciwdziałania jest ograniczona lub koszt przeciwdziałania przewyższa potencjalne korzyści, 2) przeniesienie - przeniesienie ryzyka na inny podmiot, 3) wycofanie się zaprzestanie ryzykownych działań, 4) działanie podjęcie działań zaradczych, które doprowadzić mają do likwidacji lub ograniczenia ryzyka do akceptowalnego poziomu. 2. Przy wskazaniu reakcji na ryzyko należy uwzględnić określony w niniejszym zarządzeniu akceptowalny poziom ryzyka. W tym celu należy wykorzystać mapę ryzyka stanowiącą załącznik nr 6 do niniejszego zarządzenia. 3. Mapa ryzyka określa niski, średni i wysoki poziom ryzyka przypisując dla każdego z tych poziomów odpowiednią kolorystykę: 1) poziom niski kolor zielony akceptowalny poziom ryzyka, zaplanowanie i wdrożenie działań zaradczych zależy od decyzji właściciela ryzyka, 2) poziom średni kolor żółty akceptowalny poziom ryzyka, konieczność stałego monitorowania poziomu ryzyka oraz zaplanowania działań zaradczych do ewentualnego wdrożenia, 3) poziom wysoki kolor czerwony nieakceptowalny poziom ryzyka, konieczność wycofania się lub wdrożenia działań zaradczych w terminie uzgodnionym z bezpośrednim przełożonym. 4. Kolegium Prezydenta może przyjąć inny, niż określony w niniejszym zarządzeniu akceptowalny poziom ryzyka. 5. Określenie reakcji na ryzyka ujmowane są w rejestrze ryzyka zgodnie z zasadami określonymi w 23 niniejszego zarządzenia. 23 Rejestr ryzyka 1. W Urzędzie prowadzony jest rejestr ryzyka, którego wzór stanowi załącznik nr 7 do niniejszego zarządzenia. 2. Każda komórka organizacyjna, która bierze udział w realizacji budżetu zadaniowego, prowadzi cząstkowy rejestr ryzyka w odniesieniu do przypisanych jej podzadań. 3. W terminie do końca stycznia każdego roku komórki organizacyjne przekazują koordynatorowi cząstkowe rejestry ryzyka. 4. W terminie do 5 marca każdego roku, koordynator opracowuje i przekazuje Kolegium Prezydenta zbiorczy rejestr ryzyka w oparciu o przekazywane przez właścicieli poszczególnych ryzyk rejestry cząstkowe.
5. W przypadku korekty budżetu zadaniowego skutkującej zmianą ryzyka lub jego poziomu, wydziały dokonują aktualizacji rejestru ryzyka i przekazują zaktualizowany rejestr koordynatorowi. 6. Rejestr ryzyk wypełniany jest w następującej kolejności: 1) na etapie identyfikacji ryzyka wpisywane są dane: numer porządkowy, podzadanie, opis ryzyka, stosowane aktualnie mechanizmy kontrolne oraz właściciel ryzyka, 2) na etapie analizy ryzyka w rejestrze ryzyka wpisywane są dane: siła oddziaływania ryzyka, prawdopodobieństwo wystąpienia ryzyka, punktowa ocena ryzyka. Przy określaniu oddziaływania, prawdopodobieństwa oraz oceny ryzyka należy uwzględnić stosowane aktualnie mechanizmy kontrolne, 3) na etapie określania właściwej reakcji na ryzyko w rejestrze ryzyka wpisywane są informacje o przyjętej reakcji (tolerowanie, przeniesienie, wycofanie się, działanie). Prezydent, Zastępcy Prezydenta, Sekretarz lub Skarbnik w ramach posiadanych kompetencji może zdecydować o innej, niż opisana w rejestrze ryzyka, reakcji na ryzyko. 24 Raport roczny z zarządzania ryzykiem 1. W terminie do 15 marca każdego roku koordynator opracowuje i przedstawia Kolegium Prezydenta Raport roczny z zarządzania ryzykiem. 2. Raport roczny opracowywany jest w oparciu o raporty cząstkowe przekazywane w terminie do końca lutego przez komórki organizacyjne prowadzące cząstkowe rejestry ryzyka. 3. Wzór raportu stanowi załącznik nr 8 do niniejszego zarządzenia. 25 Samoocena systemu kontroli zarządczej 1. W ramach procesu samooceny dyrektorzy poszczególnych wydziałów dokonują samooceny systemu kontroli zarządczej w obszarze, za który odpowiadają. 2. W procesie samooceny uczestniczyć mogą także wszyscy pracownicy Urzędu, którzy zdecydują się skorzystać z systemu ankietowania. 3. Prezydent może zobowiązać poszczególnych pracowników do dokonania samooceny systemu kontroli zarządczej w obszarze, za który odpowiadają. 4. Samoocena może zostać przeprowadzona dodatkowo w trakcie roku budżetowego, w trybie doraźnym, w przypadku wystąpienia istotnych zmian w odniesieniu do funkcjonowania Urzędu. 26 Kwestionariusz samooceny 1. Podstawą udokumentowania samooceny jest kwestionariusz, w którym dokonuje się oceny wypełniania kryteriów kontroli zarządczej, według wzoru przekazywanego przez Biuro Kontroli w terminie do 15 stycznia. 2. Samoocenę przeprowadza się przy zachowaniu zasad rzetelności i bezstronności dokonywanych ocen, poprzez odniesienie się do istniejących dowodów funkcjonującego systemu kontroli zarządczej. W tym celu należy wykorzystać informacje zebrane w wyniku: 1) sprawowanego nadzoru merytorycznego,
2) wykonywanych przeglądów bieżących (monitoring) działalności, 3) analizy i oceny ryzyka oraz 4) informacje przekazywane przez pracowników, które mogą mieć wpływ na ocenę i doskonalenie kontroli zarządczej, 5) informacje na temat realizacji procedur wewnętrznych, 6) informacje na temat działań szkoleniowych i innych wzmacniających systemy kontrolne. 3. Podczas wypełniania kwestionariusza samooceny należy wziąć pod uwagę również wszelkie informacje na temat nieprawidłowości i ryzyk w funkcjonowaniu systemu kontroli zarządczej o jakich mowa w raportach z kontroli lub audytu. 27 1. W ramach samooceny należy dokonać oceny poszczególnych elementów kontroli zarządczej według przyjętej 5 stopniowej skali ocen dojrzałości jednostki stanowiącej załącznik nr 3 do niniejszego zarządzenia. Kwantyfikacja ocen przedstawia się następująco: 1) Ocena 1 Wyraźne nieprzestrzeganie wymogów. Ocena skrajnie negatywna. Wymagane są natychmiastowe działania naprawcze ze strony kierownictwa komórki, 2) Ocena 2 Niedostateczna. Ocena negatywna. Wymagane są natychmiastowe działania naprawcze ze strony kierownictwa komórki, 3) Ocena 3 Dostateczna. Ocena pozytywna. Działania naprawcze powinny nastąpić w czasie określonym przez kierownictwo komórki, 4) Ocena 4 Dobra. Ocena jednoznacznie pozytywna. Ewentualne działania udoskonalające powinny nastąpić w czasie określonym przez kierownictwo komórki, 5) Ocena 5 Najlepsza praktyka. Ocena wysoce pozytywna. Nie ma potrzeby podejmowania działań naprawczych. 2. W procesie samooceny dokonywanej przez pracowników Urzędu za pomocą systemu ankietowania nie stosuje się skali ocen dojrzałości jednostki. 28 Informacja o stanie kontroli zarządczej 1. W terminie do 15 lutego każdego roku dyrektorzy wydziałów przekazują do Biura Kontroli informację o stanie kontroli zarządczej w obszarze, za który odpowiadają, według wzoru określonego w załączniku nr 4 do niniejszego zarządzenia. 2. W terminie do 5 marca każdego roku, koordynator przygotowuje i przekazuje Prezydentowi zbiorcze informacje o stanie kontroli zarządczej w Urzędzie oraz w Mieście, według wzoru stanowiącego załącznik nr 9 do niniejszego zarządzenia. 3. Przy sporządzaniu informacji należy uwzględnić wyniki dokonanej samooceny systemu kontroli zarządczej oraz oceny realizacji założonych na dany rok celów, zadań i podzadań. 4. W procesie przygotowania informacji o stanie kontroli zarządczej Prezydent może zdecydować o konieczności złożenia informacji o stanie kontroli zarządczej przez poszczególnych pracowników. 29 1. W przypadku wystąpienia zastrzeżeń dotyczących funkcjonowania kontroli zarządczej, osoba podpisująca informację o stanie kontroli zarządczej zobowiązana jest do określenia działań naprawczych. 2. Ostateczną decyzję co do zakresu i terminu działań naprawczych podejmuje Prezydent.
30 Postanowienia końcowe Dyrektorzy wydziałów i kierownicy jednostek organizacyjnych Miasta są odpowiedzialni za wdrożenie i funkcjonowanie kontroli zarządczej zgodnie z postanowieniami niniejszego zarządzenia. Zobowiązani są również do zapoznania podległych pracowników z treścią zarządzenia. 31 Traci moc zarządzenie nr 1572/10 Prezydenta Miasta Gdańska z dnia 22 października 2010 roku w sprawie organizacji systemu kontroli zarządczej w Urzędzie Miejskim w Gdańsku i jednostkach organizacyjnych Miasta. 32 Zarządzenie wchodzi w życie z dniem podpisania. Prezydent Miasta Gdańska Paweł Adamowicz
Załącznik nr 1 do Zarządzenia Nr 1930/12 Prezydenta Miasta Gdańska z dnia 17 grudnia 2012 r. Plan działalności x na rok 20. Cele Planowany miernik nazwa Poziom Cel 1/20.. :... Cel 2/20.. :... Cel 3/20 :... Cel 4/20 :... Cel 5/20 :... x Nazwa jednostki....... Data Podpis kierownika jednostki
Załącznik nr 2 do Zarządzenia Nr 1930/12 Prezydenta Miasta Gdańska z dnia 17 grudnia 2012 r. Sprawozdanie z wykonania Planu działalności x za 20.. Cel Miernik planowany Miernik osiągnięty Uwagi nazwa poziom nazwa poziom Cel 1/20 :... Cel 2/20 :... Cel 3/20 :... Cel 4/20 :... Cel 5/20 :... Informacja dotycząca realizacji celów objętych planem działalności na rok... (Należy krótko opisać przyczyny, które spowodowały niezrealizowanie celów lub wystąpienie różnic w planowanych i osiągniętych wartościach mierników.)...... Data Podpis kierownika jednostki x Nazwa jednostki.
Ocena: 1 Wyraźnie nieprzestrzeganie wymogów Ocena dojrzałości jednostki Kryteria oceny systemu kontroli zarządczej Załącznik nr 3 do Zarządzenia Nr 1930/12 Prezydenta Miasta Gdańska z dnia 17 grudnia 2012 r. Objaśnienie: Oceniając każdy z elementów kontroli zarządczej należy pamiętać, że przyjęcie oceny pozytywnej (od 3 do 5) jest możliwe tylko wówczas gdy oceniany element spełnia wszystkie wskazane poniżej cechy składające się na opis oceny. Niespełnienie choćby jednego elementu opisu danej oceny oznacza brak możliwości jej przyjęcia. Ocena Środowisko wewnętrzne Cele i zarządzanie ryzykiem Mechanizmy Kontrolne Informacja i komunikacja Monitorowanie i ocena Mniej niż 25% odpowiedzi standardów 1-4. Mniej niż 25% odpowiedzi standardów 5-9. Mniej niż 25% odpowiedzi standardów 10-15. Mniej niż 25% odpowiedzi standardów 16-18. Mniej 25% odpowiedzi Tak na pytania dotyczące standardów 19-22. Częste przypadki naruszania wartości etycznych. Brak zasobów ludzkich, kadra jest niewykwalifikowana lub/i niekompetentna. Brak ocen okresowych pracowników. Brak struktury organizacyjnej lub/i struktura nie zapewnia właściwej realizacji celów. Brak formalnego podziału obowiązków. Delegowanie uprawnień realizowane jest w sposób przypadkowy i nieformalny. Brak misji i celów jednostki. Brak zarządzania ryzykiem. Brak mechanizmów kontrolnych zapewniających właściwy: - nadzór, - ciągłość działalności, - ochronę zasobów, - kontrolę operacji finansowych i gospodarczych - bezpieczeństwo danych i systemów informatycznych Istniejące mechanizmy kontrolne nie są stosowane w sposób ciągły lecz sporadycznie, ad hoc. Brak zasad komunikacji wewnętrznej i zewnętrznej. Częste przypadki przekazywania klientom zewnętrznym i wewnętrznym informacji spóźnionych lub/i nierzetelnych. Brak instrukcji, regulacji wewnętrznych formalizujących wykonywanie zadań, są one realizowane intuicyjnie. Brak systemów informatycznych, nie istnieją żadne ograniczenia w dostępie do informacji, informacja nie jest zabezpieczana. Brak zasad monitorowania i oceny systemu kontroli zarządczej. Samoocena kontroli zarządczej nie jest przeprowadzana.
Ocena: 2 Niedostateczna Ocena Środowisko wewnętrzne Cele i zarządzanie ryzykiem Mechanizmy Kontrolne Informacja i komunikacja Monitorowanie i ocena Mniej niż 50% odpowiedzi standardów 1-4. Mniej niż 50% odpowiedzi standardów 5-9. Mniej niż 50% odpowiedzi standardów 10-15. Mniej niż 50% odpowiedzi standardów 16-18. Mniej niż 50% odpowiedzi standardów 19-22. Brak dokumentu określającego wartości etyczne. Zasoby ludzkie są niewystarczające, część kadry jest niewykwalifikowana lub/i niekompetentna. Polityka kadrowa nie jest sformalizowana. Zrozumienie i akceptacja zasad środowiska wewnętrznego nie jest powszechna wśród kierownictwa i pracowników jednostki. Struktura organizacyjna nie gwarantuje prawidłowego podziału zadań lub funkcjonuje w sposób nieformalny. Misja i cele są określone, ale nie przypisano im mierników i podmiotów odpowiedzialnych za ich realizację. Brak jest monitoringu realizacji założonych celów. Nie istnieje dokumentacja procesu wyznaczania i monitorowania celów. Identyfikacja i szacowanie ryzyk jest wykonywane sporadycznie i intuicyjnie, nie istnieje dokumentacja tego procesu. Brak mechanizmów kontrolnych zapewniających właściwy: - nadzór, - ciągłość działalności, - ochronę zasobów, - kontrolę operacji fin.-gosp. - bezpieczeństwo danych i systemów informatycznych Stosowane mechanizmy kontroli nie stanowią odpowiedzi na konkretne ryzyka określone w procesie zarządzania ryzykiem. Dokumentacja dotycząca kontroli zarządczej jest niespójna i niedostępna dla wszystkich osób, dla których jest niezbędna. Są stosowane intuicyjnie, ad hoc, nie są ze sobą powiązane, oparte w dużym stopniu na indywidualnej wiedzy pracowników, a nie na sformalizowanej dokumentacji. Brak sformalizowanych, spójnych i wystandaryzowanych zasad komunikacji wewnętrznej i zewnętrznej. Cześć czynności wykonywana w oparciu o pisemne instrukcje, część poza instrukcjami, brak aktualizacji dokumentacji wewnętrznej. Zaprojektowane systemy IT (elektronicznego przetwarzania danych) nie gwarantują właściwego wykonania zadań i nie stanowią wsparcia dla instrukcji manualnych, powodując wykonywanie licznych nieefektywnych kontroli manualnych, niekonsekwentne zasady odnoszące się do ochrony poufności, integralności i dostępności do informacji. Brak sformalizowanych, spójnych i wystandaryzowanych zasad samooceny systemu kontroli zarządczej. Samoocena kontroli zarządczej jest przeprowadzana w sposób nieudokumentowany. Brak zapewnienia kierownika jednostki o stanie kontroli zarządczej.
Ocena: 3 Dostateczna Ocena Środowisko wewnętrzne Cele i zarządzanie ryzykiem Mechanizmy Kontrolne Informacja i komunikacja Monitorowanie i ocena Co najmniej 50% odpowiedzi standardów 1-4. Co najmniej 50% odpowiedzi standardów 5-9. Co najmniej 50% odpowiedzi standardów 10-15. Co najmniej 50% odpowiedzi standardów 16-18. Co najmniej 50% odpowiedzi standardów 19-22. Istnieje dokument określający wartości etyczne. Zasoby ludzkie są wystarczające, kadra jest wykwalifikowana i kompetentna. Podstawowe zasady polityki kadrowej są sformalizowane. Struktura organizacyjna jest określona w formie pisemnej. Struktura zapewnia właściwą realizację celów. Formalny zakres obowiązków określono dla każdego pracownika. Delegowanie uprawnień realizowane jest w sposób formalny. Misja i cele są formalnie określone. Do celów przypisano mierniki i podmioty odpowiedzialne za ich realizację. Wśród kadry zarządzającej istnieje świadomość analizy i oceny ryzyka. Miały miejsce szkolenia w tym zakresie. Dokonywana jest udokumentowana identyfikacja i analiza ryzyk w odniesieniu do celów. Brak pisemnych procedur w zakresie zarządzania ryzykiem. Istnieją mechanizmy kontrolne zapewniające właściwy: - nadzór, - ciągłość działalności, - ochronę zasobów, - kontrolę operacji finansowych i gospodarczych - bezpieczeństwo danych i systemów informatycznych Przepisy wewnętrzne, regulaminy, instrukcje są sformalizowane, jakkolwiek ich jakość i skuteczność jest ograniczona. Stosowane mechanizmy nie są jasne, stosowane przy ograniczonej przejrzystości i zrozumieniu. Istnieje wysoki stopień zależności od indywidualnej wiedzy pracownika, istnieje realne ryzyko błędnego stosowania. Istnieją sformalizowane, spójne i wystandaryzowane zasady komunikacji wewnętrznej i zewnętrznej. Na ogół informacje przekazywane klientom zewnętrznym i wewnętrznym są aktualne i rzetelne. Instrukcje są sformalizowane i aktualizowane, jakkolwiek zdarzają się przypadki opóźnień. Zaprojektowane systemy IT stanowią wsparcie dla instrukcji manualnych, ograniczony sposób zabezpieczenia w sposób formalny poufności, integralności informacji. Istnieją sformalizowane, spójne i wystandaryzowane zasady samooceny systemu kontroli zarządczej. Samoocena kontroli zarządczej jest przeprowadzana w sposób udokumentowany. Kierownik jednostki przedstawia zapewnienie o stanie kontroli zarządczej.
Ocena: 4 Dobra Ocena Środowisko wewnętrzne Co najmniej 75% odpowiedzi standardów 1-4. Cele i zarządzanie ryzykiem Co najmniej 75% odpowiedzi standardów 5-9. Mechanizmy Kontrolne Co najmniej 75% odpowiedzi standardów 10-15. Informacja i komunikacja Co najmniej 75% odpowiedzi standardów 16-18. Monitorowanie i ocena Co najmniej 75% odpowiedzi standardów 19-22. Wszyscy pracownicy zostali formalnie zapoznani z dokumentem określającym wartości etyczne. Zasoby ludzkie są w pełni wystarczające do realizacji celów. Jednostka planuje i realizuje politykę szkoleniową zapewniającą odpowiednie kwalifikacje i kompetencje kadry. Wszystkie zasady polityki kadrowej są sformalizowane. Struktura organizacyjna określona jest w formie pisemnej i odpowiada aktualnym celom. Każdy pracownik posiada aktualny zakres obowiązków. Delegowanie uprawnień jest sformalizowane, a ich przyjęcie każdorazowo potwierdzane podpisem. Określono misję jednostki. Cele są corocznie formalnie określane. Do każdego celu i zadania przypisano mierniki, zasoby i podmioty odpowiedzialne za ich realizację. Istnieje sformalizowany system monitorowania realizacji celów i zadań. Co roku dokonywana jest ocena końcowa realizacji celów i zadań. Kadra zarządzająca jest przeszkolona z zakresu zarządzania ryzykiem. Co najmniej raz w roku dokonywana jest w sposób formalny identyfikacja, a także określenie skutków i prawdopodobieństwa ryzyka w odniesieniu do celów. Zdefiniowano akceptowalne poziomy ryzyka. Istnieją pisemne procedury zarządzania ryzykiem. Istnieją sformalizowane, spójne i wystandaryzowane mechanizmy kontrolne zapewniające właściwy: - nadzór, - ciągłość działalności, - ochronę zasobów, - kontrolę operacji fin-gosp. - bezpieczeństwo danych i systemów informatycznych Procesy podlegają ciągłemu doskonaleniu, występują sporadyczne błędy. Istnieje niewielki stopień zależności od indywidualnej wiedzy pracownika, istnieje niskie ryzyko błędnego stosowania. Stosowane mechanizmy kontroli stanowią bezpośrednią odpowiedź na ryzyka określone w procesie zarządzania ryzykiem. Dokumentacja dotycząca kontroli zarządczej jest spójna i dostępna dla wszystkich osób, dla których jest niezbędna. Istnieją sformalizowane, spójne i wystandaryzowane zasady komunikacji wewnętrznej. Informacje przekazywane klientom zewnętrznym i wewnętrznym są zawsze aktualne i rzetelne. Istnieją formalne zasady komunikacji z podmiotami zewnętrznymi (tryby załatwiania spraw, przyjmowania skarg, reklamacji, etc.). Ewentualnemu doskonaleniu procesów towarzyszy aktualizacja instrukcji. Istnieją formalne zasady zabezpieczające poufność, integralność i dostępność do informacji. Automatyzacja i narzędzia elektroniczne są stosowane przez pracowników. Istnieją sformalizowane, spójne i wystandaryzowane zasady samooceny systemu kontroli zarządczej. Proces samooceny kontroli zarządczej jest udokumentowany. Oprócz kierownictwa również wszyscy pracownicy jednostki mają możliwość uczestniczenia w procesie samooceny kontroli zarządczej. Kierownik jednostki przedstawia zapewnienie o stanie kontroli zarządczej biorąc pod uwagę wyniki monitorowania, samooceny oraz ewentualnych audytów i kontroli.
Ocena: 5 Najlepsza praktyka Ocena Środowisko wewnętrzne Cele i zarządzanie ryzykiem Mechanizmy Kontrolne Informacja i komunikacja Monitorowanie i ocena Brak odpowiedzi Nie na pytania kwestionariusza samooceny dotyczące standardów 1-4. Brak odpowiedzi Nie na pytania kwestionariusza samooceny dotyczące standardów 5-9. Brak odpowiedzi Nie na pytania kwestionariusza samooceny dotyczące standardów 10-15. Brak odpowiedzi Nie na pytania kwestionariusza samooceny dotyczące standardów 16-18. Brak odpowiedzi Nie na pytania kwestionariusza samooceny dotyczące standardów 19-22. Wśród pracowników jak i kadry kierowniczej istnieje powszechna akceptacja i świadomość standardów kontroli zarządczej. Wszyscy pracownicy zostali formalnie zapoznani z dokumentem określającym wartości etyczne. Postępowanie pracowników jest zgodne z wartościami etycznymi. Polityka kadrowa jest sformalizowana i realizowana w sposób przejrzysty i spójny. Struktura organizacyjna określona jest w formie pisemnej i odpowiada aktualnym celom, każdy pracownik ma do niej bezpośredni dostęp. Każdy pracownik posiada aktualny zakres obowiązków. Delegowanie uprawnień jest sformalizowane, a ich przyjęcie każdorazowo potwierdzane podpisem. Określono misję jednostki. Cele są corocznie formalnie określane. Do każdego celu i zadania przypisano mierniki, zasoby i podmioty odpowiedzialne za ich realizację. Istnieje sformalizowany system monitorowania ich realizacji. Dokonana została formalna ocena końcowa realizacji celów/zadań uwzględniająca kryterium oszczędności, efektywności i skuteczności. Co najmniej raz w roku dokonywana jest w sposób formalny identyfikacja, a także określenie skutków i prawdopodobieństwa ryzyka w odniesieniu do celów. Zdefiniowano akceptowalne poziomy ryzyka i rodzaj reakcji. Proces zarządzania ryzykiem jest sformalizowany, doskonalony i podlega regularnym przeglądom. Kadra zarządzająca swobodnie korzysta z wszystkich technik zarządzania ryzykiem. Istnieją sformalizowane, spójne i wystandaryzowane mechanizmy kontrolne zapewniające właściwy: - nadzór, - ciągłość działalności, - ochronę zasobów, - kontrolę operacji finansowych i gospodarczych - bezpieczeństwo danych i systemów informatycznych Mechanizmy kontrolne są sformalizowane o dobrej standaryzacji, transparentne, stosowane i akceptowane zarówno przez pracowników jak i kadrę kierowniczą. Do każdego istotnego ryzyka określonego w procesie zarządzania ryzykiem przypisano mechanizm kontrolny stanowiący odpowiedź na to ryzyko. Dokumentacja dotycząca kontroli zarządczej jest spójna i dostępna dla wszystkich osób, dla których jest niezbędna. Istnieją sformalizowane, spójne i wystandaryzowane zasady komunikacji wewnętrznej. Informacje przekazywane klientom zewnętrznym i wewnętrznym są zawsze aktualne i rzetelne. Istnieją formalne zasady komunikacji z podmiotami zewnętrznymi (tryby załatwiania spraw, przyjmowania skarg, reklamacji, etc.). Instrukcje, regulaminy są na bieżąco aktualizowane przy zmianach i udoskonaleniach procesów. Istnieją zasady formalne zabezpieczające poufność, integralność i dostępność do informacji, są znane i akceptowane zarówno przez pracowników jak i kadrę kierowniczą. Istnieją sformalizowane, spójne i wystandaryzowane zasady samooceny systemu kontroli zarządczej. Proces samooceny kontroli zarządczej jest udokumentowany. Większość pracowników jednostki uczestniczy w procesie samooceny kontroli zarządczej. Kierownik jednostki przedstawia zapewnienie o stanie kontroli zarządczej biorąc pod uwagę wyniki monitorowania, samooceny oraz ewentualnych audytów i kontroli. Monitorowanie skuteczności poszczególnych elementów systemu kontroli zarządczej wykonywana w oparciu o czynności cykliczne, realizowane zgodnie z planem, na bieżąco. Pozyskiwana informacja dostarcza narzędzi do poprawiania jakości i efektywności zadań.
Załącznik nr 5 do Zarządzenia Nr 1930/12 Prezydenta Miasta Gdańska z dnia 17 grudnia 2012 r. Wytyczne do oceny prawdopodobieństwa wystąpienia i siły oddziaływania ryzyka Skala prawdopodobieństwa wystąpienia ryzyka Skala siły oddziaływania ryzyka Prawdopodobieństwo wystąpienia Oszacowane ryzyko Siła oddziaływania Oszacowane ryzyko Tego typu ryzyko do tej pory jeszcze nigdy nie wystąpiło. 1 Organizacyjne: 1 Obszar działania/proces nie dotyczy kwestii strategicznych, nie należy do priorytetowych czynności generujących ryzyko. Przy realizacji danego podzadania nie współpracuje się z innymi komórkami organizacyjnymi. W ostatnich 2 latach obszar/proces nie podlegał zmianom technologicznym, organizacyjnym i kadrowym, bądź podlegał zmianom w minimalnym stopniu i uznaje się je za wdrożone. Oceniany obszar/proces uregulowany jest wyłącznie regulacjami wewnętrznymi. znikome Mała niezgodność z regulacjami wewnętrznymi. Nie występuje zagrożenie utraty dobrego wizerunku. Ewentualne zakłócenia nie mają wpływu na realizację podzadań i osiąganie celów. Ewentualne skutki ograniczane (neutralizowane) przez istniejące mechanizmy kontrolne. Finansowe: Nie przewiduje się wystąpienia straty finansowej, dodatkowych kosztów bądź nieznaczne do 3 tys. zł. nieznaczne Tego typu ryzyko nie wystąpiło w okresie ostatnich 10 lat. Ryzyko prawdopodobnie nie wystąpi/może wystąpić w zupełnie wyjątkowych sytuacjach. Przy realizacji danego podzadania współpracuje się z małą (1 lub 2) liczbą komórek organizacyjnych. W ostatnim roku obszar/proces nie podlegał zmianom technologicznym, organizacyjnym i kadrowym, bądź podlegał zmianom w minimalnym stopniu i uznaje się je za wdrożone. Obszar/proces w małym zakresie objęty regulacjami o charakterze zewnętrznym. Nie podlegały one zmianom. 2 niskie Organizacyjne: Średnia niezgodność z regulacjami wewnętrznymi lub niska niezgodność z postanowieniami umów. Małe zakłócenia pracy, ewentualne utrudnienia w realizacji podzadań, nie mające wpływu na osiąganie zadań i celów. Istniejące mechanizmy kontrolne powinny ograniczyć skutki ewentualnych zakłóceń. Małe zagrożenie utraty dobrego wizerunku. Finansowe: 2 małe powyżej 3 tys. do 10 tys. zł
Prawdopodobieństwo wystąpienia Oszacowane ryzyko Siła oddziaływania Oszacowane ryzyko Tego typu ryzyko nie wystąpiło w okresie ostatnich 5 lat. 3 Organizacyjne: 3 Przy realizacji danego podzadania współpracuje się z dużą (co najmniej 3) liczbą komórek organizacyjnych. W ciągu ostatniego roku obszar/proces podlegał ograniczonym zmianom organizacyjnym, technologicznym i kadrowym. średnie Niska niezgodność z przepisami prawa lub średnia niezgodność z postanowieniami umów lub poważna niezgodność z regulacjami wewnętrznymi. Średnie zakłócenia pracy. Potencjalne zagrożenia mogą doprowadzić do niewykonania podzadania. średnie Obszar/proces objęty w małym stopniu regulacjami zewnętrznymi, które mogły podlegać w ostatnim okresie pewnym zmianom. Może dotyczyć podzadań o specjalnym znaczeniu dla celów działalności. Istniejące mechanizmy kontrolne tylko w pewnym stopniu mogą ograniczyć skutki ewentualnych zakłóceń. Średnie zagrożenie utraty dobrego wizerunku ograniczone do skali miasta. Finansowe: lub/i > 10 tys. do 50 tys. zł Tego typu ryzyko nie wystąpiło w okresie ostatniego roku, ale miało miejsce w okresie ostatnich 5 lat. Istnieje wysokie prawdopodobieństwo na wystąpienie tego ryzyka. Obszar/proces wymaga współpracy z dużą (co najmniej 3) liczbą komórek i jednostek organizacyjnych lub/i podmiotami zewnętrznymi. W ciągu ostatniego roku obszar/proces podlegał zmianom technologicznym, organizacyjnym i kadrowym, z których część może wymagać poprawek i działań dostosowawczych. Obszar/proces objęty dużą liczbą regulacji prawnych (zewnętrznych i wewnętrznych), które w ostatnim roku podlegały istotnym zmianom. 4 wysokie Organizacyjne: Średnia niezgodność z przepisami prawa lub poważna niezgodność z postanowieniami umów. Poważne zakłócenia pracy. Mogą doprowadzić do niewykonywania podzadania cyklicznie (stałe zagrożenie). Niska skuteczność istniejących mechanizmów kontrolnych. Wysokie zagrożenie utraty dobrego wizerunku lub/i oddziaływanie poza obszarem miasta. Zagrożenie zdrowia ludzi. Finansowe: 4 poważne > 50 tys. do 100 tys. zł.
Prawdopodobieństwo wystąpienia Oszacowane ryzyko Siła oddziaływania Oszacowane ryzyko Tego typu ryzyko wystąpiło w okresie ostatniego roku lub/i istnieje bardzo wysokie prawdopodobieństwo na wystąpienie tego ryzyka. Obszar/proces wymaga współpracy z dużą (co najmniej 3) liczbą komórek i jednostek organizacyjnych lub/i podmiotami zewnętrznymi. W ostatnim roku obszar/proces podlegał istotnym zmianom technologicznym, organizacyjnym i kadrowym albo obszar podlega częstym zmianom tego typu bądź też obszar jest w trakcie zmian. Obszar/proces objęty dużą liczbą regulacji prawnych (zewnętrznych i wewnętrznych), które w ostatnim roku podlegały istotnym zmianom lub/i, które zmienią się z pewnością w ciągu najbliższego roku. 5 bardzo wysokie Organizacyjne: Poważna niezgodność z przepisami prawa. Olbrzymie zakłócenia pracy. Zagrożenia spowodują brak zachowania ciągłości procesów działania, utrzymania funkcjonalności systemów niezbędnych do wykonywania podstawowych podzadań. Brak osiągnięcia kluczowych zadań i celów. Brak odpowiednich mechanizmów kontrolnych bądź istniejące mechanizmy okazują się nieskuteczne. Bardzo wysokie zagrożenie związane z utratą dobrego wizerunku lub/i oddziaływanie na terenie całego kraju.. 5 katastrofalne Zagrożenie życia ludzi. Finansowe: > 100 tys. zł, utrata znacznego majątku.
Załącznik nr 6 do Zarządzenia Nr 1930/12 Prezydenta Miasta Gdańska z dnia 17 grudnia 2012 r. Mapa ryzyka ODDZIAŁYWANIE KATASTROFALNE 5 10 15 20 25 POWAŻNE 4 8 12 16 20 ŚREDNIE 3 6 9 12 15 MAŁE 2 4 6 8 10 NIEZNACZNE 1 2 3 4 5 ZNIKOME NISKIE ŚREDNIE WYSOKIE BARDZO WYSOKIE PRAWDOPODOBIEŃSTWO
Lp. Podzadanie Opis ryzyka Właściciel ryzyka Stosowane aktualnie mechanizmy kontrolne Siła oddziaływania ryzyka w skali 1-5 Prawdopodobieństwo wystąpienia ryzyka w skali 1-5 Punktowa ocena ryzyka iloczyn oddziaływania i prawdopodobieństwa. (8 = 6 x 7) Reakcja na ryzyko (planowane działania) Załącznik nr 7 do Zarządzenia Nr 1930/12 Prezydenta Miasta Gdańska z dnia 17 grudnia 2012 r. Rejestr ryzyka x za 20.. 1. 2. 3. 4. 5. 6. 7. 8. 9. 1. 2. 3. 4. 5. 6. 7. 8. 9....... Data Podpis kierownika komórki x Nazwa komórki
Lp. Załącznik nr 8 do Zarządzenia Nr 1930/12 Prezydenta Miasta Gdańska z dnia 17 grudnia 2012 r. Raport roczny z zarządzania ryzykiem w x za 20.. 1. 2. 3. 4. 5. 6. 7. 8. Podzadanie xx Opis ryzyka Właściciel ryzyka Punktowa ocena ryzyka Czy ryzyko się zmaterializowało? (Tak / Nie) Opis podjętych działań (jeżeli odpowiedź Tak w kolumnie 6) Opis planowanych działań (o ile są planowane) 1. 2. 3. 4. 5. 6. x Nazwa komórki...... Data Podpis kierownika komórki xx W kolumnach 2-5 przepisujemy informacje z rejestru ryzyka za rok, do którego odnosi się raport roczny