REGULAMIN ZARZĄDZANIA RYZYKIEM w Sądzie Okręgowym w Krakowie I. POSTANOWIENIA OGÓLNE 1 Regulamin określa sposób prowadzenia polityki zarządzania ryzykiem w Sądzie Okręgowym w Krakowie. 2 Misją Sądu Okręgowego jest sprawowanie wymiaru sprawiedliwości w zakresie należącym do jego właściwości i zagwarantowanie obywatelom konstytucyjnego prawa do sądu oraz wydawanie wyroków w imieniu Rzeczypospolitej Polskiej. 3 Każda aktywność Sądu niesie za sobą ryzyko związane ze zdarzeniem lub działaniem mogącym wpłynąć na zdolność realizacji celów działalności Jednostki. 4 Zarządzanie ryzykiem jako nieodłączny element zarządzania działalnością Sądu należy do odpowiedzialności najwyższego jej kierownictwa. 5 Standardy zarządzania ryzykiem są ściśle powiązane z budżetem zadaniowym określającym kluczowe cele działalności Jednostki poprzez ocenę zagrożeń dla jego realizacji. II. DEFINICJE Użyte w Regulaminie określenia oznaczają: 6 1
1) ryzyko - zdarzenie o określonym prawdopodobieństwie, którego wystąpienie może mieć negatywny wpływ na realizację założonych celów i zadań.. 2) zarządzanie ryzykiem - logiczna i systematyczna metoda identyfikacji, analizy, oceny działania, nadzoru oraz informowania o ryzyku w sposób, który umożliwi Jednostce minimalizację strat i maksymalizację możliwości. 3) identyfikacja ryzyka - polega na rozpoznawaniu typów ryzyk i niepewności, które mogą wystąpić w Jednostce, a których wystąpienie zmniejsza prawdopodobieństwo osiągnięcia celów i realizacji zadań. 4) analiza ryzyka - proces, którego elementami są: identyfikacja, oszacowanie oraz hierarchizacja pojedynczych zdarzeń mogących niekorzystnie wpłynąć na osiągnięcie celu. 5) właściciel ryzyka - osoba, która odpowiada za realizację danego zadania. 6) funkcjonujące mechanizmy kontrolne występowanie polityki, standardów, procedur, których celem jest minimalizacja negatywnych skutków ryzyka dla Jednostki. 7) prawdopodobieństwo wystąpienia ryzyka - szacowane prawdopodobieństwo lub możliwość wystąpienia zdarzenia przy uwzględnieniu funkcjonujących mechanizmów kontrolnych. 8) wpływ na realizację zadań i celów jednostki - przewidywane możliwe wyniki, skutki lub konsekwencje dla jednostki. 9) istotność ryzyka - stanowi iloczyn z oceny prawdopodobieństwa i wpływu na realizację zadań i celów jednostki. 10) wymagane działania (reakcja na ryzyko) - zadania, które należy podjąć w celu zmniejszenia danego ryzyka do akceptowalnego poziomu (tolerowanie, przeniesienie, wycofanie, działanie), odpowiedź na konkretne ryzyko. 11) apetyt na ryzyko - określenie akceptowalnego poziomu ryzyka (tzw. próg istotności). 12) zadania wrażliwe - działania przy wykonywaniu których pracownicy mogą być szczególnie podatni na szkodliwe wpływy dla funkcjonowania Jednostki np. korupcja. 13) incydent - ziszczenie się ryzyka mimo zastosowania wymagalnych standardów kontroli. III. ISTOTA I ORGANIZACJA POLITYKI ZARZĄDZANIA RYZYKIEM 7 Polityka zarządzania ryzykiem wprowadzona została w celu identyfikacji obszarów ryzyka, jego szacowania, a następnie ewentualnej reakcji na ryzyko. 2
8 Realizacji istoty polityki zarządzania ryzykiem mają służyć: 1) określenie misji Jednostki; 2) określenie celów i zadań oraz monitorowanie i ocena ich realizacji; 3) identyfikacja ryzyka w sposób planowy i systematyczny; 4) analiza ryzyka; 5) reakcja na ryzyko. 9 Stosowanie polityki zarządzania ryzykiem ma służyć: 1) usprawnieniu funkcjonowania działalności Sądu poprzez zwiększenie prawdopodobieństwa osiągnięcia założonych celów oraz planowanego poziomu realizacji zadań; 2) podniesieniu świadomości pracowników w obszarze zagadnień związanych z zarządzaniem ryzykiem; 3) ciągłości analizy, monitorowania obszarów ryzyka i zadań wrażliwych; 4) podejmowaniu określonych działań, wprowadzaniu odpowiednich mechanizmów, akceptacji bądź wycofania w odpowiedzi na ryzyko; 5) zapewnieniu skuteczności funkcjonowania mechanizmów kontrolnych; 6) zapewnieniu gospodarności Sądu; 10 Proces zarządzania ryzykiem powinien być odpowiednio dokumentowany poprzez min. prowadzenie rejestru ryzyk, protokołowanie posiedzeń Zespołu d/s Identyfikacji i Szacowania Ryzyka. IV. IDENTYFIKACJA I ANALIZA RYZYKA 11 1. Identyfikacja i analiza ryzyka dokonywania jest przez poszczególnych właścicieli ryzyka, tj. osoby odpowiedzialne za powierzone im zadania, bądź właściwych pracowników (co najmniej raz na kwartał) oraz Audytorów Wewnętrznych w ramach wykonywania przez nich czynności związanych z planowaniem rocznym i realizacją zadań audytowych. 2. W przypadku istotnej zmiany warunków funkcjonowania Jednostki identyfikacji i analizy ryzyka należy dokonać ponownie. 3
3. Identyfikacja i analiza ryzyka dokonywana jest w oprogramowaniu Risk Manager. 12 Jako organ doradczy w zakresie identyfikacji i analizy ryzyka powołuje się Zespół d/s Identyfikacji i Szacowania Ryzyka, o którym mowa w 18. 13 Identyfikacji i analizie ryzyka powinny być poddawane wszystkie obszary działalności Jednostki zarówno jako całości, jak i poszczególne obszary jej działalności. 14 Szczególna uwaga w zakresie identyfikacji i analizy ryzyka powinna dotyczyć kluczowych celów działalności Jednostki. 15 Identyfikacja i analiza ryzyka odbywa się przy uwzględnieniu czynników zarówno wewnętrznych, jak i zewnętrznych. W analizie należy podać ewentualne przyczyny i sposób oddziaływania na Jednostkę w razie jego wystąpienia. 16 Dokonując identyfikacji i analizy ryzyka należy wskazać komórkę organizacyjną bądź osobę odpowiedzialną (właściciela ryzyka) za realizację określonych procesów/czynności. 17 W Jednostce stosuje się następującą skalę punktową prawdopodobieństwa wystąpienia ryzyka: 1 znikome, 2 niskie, 3 średnie, 4 wysoki. W zakresie wpływu na realizację zadań i celów jednostki przyjmuje się następujące kryteria: 1 znikome zdarzenie w nieznaczny sposób wpływa na funkcjonowanie sądu, 2 niskie zdarzenie utrudnia realizację zadań przez sąd, 3 średnie zdarzenie uniemożliwia realizację zadań przez sąd, 4
4 wysoki zdarzenie uniemożliwia funkcjonowanie sądu. 18 W razie końcowej oceny ryzyka przekraczającej apetyt na ryzyko, właściciel ryzyka wskazuje na konkretne działania (reakcję na ryzyko) wraz ze wskazaniem terminu wykonania. V. ZESPÓŁ D/S IDENTYFIKACJI I SZACOWANIA RYZYKA 19 Wspólnym zarządzeniem Prezesa Sądu Okręgowego i Dyrektora Sądu Okręgowego powołuje się Zespół d/s Identyfikacji i Szacowania Ryzyka. W skład Zespołu wchodzi od sześciu do ośmiu członków, z których grona wybierany jest przewodniczący Zespołu i Jego zastępca. 20 Do zadań zespołu należą: 1. Organizowanie procesu identyfikacji, analizy i reakcji na ryzyko, 2. Czuwanie nad prawidłowością, systematycznością i terminowością procesu zarządzania ryzykiem, 3. Doradzanie Kierownictwu Sądu w zakresie procesu zarządzania ryzykiem, 4. Raportowanie Kierownictwu Sądu stanu procesu zarządzania ryzykiem. 21 Zespół d/s Identyfikacji i Szacowania Ryzyka zbiera się co najmniej raz na kwartał. W razie potrzeby zwoływane są dodatkowe zebrania. 22 Pracą Zespołu kieruje Jego Przewodniczący lub, pod jego nieobecność, jego Zastępca. 23 Zebrania zespołu są dokumentowane w formie protokołu, do którego każdorazowo dołączana jest lista obecności jego uczestników. 5
VI. RAPORTOWANIE I MONITOROWANIE RYZYKA 24 Monitorowanie ryzyka wprowadza się w celu oceny zachodzących w nim zmian, sprawdzenia, czy stosowana punktowa ocean ryzyka nie wymaga modyfikacji oraz zadbania o skuteczność funkcjonujących mechanizmów kontrolnych. 25 Informacje dotyczące ryzyka w jednostce prowadzone są w oprogramowaniu Risk Manager. 27 Proces monitorowania ryzyka powinien uwzględniać przewidywane zmiany czynników ryzyka w co najmniej rocznej perspektywie. VII. REAKCJA NA RYZYKO 28 Określenie reakcji na ryzyko w postaci proponowanych czynności do wykonania względnie sugerowanego wycofania się należy do właścicieli ryzyka. 29 Ustalony zostaje poziom akceptowalnego ryzyka, tj. apetytu na ryzyko do wysokości 3 punktów w skali punktowej oceny ryzyka. 30 Ryzyko ocenione powyżej 3 punktów w skali punktowej oceny ryzyka wymaga zastosowania odpowiednich mechanizmów prewencyjnych służących zmniejszeniu tego ryzyka do akceptowalnego poziomu, polegających na jego tolerowaniu, przeniesieniu, wycofaniu lub działaniu. 6
31 Przy analizie ryzyka przyjmuje się następujące reakcje na wynik istotności ryzyka: 1) od 1 do 3 - funkcjonuje wystarczający mechanizm zarządzania ryzykiem, zatem działaniem, jakie należy wykonywać, jest monitorowanie i raportowanie ryzyka dostosowane do rzeczywistych, zmieniających się w czasie, warunków i otoczenia, 2) od 4 do 6 - sytuacja przekracza apetyt Jednostki na ryzyko, wymagane jest podjęcie działań zaradczych, 3) od 8 do 16 - ryzyko w stopniu alarmistycznym - konieczne podjęcie działań, względnie decyzja o wycofaniu się. Powyższe progi nie są sztywne, w zależności od konkretnego ryzyka jego właściciel powinien podjąć adekwatne działania. VIII. POSTANOWIENIA KOŃCOWE 32 Zmiany w polityce i procedurze zarządzania ryzykiem zatwierdzane są przez Kierownictwo Sądu. 7