Zarządzanie ryzykiem w jednostce samorządu terytorialnego MARCIN SZEMRAJ CGAP
Założenia zarządzania ryzykiem. podmiot istnieje po to, aby przynosić korzyści. wszystkie podmioty, w swej działalności, borykają się z niepewnością. niepewność jest źródłem zarówno ryzyka jak i możliwości. zarządzanie ryzykiem pozwala skutecznie radzić sobie z niepewnością
Zdarzenia ryzyko i szanse zdarzeniem jest sytuacja wywołana przez czynniki wewnętrzne lub zewnętrzne, która wywiera wpływ na osiąganie celów jednostki. zdarzenia mogą mieć skutki pozytywne, negatywne lub oba rodzaje jednocześnie. zdarzenia o skutkach negatywnych oznaczają ryzyko. zdarzenia o skutkach pozytywnych oznaczają szanse.
Definicja ryzyka Ryzyko to możliwość, że zdarzenie będzie miało miejsce i negatywnie wpłynie na osiągnięcie celów. Definicja szansy Szansa to możliwość wystąpienia zdarzenia, które pozytywnie wpłynie na realizację celów Obie kategorie mierzone są w kategoriach prawdopodobieństwa i skutków następstw
Definicja zarządzania ryzykiem: Zarządzanie ryzykiem jest procesem ciągłym, realizowanym przez Kierownictwo lub inny personel jednostki uwzględniony w strategii (misji), którego celem jest: identyfikacja zdarzeń mogących wywrzeć wpływ na działalność jednostki utrzymywanie ryzyka w ustalonych granicach, oraz rozsądne zapewnienie realizacji celów jednostki
Zarządzanie ryzykiem jest: procesem zachodzącym w całej jednostce realizowane przez ludzi na każdym szczeblu organizacji uwzględnione w strategii (misji) uwzględniane w całej jednostce, na każdym szczeblu i obejmuje postrzeganie ryzyka z poziomu całej jednostki stworzone po to, aby móc identyfikować potencjalne, zdarzenia wpływające na jednostkę stworzone po to, aby móc utrzymywać ryzyko w określonych granicach w stanie zapewnić rozsądny poziom pewności kierownictwu jednostki skierowane ku osiąganiu celów jednostki (operacyjnych i strategicznych) środkiem realizacji celu, a nie celem samym w sobie
Wyróżniamy następujące rodzaje ryzyka: strategiczne zagraża długofalowej działalności, planom wieloletnim, dynamice rozwoju, np. kierunki zmian, pojawienie się innych podmiotów, zachowania i preferencje klientów operacyjne dotyczące bieżącej działalności organizacji, personelu, dostarczanych usług, np. zmiany w prawie, rekrutacja personelu, kultura organizacyjna, umiejętności kadry zarządzającej finansowe koncentrują się na kontroli i zarządzaniu finansami jednostki, np. dostępność środków, kredyty, kursy walut itp. losowe dotyczą katastrof, wypadków, które mogą spowodować przestój w działalności jednostki lub straty w majątku, np. pożary, włamania, wypadki kluczowych pracowników, zalania itp.
Najpowszechniejszym modelem kontroli wewnętrznej jest model COSO. Założenia modelu COSO opublikowane zostały w 1992 r. w dokumencie Kontrola wewnętrzna zintegrowana struktura ramowa
INFORMACJA I Zarządzanie ryzykiem w jednostce samorządu terytorialnego KOMUNIKOWANIE MONIT CZYNNOŚCI OCENA ŚRODOWISKO KOMUNIKOWANIE ORING KONTORLNE INFORMACJA I RYZYKA KONTROLI
Art. 68 ust. 2 Ustawy o finansach publicznych Celem kontroli zarządczej jest zapewnienie w szczególności: - zgodności działalności z przepisami prawa oraz procedurami wewnętrznymi - skuteczności i efektywności działania - wiarygodności sprawozdań - ochrony zasobów - przestrzegania i promowania zasad etycznego postępowania - efektywności i skuteczności przepływu informacji - zarządzania ryzykiem
Zgodnie z ogólnymi wytycznymi do systemów zarządzania i kontroli funduszy strukturalnych i Funduszu Spójności, opracowanymi przez Departament Certyfikacji i Poświadczeń Śródków z Unii Europejskiej (marzec 2007 r.) każda jednostka zaangażowana we wdrażanie funduszy strukturalnych wdroży odpowiednie procedury dotyczące zarządzania ryzykiem związanym z zadaniami wykonywanymi w ramach wdrażania programów z funduszy strukturalnych i Funduszu Spójności. Jednostka systematycznie będzie identyfikowała i analizowała ryzyko. Jednostka zapewni, że w stosunku do wszystkich istotnych ryzyk zostaną podjęte odpowiednie działania (w tym m.in. wprowadzone zostaną odpowiednie mechanizmy organizacyjne eliminujące lub ograniczające ryzyko).
KOMUNIKAT Nr 23 MINISTRA FINANSÓW z dnia 16 grudnia 2009 r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych
Standardy kontroli zarządczej dla sektora finansów publicznych określają podstawowe wymagania odnoszące się do kontroli zarządczej w sektorze finansów publicznych. Celem standardów jest promowanie wdrażania w sektorze finansów publicznych spójnego i jednolitego modelu kontroli zarządczej zgodnego z międzynarodowymi standardami w tym zakresie, z uwzględnieniem specyficznych zadań jednostki, która ją wdraża i warunków, w których jednostka działa.
Standardy stanowią uporządkowany zbiór wskazówek, które osoby odpowiedzialne za funkcjonowanie kontroli zarządczej powinny wykorzystać do tworzenia, oceny i doskonalenia systemów kontroli zarządczej. Standardy zostały przedstawione w pięciu grupach odpowiadających poszczególnym elementom kontroli zarządczej: a) środowisko wewnętrzne, b) cele i zarządzanie ryzykiem, c) mechanizmy kontroli, d) informacja i komunikacja, e) monitorowanie i ocena.
Przy opracowywaniu standardów uwzględniono następujące międzynarodowe standardy: a) Kontrola wewnętrzna - zintegrowana koncepcja ramowa oraz Zarządzanie ryzykiem w przedsiębiorstwie - raporty opracowane przez Komitet Organizacji Sponsorujących Komisję Treadway (Committee of Sponsoring Organizations of the Treadway Commission - COSO), b) Wytyczne w sprawie standardów kontroli wewnętrznej w sektorze publicznym - przyjęte w 2004 r. przez Międzynarodową Organizację Najwyższych Organów Kontroli/Audytu (International Organization of Supreme Audit Institutions - INTOSAI), c) Zmienione Standardy Kontroli wewnętrznej służące skutecznemu zarządzaniu Komisji Europejskiej przyjęte w 2007 r. [The Revised Internal Control Standard for Effective Management SEC (2007) 1341 appendix 1].
Środowisko wewnętrzne 1.Przestrzeganie wartości etycznych Osoby zarządzające i pracownicy powinni być świadomi wartości etycznych przyjętych w jednostce przestrzegać ich przy wykonywaniu powierzonych zadań. Osoby zarządzające powinny wspierać i promować przestrzeganie wartości etycznych dając dobry przykład codziennym postępowaniem i podejmowanymi decyzjami.
2. Kompetencje zawodowe Należy zadbać, aby osoby zarządzające i pracownicy posiadali wiedzę, umiejętności i doświadczenie pozwalające skutecznie i efektywnie wypełniać powierzone zadania. Proces zatrudnienia powinien być prowadzony w sposób zapewniający wybór najlepszego kandydata na dane stanowisko pracy. Należy zapewnić rozwój kompetencji zawodowych pracowników jednostki i osób zarządzających.
3. Struktura organizacyjna Struktura organizacyjna jednostki powinna być dostosowana do aktualnych celów i zadań. Zakres zadań, uprawnień i odpowiedzialności jednostek, poszczególnych komórek organizacyjnych jednostki oraz zakres podległości pracowników powinien być określony w formie pisemnej w sposób przejrzysty i spójny. Aktualny zakres obowiązków, uprawnień i odpowiedzialności powinien być określony dla każdego pracownika.
4. Delegowanie uprawnień Należy precyzyjnie określić zakres uprawnień delegowanych poszczególnym osobom zarządzającym lub pracownikom. Zakres delegowanych uprawnień powinien być odpowiedni do wagi podejmowanych decyzji, stopnia ich skomplikowania i ryzyka z nimi związanego. Zaleca się delegowanie uprawnień do podejmowania decyzji, zwłaszcza tych o bieżącym charakterze. Przyjęcie delegowanych uprawnień powinno być potwierdzone podpisem.
Cele i zarządzanie ryzykiem Jasne określenie misji może sprzyjać ustaleniu hierarchii celów i zadań oraz efektywnemu zarządzaniu ryzykiem. Zarządzanie ryzykiem ma na celu zwiększenie prawdopodobieństwa osiągnięcia celów i realizacji zadań. Proces zarządzania ryzykiem powinien być dokumentowany.
5. Misja Należy rozważyć możliwość wskazania celu istnienia jednostki w postaci krótkiego i syntetycznego opisu misji. Misja ministerstwa powinna odnosić się do działów administracji rządowej kierowanych przez ministra, a misja urzędu jednostki samorządu terytorialnego odpowiednio do tej jednostki.
6. Określanie celów i zadań, monitorowanie i ocena ich realizacji Cele i zadania należy określać jasno i w co najmniej rocznej perspektywie. Ich wykonanie należy monitorować za pomocą wyznaczonych mierników. W jednostce nadrzędnej lub nadzorującej należy zapewnić odpowiedni system monitorowania realizacji celów i zadań przez jednostki podległe lub nadzorowane. Zaleca się przeprowadzanie oceny realizacji celów i zadań uwzględniając kryterium oszczędności, efektywności i skuteczności. Należy zadbać, aby określając cele i zadania wskazać także jednostki, komórki organizacyjne lub osoby odpowiedzialne bezpośrednio za ich wykonanie oraz zasoby przeznaczone do ich realizacji.
S M A R T Specyficzny - zawierający konkretny przekaz Mierzalny - aby można było go zmierzyć, czyli np. liczbowo wyrazić jego realizację Ambitny - aby wzbudzał zainteresowanie, chęć do działania Realistyczny - aby był możliwy do osiągnięcia w określonym czasie przy posiadanych zasobach. Terminowy - konieczne wskazanie perspektywy osiągnięcia celu
7. Identyfikacja ryzyka Nie rzadziej niż raz w roku należy dokonać identyfikacji ryzyka w odniesieniu do celów i zadań. W przypadku działu administracji rządowej lub jednostki samorządu terytorialnego należy uwzględnić, że cele i zadania są realizowane także przez jednostki podległe lub nadzorowane. W przypadku istotnej zmiany warunków, w których funkcjonuje jednostka należy dokonać ponownej identyfikacji ryzyka.
8.Analiza ryzyka Zidentyfikowane ryzyka należy poddać analizie mającej na celu określenie prawdopodobieństwa wystąpienia danego ryzyka i możliwych jego skutków. Należy określić akceptowany poziom ryzyka.
9.Reakcja na ryzyko W stosunku do każdego istotnego ryzyka powinno się określić rodzaj reakcji (tolerowanie, przeniesienie, wycofanie się, działanie). Należy określić działania, które należy podjąć w celu zmniejszenia danego ryzyka do akceptowanego poziomu.
C. Mechanizmy kontroli 10. Dokumentowanie systemu kontroli zarządczej 11. Nadzór 12. Ciągłość działalności 13. Ochrona zasobów 14. Szczegółowe mechanizmy kontroli dotyczące operacji finansowych i gospodarczych 15. Mechanizmy kontroli dotyczące systemów informatycznych
D. Informacja i komunikacja 16.Bieżąca informacja 17.Komunikacja wewnętrzna 18.Komunikacja zewnętrzna
E. Monitorowanie i ocena 19.Monitorowanie systemu kontroli zarządczej 20.Samoocena 21.Audyt wewnętrzny 22.Uzyskanie zapewnienia o stanie kontroli zarządczej
Identyfikacja ryzyka i definiowanie jego zakresu Istnieją trzy fundamentalne zasady dotyczące analizy ryzyka: przyjęcie spójnej metody w całej organizacji zbudowanie jasnej struktury dla całego procesu, aby każdy element lub poziom identyfikacji ryzyka mieścił się w ogólnej strukturze zbudowanie zatwierdzonej na szczeblu kierowniczym struktury, w ramach której ryzyko będzie identyfikowane
Narzędzia identyfikacji ryzyka Najczęściej przy identyfikacji ryzyka stosowane są dwa narzędzia: zlecenie analizy ryzyka, wiążące się z powołaniem zespołu, którego zadaniem jest przeanalizowanie wszystkich operacji i działań wykonywanych przez organizację w związku z realizowanymi celami i identyfikacja związanego z nimi ryzyka kontrola i samoocena pod kątem ryzyka, polegająca na analizie, przez poszczególne komórki organizacyjne, swych działań i przekazaniu diagnozy dotyczącej zidentyfikowanych ryzyk. Stosowane są tu metody analizy dokumentacji lub warsztatów. W praktyce zalecane jest połączenie obu podejść.
Kategorie ryzyka Kluczowym etapem jest określenie rodzajów ryzyka. Trudności sprawia fakt, iż w analizie ryzyka występują różne jego rodzaje, nie zawsze łatwo ze sobą porównywalne.
Przypisywanie własności ryzyka Kluczowym etapem analizy ryzyka jest przypisanie odpowiedzialności za zarządzanie tymi rodzajami ryzyka. Należy przypisać odpowiedzialność za dane ryzyko odpowiedniej osobie z kierownictwa. Zapewnia to bardziej efektywne sprawowanie odpowiedzialności nad zidentyfikowanym ryzykiem.
Ocena apetytu na ryzyko Apetyt na ryzyko to stopień ryzyka, jaki organizacja gotowa jest podjąć, zanim uzna, że konieczna jest interwencja. Apetyt na ryzyko powinien być oceniany w stosunku do ewentualnych korzyści. Ze względu na fakt, iż środki na kontrolę ryzyka są ograniczone, należy podejmować decyzje z punktu widzenia kryterium gospodarności. Apetyt na ryzyko może być konkretnie związany ze szczególnym rodzajem ryzyka, lub może być określony bardziej ogólnie. W tym przypadku należy określić granicę ryzyka, jakie organizacja jest skłonna jest podjąć w danym momencie.
Ocena apetytu na ryzyko Decyzje w ramach organizacji muszą być podejmowane w kontekście określonego poziomu ryzyka, które organizacja chce podjąć. Akceptowalny stopień ryzyka różni się w zależności od znaczenia przypisanego poszczególnym rodzajom ryzyka. Zarówno struktura ryzyka, jak i jego kontrola muszą być rozważane szczegółowo w celu zrównoważenia potencjalnych korzyści płynących z podjęcia ryzyka i kosztów jego ograniczenia.
Reakcje na ryzyko przeniesienie polega na przekazaniu odpowiedzialności za ryzyko innej osobie lub podmiotowi. Najczęściej stosowane metody to tradycyjne ubezpieczenie, lub wynagrodzenie osoby/podmiotu za wzięcie ryzyka na siebie tolerowanie stosowane w przypadkach, gdy potencjalne korzyści z ograniczenia ryzyka są wyższe od potencjalnych korzyści działanie celem działań nie jest całkowite usunięcia ryzyka, lecz zmniejszenie go do akceptowalnego poziomu w ramach funkcjonującego systemu kontroli wewnętrznej wycofanie się stosowane w przypadku, gdy w wyniku podjętych działań nie udało się zmniejszyć poziomu ryzyka do akceptowalnego poziomu. Ze względu na charakterystykę sektora rządowego możliwość skorzystania z tej opcji jest bardzo ograniczona
Proporcjonalność mechanizmów kontrolnych Opracowując i wprowadzając mechanizmy kontrolne, należy pamiętać, aby mechanizmy te były proporcjonalne do zidentyfikowanego ryzyka. Odpowiednimi są mechanizmy dające wystarczającą pewność, ze ewentualna strata będzie mieścić się w ramach określonego apetytu na ryzyko. Należy pamiętać, iż każdy mechanizm kontrolny wiąże się z pewnymi kosztami. Ważne jest aby koszty korespondowały z ryzykiem, które kontrolują.
Proces zarządzania ryzykiem ma zapewnić kierownictwu: świadomość istnienia ryzyka zbiorczą informację o charakterze ryzyka i ich wpływie na organizację szczegółową analizę poszczególnych rodzajów ryzyka podstawy skutecznego zarządzania ryzykami w poszczególnych komórkach i w całej jednostce.
Zarządzanie ryzykiem pozwala na: dostosowanie apetytu na ryzyko organizacji do strategii jednostki określenie ścieżki postępowania ze zidentyfikowanymi rodzajami ryzyka ograniczenie ilości sytuacji nieprzewidywalnych zintegrowane podejście do zarządzania ryzykiem
Jakich metod analizy ryzyka należy się wystrzegać?
Przykładowa procedura zarządzania ryzykiem założenia: Procedura zarządzania ryzykiem określa ogólne zasady zarządzania ryzykiem. Proces zarządzania ryzykiem obejmuje: monitorowanie realizacji zadań; identyfikację ryzyka; analizę ryzyka; podejmowanie działań zaradczych.
Procesem zarządzania ryzykiem kieruje osoba wyznaczona przez kierownika jednostki, zwana dalej koordynatorem. Do zadań koordynatora należy: inicjowanie, w uzgodnieniu z kierownikiem jednostki corocznej analizy ryzyka; aktualizacja zestawienia podstawowych procesów; gromadzenie i opracowywanie wyników analizy ryzyka na poziomie jednostki; stała współpraca z właścicielami ryzyka; przedstawianie wyników analizy ryzyka kierownikowi jednostki.
Identyfikacja i analiza ryzyka prowadzone są metodą samooceny albo w wyniku prac powołanego zespołu do identyfikacji i analizy ryzyka, zwanego dalej Zespołem. Decyzję o wyborze metody identyfikacji i analizy ryzyka podejmuje kierownik jednostki. W proces samooceny zaangażowani są kierownicy i pracownicy wszystkich komórek organizacyjnych. W skład Zespołu wchodzą wyznaczeni przez kierowników przedstawiciele komórek organizacyjnych jednostki.
Każde zidentyfikowane ryzyko podlega analizie mającej na celu oszacowanie wpływu, a także prawdopodobieństwa wystąpienia ryzyka w skali od 1 do 5. Analiza ryzyka przeprowadzana jest raz w roku, w terminie wskazanym przez kierownika jednostki. Analiza ryzyka jest przeprowadzana również w przypadku: - wprowadzania nowych procesów w systemie zarządzania; - podziału lub łączenia procesów objętych systemem; - wprowadzenia do procesu istotnych zmian; - wystąpienia zjawiska korupcji w innych organizacjach, realizujących podobne zadania.
Analizie ryzyka będą poddawane procesy określone w regulaminach wewnętrznych komórek organizacyjnych urzędu. Analiza ryzyka dokumentowana jest w jednolitej formie. Wzór udokumentowania wyników przeprowadzonej analizy ryzyka jest przygotowywany w terminie 10 dni przed rozpoczęciem procesu identyfikacji i analizy ryzyka przez koordynatora. Za dokumentowanie analizy ryzyka odpowiedzialny jest kierownik komórki organizacyjnej, a w przypadku powołania Zespołu, wyznaczony przez przewodniczącego członek Zespołu. Jeżeli analiza ryzyka przeprowadzana jest metodą samooceny, kierownik komórki organizacyjnej jednostki przekazuje jej wyniki koordynatorowi w terminie 10 dni od jej zakończenia.
Kierownik komórki organizacyjnej wyznacza akceptowalny poziom ryzyka wskazując sposoby postępowania z ryzykiem uwzględniając wielkość kosztów ograniczenia danego ryzyka. Kierownik jednostki podejmuje ostateczną decyzję dotyczącą wyznaczenia akceptowalnego poziomu ryzyka. W stosunku do każdego ryzyka, które przekracza akceptowalny poziom, planowane i wdrażane są odpowiednie działania zaradcze o charakterze zapobiegawczym i redukującym.
W przypadku przeprowadzenia identyfikacji i analizy ryzyka metodą samooceny kierownicy komórek organizacyjnych przekazują do koordynatora, w wyznaczonym przez niego terminie, informację o wynikach identyfikacji i analizy ryzyka oraz o podjętych działaniach zaradczych. Koordynator dokumentuje i podsumowuje wyniki analizy ryzyka. Koordynator przedstawia kierownikowi jednostki wyniki analizy ryzyka, które zawierają informacje o zagrożeniach w procesach obarczonych największym ryzykiem oraz o zaproponowanych na szczeblu komórek organizacyjnych działaniach zaradczych.
Procedura zarządzania ryzykiem podlega okresowym przeglądom dokonywanym w celu jej aktualizacji. Decyzję w sprawie terminów okresowego przeglądu podejmuje koordynator procesu zarządzania ryzykiem. Okresowe przeglądy wykonywane są przynajmniej raz w roku.
Książki warte przeczytania
Przykładowe rodzaje ryzyka: Braki kadrowe, duża rotacja kadr, brak informacji o zmianach kadrowych średniego personelu, Niedotrzymywanie terminów przed podmioty zewnętrzne, Skomplikowane i przewlekłe procedury, Przestarzały sprzęt IT, Utrata danych IT, Niewystarczający budżet, Brak przygotowania do realizacji zadań,
Warsztaty: Określ misję jednostki Wskaż podstawowe, najważniejsze cele, które powinna osiągać jednostka, Przedstaw procesy, które służą realizacji wskazanych celów jednostki, w odniesieniu do wybranego/ych procesu/ów przeprowadź analizę ryzyka wskazując: 1. rodzaje ryzyka w podziale na rodzaje ryzyka o charakterze zewnętrznym (pochodzące spoza jednostki) oraz wewnętrznym, 2. Przeprowadź analizę pod kątem skutków i prawdopodobieństwa, a także określ apetyt na ryzyko, a także wskaż sposób reakcji na ryzyko i mechanizmy kontrolne, które mają za zadanie minimalizować skutki ryzyka.