OGÓLNE ZASADY DOTYCZĄCE PROCESU ZARZĄDZANIA RYZYKIEM



Podobne dokumenty
OGÓLNE ZASADY OPRACOWYWANIA ZADAŃ BUDśETOWYCH

Zarządzenie nr 85/2011 BURMISTRZA WYSZKOWA z dnia 20 maja 2011r.

Procedura zarządzania ryzykiem w Państwowej WyŜszej Szkole Zawodowej w Elblągu

Zarządzenie nr ZEAS 0161/-5/2010 Dyrektora Zespołu Ekonomiczno Administracyjnego Szkół w Sandomierzu

KWESTIONARIUSZ SAMOOCENY SYSTEMU KONTROLI ZARZĄDCZEJ ZA ROK..

Ustawa z dnia 27 sierpnia 2009 roku Przepisy wprowadzające ustawę o finansach publicznych (Dz.U. Nr 157, poz. 1241)

ZARZĄDZENIE NR 17/2014R. KIEROWNIKA GMINNEGO OŚRODKA POMOCY SPOŁECZNEJ W POSTOMINIE

Procedura zarządzania ryzykiem w Sądzie Okręgowym w Białymstoku

ZARZĄDZENIE NR 483/14 PREZYDENTA MIASTA ZDUŃSKA WOLA z dnia 22 grudnia 2014 r.

ZARZĄDZENIE Nr 33/14 PROKURATORA GENERALNEGO

oceny kontroli zarządczej

Regulamin zarządzania ryzykiem. Założenia ogólne

Poz. 237 KOMUNIKAT MINISTRA SPRAWIEDLIWOŚCI. z dnia 1 grudnia 2015 r.

Polityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu. Definicje

Warszawa, dnia 17 marca 2017 r. Poz. 82

Przedszkole Nr 30 - Śródmieście

Zarządzenie Nr 26/2011 Starosty Węgorzewskiego z dnia 27 września 2011 r.

ZARZĄDZENIE Nr 14 /2013. w sprawie przeprowadzenia samooceny kontroli zarządczej

PLAN ZARZĄDZANIA WYMAGANIAMI PROJEKT <NAZWA PROJEKTU> WERSJA <NUMER WERSJI DOKUMENTU>

Zarządzenie Nr 01/2011 Dyrektora Gminnego Ośrodka Kultury w Nieporęcie z dnia 23 marca 2011

Procedura zarządzania ryzykiem w Urzędzie Miejskim w Radomiu

ZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku

Procedura zarządzania ryzykiem w Urzędzie Miejskim w Radomiu

Kryteria oceny Systemu Kontroli Zarządczej

OPINIA. 1 Otrzymują: Dyrektor Urzędu. 2 Nr zadania: 2/10. 3 Temat zadania: Przygotowanie do oceny kontroli zarządczej

NajwyŜsza Izba Kontroli Delegatura w Bydgoszczy

Rozdział I Postanowienia ogólne

ZARZĄDZENIE Nr BO BURMISTRZA OZIMKA. z dnia 04 września 2012

Koncepcja oceny kontroli zarządczej w jednostce samorządu. ElŜbieta Paliga Kierownik Biura Audytu Wewnętrznego - Urząd Miejski w Dąbrowie Górniczej

Zarządzenie 180/2014. Wójta Gminy Sadowne. z dnia 05 maja 2014 r.

2.4.2 Zdefiniowanie procesów krok 2

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin akceptowalny poziom ryzyka

zarządzam, co następuje:

Zarządzenie Nr 17/2010 Burmistrza Krapkowic z dnia 22 kwietna 2010 roku

ZARZĄDZENIE NR 18/11 BURMISTRZA MIASTA KOŚCIERZYNA. z dnia 17 stycznia 2011 r.

Zarządzenie Nr ZEAS /2010 Dyrektora Zespołu Ekonomiczno Administracyjnego Szkół w Sandomierzu z dnia 28 kwietnia 2010 roku

STRATEGICZNE MYŚLENIE - WYKORZYSTANIU NARZĘDZI IT KONTROLA ZARZĄDCZA PRZY. Szczyrk, 2-3 czerwiec 2016

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów

Doświadczenia 20-letniego okresu budżetowania zadaniowego i aktualne działania rozwojowe w Krakowie (projekt MJUP)

Regulamin audytu wewnętrznego

ISO kroki w przód = ISO ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

POLITYKA ZARZĄDZANIA RYZYKIEM

Ocena dojrzałości jednostki. Kryteria oceny Systemu Kontroli Zarządczej.

Standardy kontroli zarządczej

SPRAWOZDANIE Z REALIZACJI W ROKU 2010 ZADAŃ KOMITETU AUDYTU DLA DZIAŁÓW ADMINISTRACJI RZĄDOWEJ, KTÓRYMI KIERUJE MINISTER INFRASTRUKTURY

Załącznik do Zarządzenia Nr 47/2011 Rektora UMCS SYSTEM KONTROLI ZARZĄDCZEJ

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.

ZARZĄDZENIE Nr 128/2012 BURMISTRZA ŻNINA. z dnia 25 września 2012 r.

Zarządzenie Nr 51/2010

Zarządzanie procesami w Ministerstwie Gospodarki. 6 listopada 2012 r.

2 Rektor zapewnia funkcjonowanie adekwatnej, skutecznej i efektywnej kontroli zarządczej w Państwowej WyŜszej Szkole Zawodowej w Elblągu.

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach

Regulamin audytu wewnętrznego

Kwestionariusz samooceny kontroli zarządczej

I. O P I S S Z K O L E N I A

ZARZĄDZENIE Nr BO BURMISTRZA OZIMKA. z dnia 8 listopada 2012

PANEL 1 Zarządzanie strategiczne, jakość życia, usługi publiczne, komunikacja z mieszkańcami

Zasady monitorowania i dokonywania samooceny systemu kontroli zarządczej oraz udzielania zapewnienia o stanie kontroli zarządczej

Minimalne wymogi wdrożenia systemu kontroli zarządczej w jednostkach organizacyjnych miasta Lublin

DZENIE NR 16/12 DYREKTORA MIEJSKIEGO O

Praktyczne aspekty wdroŝenia systemu zarządzania ryzykiem.

PROCEDURA. Monitorowanie i aktualizacja planów strategicznych

OPRACOWANIE ROCZNEGO PLANU AUDYTU ORAZ TRYB SPORZĄDZANIA SPRAWOZDANIA Z WYKONANIA PLANU AUDYTU

Zasady analizy ryzyka w Urzędzie Miasta Leszna

PLAN ZARZĄDZANIA KONFIGURACJĄ OPROGRAMOWANIA PROJEKT <NAZWA PROJEKTU> WERSJA <NUMER WERSJI DOKUMENTU>

Doświadczenia z wdrażania systemu zarządzania ryzykiem na przykładzie m.st. Warszawy

I. Postanowienia ogólne.

REGULAMIN FUNKCJONOWANIA KONTROLI ZARZADCZEJ W POWIATOWYM URZĘDZIE PRACY W GIśYCKU. Postanowienia ogólne

Standardy kontroli zarządczej

ZASADY POLITYKI ZARZĄDZANIA RYZYKIEM W AKADEMII PEDAGOGIKI SPECJALNEJ IM. MARII GRZEGORZEWSKIEJ.

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

System e-kontrola Zarządcza

Karta audytu Uniwersytetu Śląskiego w Katowicach

1.5. ZESPÓŁ DS. SYSTEMU KONTROLI ZARZĄDCZEJ

Opis systemu kontroli wewnętrznej w PLUS BANK S.A.

PODRĘCZNIK AUDYTU WEWNĘTRZNEGO

ZARZĄDZENIE Nr 120/2011 Rektora Uniwersytetu Wrocławskiego z dnia 29 grudnia 2011 r.

I. Cele systemu kontroli wewnętrznej.

KSIĘGA JAKOŚCI POMIARY, ANALIZA I DOSKONALENIE

KARTA AUDYTU WEWNĘTRZNEGO SGH

Warszawa, dnia 1 października 2015 r. Poz. 75 DECYZJA NR 193 KOMENDANTA GŁÓWNEGO STRAŻY GRANICZNEJ. z dnia 1 października 2015 r.

P O L I T Y K A Z A R Z Ą D Z A N I A R Y Z Y K I E M W UNIWERSYTECIE JANA K O CH ANOWSKIEGO W KIELCACH

System monitorowania realizacji strategii rozwoju. Andrzej Sobczyk

Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem

Kontrola zarządcza stanowi ogół działań podejmowanych dla zapewnienia realizacji celów w sposób zgodny z prawem, efektywny, oszczędny i terminowy.

Załącznik Nr 3 do Zarządzenia Nr 84 z dnia 15 listopada 2010 roku KWESTIONARIUSZ SAMOOCENY

S Y S T E M K O N T R O L I Z A R Z Ą D C Z E J W U NI WE RSYTECIE JANA KO CHANOWS KIE GO W KIE LCACH

2 Użyte w niniejszym dokumencie określenia oznaczają: 1. Procedura Procedura kontroli zarządczej obowiązująca w Miejskiej Bibliotece

Kontrola zarządcza w jednostkach samorządu terytorialnego z perspektywy Ministerstwa Finansów

ZARZĄDZENIE NR 558/2010 PREZYDENTA MIASTA KIELCE. z dnia 31 grudnia 2010 r.

w sprawie organizacji i zasad funkcjonowania kontroli zarządczej w Sądzie Rejonowym dla Warszawy Pragi-Północ w Warszawie

ZARZĄDZENIE NR 196/2012 WÓJTA GMINY WALIM. z dnia 27 września 2012 r.

SYSTEM ZARZĄDZANIA RYZYKIEM W DZIAŁALNOŚCI POLITECHNIKI WARSZAWSKIEJ FILII w PŁOCKU

ZARZĄDZENIE Nr 0050/20/15 PREZYDENTA MIASTA TYCHY z dnia 16 stycznia 2015 roku

2. Plan realizacji zadań i celów jest aktualizowany po ostatecznym zatwierdzeniu planu finansowego oraz każdej istotnej zmianie planu, mającej wpływ

DROGA DO SUKCESU ZARZĄDZANIA ZARZĄDZANIE JAKOŚCIĄ, WYBRANE ELEMENTY

ZARZĄDZENIE Nr 28/2015 WÓJTA GMINY CZERNIKOWO Z DNIA 11 MAJA 2015 r.

Zarządzenie Nr 43/2010/2011 Rektora Akademii Wychowania Fizycznego Józefa Piłsudskiego w Warszawie z dnia 6 lipca 2011r.

Zarządzanie projektami UE

Transkrypt:

ELEMENT 5 WERSJA 1.6 OGÓLNE ZASADY DOTYCZĄCE PROCESU ZARZĄDZANIA RYZYKIEM Kraków Poznań Lipiec 2012 1

Spis treści Wprowadzenie...3 Szczegółowy opis elementów procesu zarządzania ryzykiem:...4 1. Przyjęty zakres i systematyka dla zarządzania ryzykiem:...4 2. Diagnoza, analiza potrzeb w zakresie zarządzania ryzykiem...4 3. Rodzaje, trypy postępowania w róŝnych obszarach...4 3.1. Przykład 1. Przyjmując 5 obszarów moŝna dokonać podziału jak w tabelce poniŝej i dla kaŝdego z obszarów zaproponować odpowiedni tryb postępowania. Przykład czynności dla poszczególnych trybów przedstawiono poniŝej...4 3.2 Przykład 2. Innym sposobem jest: zbudowanie struktury procesu zarządzania ryzykiem (ZR) na 3 podstawowych poziomach:...6 4. Cel procesu zarządzania ryzykiem...7 5. Odpowiedzialność...7 6. Mierniki i wskaźniki dla monitorowania ryzyk...7 7. Rejestry ryzyk...8 8. Mapa ryzyka zbiorczy rejestr ryzyk...9 9. Powiązania rejestrów ryzyk z zadaniami, programami i zasobami informacyjnymi 9 10. Monitorowanie, raportowanie i zarządzanie ryzykiem...10 11. Przykłady prezentacji rejestrów ryzyk...10 A. Przykład zawartości rejestru ryzyk w obszarze bezpieczeństwa informacji przy wykonywaniu analizy ryzyka ukierunkowanej na zasoby informacyjne JST...10 B. Przykład zawartości rejestru ryzyk w JST mapa ryzyka...11 C. Przykład zawartości raportu prezentującego wybrane/najwaŝniejsze wskaźniki strategiczne:...11 D. Przykład zawartości raportu prezentującego wybrane/najwaŝniejsze wskaźniki operacyjne:...11 2

Wprowadzenie Wśród wymagań, jakie uofp stawia zarządzającym w sektorze finansów publicznych największą trudność w duŝych JST zwykle sprawia wdroŝenie skutecznego procesu zarządzania ryzykiem. Docelowo naleŝy zmierzać do budowy jednolitego systemu obejmującego nie tylko urząd, ale takŝe miejskie jednostki, jednak proces ten musi być rozłoŝony w czasie. Zarządzanie ryzykiem, jeśli nie ma być atrapą wymaga odpowiedniego poziomu zarządzania, a przede wszystkim mierzalnego ustalania celów i rozliczania ich przy pomocy miar oraz odpowiedniego przypisania odpowiedzialności pozwalającego określić właścicieli ryzyka. Model zarządzania JST, który zaproponowaliśmy w ramach projektu spełnia wszystkie w/w warunki i pozwala na zorganizowanie procesu zarządzania ryzykiem w sposób przejrzysty i poŝyteczny. PoniewaŜ ryzyko to moŝliwość wystąpienia dowolnego zdarzenia mającego znaczący wpływ na organizację i wykonanie jej zadań, wiec źródeł ryzyk moŝe być bardzo wiele i dotyczą one wszystkich obszarów zarządzania w organizacji. Dlatego w ramach projektu zostanie przygotowany prosty moduł wspomagający zarządzanie ryzykiem połączony z funkcjonalnością hurtowni danych. JST wdraŝające bardziej złoŝony proces zarządzania ryzykiem powinny rozwaŝyć zakup odpowiedniego narzędzia informatycznego. Prócz wspomagania informatycznego waŝne jest, aby proces ten był aktualizowany i systematycznie usprawniany, w miarę rozwijania się kultury i świadomości zarządzania ryzykiem wśród pracowników Przygotowując zasady zarządzania ryzykiem zgodnie z naszym modelem naleŝy określić następujące elementy: 1. Przyjęty zakres i systematyka dla zarządzania ryzykiem 2. Diagnoza, analiza potrzeb w zakresie zarządzania ryzykiem, 3. Rodzaje, tryby postępowania w róŝnych obszarach 4. Cel procesu zarządzania ryzykiem 5. Odpowiedzialność 6. Mierniki i wskaźniki dla monitorowania ryzyk 7. Rejestry ryzyk 8. Mapa ryzyka zbiorczy rejestr ryzyk 9. Powiązania rejestrów ryzyk z zadaniami, programami i zasobami informacyjnymi 10. Monitorowanie, raportowanie i zarządzanie ryzykiem 11. Przykłady prezentacji rejestrów ryzyk 3

Szczegółowy opis elementów procesu zarządzania ryzykiem: 1. Przyjęty zakres i systematyka dla zarządzania ryzykiem: Proces zarządzania ryzykiem docelowo powinien objąć wszystkie istotne obszary tj. nie tylko ryzyka operacyjne związane z zadaniami budŝetowymi i dostarczanymi produktami, ale takŝe ryzyka strategiczne (brak realizacji celów długoterminowych), z których część wiąŝe się z realizacją programów wieloletnich oraz ryzyka związane z bezpieczeństwem informacji. W kaŝdym z obszarów naleŝy określić tryb postępowania oraz sposób prowadzenia rejestru ryzyk. 2. Diagnoza, analiza potrzeb w zakresie zarządzania ryzykiem Diagnoza potrzeb w zakresie zarządzania ryzykiem winna w pierwszym rzędzie zidentyfikować obszary, od których naleŝy zacząć. Dla JST uŝywających budŝetowania zadaniowego naturalnym pierwszym obszarem są zadania budŝetowe i ich produkty. Dla nich to w pierwszym rzędzie naleŝy zidentyfikować potrzeby w zakresie zarządzania ryzykiem. Następnie jeśli JST posiada programy wieloletnie z zapisanymi klarownie celami strategicznymi wraz z miarami rzeczą naturalną będzie wdroŝenie zarządzania ryzykiem w obszarze programów. Gdy JST posiada zdefiniowaną metodykę zarządzania projektami to ona zapewne takŝe stawia wymagania w zakresie zarządzania ryzykami projektowymi, więc ten obszar takŝe nie moŝe być pominięty. Diagnozując obszary warto takŝe rozwaŝyć ryzyka strategiczne związane osiąganiem wskaźników i trendami związanymi z wieloletnim planowaniem finansowym jak np. nadwyŝka operacyjna, czy dynamika wzrostu wydatków bieŝących. Jeśli JST posiada (a powinna) system zarządzania bezpieczeństwem informacji elementem niezbędnym będzie takŝe zarządzanie ryzykiem w tym obszarze. W kaŝdym z obszarów, który zostanie objęty procesem naleŝy określić tryb postępowania obejmujący wszystkie etapy ujęte w cyklu Deminga, zapewniając tym samym ciągły proces doskonalenia. Jest rzeczą zupełnie naturalną, Ŝe wdroŝenie procesu zarządzania ryzykiem jeśli ma przynieść oczekiwane skutki będzie wymagało kilku lat i powinno być dokonywane stopniowo. Kolejność obejmowania zarządzaniem ryzykiem poszczególnych obszarów zaleŝeć winna od stanu systemu zarządzania w danej JST i preferencji najwyŝszego kierownictwa. 3. Rodzaje, trypy postępowania w róŝnych obszarach W zaleŝności od diagnozy i zakresu, który chcemy objąć zarządzaniem ryzykiem moŝna wyróŝnić róŝne obszary i określić dla nich odpowiednie tryby postępowania: 3.1. Przykład 1. Przyjmując 5 obszarów moŝna dokonać podziału jak w tabelce poniŝej i dla kaŝdego z obszarów zaproponować odpowiedni tryb postępowania. Przykład czynności dla poszczególnych trybów przedstawiono poniŝej. 4

Sym Obszar zarządzania Rodzaj ryzyk Perspektywa Właściciel bol ryzykiem czasowa ZB Zadania budŝetowe operacyjne roczna Koordynator zadania PS Programy sektorowe operacyjne i Kilkuletnia (4-5 Koordynator programu strategiczne lat) INFO Bezpieczeństwo Informacji operacyjne roczna Właściciel zasobów PR Projekty projektowe czas Ŝycia Kierownik projektu projektu STR Cele długoterminowe strategiczne Wieloletnia NajwyŜsze (powyŝej 5 lat) kierownictwo PoniŜej przedstawiono czynności wykonywane przez właścicieli ryzyk w kolejnych czterech etapach cyklu Deminga (z pominięciem obszaru projektów, który zwykle opisany jest w metodyce zarządzania projektami): ETAP I PLANUJ (działanie dla osiągnięcia celu) ZB - W fazie przygotowania planów działań, kaŝdy z koordynatorów zadań budŝetowych dla wszystkich istotnych (lub najwaŝniejszych) ( =duŝa ilość klientów, duŝy koszt wytworzenia, waŝne dla społeczności itp.) produktów (usług) identyfikuje i ocenia ryzyka niezrealizowania celów (zazwyczaj ilość i jakość produktów) i decyduje o stosowaniu mechanizmów kontrolnych oraz ustala (wybiera, definiuje) wskaźniki, które pozwolą na bieŝące śledzenie stanu materializowania się wybranych ryzyk. Dla produktów krytycznych koordynatorzy winni uwzględnić takŝe ryzyka towarzyszące wystąpieniu stanów nadzwyczajnych (klęski Ŝywiołowe, zagroŝenia terrorystyczne itp.) oraz przygotować plany ciągłości działania. BI Właściciele zasobów uŝywanych do przetwarzania informacji identyfikują i oceniają ryzyka związane z zasobami, które są w ich gestii, biorąc pod uwagę zagroŝenia i podatności oraz w zakresie ryzyk istotnych (powaŝnych) poprawiają lub planują zmianę zabezpieczeń (mechanizmów kontrolnych). Dla zasobów krytycznych właściciele winni uwzględnić takŝe ryzyka towarzyszące wystąpieniu stanów nadzwyczajnych (klęski Ŝywiołowe, zagroŝenia terrorystyczne itp.) oraz przygotować plany odtworzeniowe. PS Formułując bądź aktualizując program wieloletni (strategiczny, sektorowy) koordynator programu powinien zawrzeć w nim informacje o zidentyfikowanych ryzykach niepowodzenia (nieosiągnięcia załoŝonych celów), ich ocenie oraz przewidywanych mechanizmach zabezpieczających (kontrolnych). STR Identyfikacja i ocena ryzyk strategicznych dokonywana winna być dokonywana przez najwyŝsze kierownictwo (ewentualnie przez risk manager a, jeśli kierownik jednostki utworzyła taką funkcję/stanowisko). Poza tym niezaleŝną ocenę najwaŝniejszych ryzyk przedstawia takŝe kierownik audytu wewnętrznego. Po zapoznaniu się z oceną/ocenami kierownik jednostki poleca przygotowanie propozycji reakcji na przedstawione w raporcie najwaŝniejsze ryzyka. Przygotowane plany działań wraz z planami finansowania Prezydent Miasta zatwierdza i przekazuje do realizacji. 5

ETAP II WYKONAJ (to co zaplanowałeś) ZB, BI, PS Koordynując Program operacyjny, zarządzając zespołem w trakcie realizacji Zadania budŝetowego, kierując projektem, czy nadzorując i udostępniając zasoby informacyjne koordynator, kierownik lub właściciel wdraŝa zaplanowane rozwiązania i bieŝąco śledzi osiągane wyniki monitorując skuteczność zastosowanych zabezpieczeń (mechanizmów). STR - Podobne obowiązki ciąŝą na wyznaczonych realizatorach planów działań zatwierdzonych przez kierownika jednostki w wyniku dyskusji nad analizą ryzyk strategicznych. ETAP III SPRAWDŹ (czy rezultat jest zadowalający i dokonaj oceny) ZB, PS W odpowiednich odstępach czasu koordynator programu ( zwykle raz w roku) i zadania (co najmniej raz na pół roku) dokonuje oceny postępu w realizacji celów i skuteczności systemu kontroli, prócz oceny własnej korzysta z wyników róŝnego rodzaju niezaleŝnych od niego działań zapewniających (audyt wewnętrzny oraz ewentualnie audity ISO 9001, ISO14001 i 27001, kontrole, inne) BI Właściciel aktywa (zasobu) bieŝąco monitoruje, sprawdza i analizuje stan zabezpieczeń najwaŝniejszych zasobów, weryfikuje skuteczność systemu kontroli, prócz oceny własnej korzysta z wyników róŝnego rodzaju niezaleŝnych od niego działań zapewniających (audyt wewnętrzny, audity ISO 9001, ISO 14001 i 27001, kontrole, inne) STR Przeglądu stanu ryzyk strategicznych dokonuje kierownik jednostki raz w roku lub w razie potrzeby częściej i wtedy plany działań są korygowane. ETAP IV POPRAW (zmodyfikuj rozwiązanie na podstawie dokonanej oceny) ZB, BI, PS, STR W zaleŝności od wyników monitorowania, przeglądów oraz audytów koordynatorzy, właściciele zasobów oraz realizatorzy planów dla zmniejszenia zagroŝeń strategicznych wprowadzają modyfikacje i udoskonalenia poprawiające skuteczność systemu kontroli, a w razie potrzeby przedstawiają kierownictwu wnioski o sfinansowanie zmian, jeśli konieczna poprawa systemu wymaga nakładów finansowych lub innych zasobów. 3.2 Przykład 2. Innym sposobem jest: zbudowanie struktury procesu zarządzania ryzykiem (ZR) na 3 podstawowych poziomach: a. poziom strategiczny tj. dla wizji i celów strategicznych - ryzyka strategiczne będą badane w powiązaniu z rejestrem ryzyka operacyjnego Miasta, b. poziom operacyjny, tj. zarządzanie ryzykiem w Urzędzie i m.j.o. - identyfikowanie ryzyk do procesów / zadań / projektów (w tym m.in. BI) c. poziom zarządczy, tj. zatwierdzanie / akceptacja ryzyk operacyjnych przez Prezydenta Miasta, a następnie przekazanie rejestru ryzyk Miasta do Audytu Wewnętrznego w celu nadania priorytetu do planu audytu. Efektem końcowym powinno być zatem powstanie 3 podstawowych informacji zarządczych w procesie zarządzania ryzykiem: - rejestr ryzyka operacyjnego Miasta, - rejestr ryzyka strategicznego, - wskazanie ryzyk priorytetowych - w celu wyodrębnienia obszarów zagroŝeń istotnych dla Audytu Wewnętrznego. 6

Po etapie wdroŝenia powyŝszego sposobu i ukształtowaniu kultury zarządzania ryzykiem, moŝna rozwaŝyć dalszą modyfikację / udoskonalenie procesu zarządzania ryzykiem poprzez m.in. wyodrębnienie z poziomu operacyjnego - jako osobnego obszaru - poziomu BI. 4. Cel procesu zarządzania ryzykiem W opisie procesu zarządzania ryzykiem warto zdefiniować jego cel. W proponowanym modelu przyjęto, Ŝe celem procesu jest zapewnienie, Ŝe dla wszystkich waŝnych działań bieŝących i zamierzeń długoterminowych podejmowanych w JST zidentyfikowano najwaŝniejsze ryzyka i wdroŝono odpowiednie działania (dla redukcji ryzyk lub inne) tak, aby prawdopodobieństwo uzyskania zaplanowanych rezultatów było jak największe. Proces ten winien takŝe zapewnić najwyŝszemu kierownictwu: istotne informacje o aktualnym stanie oceny ryzyk przez ich właścicieli oraz bieŝący dostęp do danych, które wskazują na poziom zagroŝeń. 5. Odpowiedzialność W ramach zadań budŝetowych oraz programów wieloletnich odpowiedzialność za identyfikowanie, ocenę i reakcję na ryzyka warto przypisać bezpośrednio koordynatorom zadania lub programu. Gdy zadanie jest projektowe ryzyka naleŝą do kierownika projektu. Ryzyka zadań, programów i projektów wiąŝą się zazwyczaj z nieosiągnięciem celów lub nadmiernymi odchyleniami od planu. W przypadku ryzyk związanych z bezpieczeństwem informacji odpowiedzialność za ocenę ryzyka i decyzję w sprawie rodzaju zabezpieczeń powinien ponosić właściciel, a odpowiedzialność za stosowanie ustalonych przez właściciela zabezpieczeń spoczywa na uŝytkowniku bezpośrednim, gdy nie jest nim właściciel. MoŜna w organizacji powołać zespół ds. BI, którego zadaniem będzie wsparcie w ocenie ryzyk i ustalaniu rodzajów zabezpieczeń. Odpowiedzialność za ryzyka strategiczne spoczywa bezpośrednio na najwyŝszym kierownictwie i ono teŝ ustalić powinno zakres informacji niezbędny dla zarządzania tymi ryzykami. Osoby wyznaczone do ich dostarczania winny odpowiadać za wiarygodność i terminowość przekazywania danych oraz analiz. Monitorowanie ryzyk w postaci bieŝącej obserwacji wskaźników, które dostarczają na ten temat informacji to w pierwszym rzędzie odpowiedzialność właścicieli. Jeśli istnieje w organizacji komórka monitorowania to ona takŝe moŝe zostać obciąŝona odpowiedzialnością za informowanie najwyŝszego kierownictwa o pojawiających się zagroŝeniach. Badania materializowania się ryzyk to z kolei odpowiedzialność audytorów. Badania te winni niezaleŝnie od kierownictwa planować i realizować audytorzy wewnętrzni. Dobrą praktyką w zakresie badań ryzyk jest podporządkowanie wynikom analizy ryzyka audytorów wewnętrznych takŝe planów auditów w ramach zgodności z normami dotyczącymi systemu zarządzania np. jakością ISO 9001, środowiskiem ISO 14001, czy bezpieczeństwem informacji ISO 27001. 6. Mierniki i wskaźniki dla monitorowania ryzyk W ramach planowania zadań budŝetowych definiując mierniki i wskaźniki warto wziąć pod uwagę takŝe : jakie ryzyka zagraŝają osiągnięciu zaplanowanych rezultatów 7

czy istnieją dane, których gromadzenie mogłoby dostarczyć waŝnej z punktu w/w ryzyk informacji czy gromadzenie tej informacji jest z ekonomicznego punktu widzenia uzasadnione Po rozwaŝeniu powyŝszego w razie potrzeby warto uzupełnić rejestr wskaźników i ew. mierników o te dodatkowe miary. Podobne rozwaŝanie warto przeprowadzić dla innych trybów postępowania, szczególnie, gdy dane istotne z punktu widzenia oceny zagroŝeń są łatwo dostępne w JST lub jej otoczeniu. 7. Rejestry ryzyk Dla kaŝdego z trybów postępowania naleŝy określić format rejestru ryzyk oraz zdefiniować zasady jego prowadzenia. Przykładowe formy rejestrów ryzyka przedstawiono w tabelkach poniŝej WaŜnym elementem prowadzenia rejestru ryzyk dla zadań jest moŝliwość agregowania i podsumowywania informacji dla najwyŝszego kierownictwa. MoŜna w tym celu sporządzić słowniki kategorii ryzyk, ryzyk oraz produktów i wszystkie definiowane przez właścicieli ryzyka przyporządkowywać do określonych wcześniej grup. Utrzymanie nazw właścicieli ułatwia komunikację z nimi, a przyporządkowanie do kategorii daje moŝliwość agregowania zarówno ocen jak i wyników badań w ich obrębie. Rejestry ryzyk winny zawierać następujące informacje: ryzyka związane z produktami zidentyfikowane przez właścicieli wraz z aktualną i historyczna oceną niezaleŝną ocenę audytu wewnętrznego dla kaŝdego z ryzyka ocenionego przez właściciela powyŝej poziomu umiarkowanego oraz dla ryzyk, które audyt ocenia powyŝej umiarkowanego wyniki badań ryzyka (aktualne i historyczne) otrzymane przez audyt wewnętrzny lub audit ISO 9001 lub 27001 Innym sposobem zapisu / udokumentowania wyników przeprowadzonej analizy ryzyka moŝe być tworzenie trzech typów rejestrów: rejestr ryzyk wydziału (lub jednostki), którego aktualizacja dokonywana jest co najmniej raz na kwartał podczas przeglądów jakości, lub o ile system informatyczny na to pozwala na bieŝąco rejestr ryzyk strategicznych (aktualizacja wg opracowania dotyczącego monitoringu Strategii) rejestr ryzyk Miasta - sporządzany na podstawie rejestrów ryzyk poszczególnych wydziałów i jednostek miejskich oraz rejestru ryzyk strategicznych, co najmniej raz w roku lub o ile system informatyczny na to pozwala na bieŝąco 8

Rejestry powyŝsze zawierają informacje dotyczące zidentyfikowanych ryzyk wraz z ich parametrami określającymi: - proces / zadanie / projekt, w którym zidentyfikowano ryzyko/a, - właściciela ryzyka, - ocenę ryzyka, - informacje o reakcji na ryzyko wskazanie działań zaradczych i terminu ich wdroŝenia. rejestr obszarów ryzyka sporządzany przez audyt wewnętrzny (na podstawie rejestru ryzyk Miasta audyt wewnętrzny dokonuje identyfikacji i oceny obszarów ryzyk, a następnie tworzy plan audytów) Rejestry winny być prowadzone w formie pozwalającej na ich bieŝącą aktualizację, dokonywanie syntezy oraz prezentację podsumowań dla kadry kierowniczej. 8. Mapa ryzyka zbiorczy rejestr ryzyk Na podstawie rejestrów ryzyk prowadzonych w róŝnych obszarach (zadania, programy, projekty, bezpieczeństwo informacji oraz ryzyk strategicznych) warto dokonać syntezy w postaci jednego zbioru, który sprowadza ryzyka pochodzące z róŝnych obszarów do wspólnego mianownika (uszeregowując je wg takiej samej skali - np. 4 stopniowej. (niskie, umiarkowane, powaŝne, krytyczne) (Tu skala) Operacja sprowadzania do jednej skali moŝe zostać dokonana w zasadzie tylko przy udziale najwyŝszego kierownictwa, posiadającego swoją ocenę łączną pozwalającą porównywać oceny z róŝnych obszarów. Jeśli w Kierownik utworzył stanowisko risk manager a to osoba zajmująca je powinna mieć takŝe orientację pozwalającą na dokonanie takiej wstępnej oceny i zaprezentowanie jej szefowi. NiezaleŜną ocenę dotycząca uszeregowania ryzyk z róŝnych obszarów i oceny w jednej skali powinien takŝe przeprowadzić audyt wewnętrzny. Ryzyka powaŝne i krytyczne pochodzące ze wszystkich obszarów objętych zarządzaniem ryzykiem wraz z ocenami risk manager a oraz audytu wewnętrznego mogą zostać zebrane w postaci wspólnego rejestru i wraz ze wskaźnikami obrazującymi ich stan powinny być bacznie obserwowane w pierwszym rzędzie przez ich właścicieli oraz przez najwyŝsze kierownictwo. W przypadku istotnych zmian właściciele winni informować o nich kierownictwo niezwłocznie. Prowadzenie, aktualizację i dokonywanie podsumowań w zakresie rejestrów ryzyk i mapy zbiorczej znacznie ułatwi oprogramowanie wspomagające zarządzanie ryzykiem powiązane z hurtownią danych. 9. Powiązania rejestrów ryzyk z zadaniami, programami i zasobami informacyjnymi PoniewaŜ oceny i badania dotyczące ryzyk są istotną informacją zarządczą i muszą być związane z innymi elementami i informacjami w systemie zarządzania, więc warto aby: a. Ryzyka dotyczące zadań budŝetowych były bezpośrednio powiązane z systemem planowania zadań (wtedy właściciel dokonuje identyfikacji i oceny poziomu ryzyka), a 9

dalej z monitorowaniem postępu w ich realizacji, gdy obserwacja postępu i wartości wskaźników pozwala mu śledzić poziom materializowania się ryzyka i reagować. b. Ryzyka dotyczące programów wieloletnich były z nimi analizowane, bo wiąŝą się głownie z niepowodzeniem w osiągnięciu planowanych zmian wartości wskaźników strategicznych. c. Ryzyka z obszaru bezpieczeństwa informacji najlepiej w JST powiązać bezpośrednio z ewidencją zasobów informacyjnych, odpowiedzialność za zasoby bowiem połączona jest z odpowiedzialnością za ocenę ryzyka i zabezpieczenia. PoniewaŜ: informacje o planowaniu oraz realizacji programów i zadań znajdują się w hurtowni danych, ewidencja zasobów prowadzona jest zazwyczaj w formie elektronicznej, więc łatwo moŝna ją do hurtowni dostarczyć, przewidziano, Ŝe moduł zarządzania ryzykiem podobnie jak planowanie zadań zostanie przygotowany wspólnie z budową hurtowni danych, tak, aby wykorzystać jej funkcjonalność do prezentacji i analiz w tym obszarze. 10. Monitorowanie, raportowanie i zarządzanie ryzykiem Monitorowanie ryzyk i raportowanie zachodzących zmian jest kluczowym warunkiem szybkiego reagowania a więc dostarczenia przez system zarządzania ryzykiem wartości dodanej dla organizacji. Zorganizowanie procesu jak przedstawiono wyŝej zapewnia, Ŝe kaŝde z ryzyk ma właściciela i jego odpowiedzialnością jest w pierwszym rzędzie monitorowanie i reagowanie na zmiany. Jeśli ryzyko rośnie i właściciel nie ma w dyspozycji środków, które pozwolą je ograniczyć do zaakceptowanego wcześniej przez decydentów poziomu powinien informację tę eskalować na wyŝszy poziom zarządzania, przedstawiając raport z propozycjami działań. W razie potrzeby informacja winna zostać przedstawiona najwyŝszemu kierownictwu, które powinno podjąć i udokumentować decyzję o zaakceptowaniu ryzyka lub polecić wdroŝenie dodatkowych działań dla jego ograniczenia. W zakresie ryzyk strategicznych kierownictwo bezpośrednio winno wyznaczyć osoby w organizacji, które ryzyka te będą obserwować i w razie potrzeby będą przedstawiać w tej sprawie informacje i ewentualne wnioski. 11. Przykłady prezentacji rejestrów ryzyk A. Przykład zawartości rejestru ryzyk w obszarze bezpieczeństwa informacji przy wykonywaniu analizy ryzyka ukierunkowanej na zasoby informacyjne JST. a. Kategoria zasobu b. Opis, lokalizacja lub nr ewidencyjny pojedynczego aktywa lub ich grupy c. Właściciel zasobu d. UŜytkownik zasobu e. Opis zagroŝenia ryzyko 10

f. Opis podatności g. Wartość zasobu h. Opis zabezpieczeń i. Ocena zagroŝenia j. Ocena podatności k. Ocena skutku l. Ocena ryzyka wg algorytmu m. Ocena ryzyka w skali 1-7 n. Wynik weryfikacji istnienia zabezpieczeń o. Wynik oceny skuteczności zabezpieczeń p. Ocena ryzyka po badaniu q. Reakcja właściciela B. Przykład zawartości rejestru ryzyk w JST mapa ryzyka a. Obszar ryzyka b. Komórka organizacyjna urzędu lub jednostka c. Numer i nazwa zadania budŝetowego d. Nazwa produktu wg właściciela e. Symbol procesu, w ramach którego produkt jest wytwarzany f. Typ produktu wg słownika g. Nazwa ryzyka wg właściciela h. Kategoria ryzyka wg słownika i. Nazwa typu ryzyka wg słownika j. Ocena ryzyka wg właściciela k. Ocena ryzyka wg audytorów l. Rodzaj wykonywanych badań (audyt wewnętrzny, audit ISO, kontrole,..) m. Wynik badań w skali 1-3 C. Przykład zawartości raportu prezentującego wybrane/najwaŝniejsze wskaźniki strategiczne: a. Dziedzina b. Poddziedzina (obszar) c. Nazwa wskaźnika d. Wartość oczekiwana lub oczekiwany kierunek zmian e. Wartości historyczne (np. dla ostatnich 5 lat) f. Wartość aktualna g. Komentarz kierownika komórki odpowiedzialnej h. Propozycja reakcji kierownik pionu D. Przykład zawartości raportu prezentującego wybrane/najwaŝniejsze wskaźniki operacyjne: a. Dziedzina b. Poddziedzina (obszar) c. Komórka organizacyjna urzędu lub jednostka d. Program sektorowy (jeśli zadanie jest objęte jakimś programem) e. Zadanie budŝetowe f. Nazwa wskaźnika osiągnięcia celu operacyjnego 11

g. Wartość oczekiwana lub oczekiwany kierunek zmian h. Wartości historyczne (np. dla ostatnich 5 lat) i. Wartość aktualna j. Komentarz kierownika komórki odpowiedzialnej k. Propozycja reakcji kierownik pionu. 12

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres