Załącznik nr 1 do Zarządzenia Nr 25/2010 Burmistrza Krotoszyna z dnia 22 grudnia 2010 r. KSIĘGA SYSTEMU ZARZĄDZANIA RYZYKIEM URZĄD MIEJSKI W KROTOSZYNIE Spis treści: 1. Wprowadzenie...2 2. Idea systemowego zarządzania ryzykiem...3 3. Struktura odpowiedzialności w ramach Systemu Zarządzania Ryzykiem w Urzędzie Miejskim w Krotoszynie...3 4. Metodyka oceny ryzyka i mechanizmów kontroli w UM...12 5. Postanowienia końcowe...17
1. Wprowadzenie 1.1. Cel i zakres dokumentu Celem dokumentu jest przedstawienie sposobu organizacji Systemu Zarządzania Ryzykiem w Urzędzie Miejskim w Krotoszynie. Niniejsza Księga Systemu Zarządzania Ryzykiem zawiera informacje i wytyczne dotyczące: przebiegu procesu zarządzania ryzykiem w Urzędzie Miejskim w Krotoszynie, podstawowych odpowiedzialnościach, obowiązkach i uprawnieniach wynikających z procesu zarządzania ryzykiem, przyjętej metodyki identyfikacji, analizy i oceny ryzyk. Dokument obowiązuje we wszystkich Referatach i na samodzielnych stanowiska Urzędu Miejskiego w Krotoszynie. 1.2. Terminologia Poniżej opisano znaczenie skrótów i terminów użytych w dokumencie. COSO II ERM SZR UMK Ryzyko Zarządzanie ryzykiem Środek kontroli Koncepcja zintegrowanego zarządzania ryzykiem korporacyjnym opublikowana przez amerykańską organizację sektora prywatnego COSO (The Committee of Sponsoring Organizations of the Treadway Commission) Enterprise Risk Management Zintegrowane Zarządzanie Ryzykiem System Zarządzania Ryzykiem Urząd Miejski w Krotoszynie Potencjalne zdarzenie, które będzie miało wpływ na wykonywanie zadań bądź osiąganie celów założonych przez jednostkę. Proces systematycznej identyfikacji, analizy, oceny i postępowania z ryzykiem; proces ten obejmuje także monitorowanie ryzyka i środków podejmowanych w celu jego ograniczenia. Rozwiązanie organizacyjne, techniczne lub prawno finansowe służące do kontroli ryzyka. 2
2. Idea systemowego zarządzania ryzykiem System Zarządzania Ryzykiem w Urzędzie Miejskim w Krotoszynie stanowi część procesu podejmowania kluczowych decyzji. To element proaktywnego zarządzania organizacją obejmujący kulturę zarządczą, procesy i struktury, polegający na metodycznym podejściu do kwestii związanych z ryzykiem w celu zwiększenia szans osiągnięcia korzyści z podejmowanych decyzji i zmniejszenia ryzyka porażki. Celem zarządzania ryzykiem nie jest wyeliminowanie całkowicie ryzyka z działalności, lecz zapewnienie, że czynione są stosowne wysiłki, aby maksymalizować potencjalne szanse i minimalizować zagrożenia związane z występowaniem ryzyka. Celem przyjętego w Urzędzie systemowego podejścia do zarządzania ryzykiem jest: Spełnienie wymagań znowelizowanej ustawy o finansach publicznych, Zapewnienie, iż wszystkie istotne ryzyka zagrażające Urzędowi są identyfikowane i ocenione na bieżąco, a w miarę potrzeb odpowiednie plany działań zmierzające do ich redukcji są opracowywane i wdrażane, Zapewnienie powtarzalności i porównywalności wyników oceny ryzyka przeprowadzanej w różnych obszarach działalności, Zapewnienie skutecznej komunikacji pomiędzy poszczególnymi komórkami organizacyjnymi Urzędu odpowiedzialnymi za nadzorowanie danego obszaru ryzyka. Uwzględnienie funkcjonujących środków kontroli przy ocenie wartości ryzyka. Precyzyjne określenie odpowiedzialności związanych z zarządzaniem poszczególnymi obszarami ryzyka. Zapewnienie proporcjonalności postępowania z ryzykiem w stosunku do jego istotności. Źródłem wytycznych dla opracowania zasad funkcjonowania Systemu Zarządzania Ryzykiem w Urzędzie były w pierwszej kolejności wskazówki Ministerstwa Finansów zawarte w Komunikacie nr 23/2009 (Standardy Kontroli Zarządczej dla Sektora Finansów Publicznych). Wydany komunikat w sposób bezpośredni odnosi się do modelu COSO, a prezentowany Proces Zarządzania Ryzykiem został na nim oparty. 3. Struktura odpowiedzialności w ramach Systemu Zarządzania Ryzykiem w Urzędzie Miejskim w Krotoszynie W ramach przyjętego modelu Systemu Zarządzania Ryzykiem wyznaczono następujące role i zespoły: a) Menedżer Ryzyka, b) Zespół ds. Ryzyka, c) Właściciel Ryzyka. Na schemacie nr 1 poniżej przedstawiono zależności pomiędzy poszczególnymi osobami zaangażowanymi w SZR. 3
Schemat nr 1 Struktura odpowiedzialności w ramach SZR Burmistrz ostateczne zatwierdzenie akceptowalnego poziomu ryzyka, zatwierdzenie rejestru ryzyk wraz z wykorzystywanymi mechanizmami kontroli, zatwierdzenie planu działań wobec ryzyk nieakceptowalnych, wydanie oświadczenia o stanie kontroli zarządczej. Decyzje Raportowanie Zespół ds. Ryzyka organ doradczy Burmistrza, akceptacja oceny ryzyka zatwierdzenie wyników analizy ryzyka, ustalenie ryzyk nieakceptowalnych, wyznaczanie sposobu postępowania z ryzykiem nieakceptowalnym, wskazanie sposobu budżetowania działań. Decyzje Raportowanie Menedżer Ryzyka opracowanie zbiorczych rejestrów ryzyk uwzględniających stosowane mechanizmy kontrolne, rekomendowanie poziomu akceptowalności ryzyka w porozumieniu z Właścicielami Ryzyka, przygotowanie propozycji reakcji na ryzyko, monitoring oceny ryzyka dokonanej przez Właścicieli Ryzyk. Decyzje Właściciel Ryzyka rolę Właścicieli Ryzyka pełnią Naczelnicy wydziałów, regularna ocena i analiza ryzyka, Raportowanie regularna ocena i analiza stosowanych mechanizmów kontroli, Decyzje, analiza rejestrów ryzyk w zakresie danego Raportowanie Doradztwo wydziału, Doradztwo podejmowanie działań na poziomie komórki organizacyjnej oraz rekomendowanie postępowania z ryzykiem nieakceptowanym do Menedżera Ryzyka, jak również ich wdrażanie. Ocena efektywności i skuteczności systemu Audytor Wewnętrzny 4
3.1. Burmistrz Miasta Krotoszyn Do najistotniejszych kompetencji Burmistrza w ramach SZR należy: a) wyznaczanie kierunków rozwoju Systemu Zarządzania Ryzykiem, b) ustalenie zakresu obowiązywania Systemu Zarządzania Ryzykiem, c) wyznaczenie poziomu akceptowalności ryzyka, d) analiza portfela ryzyk oraz mechanizmów kontroli ryzyka, e) podejmowanie decyzji o planie postępowania z ryzykiem. Na podstawie rejestrów ryzyk otrzymanych z poszczególnych komórek organizacyjnych (jak również wyników audytów wewnętrznych oraz kontroli wewnętrznych i zewnętrznych) Burmistrz składa oświadczenie na temat stanu kontroli zarządczej. 3.2. Zespół ds. Ryzyka 3.2.1. Zespół ds. Ryzyka, to organ doradczy Burmistrza składający się z: a) I Z-cy Burmistrza, b) II Z-cy Burmistrza, c) Sekretarza, d) Skarbnika, e) Menedżera Ryzyka, f) Audytor wewnętrzny. 3.2.2. Prace Zespołu ds. Ryzyka organizuje Menedżer Ryzyka. Przyjmuje się, iż do Burmistrza należy decydujący głos w sprawach spornych. 3.2.3. Do głównych zadań Zespołu należy: a) rekomendowanie Burmistrzowi kierunków rozwoju Systemu Zarządzania Ryzykiem, b) opiniowanie wyników analizy i oceny ryzyka oraz wyników analizy i oceny stosowanych środków kontroli m. in. w zakresie: a. kompletności listy ryzyk, b. ocen poszczególnych ryzyk oraz mechanizmów kontroli, c) rekomendowanie poziomu akceptowalności ryzyka, d) opiniowanie proponowanych metod postępowania z ryzykiem i rekomendowanie ich Burmistrzowi, e) wyznaczanie sposobu budżetowania środków na zarządzanie ryzykiem, f) wspieranie działań na rzecz zwiększenia świadomości w zakresie zarządzania ryzykiem. 3.2.4. Częstotliwość i przedmiot spotkań Zespołu ds. Ryzyka ustala Menedżer Ryzyka. Spotkania powinny odbywać się zgodnie z przyjętą częstotliwością dokonywania ocen ryzyka i mechanizmów kontroli (minimum raz w roku). 3.2.5. W spotkaniach Zespołu ds. Ryzyka może uczestniczyć Burmistrz. 5
3.3. Menedżer Ryzyka 3.3.1. Menedżer Ryzyka jest odpowiedzialny za utrzymanie Systemu Zarządzania Ryzykiem w Urzędzie Miejskim. W głównej mierze będzie odpowiadać za organizację i koordynowanie prac poszczególnych osób, jak również przygotowywanie zbiorczych zestawień na temat ryzyka na potrzeby Burmistrza oraz Zespołu ds. Ryzyka. 3.3.2. Rolę Menedżera Ryzyka pełni Inspektor w Wydziale Ogólno- Organizacyjnym. 3.3.3. Przyjęto następujący zakres odpowiedzialności i uprawnień Menedżera Ryzyka: a) koordynacja poprawnego funkcjonowania Systemu Zarządzania Ryzykiem w UM, b) zapewnienie jednolitych standardów w zakresie identyfikacji, analizy i oceny ryzyka oraz mechanizmów kontroli w UM, c) zapewnienie kompletnej informacji na temat poszczególnych ryzyk i mechanizmów kontroli w oparciu o współpracę z Właścicielami Ryzyk, d) koordynowanie procesów identyfikacji i oceny, e) weryfikacja danych na temat ryzyk i mechanizmów kontroli przekazywanych przez Właścicieli Ryzyka, f) koordynowanie i nadzorowanie raportowania Menedżer Ryzyka opracowuje wymagania, zapewnia spójność, zbiera i agreguje informacje na potrzeby Burmistrza oraz Zespołu ds. Ryzyka, g) koordynowanie prac Zespołu ds. Ryzyka, jak również wspieranie jego działalności poprzez dostarczanie kompletnych i adekwatnych informacji na temat poszczególnych ryzyk i mechanizmów kontroli, h) koordynowanie i nadzorowanie planowania i wdrażania planów postępowania z ryzykiem, i) utrzymanie baz danych o ryzyku i mechanizmach kontroli, j) tworzenie i aktualizacja metodyki oceny ryzyka i mechanizmów kontroli, jak również związanych z nią wzorów dokumentów, k) integracja Systemu Zarządzania Ryzykiem z innymi działaniami w zakresie zarządzania i planowania, l) komunikowanie celów Systemu Zarządzania Ryzykiem oraz realizacja działań na rzecz zwiększenia świadomości w tym zakresie w UM. 3.4. Właściciel Ryzyka 3.4.1. Właściciel Ryzyka to osoba odpowiedzialna za zarządzanie konkretnym ryzykiem zidentyfikowanym w danym wydziale UM / jednostce organizacyjnej podległej UM. Rolę Właścicieli Ryzyka w UM pełnią Naczelnicy poszczególnych wydziałów oraz Dyrektorzy jednostek podległych UM. 3.4.2. Przyjęto następujący zakres odpowiedzialności i uprawnień Właściciela Ryzyka: a) koordynowanie i zarządzanie podległym ryzykiem, w tym okresowa analiza i ocena ryzyka, jak również analiza i ocena stosowanych mechanizmów kontroli, b) przekazywanie Menedżerowi Ryzyka niezbędnych informacji w zakresie zarządzania ryzykiem, 6
c) przygotowanie propozycji sposobu postępowania z ryzykiem oraz wdrażanie planów postępowania z ryzykiem, d) bieżące monitorowanie ryzyka dostarczanie na czas kompletnej i wiarygodnej informacji na temat ryzyka oraz mechanizmów kontroli, e) współpraca z Menedżerem Ryzyka w zakresie niezbędnym dla zapewnienia efektywnego Systemu Zarządzania Ryzykiem. 3.4.3. Właściciel Ryzyka ma prawo powołania w ramach własnego wydziału / jednostki organizacyjnej osób, które będą go wspierać w realizacji zadań nałożonych przez System Zarządzania Ryzykiem. 3.5. Pracownicy merytoryczni podległej Właścicielowi Ryzyka komórki organizacyjnej 3.5.1. Pracownicy merytoryczni komórki organizacyjnej podległej Właścicielowi Ryzyka powinni między innym: a) przekazywać Właścicielowi Ryzyka niezbędne informacje w zakresie ryzyk oraz mechanizmów kontroli, b) uczestniczyć w przygotowaniu propozycji sposobu postępowania z ryzykiem oraz wdrażaniu planów postępowania z ryzykiem, c) monitorować ryzyka w swoim obszarze zadań oraz dostarczać na czas kompletną i wiarygodną informację na temat ryzyk oraz mechanizmów kontroli, d) współpracować z Właścicielem Ryzyka w zakresie niezbędnym dla zapewnienia efektywnego Systemu Zarządzania Ryzykiem. 3.6. Audytor Wewnętrzny 3.6.1. Audytor Wewnętrzny w ramach Systemu Zarządzania Ryzykiem odpowiada za dostarczenie obiektywnej opinii w zakresie efektywności, adekwatności i skuteczności funkcjonującego systemu. 7
3.7. Proces Zarządzania Ryzykiem w Urzędzie Miejskim w Krotoszynie Proces zarządzania ryzykiem zgodnie ze standardami Ministra Finansów powinien odnosić się do celów i zadań organizacji, uwzględniać identyfikację i ocenę ryzyka, jak również analizować stosowane mechanizmy kontroli. Wytyczne wskazują również na konieczność właściwego zorganizowania wymiany informacji na temat ryzyk i mechanizmów kontroli oraz ciągłego monitorowania. Przebieg procesu zarządzania ryzykiem stosowanego w UM, zgodnego ze Standardami Ministra Finansów, przedstawiony został poniżej: Cele i zadania Informowanie Identyfikacja ryzyka Analiza i ocena ryzyka Ocena mechanizmów kontroli Ustalenie poziomu akceptowalności Monitorowanie i przegląd Postępowanie z ryzykiem Należy zauważyć, iż proces zarządzania ryzykiem ma charakter ciągły i powinien pozwalać na systematyczną analizę ryzyk oraz stosowanych mechanizmów kontroli w celu doskonalenia organizacji. Stosowana w ramach Systemu Zarządzania Ryzykiem metodyka powinna być w pełni dostosowana do specyfiki organizacji, pozwalać na porównywanie wyników oraz uwzględniać wszelkiego rodzaju stosowane mechanizmy kontroli. W dalszej części dokumentu opisano etapy Procesu Zarządzania Ryzykiem w UM: a) Cele, zadania i identyfikacja ryzyka, b) Analiza i ocena ryzyka, c) Ocena mechanizmów kontroli, d) Ustalenie progu akceptowalności ryzyka, e) Postępowanie z ryzykiem, f) Monitorowanie procesu i dokonywanie zmian. 8
3.8. Cele, zadania i identyfikacja ryzyka Identyfikacja ryzyka w ramach Systemu Zarządzania Ryzykiem w UM będzie się odbywała z wykorzystaniem analizy realizowanych zadań. Punktem wyjścia do wyznaczenia obszarów zadań będzie Regulamin Organizacyjny UM. Powodem wybrania tej metody jest głownie brak formalnie określonych procesów realizowanych przez komórki organizacyjne na przestrzeni UM. Poniżej przedstawiono zapisy dotyczące identyfikacji ryzyka w UM: 3.8.1. Identyfikacja ryzyka w UM polega na ustaleniu możliwego do wystąpienia ryzyka zagrażającego realizacji celów i zadań. Przyjęto, iż podstawą do budowania listy ryzyka są zadania określone na podstawie Regulaminu Organizacyjnego Urzędu Miejskiego w Krotoszynie. 3.8.2. Ryzyka identyfikowane są w UM przez Właścicieli Ryzyka w ramach podległych im wydziałów / jednostek organizacyjnych. 3.8.3. Każdy Właściciel Ryzyka prowadzi własną listę ryzyk w arkuszu kalkulacyjnym. Menedżer Ryzyka scala otrzymane informacje w jeden dokument (raport). Menedżer Ryzyka uzupełnia bazę ryzyk w oprogramowaniu Risk Manager. 3.8.4. Ryzyka zidentyfikowane przez pracowników UM: a) Każdy pracownik zobligowany jest do informowania bezpośredniego przełożonego o wszystkich istotnych ryzykach przez niego zidentyfikowanych. b) Bezpośredni przełożony po przeanalizowaniu zgłoszenia decyduje o konieczności poinformowania Menedżera Ryzyka w celu umieszczenia ryzyka w bazie danych. c) Wszelkie istotne ryzyka winny być zgłoszone (przez przełożonego) w formie e- mail lub pisemnej zawierającej szczegółowy opis ryzyka obejmujący przynajmniej: a. Nazwę ryzyka, b. Potencjalne przyczyny wystąpienia ryzyka. d) Menedżer Ryzyka decyduje o umieszczeniu nowego ryzyka w bazie danych oraz przypisaniu go do odpowiedniego Właściciela Ryzyka. 3.9. Analiza i ocena ryzyka Dokonywanie analizy i oceny ryzyka powinno odbywać się w sposób jednolity dla wszystkich komórek organizacyjnych uczestniczących w Systemie Zarządzania Ryzykiem przynajmniej raz do roku. Metodyka oceny ryzyka wraz z uzasadnieniem została przedstawiona w rozdziale nr 4. Poniżej przedstawiono czynności dotyczące organizacji procesu analizy i oceny ryzyka w UM: 9
3.9.1. Analiza i ocena ryzyka dokonywana jest przynajmniej raz do roku w terminie ustalonym przez Menedżera Ryzyka. Menedżer może też wystąpić z inicjatywą dodatkowej analizy w przypadku wystąpienia zdarzeń nadzwyczajnych. 3.9.2. Analiza i ocena ryzyka może być dokonywana przez Właścicieli Ryzyk przy użyciu następujących możliwych technik, pozwalających na określenie dziedzin i zasobów, na które należy zwrócić szczególną uwagę: a) narady poświęcone omawianiu, ocenie i rozliczaniu z realizacji zadań w zakresie kontroli zarządczej, b) warsztaty dla pracowników poświęcone analizie zagrożeń, c) badanie ankietowe, d) analiza wyników audytów/kontroli zewnętrznych i wewnętrznych dotyczących działania poszczególnych komórek organizacyjnych. 3.9.3. Przyjmuje się następujące kroki przy analizie i ocenie ryzyka: a) Przynajmniej raz do roku Właściciele Ryzyka dokonują analizy ryzyka w terminie wskazanym przez Menedżera Ryzyka. Właściciele ryzyk mogą dokonać oceny osobiście lub przy współpracy z innymi pracownikami. b) Wyniki oceny ryzyka wykonane przez Właścicieli Ryzyk przekazywane są do Menedżera Ryzyka w celu ich weryfikacji za pośrednictwem oprogramowania Risk Manager. c) Menedżer Ryzyka przygotowuje następujące informacje na spotkanie Zespołu ds. Ryzyka: a. listę ocenionych ryzyk, b. propozycje ryzyk nieakceptowalnych, c. możliwe działania w zakresie minimalizacji ryzyka. d) Zespół ds. Ryzyka dokonuje weryfikacji kompletności listy ryzyk i mechanizmów kontroli oraz adekwatności dokonanych ocen. Wyniki przeprowadzonej weryfikacji zapisane zostają w notatce ze spotkania Zespołu ds. Ryzyka. 3.10. Ustalenie progu akceptowalności i sposobu postępowania z ryzykiem W zależności od przyjętego modelu zarządzania ryzykiem ocena poziomu istotności ryzyka, skuteczności mechanizmów kontroli i sposób dalszego postępowania oraz akceptacji ryzyka może być dokonywany przez Burmistrza, Menedżera Ryzyka lub powołany specjalnie do tego Zespół ds. Ryzyka. Rekomenduje się, aby dla każdego z zadań wynikających z planu postępowania z ryzykiem przypisać działania kontrolne mające na celu monitorowanie stanu prac związanych z danym planem. W zależności od rodzaju zadania mogą to być raporty, spotkania zespołu, wskaźniki/mierniki. 10
3.10.1. Każdy Właściciel Ryzyka ustala wartość progu akceptowalności ryzyka, który pozwala na oddzielenie ryzyk akceptowalnych od nieakceptowalnych. 3.10.2. Narzędziem pomocnym w zakresie wskazywania ryzyk nieakceptowanych może być kryterium akceptowalności ryzyka oparte na regule Pareto. Przyjmuje się, że 20% ryzyk o największej wartości powoduje 80% strat. Z tego też względu należy zająć się górnymi 20% ryzyk: Poziom akceptowalności ryzyka: (MAX_WRS MIN_WRS) x 0,8 gdzie: MAX_WRS największa wartość ryzyka, MIN_WRS najmniejsza wartość ryzyka. Należy pamiętać, że powyższa metoda służy jedynie pomocą nie powinna zastępować decyzji podejmowanych przez Właścicieli Ryzyka. Każdy Właściciel Ryzyka powinien samodzielnie wskazać ryzyka nieakceptowalne. 3.10.3. Właściciele Ryzyka określają również sposób postępowania z ryzykami nieakceptowanymi. W celu określenia metody postępowania z ryzykiem należy przeanalizować: przyczyny (źródła) ryzyka i możliwe scenariusze rozwoju, skuteczność istniejących mechanizmów kontroli, tj. zakres w jakim przeciwdziałają one ryzyku. Wzór formularza planu postępowania z ryzykiem zawarty został w formie dokumentu Word (Załącznik nr 3). 3.10.4. Dla każdej propozycji postępowania z ryzykiem nieakceptowanym Zespół ds. Ryzyka dokonuje analizy korzyści i kosztów. Analiza kosztów i korzyści powinna obejmować porównanie każdego z proponowanych działań w zakresie: Wpływu na prawdopodobieństwo, Wpływu na skutek, Korzyści (również dodatkowych szans), Kosztu (głównie finansowego), Możliwego wpływu na inne ryzyka. 11
3.10.5. Ustalona i zaakceptowana przez Zespół ds. Ryzyka lista ryzyk nieakceptowalnych wraz z propozycjami planów postępowania z ryzykami nieakceptowalnymi przekazywana jest do akceptacji Burmistrza. 3.10.6. Wszelkie niezgodności i uwagi Burmistrza przekazywane są do Menedżera Ryzyka, który dokonuje odpowiednich zmian we współpracy z Zespołem ds. Ryzyka. 3.10.7. Menedżer Ryzyka przekazuje decyzje Burmistrza do poszczególnych Właścicieli Ryzyk. 3.11. Wdrożenie planów postępowania z ryzykiem, monitorowanie i przegląd ryzyka 3.11.1. Za wdrożenie planów postępowania z ryzykiem odpowiadają Właściciele Ryzyk. Ich prace monitorowane są przez Menedżera Ryzyka oraz Audytora Wewnętrznego. 3.11.2. Za ciągłe monitorowanie wartości poszczególnych ryzyk odpowiadają Właściciele Ryzyka. O wszelkich zmianach wartości ryzyk oraz nowych, dotychczas niezidentyfikowanych ryzykach należy informować Menedżera Ryzyka. 3.11.3. Efektywność zarządzania ryzykiem podlega niezależnej i obiektywnej ocenie dokonywanej przez Audytora Wewnętrznego. Celem oceny jest: identyfikacja nowych ryzyk dotychczas nie ujętych na mapie ryzyka, określenie skuteczności stosowanych mechanizmów kontroli, monitorowanie skuteczności działań podejmowanych w odniesieniu do ryzyk, których wartości zostały przekroczone. 4. Metodyka oceny ryzyka i mechanizmów kontroli w UM Kluczowym elementem procesu zarządzania ryzykiem jest adekwatna metodyka oceny ryzyka. Skuteczny System Zarządzania Ryzykiem wymaga aby zbudowana metodyka: zapewniała powtarzalność i porównywalność wyników ocen ryzyka przeprowadzanych w poszczególnych komórkach organizacyjnych, uwzględniała funkcjonujące mechanizmy kontroli przy ocenie wartości ryzyka. Rekomenduje się zastosowanie w UM mieszanej skali pięciostopniowej dla prawdopodobieństwa oraz skutków. Mieszana skala umożliwia ocenę ryzyka poprzez wskazanie wartości liczbowej, jak również pozwala wskazać opis sytuacji. Pięć stopni skali z jednej strony zapewnia odpowiednią liczbę opcji do wyboru, z drugiej strony nie jest problematyczne określenie co każda z opcji oznacza. Nieparzysta liczba opcji daje również możliwość wybrania oceny pośredniej, co z pewnością w części ryzyk będzie konieczne. Podczas oceny należy brać pod uwagę najbardziej prawdopodobny skutek wystąpienia ryzyka, a nie skutek maksymalny. Dla oceny skuteczności mechanizmów kontroli proponuje się skalę trójstopniową. Mając trzy opcje ocena przebiega szybciej i jest mniej skomplikowana, a wartość merytoryczna zostaje zachowana. 12
Poniżej przedstawiono metodykę oceny ryzyka i mechanizmów kontroli w ramach Systemu Zarządzania Ryzykiem w UMK. Narzędziem wspierającym ten proces jest przygotowana specjalnie dla potrzeb Urzędu baza danych Risk Manager. 4.1. Etapy identyfikacji i oceny ryzyka Przyjmuje się, iż dla każdego zidentyfikowanego ryzyka należy przeprowadzić następujące kroki: 1. Identyfikacja i kategoryzacja ryzyk: a. Wskazanie wydziału/jednostki organizacyjnej, w której analiza ryzyka będzie dokonywana, b. Określenie zadania, w którym ryzyko występuje, c. Określenie nazwy ryzyka, d. Określenie kategorii ryzyka, e. Wskazanie potencjalnych przyczyn (wewnętrznych i zewnętrznych) wystąpienia danego ryzyka. 2. Ocena ryzyka: a. Ocena prawdopodobieństwa wystąpienia ryzyka wg przyjętej 5-stopniowej skali, b. Ocena skutków wystąpienia ryzyka: finanse, reputacja, realizacja zadań wg przyjętych 5-stopniowych skal, 3. Ocena mechanizmów kontroli: a. Wskazanie mechanizmów kontroli (zabezpieczeń), które na moment dokonywania oceny powodują, że zagrożenie jest niższe. Maksymalnie możliwe jest wskazanie pięciu mechanizmów kontroli, b. Dla każdego mechanizmu kontroli należy wskazać kategorię, do której należy, c. Ocena skuteczności mechanizmów kontroli wg przyjętej 3-stopniowej skali, 4.2. Kategoryzacja ryzyk 4.2.1. Klasyfikacja ryzyk kategorie ryzyk. a) Wszelkie ryzyka zidentyfikowane w ramach zadań realizowanych przez UM przyporządkowywane są do jednej z dwunastu kategorii ryzyka: Finanse, Bezpieczeństwo, Prawo, Zasoby ludzkie, Infrastruktura, Współpraca, Sprawozdawczość, Promocja, Rozwój, Usługa administracyjna, Otoczenie społeczne, Oświata. 13
Każde z nowych ryzyk, dotychczas nie zidentyfikowanych, należy przyporządkować do odpowiedniej kategorii ryzyka. 4.3. Ocena ryzyka i mechanizmów kontroli 4.3.1. Ocena prawdopodobieństwa wystąpienia ryzyka: a) Pierwszym kryterium oceny każdego z ryzyk jest prawdopodobieństwo wystąpienia ryzyka na dzień przeprowadzenia oceny. b) Prawdopodobieństwo wystąpienia danego ryzyka należy ocenić w pięciostopniowej skali przedstawionej poniżej. P Prawdopodobieństwo 5 Zagrożenie jest bardzo wysokie >5 razy do roku 4 Zagrożenie jest wysokie 4-5 razy do roku 3 Zagrożenie jest realne 2-3 razy do roku 2 Zdarzenie jest mało realne 1 raz do roku 1 Zdarzenie jest raczej nierealne 0 razy do roku 4.3.2. Ocena skutku wystąpienia ryzyka: a) Dokonując oceny wystąpienia realizacji danego ryzyka należy brać pod uwagę najbardziej prawdopodobne konsekwencje spowodowane zmaterializowaniem się ryzyka. b) Skutki zmaterializowania się zagrożeń oceniane są według trzech kryteriów: finanse, reputacja oraz realizacja zadań. Przyjęte skale oceny skutków wystąpienia ryzyka wskazane zostały poniżej. S f Skutek - finanse 5 Bardzo znaczący wpływ na finanse UM 4 Znaczący wpływ na finanse UM 3 Umiarkowany wpływ na finanse UM 2 Nieznaczny wpływ na finanse UM 1 Brak wpływu na finanse UM 14
S r Skutek wizerunek Negatywne informacje w mediach 5 ogólnokrajowych 4 Negatywne informacje w mediach lokalnych 3 Skargi, wnioski, telefony petentów Negatywne informacje wewnątrz UM / jednostek 2 podległych 1 Brak negatywnych skutków wizerunkowych S z Skutek realizacja zadań Zdarzenie uniemożliwia funkcjonowanie UM w 5 dłuższym okresie czasu Zdarzenie uniemożliwia funkcjonowanie UM w 4 krótkim okresie czasu 3 Zdarzenie znacząco utrudnia funkcjonowanie UM Zdarzenie w nieznaczny sposób utrudnia 2 funkcjonowanie UM Zdarzenie nie wpływa na funkcjonowanie 1 organizacji 4.3.3 Ocena skuteczności mechanizmów kontroli: a) Przez mechanizmy kontroli należy rozumieć polityki, procedury, techniczne środki zabezpieczeń oraz inne zaprojektowane rozwiązania, jak również rzeczywiste praktyki stosowane w celu prewencji zdarzeń i/lub redukcji skutków w przypadku zmaterializowania się ryzyka. b) Skala oceny skuteczności wdrożonych mechanizmów kontroli ryzyka pozwala na ocenę działań zarządczych wdrożonych względem zidentyfikowanych ryzyk. Skala przygotowana została w celu oceny możliwości wpłynięcia na wartość ryzyka poprzez podniesienie skuteczności aktualnie wdrożonych działań zarządczych (kontroli) względem zidentyfikowanych ryzyk. c) Zidentyfikowane dla danego ryzyka mechanizmy kontroli oceniane są łącznie (jedna ocena). d) Skala oceny skuteczności mechanizmów kontroli: 15
P 3 2 1 Skuteczność środków kontroli Wysoka skuteczność - środek adekwatny i optymalny dla ryzyka. Średnia skuteczność - środki kontroli z umiarkowanym potencjałem do poprawy. Niska skuteczność środek kontroli z dużym potencjałem do poprawy. 4.3.4 Współczynniki ryzyka: a) Bazowym wzorem określającym wartość ryzyka jest współczynnik ryzyka wyliczany wg poniższych wzorów: WRN = [P x (S f +S r +S z )] Gdzie: WRI - Współczynnik ryzyka nieodłącznego P Prawdopodobieństwo wystąpienia ryzyka S f Skutek-finanse S r Skutek-reputacja S z Skutek-realizacja zadań Gdzie: WRS = [P x (S f +S r +S z )] / (SK) WRR - Współczynnik ryzyka szczątkowego P Prawdopodobieństwo wystąpienia ryzyka S f Skutek-finanse S r Skutek-reputacja S c Skutek-realizacja zadań SK Suma skuteczności środków kontroli b) Przez ryzyko nieodłączne rozumiemy ryzyko występujące w sytuacji braku działań kierownictwa w kierunku wpłynięcia na prawdopodobieństwo wystąpienia ryzyka lub na jego skutki. c) Ryzyko szczątkowe pozostaje po podjęciu przez kierownictwo działań w kierunku zmniejszenia jego prawdopodobieństwa lub skutków. d) W ramach Systemu Zarządzania Ryzykiem wykorzystywany będzie zarówno wskaźnik WRN, jak i WRS. Porównywanie wartości wskaźników pozwoli na ocenę skuteczności działań podejmowanych w odniesieniu do ryzyka, jak również śledzenie i poprawę istniejących lub wdrażanie nowych rozwiązań wpływa na obniżenie poziomu ryzyka. UWAGA Oceniając poziom ryzyka, jak również poziom skuteczności mechanizmów kontroli, należy w głównej mierze polegać na wskazaniu właściwego poziomu poprzez wybór wartości liczbowej. Opis dla danej wartości jest pomocniczy i nie w każdym przypadku będzie w pełni adekwatny. 16
4.4 Rejestr ryzyka a) Zgodnie z przyjętą metodyką wyniki ocen przeprowadzonych w poszczególnych Referatach zostają zebrane przez Koordynatora ds. Ryzyka, przedstawione w postaci Rejestru Ryzyk, który następnie przekazywany jest do weryfikacji Menadżera Ryzyka. b) Ryzyko ocenione pod względem wskazanych powyżej parametrów (prawdopodobieństwo, skutki, skuteczność środków kontroli, WRS, WRN) włączane jest do Rejestru Ryzyk. c) Ryzyka przedstawiane są na wykresach, które stanowią trzy ostatnie arkusze w pliku Excel. 5 Postanowienia końcowe 5.3 W sprawach nieuregulowanych w niniejszym dokumencie zastosowanie mają polityki, regulaminy i szczegółowe procedury obowiązujące w Urzędzie Miejskim w Krotoszynie. 5.4 Księga Systemu Zarządzania Ryzykiem podlega przeglądowi i weryfikacji, dokonywanej przez Menedżera Ryzyka co najmniej raz w roku we współpracy z Właścicielami Ryzyka, w celu dostosowania do zmian profilu ryzyka Urzędu i otoczenia zewnętrznego, w którym organizacja działa. 17