Załącznik do zarządzenia 366/AKW/2015 Prezydenta Miasta Kędzierzyn-Koźle z dnia 17 lipca 2015 r. w sprawie ustalenia i wprowadzenia obowiązku stosowania procedury zarządzania ryzykiem w Urzędzie Miasta Kędzierzyn-Koźle. PROCEDURY ZARZĄDZANIARYZYKIEM Dział I PODSTAWOWE POJĘCIA 1. Ilekroć w procedurze jest mowa o: 1) zarządzaniu ryzykiem rozumie sie przez to logiczną i systematyczną metodę ustalania zakresu, identyfikacji, analizy, oceny, działania, nadzoru oraz informowania o ryzyku w sposób, który umożliwia prawidłową i efektywną realizację zadań Urzędu Miasta Kędzierzyn-Koźle, z ograniczeniem do minimum występowania czynników negatywnie wpływających na prawidłowość i efektywność ich wykonania; 2) procedurze zarządzania ryzykiem - rozumie sie przez to zespół reguł określających: a) zasady zarządzania ryzykiem w Urzędzie Miasta Kędzierzyn-Koźle, b) zadania komórek organizacyjnych, w tym samodzielnych stanowisk wyodrębnionych w strukturze organizacyjnej Urzędu Miasta Kędzierzyn-Koźle w procesie zarządzania ryzykiem; 3) zadaniach rozumie sie przez to procesy wykonywania zadań publicznych Gminy Kędzierzyn-Koźle, realizowane przez komórki organizacyjne, w tym samodzielne stanowiska wyodrębnione w strukturze organizacyjnej Urzędu Miasta Kędzierzyn-Koźle; 4) ryzyku - rozumie sie przez to możliwość zaistnienia niepożądanego zdarzenia, stanowiącego zagrożenie dla realizacji zadania; 5) właścicielu zadania (właścicielu ryzyka) rozumie sie przez to kierownika komórki organizacyjnej lub osobę zatrudnioną na samodzielnym stanowisku, albo inną upoważnionąosobę odpowiedzialną w Urzędzie Miasta Kędzierzyn-Koźle za realizację danego zadania i skuteczność zarządzania ryzykiem związanym z tym zadaniem; 6) mierniku ryzyka rozumie sie przez to wskaźnik procesu realizacji zadania służący do monitorowania ryzyka.
Dział II CEL ORAZ SKŁADNIKI PROCEDURY ZARZĄDZANIA RYZYKIEM 2.1. Celem stosowania w Urzędzie Miasta Kędzierzyn-Koźle procedury zarządzania ryzykiem, stanowiącej element kontroli zarządczej, jest zapewnienie: 1) zgodności z prawem, efektywności, oszczędności i terminowości: a) procesów realizacji wykonywanych przez Urząd Miasta Kędzierzyn-Koźle zadań publicznych Gminy Kędzierzyn-Koźle, w tym nadzoru realizacji usług świadczonych na rzecz mieszkańców, b) zarządzania zasobami, w tym majątkiem nieruchomym i ruchomym oraz środkami finansowymi; 2) przeciwdziałanie potencjalnym zagrożeniom dla procesów realizacji wykonywanych przez Urząd Miasta Kędzierzyn-Koźle zadań publicznych Gminy Kędzierzyn-Koźle, w tym ograniczenia do akceptowanego poziomu negatywnych skutków prawnych, finansowych oraz faktycznych zaistniałych zdarzeń, stanowiących zagrożenie dla wykonywanych przez Urząd Miasta Kędzierzyn-Koźle zadań publicznych Gminy Kędzierzyn-Koźle. 2. W skład procedury zarządzania ryzykiem wchodzą następujące etapy: 1) ustanowienie zakresu zarządzania ryzykiem; 2) szacowanie ryzyka, w tym: a) identyfikacja ryzyka, b) ocena ryzyka; 3) akceptowanie ryzyka; 4) postępowanie z ryzykiem; 5) monitorowanie i przegląd ryzyka; 6) informowanie o ryzyku. 3. Procedura zarządzania ryzykiem wskazuje metodykę i zakres czynności realizowanych w ramach każdego z etapów zarządzania ryzykiem, z zastrzeżeniem ust.4. 4. Czynności przewidziane w procedurze zarządzania ryzykiem dokonywane są, stosownie do zakresu uprawnień i obowiązków komórek organizacyjnych, w tym samodzielnych stanowisk wyodrębnionych strukturze organizacyjnej Urzędu Miasta Kędzierzyn-Koźle, z zastosowaniem informatycznego narzędzia zarządzania ryzykiem, udostępnionego za pośrednictwem sieci Intranet, zwanego dalej IZR. 2
Dział III ZAKRES ZADAŃ ORAZ MIERNIKÓW ICH WYKONANIA OBJĘTYCH PROCEDURĄ ZARZĄDZANIA RYZYKIEM 3. 1. Procedurą zarządzania ryzykiem objęte są procesy wykonywania zadań publicznych Gminy Kędzierzyn-Koźle, realizowane przez komórki organizacyjne, w tym samodzielne stanowiska, wyodrębnione w strukturze organizacyjnej Urzędu Miasta Kędzierzyn-Koźle, określonych na podstawie : 1) powszechnie obowiązujących przepisów prawa; 2) Regulaminu Organizacyjnego Urzędu Miasta Kędzierzyn-Koźle; 3) rocznego planu finansowego Urzędu Miasta Kędzierzyn-Koźle; 4) tabel procesów, nadzorowanych w ramach Systemu Zarządzania Jakością, w tym załączonych do nich wykazu usług realizowanych na rzecz klientów przez Urząd Miasta Kędzierzyn-Koźle. 2. Wykaz zadań (procesów realizacji zadań publicznych) ich celów, mierników oraz osób odpowiedzialnych za ich realizację, objętych zarządzaniem ryzykiem określa załącznik nr 1 do niniejszej procedury zarządzania ryzykiem. Dział IV SZACOWANIE RYZYKA Rozdział 1 Identyfikacja Ryzyka 4.1. Nie rzadziej niż raz w roku należy dokonać identyfikacji ryzyk w odniesieniu do celów i zadań. 2. W przypadku istotnej zmiany warunków realizacji zadań należy dokonać ponownej identyfikacji ryzyka. 3. Identyfikacja ryzyka w Urzędzie Miasta Kędzierzyn- Koźle dokonywana jest przez właścicieli zadań. 4. Wykaz procesów realizacji zadań publicznych ich celów, mierników oraz osób odpowiedzialnych za ich realizację określa załączniku nr 1 do niniejszej procedury zarządzania ryzykiem. 5. Każdemu z wyznaczonych zadań właściciel zadania i ryzyka zobowiązany jest przypisać odpowiadającą danemu zadaniu jedną z następujących kategorii ryzyka: 3
1) finansowego związanego z zagrożeniem zasad planowania, wydatkowania i kontroli środków publicznych, w tym skutkujących odpowiedzialnością za naruszenie dyscypliny finansów publicznych; 2) prawnego związanego z zagrożeniem naruszenia przepisów prawa, w tym naruszenia obowiązujących procedur, z wyłączeniem przypadków objętych kategorią ryzyka finansowego; 3) bezpieczeństwa zasobów związanego z zagrożeniem bezpieczeństwa: a) zasobów ludzkich (np. wystąpienia wypadków), b) zasobów majątkowych (np. pożaru, powodzi i innych zdarzeń losowych), c) zasobów technologicznych lub informacyjnych (np. bezpieczeństwa systemów informatycznych), d) środowiska naturalnego (np. klęski ekologicznej); 4) komunikacyjnego związanego z zagrożeniem opublikowania niepożądanej informacji lub zakłóceniem udostępniania informacji publicznej oraz związanego z brakiem komunikacji wewnętrznej i zewnętrznej. 6. Opis zidentyfikowanego ryzyka dokonywany jest przez właściciela ryzyka na Karcie ryzyka, udostępnionej w postaci formularza zgłoszenia ryzyka IZR, elektronicznie przekazywanego Specjaliście ds. kontroli zarządczej, celem wprowadzenia do rejestru ryzyka, prowadzonego w IZR. 7. Rejestr ryzyk prowadzony przez Specjalistę ds. kontroli zarządczej podlega zatwierdzeniu przez Prezydenta Miasta Kędzierzyn-Koźle po każdej jego zmianie. Rozdział 2 Ocena Ryzyka 5.1. Nie rzadziej niż raz w roku należy dokonać oceny zidentyfikowanych ryzyk. 2. Ocena ryzyka przeprowadzana jest w terminie do dnia 28 lutego na dany rok, przez właściciela ryzyka przy pomocy IZR. 3. W przypadku istotnej zmiany warunków realizacji zadań należy dokonać ponownej oceny ryzyka. 4. Oceny ryzyka dokonuje się na podstawie określenia prawdopodobieństwa oraz skutku wpływu określonych zdarzeń na realizację zadań (procesów wykonywania zadań publicznych), zdefiniowanych w Urzędzie Miasta Kędzierzyn-Koźle. 5. Prawdopodobieństwo wystąpienia ryzyka określane jest zgodnie ze skalą przedstawioną w poniższej tabeli: 4
Skala 1 2 3 4 5 Mało Prawie Opis Rzadkie Średnie Prawdopodobne prawdopodobne pewne Prawdo- 0% -20% 21% -40% 41% -60% 61% -80% 81% -100% podobieństwo 6. Skutek wystąpienia ryzyka rozpatrywany jest w aspektach powiązanych z wyróżnionymi kategoriami ryzyka, a mianowicie: 1) wpływ w zakresie finansowym (kryterium finansowe); 2) wpływ w zakresie prawnym (kryterium prawne); 3) wpływ w zakresie bezpieczeństwa zasobów (kryterium bezpieczeństwa zasobów); 4) wpływ w zakresie skuteczności komunikacji (kryterium komunikacyjne); 5) wpływ w zakresie zarządzania (kryterium organizacyjne); zgodnie ze skalą przedstawioną w poniższej tabeli: Kryteria Skala Opis skutku Bezpieczeństwa Finansowe Prawne zasobów Komunikacyjne Organizacyjne 1 2 3 4 5 6 7 5 Krytyczny Bardzo duża strata finansowa Brak realizacji strategicznych zadań publicznych Utrata życia / majątku lub praw majątkowych bardzo dużej wartości Ciągłe negatywne informacje medialne /zakłócenia w udostępnianiu informacji publicznej o zasięgu ogólnokrajowym/ brak komunikacji Krytyczny wpływa na realizację kluczowych zadań lub osiąganie założonych celów, niekorzystny wpływ na wizerunek jednostki 4 Poważny Duża strata finansowa Brak realizacji istotnych zadań publicznych Poważne obrażenia/ utrata majątku lub praw majątkowych dużej wartości Okresowe negatywne informacje medialne /zakłócenia w udostępnianiu informacji publicznej o zasięgu ogólnokrajowym/ nieskuteczna komunikacja Negatywny wpływ na jakość wykonywanych zadań, ejektywność działania i wizerunek jednostki 5
1 2 3 4 5 6 7 3 Umiarkowany Średnia strata finansowa utrudniająca należyte wykonywanie zadań Zakłócenia w bieżącej działalności Pewne obrażenia/ utrata majątku lub praw majątkowych znacznej wartości Okresowe negatywne informacje medialne /zakłócenia w udostępnianiu informacji publicznej o zasięgu regionalnym/ niewystarczająca komunikacja Zakłócenie procesu wykonywanych zadań mogące pogorszyć wizerunek jednostki 2 Niewielki Mała strata finansowa powodująca drobne zakłócenia w realizacji zadań Niewielkie zakłócenia w bieżącej działalności i Niewielkie obrażenia/ utrata majątku lub praw majątkowych nieznacznej wartości Ograniczone negatywne informacje medialne /zakłócenia w udostępnianiu informacji publicznej o zasięgu lokalnym/słaba komunikacja Utrudnienia w realizacji zadań i osiągania celów mogące mieć wpływ na wizerunek jednostki 1 Nieznaczny Nieznaczna strata finansowa mogąca mieć niewielki wpływ na realizowane zadania Krótkotrwałe zakłócenia w bieżącej działalności Niewielkie obrażenia/ utrata majątku lub praw majątkowych niewielkiej wartości Incydentalne negatywne informacje medialne /zakłócenia w udostępnianiu informacji publicznej o zasięgu lokalnym/zakłóce nia w komunikacji Drobne problemy w realizacji zadań nie mające wpływu na wizerunek jednostki 7. Ostateczna wartość skutków danego ryzyka ustalana jest na podstawie najwyższej wartości określonej dla jednego, dominującego w danym zadaniu kryterium. 8. Właściciel ryzyka po określeniu prawdopodobieństwa oraz skutków ryzyka ustala przy pomocy IZR wartość ryzyka zgodnie z wzorem: gdzie: R ryzyko, R = P x S 6
P prawdopodobieństwo, S skutek, umieszczając tą wartość na karcie ryzyka udostępnianej w postaci formularza IZR Specjaliście ds. kontroli zarządczej, który w terminie 7 dni od udostępnienia karty ryzyka w IZR weryfikuje wartości poszczególnych ryzyk poprzez akceptację bądź odrzucenie do ponownej oceny i po zaakceptowaniu generuje rejestr ryzyk. 9. W Urzędzie Miasta przyjęto jednostopniową metodę analizy ryzyka, polegającą na ocenie wyłącznie wartości ryzyka rezydualnego, czyli pozostającego po wprowadzeniu reakcji na ryzyko w postaci zidentyfikowanych mechanizmów kontrolnych. Dział V AKCEPTOWANIE RYZYKA 6.1. Decyzje o akceptacji lub zapobieganiu ryzyku powinny być podejmowane z uwzględnieniem poziomu akceptowalności ryzyka wyznaczonego w Urzędzie Miasta Kędzierzyn- Koźle zgodnie z punktacją w poniższej tabeli: Krytyczny 5 10 15 20 25 Skutek Poważny 4 8 12 16 20 Umiarkowany 3 6 9 12 15 Niewielki 2 4 6 8 10 Nieznaczny 1 2 3 4 5 Rzadkie Mało Średnie Prawdopodobne Prawie pewne prawdopodobne Prawdopodobieństwo gdzie: - ryzyko niskie istotność ryzyka na poziomie akceptowalnym, - ryzyko średnie istotność ryzyka na poziomie dopuszczalnej akceptacji, - ryzyko wysokie istotność ryzyka na poziomie nieakceptowalnym, wymagającym mechanizmów zapobiegawczych. 7
2. Poziom akceptowalności ryzyka, stanowiący wielkość ryzyka, jakie Urząd Miasta Kędzierzyn - Koźle może podjąć w celu realizacji zadań publicznych, wyznacza się w przedziale wartości od 1 do 12, z zastrzeżeniem ust 3. 3. Na podstawie punktowej oceny ryzyka określonej w 5, Specjalista ds. kontroli zarządczej dokonuje przy pomocy IZR uporządkowania rodzajów ryzyka wg poziomu ich istotności, hierarchizując oraz inicjując działania podejmowane w celu zmniejszenia ryzyka w następujący sposób : 1) w przypadku ryzyka wysokiego o wartości 15-25 pkt rekomenduję niezwłoczne zawiadomienia Prezydenta Miasta Kędzierzyn-Koźle, jego zastępców lub członków kierownictwa urzędu w celu objęcia ryzyka w tym obszarze szczególnym nadzorem i podjęcia działań, które spowodują zredukowanie ryzyka do poziomu akceptowalnego; 2) w przypadku ryzyka średniego o wartości 4-12 pkt rekomenduje dopuszczalną akceptację ryzyka, pod warunkiem monitorowania oraz rozważenia możliwości wprowadzenia lub modyfikacji przez jego właściciela istniejących mechanizmów kontrolnych; 3) w przypadku ryzyka niskiego o wartości 1-3 pkt rekomenduje akceptację ryzyka w tym obszarze. 4. Na podstawie czynności określonych w ust.1-3 Specjalista ds. kontroli zarządczej dokonuje przy pomocy IZR podziału ryzyk na ryzyka akceptowalne i nieakceptowalne. Dział VI POSTĘPOWANIE Z RYZYKIEM 7.1. W wyniku szacowania ryzyka Specjalista ds. kontroli zarządczej formułuje, w terminie 14 dni od daty zakończenia szacowania ryzyka, rekomendacje dotyczące dalszego postępowania z poszczególnym ryzykiem, zgodnie 6, które przedstawia do zatwierdzenia Prezydentowi Miasta Kędzierzyn-Koźle. 2. Na podstawie danych uzyskanych we wcześniejszych etapach, zgromadzonych przy pomocy IZR, Specjalista ds. kontroli zarządczej sporządza ranking ryzyk względem określonego wcześniej poziomu akceptowalności ryzyka, grupując wszystkie oszacowane ryzyka, ze wskazaniem, które z nich są najbardziej, a które najmniej istotne dla Urzędu Miasta Kędzierzyn-Koźle. 3. Dla ryzyka nieakceptowalnego właściciel ryzyka tworzy, we właściwym polu tekstowym Postępowanie z ryzykiem w IZR, opis do ryzyka, w którym wskazuje właściwy, optymalny sposób postępowania z ryzykiem, poprzez wybór jednego z następujących wariantów: 8
1) przeciwdziałanie ryzyku (redukowanie ryzyka) - podejmowanie działań pozwalających na ograniczenie ryzyka do akceptowalnego poziomu, np. dzięki wzmocnieniu mechanizmów kontroli wewnętrznej (procedur, wytycznych, zasad, nadzoru, itd.) wbudowanych w realizowane procesy; 2) przeniesienie (transfer) ryzyka na inną instytucję, np. poprzez ubezpieczenie majątku; 3) przesunięcie w czasie(unikanie) ryzyka - zawieszenie działań skutkujących zbyt dużym ryzykiem; 4) tolerowanie (akceptacja) ryzyka - w przypadku, gdy koszty przeciwdziałania ryzyku jest wyższy niż koszt wystąpienia skutków związanych z ryzykiem. 4. Właściciele ryzyk realizują w ramach własnego zakresu działania i odpowiedzialności warianty sposobów postępowania z ryzykiem wskazane w trybie określonym w ust. 4. 5. W razie wystąpienia ważnych zmian w ocenie ryzyka lub ujawnieniu zagrożeń w wyniku monitorowania, właściciel ryzyka winien niezwłocznie wskazać jeden z wariantów postępowania z ryzykiem, o których mowa w ust. 4, oraz przeciwdziałać ryzyku ( redukować ryzyko) i o zaistniałym fakcie poinformować Specjalistę ds. kontroli zarządczej. Dział VII MONITOROWANIE RYZYKA 8.1. Audytor wewnętrzny prowadzi obiektywną i niezależną ocenę podatności jednostki na ryzyko oraz ograniczanie zagrożeń realizacji celów. 2. Zadanie audytu wewnętrznego obejmuje przegląd systemów kontroli wewnętrznej, w celu wydania zapewnienia, że istniejące narzędzia i mechanizmy kontroli stanowią odpowiednią reakcję na zidentyfikowane ryzyka. 3. Aby uzyskać zapewnienie, że zarządzanie ryzykiem funkcjonuje efektywnie i wspiera działanie jednostki, właściciele ryzyk winni: 1) regularnie pogłębiać wiedzę na temat ryzyka i dokonywać analizy postępów we wdrażaniu zdefiniowanych reakcji na ryzyko; 2) oceniać funkcjonowanie zarządzania ryzykiem w realizowanym zadaniu przy wykorzystaniu ustalonych wcześniej mierników; 3) dokonywać przeglądu aktualności, odpowiedniości i efektywności zasad zarządzania ryzykiem, uwzględniając zmiany zachodzące w realizowanym zadaniu i otoczeniu. 9
Dział VIII INFORMOWANIE O RYZYKU 9.1. Specjalista ds. kontroli zarządczej oraz właściciele ryzyk zobowiązani są zapewnić funkcjonowanie systemu informowania o ryzyku zapewniającego, że właściwi pracownicy zatrudnieni w poszczególnych komórkach organizacyjnych Urzędu Miasta Kędzierzyn-Koźle posiadają, stosownie do posiadanych uprawnień, dostęp za pośrednictwem IZR do dokumentów i danych określających ich rolę w procesie zarządzania ryzykiem, rejestru ryzyka, właściwych kart ryzyka i opisu postępowania z ryzykiem. 2. Właściciele ryzyk, w ramach samooceny systemu kontroli zarządczej, dokonują przeglądu wszystkich działań z zakresu zarządzania ryzykiem występujących w komórce organizacyjnej, a następnie sporządzają i przekazują Specjaliście ds. kontroli zarządczej w terminie do dnia 31 stycznia każdego roku oświadczenie o stanie zarządzania ryzykiem w zakresie ich właściwości, zgodnie z załącznikiem nr 2 do niniejszej procedury zarządzania ryzykiem. 10