Zarz*dzanie ryzykiem w urz*dzie - saksap.pl

Download Report

Transcript Zarz*dzanie ryzykiem w urz*dzie - saksap.pl

ZARZĄDZANIE RYZYKIEM
XXIII Promocja
Krajowa Szkoła Administracji Publicznej
ZARZĄDZANIE RYZYKIEM
Zarządzanie ryzykiem jest elementem budowy dobrego
ładu organizacyjnego w instytucji. Jako element good
governance zarządzanie ryzykiem sprzyja realizacji
celów, efektywniejszemu wykorzystaniu zasobów i
lepszemu reagowaniu na sytuacje nieprzewidziane.
KORZYŚCI WYPŁYWAJĄCE
Z ZARZĄDZANIA RYZYKIEM
Instytucja staje się bardziej elastyczna, szybciej reaguje na zmiany
w środowisku zewnętrznym, łatwiej adaptuje się do nowych wyzwań
Wzrasta jej odporność na negatywne zdarzenia
Cele i zadania realizowane są szybciej, przy mniejszym nakładzie środków;
Łatwiej zidentyfikować przyczyny ewentualnych niepowodzeń
i wyeliminować błędy w przyszłości;
Maleje ryzyko „rozmycia odpowiedzialności” za opóźnienia lub niezrealizowanie
zadania;
Poprawia się przepływ informacji pomiędzy poszczególnymi szczeblami
organizacji;
Polepsza się kultura pracy w instytucji i wzrasta motywacja pracowników;
Szkolenia dla pracowników dostosowane są do realnych potrzeb instytucji
Wzrasta efektywność i transparentność wydatkowania pieniędzy publicznych;
Ulega poprawie wizerunek urzędu
KONTEKST PRAWNY
Podstawy prawne dla wdrażania zarządzania
ryzykiem
USTAWA Z DNIA 27 SIERPNIA 2009
O FINANSACH PUBLICZNYCH

art. 68 – jednym z celów kontroli zarządczej jest wdrożenie w
urzędzie zarządzania ryzykiem.



ust.1 Kontrolę zarządczą w jednostkach sektora finansów
publicznych stanowi ogół działań podejmowanych dla zapewnienia
realizacji
celów
i
zadań
w
sposób
zgodny
z prawem, efektywny, oszczędny i terminowy.
ust.2 Celem kontroli zarządczej jest w szczególności (…)
zarządzanie ryzykiem.
art. 69 – za zapewnienie funkcjonowania zarządzania
ryzykiem w ministerstwie (tak jak i całej kontroli zarządczej)
odpowiedzialny jest minister.
KOMUNIKAT NR 23 MINISTRA FINANSÓW Z DNIA 16 GRUDNIA 2009 W
SPRAWIE STANDARDÓW KONTROLI ZARZĄDCZEJ DLA SEKTORA FINANSÓW
PUBLICZNYCH
Komunikat
formułuje
standardy
kontroli
zarządczej,
w tym wytyczne i wskazówki w zakresie zarządzania ryzykiem
skierowane do podmiotów sektora finansów publicznych.
Standardy określają podstawowe wymagania odnoszące się do
sposobu
wdrażania
zarządzania
ryzykiem
w urzędzie.
Wymienia się takie elementy jak określenie celów i zadań (oraz
ocena ich realizacji i monitorowanie), identyfikacja ryzyka,
analiza ryzyka i reakcja na ryzyko.
ROLA PLANU DZIAŁALNOŚCI
W ZARZĄDZANIU RYZYKIEM
PLAN DZIAŁALNOŚCI DLA DZIAŁU


Minister sporządza do końca listopada każdego roku plan
działalności na rok następny dla kierowanych przez niego
działów (Art. 70 ufp). Plan ten zawiera cele wraz
z miernikami stopnia ich realizacji. W odniesieniu
do celów i zadań przeprowadza się kompleksowe
zarządzanie ryzykiem (identyfikacja, analiza, reagowanie).
Jako jednostkę właściwą w obszarze monitorowania
i koordynowania zarządzania ryzykiem w ministerstwie
powinno wyznaczać się departamenty strategii i analiz.
PLANY DZIAŁALNOŚCI KOMÓRKI ORGANIZACYJNEJ


Akty prawne nie dają szczegółowych wytycznych, w jaki
sposób zorganizować proces zarządzania ryzykiem
w całym urzędzie.
Dobrą praktyką jest opieranie zarządzania ryzykiem na
celach zawartych w planie działalności ministra. Komórki
organizacyjne urzędu (departamenty merytoryczne) tworzą
wówczas własne plany działalności zawierające szczegółowe
cele
i
zadania
w obszarze ich kompetencji. Muszą być one spójne
z celami strategicznymi z planu działalności urzędu
i stanowić ich uszczegółowienie. W odniesieniu do tak
sformułowanych celów, komórki te przeprowadzają
identyfikację i analizę ryzyka na swoim poziomie.
KWESTIA AUDYTU WEWNĘTRZNEGO




Kontroli zarządczej nie należy mylić z działaniami podejmowanymi
w ramach audytu wewnętrznego, a planu działalności z planem audytu
urzędu.
Audyt wewnętrzny w ministerstwie wspiera proces zarządzania ryzykiem,
nie odpowiada jednak za całokształt działań w tym obszarze.
Analizy ryzyka o której mowa w art. 283 ust. 3 i 4 ufp nie należy mylić z
analizą ryzyka dokonywaną w ramach zarządzania ryzykiem. Analiza
ryzyka przeprowadzana przez komórkę audytu służy jedynie
przygotowaniu planu audytu.
Z uwagi na powyższe, nie jest wskazane przypisywanie komórce audytu
wiodącej roli w zakresie zarządzania ryzykiem. Właściwymi jednostkami w
tym obszarze byłyby departamenty odpowiedzialne za strategie.
IDETYFIKACJA RYZYKA
Poziom operacyjny – narzędzia zarządzania
ryzykiem
IDENTYFIKACJA RYZYKA
Zgodnie ze standardami kontroli zarządczej identyfikacja ryzyk
powinna być dokonywana w odniesieniu do zadań określonych
w planie działalności urzędu, mając przy tym zawsze
na uwadze cele, jakie mają być osiągnięte dzięki realizacji tych
zadań.
Opis ryzyka
Metody
identyfikacji
ryzyka
Tabela
identyfikacji
ryzyka
OPIS RYZYKA


Do sporządzania opisu ryzyka może służyć trójelementowa
metoda R-P-S: ryzyko (R), jego przyczyna (P), skutek (S).
Należy unikać stwierdzenia ryzyka, które nie ma wpływu na
cele, jak również stwierdzenia ryzyka, które jest
po prostu odwrotnością celów. Konieczne jest odróżnienie
samego ryzyka od jego oddziaływania.
METODY IDENTYFIKACJI RYZYKA
KWESTIONARIUSZ
BURZA MÓZGÓW
Wstępnie uzgodniona lista pytań umożliwiających
zidentyfikowanie obszarów ryzyka. Powinien on być
przesłany do jak największej liczby pracowników, którzy
mogą pomóc w identyfikacji ryzyka dla określonego
zadania.
Należy sporządzić szablon identyfikacji ryzyka
i przekazać go każdemu uczestnikowi przed sesją. Podczas
sesji burzy mózgów można procedować
w dwojaki sposób. Po pierwsze zastanawiając się najpierw nad
ryzykami istniejącymi
w urzędzie/komórce organizacyjnej, a następnie rozważając,
jaki wpływ mają one na realizowane zadania. Drugim
sposobem jest rozważanie istnienia ryzyk dla kolejnych zadań
wpisanych w planie działalności urzędu
DOŚWIADCZENIA
I PROGNOZY NA PRZYSZŁOŚĆ
Informacje niezbędne
do identyfikacji ryzyka można również zaczerpnąć
z różnego rodzaju dokumentów istniejących
w urzędzie m.in. skarg, raportów z audytu i kontroli, szkód
ubezpieczeniowych, dzienników wypadków, prognoz
budżetowych i finansowych, opóźnień projektowych, ryzyk
zgłaszanych przez podobne instytucje, ankiet zadowolenia czy
doniesień medialnych.
TABELA IDENTYFIKACJI RYZYKA
ZBIORCZA TABELA IDENTYFIKACJI RYZYKA (WRAZ
Z PRZYKŁADEM)
Zadanie
Umożliwienie składania
deklaracji
podatkowych drogą
elektroniczną poprzez
udostępnienie przez
Ministerstwo Finansów
odpowiednich usług
informatycznych.
Kategoria ryzyka
Zasoby ludzkie
Sprzęt i informacja
Opis ryzyka(max. 5)
Sygnatura
Obecnie w Wydziale X nie są obsadzone dwa etaty, w których opisie stanowisk znajduje się
obowiązek zajmowania się zagadnieniem wskazanym w zadaniu. Kwestią tą zajmować się
będzie tylko jeden pracownik. Istnieje zatem ryzyko przedłużania się okresu prac nad
projektem, a w konsekwencji nie wykonania zadania w terminie
DY1
Obecnie w Departamencie Y brakuje zastępcy dyrektora, który nadzoruje wydziały
odpowiedzialne za realizację zadania. Pan Z pełni jedynie obowiązki zastępcy dyrektora.
Zmiana na tym stanowisku może oznaczać pojawienie się nowej koncepcji realizacji
zadania, co skutkować będzie brakiem terminowości w realizacji zadania.
DY2
Program komputerowy potrzebny do realizacji zadania ulega częstym awariom.
Kilkukrotnie doprowadziło to do utraty wprowadzanych danych. Powtarzanie się awarii
spowoduje nie możność kontynuowania pracy a w konsekwencji nie zrealizowanie zadania.
DZ1
Zebrane dane na temat ryzyka należy zestawić tak, aby możliwe było dalsze przetwarzanie
tych informacji. Może do tego służyć zbiorcza tabela identyfikacji ryzyka.
ANALIZA RYZYKA
ANALIZA RYZYKA
Kolejnym etapem po identyfikacji ryzyka jest poddanie
go szczegółowej analizie, tak, aby możliwe stało się zrozumienie
jego istoty, a następnie dokonanie we właściwy sposób jego
oceny. Wyróżnić można cztery etapy analizy:
Określenie przyczyn
i skutków
zidentyfikowanego
ryzyka
Analiza pod
kątem
identyfikacji
ryzyka
krzyżowego
Oddzielenie ryzyka
istotnego od
niewielkiego
Ocena rodzaju
i kategorii ryzyka
OKREŚLENIE PRZYCZYN I SKUTKÓW
ZIDENTYFIKOWANEGO RYZYKA
W opisie ryzyka dokonanym w trakcie identyfikacji każdemu z
zagrożeń została przyporządkowana przyczyna oraz skutek.
Jednak pogłębiona analiza ryzyka wymaga wypunktowania
wszystkich oddziaływań, dlatego należy zwrócić szczególną
uwagę na: wpływ na przestrzeganie prawa przez urząd, wpływ
na zdrowie/życie pracowników, straty finansowe, wpływ na
wizerunek urzędu, wpływ na standard świadczenia usług.
ANALIZA POD KĄTEM IDENTYFIKACJI RYZYKA
KRZYŻOWEGO
Pewne ryzyka mogą mieć wpływ na różne działania
podejmowane przez urząd lub powtarzać się w jej
poszczególnych jednostkach. W związku z tym bardzo ważne
jest, aby na etapie analizy ryzyka zidentyfikować takie
niebezpieczeństwo i przygotować kompleksowy plan
działania, który uwzględni zagrożenie w różnych aspektach
działalności urzędu.
ODDZIELENIE RYZYKA ISTOTNEGO
OD NIEWIELKIEGO
Odróżnianie ryzyka niewielkiego od istotnego jest dokonywane
przede wszystkim poprzez “Punktową ocenę poziomu ryzyka”,
która stanowi kolejny etap procesu zarządzania ryzykiem. Jednak
prowadząc szczegółową analizę ryzyka warto zebrać już na tym
etapie odpowiednie informacje dotyczące zidentyfikowanego
ryzyka. W tym celu można posłużyć się odpowiednią tabelą
wyszczególniającą przyczyny i skutki określonego ryzyka,
funkcjonujące w urzędzie mechanizmy kontrolne wraz z
określeniem
ich
adekwatności,
skuteczności
oraz
efektywności.
OCENA RODZAJU I KATEGORII RYZYKA

Odpowiednie wyodrębnienie rodzaju i kategorii ryzyka
ułatwi na dalszym etapie kwestię określenia jego
właściciela. Ryzyko może mieć charakter strategiczny lub
operacyjny.


Ryzyko strategiczne wpływa na podstawy funkcjonowania urzędu.
Zarządzanie nim jest przede wszystkim zadaniem kierownika jednostki
we
współdziałaniu
z innymi pracownikami na kluczowych stanowiskach.
Ryzyko operacyjne jest elementem codziennej pracy całego personelu.
W związku z tym nie jest z góry określone, że zarządzanie nim należy
do zadań kierownika jednostki.
PUNKTOWA OCENA RYZYKA
PUNKTOWA OCENA RYZYKA


Punktowa ocena ryzyka jest etapem dostarczającym informacji, które pozwalają na
uszeregowanie ryzyk oraz tym samym pomagają w podjęciu decyzji, dotyczących
sposobów postępowania z nimi. Ryzyko ocenia się, biorąc pod uwagę:

Prawdopodobieństwo jego wystąpienia oraz

Jego oddziaływanie na urząd w razie wystąpienia (skutek).
W tym celu wykorzystywane są skale punktowe (najczęściej stosuje się skale
3-stopniowe, 4-stopniowe i 5-stopniowe). Niezwykle istotne jest, aby przed oceną
punktową wypracować jednolite dla całego urzędu definicje prawdopodobieństwa
oraz
poziomu
oddziaływania.
Należy
także
pamiętać
o tym, że punktową analizę ryzyka przeprowadzamy, biorąc pod uwagę istniejące
w urzędzie mechanizmy kontrolne.
MATRYCA
RYZYKA
MAPA
RYZYKA
MATRYCA RYZYKA
Nakładając na siebie wymiar oddziaływania oraz wymiar prawdopodobieństwa,
uzyskujemy matrycę ryzyka. Każdemu zidentyfikowanemu ryzyku w urzędzie
odpowiada jedno pole na matrycy ryzyka. Istotność danego ryzyka
uzyskujemy mnożąc punktową ocenę prawdopodobieństwa oraz skutku.
Matryca ryzyka jest podstawą do ustalenia hierarchii (ewentualnych) działań,
mających na celu zmniejszenie
Skutek
Bardzo duży
5
10
15
20
25
Duży
4
8
12
16
20
Średni
3
6
9
12
15
Mały
2
4
6
8
10
Nieznaczny
1
2
3
4
5
Rzadkie
Mało
prawdopodobne
Średnie
Prawdopodobne
Prawie pewne
Prawdopodobieństwo
MAPA RYZYKA

Wykorzystując indywidualne oceny poszczególnych ryzyk
możemy stworzyć mapę ryzyka, umożliwiającą ustalenie
„progów tolerancji” dla zidentyfikowanych ryzyk. Przy pomocy
mapy ryzyka możliwe staje się określenie:

poziomów
akceptowanego
ryzyka
dla
kategorii
prawdopodobieństwa oraz kategorii oddziaływania (skutku)
lub
 poziomu akceptowanego ryzyka dla kategorii istotności, rozumianej
jako iloczyn punktowej oceny prawdopodobieństwa oraz
oddziaływania (skutku).
REJESTR RYZYKA



Jest to dokument podsumowujący, w którym umieszczane są
informacje dotyczące wszystkich zidentyfikowanych zagrożeń.
Aktualizacja dokumentu powinna odbywać się regularnie,
co najmniej raz w roku, tak, aby zarządzający ryzykiem mogli
porównać
stan
obecny
z poprzednim.
Rada: Podczas opracowywania rejestru ryzyka warto przed jego
stworzeniem, pamiętać o celach, jakie postawione są przed
urzędem.
METODY SPORZĄDZANIA REJESTRU
RYZYKA
IDENTYFIKATOR RYZYKA
Ryzyko powinno mieć swój
identyfikator, składający się z
cyfr bądź liter.
KATEGORIA RYZYKA
Kategorie powinny pochodzić
ze struktury podziału ryzyka
(np. strategiczne, rynkowe,
ustawowe, czynniki ludzkie)
PUNKTOWA OCENA RYZYKA
Wartość, która została
określona dla danego ryzyka
przy opracowywaniu jego
punktowej oceny.
REAKCJA NA RYZYKO
Opis działań i w miarę
możliwości termin ich podjęcia
WŁAŚCICIEL RYZYKA
Wskazanie osoby
odpowiedzialnej za
zarządzanie i kontrolę
wszystkich aspektów danego
ryzyka.
PRZYCZYNA RYZYKA,
CHARAKTER, SKUTEK
W procesie identyfikacji ryzyka
pozycja to sprowadza się
do jednoznacznego i jasnego
określenia danego ryzyka.
RYZYKO REZYDUALNE
Sytuacja, w której podjęte
zostały działania neutralizujące
ryzyko, ale nie udaje się go
całkowicie zlikwidować.
SZABLON REJESTRU RYZYKA
SZABLON REJESTRU RYZYKA
Identyfikator
ryzyka
DX1
DZ1
Kategoria ryzyka
Zasoby ludzkie
Sprzęt
i informacja
Przyczyna ryzyka,
charakter, skutek
Opis zgodny z
analizą
przeprowadzoną
w pkt. 2
opracowania
Opis zgodny z
analizą
przeprowadzoną
w pkt. 2
opracowania
Punktowa
ocena ryzyka
Reakcja na
ryzyko
Ryzyko
Rezydualne
Właściciel ryzyka
20
Dyrektor
departamentu X
16
Naczelnik wydziału
Z
w departamencie
X
Kolejność kolumn w powyższym szablonie, jak i kolumn dodawanych
do niego, powinna odzwierciedlać sekwencję, w jakiej informacje
są pozyskiwane
PROCES ZARZĄDZANIA RYZYKIEM
PROCES ZARZĄDZANIA RYZYKIEM
Podejmowanie
decyzji i działań
zmniejszających
ryzyko
Zapewnienie
skuteczności
mechanizmów
kontrolnych
w urzędzie
Monitoring
i raportowanie
ryzyka
DECYZJE I DZIAŁANIA ZMNIEJSZAJĄCE
RYZYKO
ZAPOBIEGAWCZE
TOLEROWANIE
KORYGUJĄCE
ZMNIEJSZANIE
DECYZJE
I DZIAŁANIA
ZMNIEJSZAJĄCE
RYZYKO
NAKAZOWE
PRZENIESIENIE
WYKRYWAJĄCE
LIKWIDACJA
MECHANIZMY KONTROLI
DOKUMENTOWANIE SYSTEMU
KONTROLI ZARZĄDCZEJ
Procedury wewnętrzne, instrukcje, wytyczne,
dokumenty określające zakres obowiązków,
uprawnień
i odpowiedzialności pracowników.
NADZÓR
Służy wykrywaniu i eliminowaniu błędów,
nieporozumień
i nieprawidłowych praktyk,
w celu zapobiegnięcia ich występowania w
przyszłości.
CIĄGŁOŚĆ DZIAŁALNOŚCI
Zapewnienie istnienia mechanizmów
służących utrzymaniu ciągłości działalności
Urzędu.
OCHRONA ZASOBÓW
SZCZEGÓŁOWE MECHANIZMY
KONTROLI DOT. OPERACJI
FINANSOWYC I GOSPODARCZYCH
Zachowywanie dokumentacji dotyczącej
operacji finansowych i gospodarczych oraz
jej prawidłowe zabezpieczenie przed
osobami niepowołanymi
MECHANIZMY KONTROLI DOTYCZĄCE
SYSTEMÓW INFORMATYCZNYCH
Zabezpieczenie informacji
i dokumentów ujętych w systemach
informatycznych.
W jej zakres wchodzi: ochrona fizyczna
jednostki i jej pracowników, ochrona
zasobów materialnych, ochrona środków
finansowych oraz ochrona informacji.
i nieautoryzowanymi zmianami
MONITORING RYZYKA
MONITOROWANIE SYSTEMU KONTROLI
ZARZĄDCZEJ
Każdy element systemu kontroli zarządczej
powinien być sprawdzany pod kątem swojej
skuteczności.
Za proces ten odpowiedzialne jest ścisłe
kierownictwo
AUDYT WEWNĘTRZNY
Czynności audytora określone są w rocznym
planie audytu, opracowanym na podstawie
analizy ryzyka. Wady wyszczególnione
przez audytora powinny być jak najszybciej
zakomunikowane pracownikom
bezpośrednio odpowiedzialnym za dane
zadanie oraz ich bezpośrednim
przełożonym.
SAMOOCENA
Jej zakres może dotyczyć: poszczególnych
procesów zachodzących
w jednostce, a także poszczególnych
elementów kontroli zarządczej
UZYSKANIE ZAPEWNIENIA
O STANIE KONTROLI ZARZĄDCZEJ
Jej źródłem są wyniki: monitorowania,
samooceny oraz przeprowadzonych
audytów i kontroli
WIĘCEJ SZCZEGÓŁÓW POD
ADRESEM:
www.XXIII.pl