procedury zarządzania ryzykiem
Transkrypt
procedury zarządzania ryzykiem
Załącznik nr 2 do Zarządzenia Dyrektora Miejskiego Ośrodku Pomocy Społecznej w Mysłowicach nr 43/13 z dnia 31.12.2013r. Procedury zarządzania ryzykiem w Miejskim Ośrodku Pomocy Społecznej w Mysłowicach §1 1. Wszyscy kierownicy komórek organizacyjnych MOPS w Mysłowicach, a także pracownicy zatrudnieni na samodzielnych stanowiskach wykonują czynności związane z zarządzaniem ryzykiem i zobowiązani są do stosowana niniejszej procedury. 2. Kierownik jednostki może powołać Zespół ds. koordynacji działań związanych z procesem zarządzania ryzykiem oraz wskazać osobę bezpośrednio nadzorującą prace tego Zespołu. §2 System zarządzania ryzykiem w MOPS Mysłowice opiera się na sformułowanych w oparciu o obowiązujący porządek prawny celach i zadaniach pomocy społecznej oraz monitorowaniu ich realizacji, w tym reagowaniu na ustalone odstępstwa od stanów pożądanych. Podstawowym celem MOPS jest realizacja zadań własnych i zleconych z zakresu pomocy społecznej, które zostały określone w Statucie. Zarządzanie ryzykiem to proces ograniczania ryzyka poprzez jego identyfikację, ocenę potencjalnego wpływu i prawdopodobieństwa wystąpienia oraz racjonalny dobór środków przeciwdziałających skutkom ryzyka; to proces mający na celu optymalizację funkcjonowania jednostki, służący zwiększeniu prawdopodobieństwa osiągnięcia celów i realizacji wyznaczonych zadań. §3 Przykładowe czynniki związane z powstaniem ryzyka 1. Czynniki zewnętrzne związane z : 1) infrastrukturą tj.: zakłócenia w dostawach energii, przerwy w łączności telefonicznej, przerwy w dostępie do Internetu i poczty elektronicznej; 2) zewnętrznymi warunkami ekonomicznymi tj.: zmiany stóp procentowych, kursów walut, inflacji, długu publicznego; 3) środowiskiem naturalnym tj.: zanieczyszczenie środowiska, katastrofa ekologiczna, protesty społeczne; 4) „siłą wyższą” tj.: pożar, powódź, huragan; 5) innymi zagrożeniami i naciskami zewnętrznymi tj.: działania przestępcze, terroryzm, presja polityczna, społeczna. 1 2. Czynniki wewnętrzne wynikające z charakteru prowadzonej działalności związane z: 1) działalnością podstawową jednostki np.: stopień skomplikowania działalności, niewystarczające kompetencje pracowników, niedawne zmiany kluczowych pracowników, brak motywacji u pracowników; 2) przetwarzaniem informacji np.: nieadekwatność informacji, na podstawie których podejmuje się decyzje, utrata informacji, naruszenie poufności informacji; 3) stabilnością działalności jednostki lub zatrudnienia np.: ograniczenie lub znaczny wzrost zadań jednostki, zmiany procesów operacyjnych, decentralizacja działalności; 4) technologią np.: zakłócenia w działalności systemów informatycznych, powstanie nowych technologii, wdrażanie nowych technologii; 5) projektami prowadzonymi przez jednostkę np.: niewłaściwe planowanie projektu, wzrost kosztów realizacji projektu, opóźnienia w realizacji projektu, brak środków na realizację projektu, niepowodzenie projektu; 6) nowymi zadaniami i programami np.: brak odpowiednich zasobów (środków finansowych, pracowników, wyposażenia, informacji), krótki termin realizacji, konieczność współpracy z innymi podmiotami; 7) innowacyjnością np.: opór pracowników, brak skłonności do zmian, wdrażanie niesprawdzonych rozwiązań; 8) reputacją jednostki np.: spadek reputacji na skutek niewłaściwego działania lub zaniedbań pracowników, niewłaściwej realizacji zadań przez jednostkę. 3. Czynniki ryzyka o charakterze finansowym związane z: 1) wielkością środków finansowych jednostki np.: zmiany wysokości dochodów, przychodów, środków z Unii Europejskiej, wydatków, rozchodów; 2) płynnością finansową; 3) inwestycjami np.: niewłaściwe decyzje inwestycyjne, wzrost kosztów inwestycji, brak źródeł finansowania, opóźnienia w realizacji; 4) nieproduktywną stratą środków np.: oszustwo, kradzież, kary umowne, odsetki od nieterminowo regulowanych zobowiązań, grzywny; 5) sprawozdawczością finansową np.: niedawne zmiany w systemie księgowania, częste zmiany pracowników odpowiedzialnych za sprawozdania. 4. Czynniki ryzyka związanego z zarządzaniem: 1) jakość zespołu zarządzającego np.: niewystarczające kwalifikacje kierownictwa, częste zmiany na stanowiskach kierowniczych, zbyt mała liczba osób na stanowiskach kierowniczych; 2) organizacja jednostki np.: nieadekwatna struktura organizacyjna, brak zakresów obowiązków kierownictwa i pracowników, nieefektywny system przepływu informacji, znaczne zmiany w zakresie odpowiedzialności kierownictwa; 3) zarządzanie zasobami ludzkimi np.: niesprawiedliwa praktyka wynagradzania, niskie wynagrodzenia, brak działań motywujących pracowników, nie zapewnienie odpowiednich szkoleń, niewystarczające możliwości rozwoju zawodowego pracowników, nieefektywna rekrutacja, 5. Czynniki ryzyka dotyczące systemów informatycznych, w szczególności związane z: 1) utrzymaniem ciągłości pracy systemów informatycznych np.: zatrzymanie pracy systemów informatycznych, brak przepływu informacji o błędach w systemach informatycznych; 2) dostępem do zasobów informatycznych jednostki np.: wypływ danych z systemów, włamania do systemów; 3) wykorzystywaniem infrastruktury informatycznej np.: awaria sprzętu, niedopasowanie systemów do bazy sprzętowej, wykorzystywanie nielegalnego oprogramowania; 2 4) rozwojem i wdrożeniem nowych systemów informatycznych np.: nieuprawnione wdrożenie zmian w oprogramowaniu i bazach danych. 6. Inne czynniki mogące zwiększyć ryzyko: 1) niepowodzenia w osiągnięciu celów w przeszłości np.: niezrealizowanie projektu lub programu, przekroczenie planowanych wydatków, naruszenie lub obejście procedur kontrolnych, naruszenie prawa lub regulacji wewnętrznych; 2) czynniki ryzyka wrodzonego (wewnętrznego) np.: charakter działalności, wielkość jednostki, liczba pracowników, wielkość majątku trwałego, liczba operacji, wielkość budżetu. §4 Zarządzanie ryzykiem obejmuje następujące etapy: 1) identyfikacja ryzyka: przypisanie poszczególnych rodzajów ryzyka do realizowanych celów i zadań; identyfikacja ryzyka w celu przeprowadzenia całego procesu zarządzania ryzykiem dokonywana jest nie rzadziej niż raz w roku – w terminie określonym w niniejszej procedurze. W przypadku istotnej zmiany warunków funkcjonowania jednostki – termin ponownej identyfikacji ryzyka wyznacza każdorazowo Dyrektor MOPS. 2) analiza ryzyka (ocena zagrożeń): przypisanie dla każdego zidentyfikowanego ryzyka prawdopodobieństwa jego wystąpienia i dokonanie oceny jego wpływu na działanie jednostki tj.: realizację jej celów i zadań, określenie poziomu istotności, akceptowanego poziomu ryzyka. 3) reakcja na ryzyko: określenie rodzaju reakcji na dane ryzyko oraz podjęcie zasadnych, adekwatnych, efektywnych i skutecznych działań (decyzji) zmierzających do ograniczenia lub wyeliminowania ryzyka, w tym poprzez zastosowanie odpowiednich mechanizmów kontrolnych. §5 Zadania kierowników komórek organizacyjnych w procesie zarządzania ryzykiem: 1) określenie (w co najmniej rocznej perspektywie) głównych celów/ zadań, za które ponoszą odpowiedzialność; 2) zidentyfikowanie ryzyk jakie mogą zagrozić osiągnięciu poszczególnych celów/ zadań; przy identyfikowaniu ryzyk należy kierować się katalogiem ryzyk podstawowych stanowiących załącznik nr 4 do niniejszej Procedury, 3) analiza zidentyfikowanych ryzyk w celu określenia prawdopodobieństwa i możliwych wpływów (oddziaływań, skutków) ich wystąpienia - obliczenie istotności ryzyka i przedstawienie tego etapu procesu w Matrycy punktowej analizy ryzyka, zgodnie ze wzorem zamieszczonym w załączniku nr 2 do niniejszej procedury; 4) określenie: skutków ryzyka, mechanizmów kontrolnych, osób odpowiedzialnych za ryzyko/ zadanie, wyznaczenie akceptowanego poziomu i reakcji na ryzyko; 5) udokumentowanie w/w procesu w Kwestionariuszu zarządzania ryzykiem - do 20 stycznia każdego roku, zgodnie ze wzorem zamieszczonym w załączniku nr l do niniejszej procedury; 6) zgłaszanie kierownikom innych komórek organizacyjnych, kierownikowi jednostki lub osobie nadzorującej Zespół ds. zarządzania ryzykiem postrzeganych zagrożeń nie związanych bezpośrednio z wykonywaną pracą, a dotyczących działalności MOPS. 3 Zadania Zespołu ds. zarządzania ryzykiem: l) weryfikacja w ciągu siedmiu dni roboczych - otrzymanych od kierowników komórek organizacyjnych ,,Kwestionariuszy zarządzania ryzykiem" wraz z ,,Matrycami punktowej analizy ryzyka", celem zgłoszenia ewentualnych poprawek i uwag przed przekazaniem ich do ostatecznych decyzji i akceptacji dyrektora MOPS; 2) sporządzenie w ciągu siedmiu dni roboczych po ostatecznej akceptacji przez dyrektora MOPS Kwestionariuszy zarządzania ryzykiem - Rejestru ryzyk dla MOPS wg hierarchii ich ważności/ istotności w poszczególnych obszarach działalności MOPS, zgodnie ze wzorem zamieszczonym w załączniku nr 3 do niniejszej procedury. §6 Rejestr zidentyfikowanych ryzyk dla MOPS wraz z dokumentacją będącą podstawą jego sporządzenia będzie przechowywany u zastępcy dyrektora ds. administracyjnych. 4