Zestaw narzędzi do analizy ryzyka w urzędach

Komentarze

Transkrypt

Zestaw narzędzi do analizy ryzyka w urzędach
ZESTAW NARZĘDZI DO ANALIZY RYZYKA
W URZĘDACH
XXIII PROMOCJA
KRAJOWA SZKOŁA ADMINISTRACJI PUBLICZNEJ
Spis treści
IDENTYFIKACJA RYZYKA ................................................................................. 2
ANALIZA RYZYKA ...........................................................................................12
PUNKTOWA OCENA RYZYKA .........................................................................15
REJESTR RYZYKA............................................................................................18
ZARZĄDZANIE RYZYKIEM...............................................................................20
1
IDENTYFIKACJA RYZYKA
Zgodnie ze standardami kontroli zarządczej identyfikacja ryzyk powinna być dokonywana
w odniesieniu do zadań określonych w planie działalności urzędu, mając przy tym zawsze
na uwadze cele, jakie mają być osiągnięte dzięki realizacji tych zadań.
OPIS RYZYKA
Do sporządzania opisu ryzyka może służyć trójelementowa metoda R-P-S: ryzyko
(R), jego przyczyna (P), skutek (S). Na przykład, jeśli określimy cel jako dojechanie pociągiem
na spotkanie o określonej godzinie, to opis ryzyka może wyglądać następująco: (R) ryzyko
pociąg nie odjedzie, (P) z powodu złej pogody, (S) co będzie skutkować nieprzybyciem
na spotkanie.
Opisując ryzyko należy uważać, aby unikać stwierdzenia oddziaływania ryzyka, które może
wydawać się samym ryzykiem, a także by unikać stwierdzenia ryzyka, które nie
ma wpływu na cele; podobnie należy uważać, by unikać określania ryzyka sformułowaniami,
które są po prostu odwrotnością celów. Przykład właściwego opisu ryzyka oraz najczęstsze
błędy opisane są w poniższym przykładzie.
Cel – dojechać pociągiem z A do B na spotkanie o określonej godzinie
Nie dojechanie z A do B na spotkanie
o określonej godzinie
Spóźnienie się i opuszczenie spotkania
W pociągu nie ma bufetu, więc zgłodnieję
Jest to po prostu odwrotność celu
Jest to stwierdzenie wpływu ryzyka,
a nie samego ryzyka
Nie ma to wpływu na osiągnięcie celu
J Jest to ryzyko, które można kontrolować
Jeśli nie zdążę na pociąg, to spóźnię się i nie
upewniając się, że przeznaczę dużo czasu na
zdążę na spotkanie
dotarcie do stacji
Jest to ryzyko, którego nie mogę
Zła pogoda uniemożliwi odjazd pociągu,
kontrolować, ale mogę stworzyć plan
a mi dotarcie na spotkanie
awaryjny
Źródło: Ministerstwo Skarbu Jej Królewskiej Mości, Pomarańczowa księga.
Zarządzanie ryzykiem – zasady i koncepcje, październik 2004, s. 15.
2
METODY IDENTYFIKACJI RYZYKA
Nie ma pojedynczej „właściwej” metody identyfikacji ryzyka. Każda urząd może opracować
własną metodę, biorąc pod uwagę swoje doświadczenie, wielkość i charakter,
a przede wszystkim zadania opisane w planie działalności. Poniżej zaproponowano metody
najczęściej wykorzystywane. Można je stosować zarówno pojedynczo, jak i łącząc
poszczególne sposoby.
KWESTIONARIUSZ
1. Możliwość otrzymania opinii
od dużej liczby pracowników
2. Wyliczenie poszczególnych
ryzyk pozwala mieć pewność,
że najbardziej interesujące nas
ryzyka znajdują się na liście
i będą wzięte pod uwagę
1. Kwestionariusz nie rozwija
kreatywnego myślenia na temat ryzyk
(dysponujemy tylko zamkniętym
katalogiem, a rzeczywistość się
zmienia)
2. Możliwa zła interpretacja
zaproponowanych ryzyk przez
pracowników
3. Możliwy niewielki poziom zwrotu
wypełnionych ankiet lub pospieszne
i nierzetelne wypełnianie ankiet,
co zakłóca obraz rzeczywistości
Kwestionariusz identyfikacji ryzyka jest to wstępnie uzgodniona lista pytań umożliwiających
zidentyfikowanie obszarów ryzyka. Powinien on być przesłany do jak największej liczby osób,
które mogą pomóc nam w identyfikacji ryzyka dla określonego zadania.
Poniżej znajduje się propozycja zagadnień, które mogą stać się inspiracją dla identyfikacji
ryzyka. Należy pamiętać, że katalog ten nie jest zamknięty, może więc zostać zarówno
poszerzony, jak i skrócony w zależności od specyfiki urzędu, a także zadania, dla którego
ryzyka mają być identyfikowane.
3
Zadanie
Obszary potencjalnego ryzyka
Występowanie
ryzyka
T/N
Wewnętrzne
Kwestie organizacyjne
Opis ryzyka
- przygotowanie i planowanie
- jakość tworzonych produktów i usług
- terminowość w realizacji zadań
- monitorowanie postępów
w realizacji zadań
- efektywność procedur
- efektywność struktur
- sposób zdefiniowania ról i zadań
komórek organizacyjnych
- adekwatność czasu do zadania
Kwestie finansowe
- dostosowanie budżetu
do powierzonych zadań
- płynność finansowa
- terminowość płatności
- liczba operacji wykonywanych
na bardzo dużych kwotach
- jakość procesu zarządzania
budżetem
Zasoby ludzkie
- adekwatność etatów/pracowników
do wyznaczonego zadania
- posiadanie niezbędnej
wiedzy/umiejętności/doświadczenia
dla realizacji zadania
- adekwatność sposobu prowadzenia
polityki rekrutacyjnej do potrzeb
- stopień rotacji pracowników
- obsadzenie kluczowych stanowisk
- jakość kwalifikacji osób na
kluczowych stanowiskach
- przewidywana nieobecność
pracowników
- stopień motywacji i morale
pracowników
- relacje między pracownikami
- staranności pracowników
- program szkoleń
- zachowywanie przez pracowników
zasad, procedur
4
Sprzęt i informacja
- posiadanie podstawowych narzędzi
pracy dla realizacji zadania
- dostosowanie sprzętu/warunków
pracy do przepisów BHP
- posiadanie odpowiedniego
oprogramowania
- awaryjność sprzętu komputerowego
- czas oczekiwania na naprawę
sprzętu
- obieg informacji w urzędzie
- komunikacja między pracownikami
- baza informacji
- bezpieczeństwo informacji
- aktualność informacji
Zewnętrzne
Kwestie polityczne
- wpływ cyklu politycznego (kampania
wyborcza, zmiana ekipy rządzącej itp.)
- sposób prowadzenia polityki przez
obecny rząd
- ważne decyzje polityczne
- reakcja opozycyjnych sił politycznych
na prowadzone działania
Kwestie prawne
- wpływ istniejących regulacji
na podejmowanie działań
- wpływ zapowiadanych zmian
w przepisach
- liczba pozwów lub spraw sądowych
- jakość podpisywanych umów
Interesariusze (w tym obywatele)
- zły wizerunek urzędu
- sprzeciw/protesty obywateli wobec
zamierzonych działań
- jakość i rodzaj wsparcia
interesariuszy w podejmowanych
działaniach
- wysoki stopień uzależnienia
od organizacji zewnętrznych
Identyfikacja ryzyka powinna być dokonywana zawsze w odniesieniu do zadań opisanych
w planie działalności urzędu, dlatego w nagłówku kwestionariusza wpisujemy nazwę
zadania, dla którego chcemy zidentyfikować ryzyka. W kolumnie po lewej stronie
wymienione są obszary potencjalnego ryzyka podzielone na kategorie, które mają stanowić
5
pomoc dla osoby wypełniającej kwestionariusz. Jeśli ankietowany uzna, że wykonanie
zadania może być realnie zagrożone w związku z określonym zagadnieniem, powinien opisać
to ryzyko w kolumnie po prawej stronie. Sposób opisu ryzyka został przedstawiony już
wcześniej.
Przesyłając kwestionariusz ankietowanym należy do niego dołączyć instrukcję wypełnienia
oraz instrukcję sposobu opisu ryzyka. Należy także wskazać, że ankietowany
ma prawo dopisywać własne propozycje zagadnień problemowych. W tym celu należy
pozostawić wolne pola pod każdą z kategorii.
Umożliwienie składania deklaracji podatkowych drogą elektroniczną poprzez udostępnienie
przez Ministerstwo Finansów odpowiednich usług informatycznych
Obszary potencjalnego ryzyka
Adekwatność etatów/pracowników
do wyznaczonego zadania
Obsadzenie kluczowych stanowisk
Przewidywana nieobecność
pracowników
(…)
Występowanie
ryzyka
Opis ryzyka
T/N
Wewnętrzne
Zasoby ludzkie
T
Obecnie w Wydziale X nie są obsadzone
dwa etaty, w których opisie stanowisk
znajduje się obowiązek zajmowania się
zagadnieniem wskazanym w zadaniu.
Kwestią tą zajmować się będzie tylko
jeden pracownik. Istnieje zatem ryzyko
przedłużania się okresu prac nad
projektem, a w konsekwencji nie
wykonania zadania w terminie
T
Obecnie w Departamencie Y brakuje
zastępcy dyrektora, który nadzoruje
wydziały odpowiedzialne za realizację
zadania. Pan Z pełni jedynie obowiązki
zastępcy dyrektora. Zmiana na tym
stanowisku może oznaczać pojawienie się
nowej koncepcji realizacji zadania,
co
skutkować
będzie
brakiem
terminowości w realizacji zadania.
N
6
BURZA MÓZGÓW
1. Możliwość uzyskania wielu
nowych pomysłów
1. Możliwość zdominowania
rozmowy przez silną osobowość
2. Pobudzenie do kreatywnego
myślenia
2. Istnieje lęk przed cudzą oceną
własnych pomysłów
3. Dosyć szybkie zgromadzenie
informacji
4. Możliwość interakcji między
uczestnikami
Aby „burza mózgów” była skuteczna:
 Należy rozważyć, kogo zaprosić na taką sesję. Powinniśmy wziąć pod uwagę liczbę
osób ich wiedzę, doświadczenie, miejsce w strukturze urzędu;
 Przygotowując się do sesji, uczestnicy powinni mieć możliwość rozważenia
oddziaływania ryzyka na działalność urzędu lub usługi świadczone przez jednostkę.
Należy sporządzić szablon identyfikacji ryzyka i przekazać go każdemu uczestnikowi
przed sesją;
 Na wykonanie zadania należy wyznaczyć czas niezbędny do omówienia ryzyka, jego
przyczyn i skutków;
 Należy zapewnić środki zachęcające do rozpoczęcia i kontrolowania dyskusji,
pobudzania do dyskusji, utrzymania sesji w wyznaczonych ramach godzinowych
i zarejestrowania wyników sesji;
 Każdy uczestnik sesji może zadawać pytania/określać ryzyko bez obawy
o jakiekolwiek reperkusje. Sesje powinny być otwartym forum, na którym pracownicy
mogą bezpiecznie dyskutować o zidentyfikowanym ryzyku;
 Wyniki sesji należy zapisać i przekazać do weryfikacji i rozpatrzenia uczestnikom sesji,
co umożliwi wyjaśnienie lub poszerzenie opisów ryzyka.
Poniższa propozycja szablonu identyfikacji ryzyka ma pomóc w systematyzacji wiedzy
podczas sesji burzy mózgów. Kategorie ryzyka są tu spójne z kategoriami zawartymi
w kwestionariuszu, co pozwala w przypadku zastosowania obu narzędzi, na zestawianie
7
informacji. Charakterystyka kategorii pozwala na doprecyzowanie, o jakim rodzaju ryzyka
mówimy w danej kategorii.
Podczas sesji burzy mózgów można procedować w dwojaki sposób. Po pierwsze
zastanawiając się najpierw nad ryzykami istniejącymi w urzędzie/komórce organizacyjnej,
a następnie rozważając, jaki wpływ mają one na realizowane zadania. Drugim sposobem jest
rozważanie istnienia ryzyk dla kolejnych zadań wpisanych w planie działalności urzędu
(zadania te można wypisać w ostatniej kolumnie).
Szablon identyfikacji ryzyka
Kategoria ryzyka
Charakterystyka kategorii
Opis ryzyka
Zadania, z którymi
wiąże się ryzyko
Wewnętrzne
Kwestie organizacyjne
Kwestie finansowe
Zasoby ludzkie
Sprzęt i informacja
Procedury, struktura
urzędu, jakość usług
i produktów tworzonych
przez urząd, planowanie,
organizacja pracy
Operacje finansowe,
budżet, procedury
finansowe
Kwestie zatrudnienia,
jakość kadry, szkolenia,
kwestie pracownicze
Narzędzia niezbędne
do wykonywania zadań,
jakość i dostęp do
informacji, komunikacja
Zewnętrzne
Kwestie polityczne
Cykle polityczne, decyzje
polityczne, sposób
prowadzenia polityki przez
rząd i opozycję
Kwestie prawne
Wpływ obecnych
i przyszłych przepisów
prawa, sprawy sądowe,
jakość umów
Interesariusze (w tym Wizerunek urzędu,
obywatele)
współpraca
z interesariuszami,
protesty
8
DOŚWIADCZENIA I PROGNOZY NA PRZYSZŁOŚĆ
1. Operowanie na dokumentach,
które dają mocną podstawę
do identyfikacji ryzyka
2. Możliwość zestawiania danych
z różnych lat
1. Czasochłonność
2. Często potrzeba wiedzy
i doświadczenia z danej
dziedziny
Informacje niezbędne do identyfikacji ryzyka można również zaczerpnąć z różnego rodzaju
dokumentów istniejących w urzędzie. Ich uważna analiza pozwala nie tylko
na wyodrębnienie faktycznie występujących zdarzeń, ale również tych, które potencjalnie
mogą się wydarzyć. Poniżej przedstawiono przykłady dostępnych informacji, które mogą
wskazywać obszary ryzyka1.
Skargi: czy pewne piony urzędu otrzymują ilość zażaleń wyższą niż akceptowalny poziom?
Czy zażalenia te są skutecznie rozpatrywane?
Raporty z audytu i kontroli: czy dokumenty te dotyczą istotnych pionów/obszarów? Czy
są skutecznie wykorzystywane?
Szkody ubezpieczeniowe: czy z obecnych tendencji wynika, iż napotykamy na szczególne
problemy? Czy posiadamy odpowiednią polisę? Czy pojawiły się nowe rodzaje ryzyka,
na które nie jesteśmy przygotowani? Czy nasz zakres ubezpieczenia jest zbyt szeroki? Czy
pozytywnie rozpatrujemy zbyt wiele szkód bez przeprowadzenia koniecznego dochodzenia?
Czy nasze koszty ubezpieczenia wzrosły, a jeśli tak, to dlaczego?
Dzienniki wypadków: czy występują tendencje sugerujące określone problemy? Czy
skutecznie reagujemy na zgłaszane wypadki?
Ankiety zadowolenia: czego urząd się z nich dowiaduje? Jakie podjęliśmy działania? Czy
są one skuteczne?
1
Ministerstwo Finansów, Zarządzanie ryzykiem w sektorze publicznym, s. 24-26.
9
Prognozy budżetowe i finansowe: czy urząd ma problemy z planowaniem zrównoważonego
budżetu? Czy niedostateczny budżet ma wpływ na świadczone usługi? Czy budżety
są solidne? Czy występują obszary, w których regularnie wydaje się za dużo lub
za mało?
Opóźnienia projektowe/programowe: czy uczestniczymy w wielu pracach projektowych?
Czy napotykamy na problemy z zarządzaniem projektami – czasowe, budżetowe, z zasobami,
wykonawcami i partnerami? Jakie działania podejmuje urząd w odpowiedzi na te problemy?
Czy działania te są skuteczne?
Ryzyko zgłaszane przez podobne instytucje, do celów porównawczych: Czy jesteśmy
narażeni na podobne rodzaje ryzyk?
Zmiany populacji: Czy urząd może sprostać występującym zmianom – czy będzie świadczyć
właściwe usługi lub utrzyma odpowiedni poziom usług?
Doniesienia medialne: czy urząd ma złą prasę? Dlaczego, i jakie działania urząd podjął w tym
celu? Czy urząd może utrzymać dobry wizerunek?
TABELA IDENTYFIKACJI RYZYKA
Zebrane dane na temat ryzyka należy zestawić tak, aby możliwe było dalsze przetwarzanie
tych informacji. Może do tego służyć zbiorcza tabela identyfikacji ryzyka.
Każde ryzyko musi mieć swojego indywidulanie określonego właściciela, który jest
odpowiedzialny za zapewnienie, że ryzyko jest zarządzane i monitorowane. Każdemu ryzyku
należy w tym celu nadać symbol w następujący sposób: symbol komórki organizacyjnej
i kolejny numer ryzyka np. DA1, DA2 (ramowe zasady kontroli zarządczej s.9).
W procesie identyfikacji ryzyka należy uwzględnić, że do każdego zadania zaleca się
identyfikowania co najwyżej pięciu ryzyk. Ograniczenie to ma zapobiegać nadmiernemu
uszczegóławianiu planów, które powinny cechować się przejrzystością. W przypadku
zidentyfikowania większej liczby ryzyk należy się zastanowić, czy można sformułować ryzyka
w sposób bardziej ogólny lub też w planie umieścić tylko te najwyżej oceniane.
W szczególnych przypadkach w planie pracy można jednak opisać więcej niż pięć ryzyk
(Ramowe zasady kontroli zarządczej s.9).
10
Zadanie
Zbiorcza tabela identyfikacji ryzyka (wraz z przykładem)
Kategoria
Opis ryzyka(max. 5)
ryzyka
Zasoby ludzkie
Umożliwienie składania
deklaracji podatkowych
drogą elektroniczną poprzez
udostępnienie przez
Ministerstwo Finansów
odpowiednich usług
informatycznych
Sprzęt i
informacja
Obecnie
w
Wydziale
X
nie
są obsadzone dwa etaty, w których opisie
stanowisk
znajduje
się
obowiązek
zajmowania się zagadnieniem wskazanym
w zadaniu. Kwestią tą zajmować się będzie
tylko jeden pracownik. Istnieje zatem
ryzyko przedłużania się okresu prac nad
projektem, a w konsekwencji nie
wykonania zadania w terminie
Obecnie w Departamencie Y brakuje
zastępcy dyrektora, który nadzoruje
wydziały odpowiedzialne za realizację
zadania. Pan Z pełni jedynie obowiązki
zastępcy dyrektora. Zmiana na tym
stanowisku może oznaczać pojawienie się
nowej koncepcji realizacji zadania,
co
skutkować
będzie
brakiem
terminowości w realizacji zadania.
Program
komputerowy
potrzebny
do realizacji zadania ulega częstym
awariom.
Kilkukrotnie
doprowadziło
to do utraty wprowadzanych danych.
Powtarzanie się awarii spowoduje nie
możność
kontynuowania
pracy
a w konsekwencji nie zrealizowanie
zadania.
Sygnatura
DY1
DY2
DZ1
11
ANALIZA RYZYKA
Kolejnym etapem po identyfikacji ryzyka jest poddanie go szczegółowej analizie, tak, aby
możliwe stało się zrozumienie jego istoty, a następnie dokonanie we właściwy sposób jego
oceny. Należy bardzo dokładnie znać jednostkę, rozumieć jej otoczenie, cele oraz zadania,
aby:
1.
2.
3.
4.
określić przyczyny i skutki zidentyfikowanego ryzyka;
dokonać analizy pod kątem identyfikacji ryzyka krzyżowego;
oddzielić ryzyko istotne od niewielkiego;
ocenić rodzaj i kategorię ryzyka.
PRZYCZYNY I SKUTKI
ZIDENTYFIKOWANEGO
RYZYKA
Wybranie odpowiedniej metody zarządzania ryzykiem wymaga rzetelnego podejścia
do określenia jego przyczyn oraz skutków. W opisie ryzyka dokonanym na etapie identyfikacji
każdemu z zagrożeń została przyporządkowana przyczyna oraz skutek. Jednak pogłębiona
analiza ryzyka wymaga wypunktowania wszystkich oddziaływań. Zaniechanie tego kroku
uniemożliwi dalsze prawidłowe przeprowadzenie procesu, a w szczególności może
negatywnie wpłynąć na dokonanie punktowej oceny ryzyka, dlatego analizując skutki ryzyka
należy zwrócić szczególną uwagę na następujące kwestie:





Wpływ na przestrzeganie prawa przez urząd;
Wpływ na zdrowie/życie pracowników;
Straty finansowe;
Wpływ na wizerunek urzędu;
Wpływ na standard świadczenia usług.
ANALIZA POD KĄTEM IDENTYFIKACJI
RYZYKA KRZYŻOWEGO
Nietrudno sobie wyobrazić, że pewne ryzyka mogą mieć wpływ na różne działania
podejmowane przez urząd lub powtarzać się w jej poszczególnych jednostkach. Np.: Brak
planu przywrócenia działalności w razie nieprzewidzianego poważnego zdarzenia –
kierownicy poszczególnych szczebli mogą podjąć we własnym zakresie kroki służące
12
stworzeniu takiego planu dla własnej jednostki. Jednak w tym przypadku nie chodzi
o indywidualne działania, wymagane jest wdrożenie tego rodzaju planu dla całego urzędu.
W związku z tym bardzo ważne jest, aby na etapie analizy ryzyka zidentyfikować takie
niebezpieczeństwo i przygotować kompleksowy plan działania, który uwzględni zagrożenie
w różnych aspektach działalności urzędu.
RYZYKO NIEWIELKIE
A RYZYKO ISTOTNE
Odróżnianie ryzyka niewielkiego od istotnego jest dokonywane przede wszystkim poprzez
Punktową ocenę poziomu ryzyka, która stanowi kolejny etap procesu zarządzania ryzykiem.
Jednak prowadząc szczegółową analizę ryzyka warto zebrać już na tym etapie odpowiednie
informacje dotyczące zidentyfikowanego ryzyka, które ułatwią dalsze kroki.
W tym celu można posłużyć się tabelą.
Ryzyko
Przyczyna
i skutek
ryzyka
Przyczyny
ryzyka:
-…
-…
-…
Skutki
ryzyka:
-…
-…
-…
Funkcjonujące mechanizmy
kontrolne ryzyka
Wewnętrzne mechanizmy
kontrolne stanowią część kultury
urzędu, ułatwiając szybką reakcję
na ryzyko zagrażające realizacji
celów. Opierając się na
standardach kontroli zarządczej
można wyodrębnić następujące
mechanizmy kontrolne:
 dokumentacja systemu
kontroli zarządczej
(np. procedury wewnętrzne,
instrukcje, wytyczne,
dokumenty określające
zakres obowiązków);
 nadzór;
 ciągłość działalności
(np. plan działania
w sytuacjach
nadzwyczajnych i
kryzysowych, plany urlopów
pracowników, system
szkoleń, przekazywanie
wiedzy między
Relacja pomiędzy
oddziaływaniem,
prawdopodobieństwem oraz
mechanizmami kontrolnymi
Chociaż dokładne określenie
oddziaływania ryzyka, czyli możliwych
skutków, oraz prawdopodobieństwa
jego wystąpienia jest dokonywane
dopiero w kolejnym etapie, to jednak
już teraz możliwe staje się określenie
wpływu mechanizmów kontrolnych.
1. Czy mechanizmy kontroli
rzeczywiście istnieją?
2. Czy mechanizmy kontroli
są adekwatne, skuteczne
i efektywne?
3. Czy zmniejszają
prawdopodobieństwo
wystąpienia ryzyka?
4. Czy mogą przyczynić się
do złagodzenia skutków
w przypadku wystąpienia
ryzyka?
13



pracownikami);
ochrona zasobów
(np. ochrona fizyczna
jednostki i jej pracowników,
ochrona zasobów
materialnych, ochrona
środków finansowych,
ochrona informacji);
operacje finansowe i
gospodarcze (np.
dokumentacja operacji
finansowych i
gospodarczych, podział
kluczowych obowiązków,
autoryzacja i weryfikacja
operacji);
systemy informatyczne (np.
system przydzielania i
ograniczania dostępu,
podział obowiązków,
mechanizmy samokontroli
systemu).
Istniejące mechanizmy kontrolne
wpływają na ocenę poziomu ryzyka,
czyniąc je mniej istotnym.
Brak takich mechanizmów zwiększa
poziom ryzyka. Jednak nie zawsze
mechanizmy kontroli muszą być
sformalizowane.
Brak procedur ≠ brak mechanizmów
Nie bez znaczenia w tym kontekście
jest również określenie poziomu
ryzyka, które urząd może ponieść tzw.
apetytu na ryzyko. Im niższy poziom
akceptacji danego ryzyka, tym wyższy
priorytet powinien zostać nadany
postępowaniu wobec niego. Z drugiej
strony uznanie ryzyka za
dopuszczalne ze względu na koszty
jego ograniczania bądź postrzeganie
ryzyka jako nadchodzącej szansy
może skutkować przekonaniem
o konieczności ograniczenia
wewnętrznych mechanizmów
kontrolnych.
RODZAJE I KATEGORIE
RYZYKA
Ryzyko może mieć charakter strategiczny lub operacyjny.
Ryzyko strategiczne wpływa na podstawy funkcjonowania urzędu. Zarządzanie nim jest
przede wszystkim zadaniem kierownika jednostki we współdziałaniu z innymi pracownikami
na kluczowych stanowiskach. Przykładowe kategorie ryzyka strategicznego: ekonomiczne,
legislacyjne, polityczne, społeczne, środowiskowe, technologiczne.
Ryzyko operacyjne jest natomiast elementem codziennej pracy całego personelu.
W związku z tym nie jest z góry określone, że zarządzanie nim należy do zadań kierownika
jednostki. Przykładowe kategorie ryzyka operacyjnego: finansowe, fizyczne (zagrożenia dla
budynków, sprzętu itp.), prawne, środowiskowe, technologiczne, zawodowe.
Odpowiednie wyodrębnienie rodzaju i kategorii ryzyka ułatwi na dalszym etapie kwestię
określenia jego właściciela.
14
PUNKTOWA OCENA RYZYKA
Punktowa ocena ryzyka jest kolejnym, pogłębionym etapem jego analizy, który
ma na celu lepsze zrozumienie wcześniej zidentyfikowanych ryzyk. Dostarcza informacji,
pozwalających na uszeregowanie ryzyk oraz tym samym pomaga w podjęcie decyzji,
dotyczących sposobów postępowania z nimi.
Ryzyko ocenia się, biorąc pod uwagę:
1. Prawdopodobieństwo jego wystąpienia oraz
2. jego oddziaływanie na urząd w razie wystąpienia (skutek).
Zarówno prawdopodobieństwo, jak i skutek oceniamy, wykorzystując skale punktowe
(najczęściej stosuje się skale 3-stopniowe, 4-stopniowe i 5-stopniowe). Niezwykle istotne
jest, aby przed oceną punktową wypracować jednolite dla całego urzędu definicje
prawdopodobieństwa oraz poziomu oddziaływania. Należy także pamiętać o tym,
że punktową analizę ryzyka przeprowadzamy, biorąc pod uwagę istniejące w urzędzie
mechanizmy kontrolne.
Tabela punktowa oddziaływania ryzyka
KRYTERIA
Liczba
punktów
Opis
Finansowe
(strata
finansowa)
Organizacyjne
Ochrona zdrowia
i bezpieczeństwa
5
Bardzo
duże
Powyżej 100
tys. PLN
Brak realizacji
kluczowych celów
Utrata życia
4
Duże
10 tys. PLN100 tys. PLN
Brak realizacji
kluczowego celu
Poważne
obrażenia
3
Średnie
1 tys. PLN- 10
tys. PLN
Zakłócenia w
działalności
Pewne obrażenia
2
Małe
100 PLNtys. PLN
1
Nieznac
zne
Do 100 PLN
1
Niewielkie
zakłócenia w
działalności
Krótkotrwałe
zakłócenia w
działalności
Niewielkie
obrażenia
Małe obrażenia
Reputacja
Doniesienia
prasowe w całym
kraju
Informacje w
mediach
ogólnokrajowych
Informacje w
mediach
regionalnych i
lokalnych
Ograniczone
informacje w
mediach lokalnych
Ubogie informacje
w mediach
lokalnych
15
Tabela punktowa prawdopodobieństwa wystąpienia ryzyka
Liczba punktów
1
2
3
4
5
Opis
Rzadkie
Mało
prawdopodobne
Średnie
Prawdopodobne
Prawie
pewne
Prawdopodobieństwo
0-20%
20-40%
40-60%
60-80%
80-100%
MATRYCA RYZYKA
Nakładając na siebie wymiar oddziaływania oraz wymiar prawdopodobieństwa, uzyskujemy
matrycę ryzyka. Każdemu zidentyfikowanemu ryzyku w urzędzie odpowiada jedno pole
na matrycy ryzyka. Istotność danego ryzyka uzyskujemy mnożąc punktową ocenę
prawdopodobieństwa oraz skutku2.
Skutek
Bardzo duży
5
10
15
20
25
Duży
4
8
12
16
20
Średni
3
6
9
12
15
Mały
2
4
6
8
10
Nieznaczny
1
2
3
4
5
Rzadkie
Mało
prawdopodobne
Średnie
Prawdopodobne
Prawie
pewne
Prawdopodobieństwo
Matryca ryzyka jest podstawą do ustalenia hierarchii (ewentualnych) działań, mających
na celu jego zmniejszenie3. Kierownictwo urzędu może przyjąć na przykład, że ryzyka
ocenione najniżej (pola zielone) nie wymagają dodatkowych działań, ryzyka średnie (pola
żółte) wymagają dodatkowego monitoringu, natomiast ryzyka wysokie (pola czerwone)
wymagają podjęcia dodatkowych działań.
2
Kierownictwo urzędu może jednak ustalić inną metodologię, która na przykład przykładać będzie większą
wagę do oceny skutku (w tej sytuacji punktową ocenę skutku mnożymy przez wyznaczony wcześniej
współczynnik np. 1,5).
3
Możliwe działania opisane zostały w dalszej części opracowania, dotyczącej zarządzania ryzykiem.
16
MAPA RYZYKA
Wykorzystując indywidualne oceny poszczególnych ryzyk możemy stworzyć mapę ryzyka.
Obrazuje ona wszystkie ryzyka, zidentyfikowane w danym urzędzie lub komórce
organizacyjnej. Jednocześnie umożliwia ustalenia „progów tolerancji” dla zidentyfikowanych
ryzyk.
Mapa ryzyka
6
Skutek
5
Ryzyko C
4
Ryzyko B
3
Ryzyko E
2
Ryzyko D
1
Ryzyko A
0
0
1
2
3
4
5
6
Prawdopodobieństwo
Na powyższym wykresie zaznaczone zostały ryzyka zidentyfikowane dla danego urzędu.
Wykorzystując mapę ryzyka może określić:
 poziomy akceptowanego ryzyka dla kategorii prawdopodobieństwa oraz kategorii
skutku (na przykładzie zaznaczone dwoma pomarańczowymi prostymi4) lub
 poziom akceptowanego ryzyka dla kategorii istotności, rozumianej jako iloczyn
punktowej oceny prawdopodobieństwa oraz skutku (na przykładzie zaznaczony
czerwoną krzywą)5.
Dla zaprezentowanego przykładu jedynie Ryzyko A nie wymaga podjęcia dodatkowych
działań (gdyż znajduje się zarówno poniżej krzywej obrazującej istotność, jak
i spełnia minimalne wymagania wyznaczone dla kategorii skutku i prawdopodobieństwa ).
Jednocześnie, im ryzyko znajduje się bliżej prawego górnego rogu wykresu, tym jest
poważniejsze i tym pilniej wymaga podjęcia działań je ograniczających (w zaprezentowanym
przykładzie najpoważniejszym ryzykiem jest Ryzyko C).
4
Na przykładzie przyjęto, że akceptowany poziom ryzyka zarówno dla kategorii prawdopodobieństwa, jak
i kategorii wynosi 2.
5
Na przykładzie przyjęto, że akceptowany poziom ryzyka dla kategorii istotność wynosi 4. Krzywą możemy
uzyskać wykorzystując funkcję y=4/x, gdzie y to ocena skutku, x natomiast ocena prawdopodobieństwa.
17
REJESTR RYZYKA
Rejestr ryzyka jest dokumentem podsumowującym, w którym umieszczamy informacje
dotyczące wszystkich zidentyfikowanych zagrożeń. Musi on być aktualizowany podczas
wszystkich kroków procesu zarządzania ryzykiem. Aktualizacja dokumentu powinna
odbywać się regularnie, co najmniej raz w roku, tak, aby zarządzający ryzykiem mogli
porównać stan obecny z poprzednim. Rejestr ryzyka może być prowadzony dla pojedynczego
projektu, usługi lub działalności, a także dla całego urzędu.
PORADA: Podczas opracowywania rejestru ryzyka warto przed jego stworzeniem, pamiętać
o celach, jakie postawione są przed urzędem. Jest to przydatne, gdyż pozwala
to twórcom rejestru, jak i uczestnikom procesu identyfikacji ryzyka na pamiętanie o fakcie,
iż identyfikują ryzyko, które wpływa na cele urzędu.
Do sporządzenia rejestru ryzyka możliwe jest wykorzystanie poniższego szablonu. Istnieje
kilka metod sporządzania rejestru ryzyka, jednakowoż wszystkie metody posiadają kilka
wspólnych cech, które będą stanowiły trzon każdego rejestru ryzyka. Są to:
Identyfikator ryzyka – Każde ryzyko wprowadzone do rejestru powinno mieć swój
identyfikator, składający się z cyfr bądź liter.
Kategoria ryzyka – wprowadzenie kategorii ryzyka pozwala na ustrukturyzowanie rejestru
ryzyka. Kategorie powinny pochodzić ze struktury podziału ryzyka, a wyglądać mogą
następująco: strategiczne/rynkowe/ustawowe/czynniki ludzkie/polityka/siła wyższa etc.
Przyczyna ryzyka, charakter, skutek – w procesie identyfikacji ryzyka pozycja to sprowadza
się do jednoznacznego i jasnego określenia danego ryzyka. Przyczyna ryzyka opisuje źródło
ryzyka, tzn. wydarzenie lub sytuację, która je wyzwala. Charakter ryzyka opisuje rodzaj
zdarzenia w kategoriach zagrożenia lub okazji. Efekt ryzyka jest opisem potencjalnego
wpływu danego ryzyka na rozważane przedsięwzięcie w sytuacji, gdyby ryzyko się
zmaterializowało. Przykład: gwóźdź jest przyczyną, dziura w oponie jest zmaterializowanym
zagrożeniem, a spóźnienie na spotkanie jest efektem.
Punktowa ocena ryzyka – wartość, która została określona dla danego ryzyka przy
opracowywaniu jego punktowej oceny.
Reakcja na ryzyko – opis działań i w miarę możliwości termin ich podjęcia.
Ryzyko rezydualne – Nawet mimo podjęcia działań neutralizujących ryzyko, nie uda nam się
go zlikwidować. Ryzyko, które powstaje w wyniku takiej sytuacji nazywamy rezydualnym.
Właściciel ryzyka – konkretna osoba odpowiedzialna za zarządzanie i kontrolę wszystkich
aspektów danego ryzyka.
18
SZABLON REJESTRU RYZYKA
Punktowa
ocena
ryzyka
Identyfikator
ryzyka
Kategoria
ryzyka
Przyczyna ryzyka,
charakter, skutek
Reakcja
na ryzyko
Ryzyko
rezydualne
DX1
Zasoby
ludzkie
Opis zgodny
z analizą
przeprowadzoną
w pkt. 2 opracowania
20
Dyrektor
departamentu X
DZ1
Sprzęt i
informacja
Opis zgodny
z analizą
przeprowadzoną
w pkt. 2 opracowania
16
Naczelnik wydziału
Z w departamencie X
Właściciel ryzyka
Dodatkowo, w zależności od podejścia zarządzających w ryzykiem w urzędzie, rejestr ryzyka
może zostać wzbogacony o kolejne kolumny. Kolejność kolumn w powyższym szablonie, jak
i kolumn dodawanych do niego, powinna odzwierciedlać sekwencję, w jakiej informacje są
pozyskiwane.
Poniższe elementy rejestru ryzyka nie znajdują odzwierciedlenia w tym opracowaniu, lecz
mogą być przydatne przy korzystaniu z innych źródeł traktujących o zarządzaniu ryzykiem.
Prawdopodobieństwo – prawdopodobieństwo wystąpienia ryzyka, powinno
oszacowane w oparciu o opisy zawarte w tabelach planu zarządzania ryzykiem.
być
Spodziewany skutek – skutek powinien być oszacowany w oparciu o opisy zawarte tabelach
planu zarządzania ryzykiem. Istnieje możliwość rozbicia skutku na skutek przed
i po zastosowaniu planu zarządzania ryzykiem.
Kategoria reakcji na ryzyko – jedna z kategorii zdefiniowanych w planie zarządzania
ryzykiem.
Bliskość – w tej kolumnie powinno zawierać się określenie czasu, w którym spodziewana jest
materializacja ryzyka.
Status ryzyka – wyróżniamy dwa statusy: aktywne, czyli takie, które jest stale obecne
i zamknięte, czyli ryzyko, które już się nie wydarzy.
Właściciel reakcji związanych z ryzykiem – osoba odpowiedzialna za reakcję lub wiele
różnych reakcji w stosunku do wybranego ryzyka lub ich grupy. Osoba taka wspiera
właściciela ryzyka i otrzymuje od niego wytyczne.
19
ZARZĄDZANIE RYZYKIEM
Proces zarządzania ryzykiem
Podjęcie działań
zmniejszających ryzyko
(w razie potrzeby)
Zapewnianie
skuteczności
mechanizmów
kontrolnych w urzędzie
Monitoring
i raportowanie ryzyka
PODEJMOWANIE DECYZJI
I DZIAŁAŃ
Zapobiegawcze
Tolerowanie
Korygujące
Zmniejszanie
Podejmowanie
decyzji i działań
Nakazowe
Przeniesienie
Wykrywające
Likwidacja
Reakcja na ryzyko dotyczy ryzyk wrażliwych dla urzędu lub będących w szczególnym
zainteresowaniu kierownictwa. Powinny one być utrzymywane na określonym przez system
zarządzania tzw. akceptowalnym poziomie ryzyka – osiągnąć to można poprzez następujące
czynności:
20
Akceptowalny poziom ryzyka i reakcja na występujące ryzyko uzależniona jest od:
 apetytu na ryzyko (przykładowo ryzyko oceniane jako mało istotne może być
przez jednostkę tolerowane)
 relacji kosztów reakcji na ryzyko do korzyści z niej uzyskanych (koszty
podejmowanych działań nie powinny być wyższe niż spodziewane korzyści
z tych działań)
 zakresu kontroli ryzyka przez Urząd
 odpowiedzialności za efekty wystąpienia ryzyka (ubezpieczenie)
i współdzielenie go.
Typ działania
TOLEROWANIE
Wskazówki
Ma miejsce wtedy, gdy:
 narażenie na ryzyko uznajemy za dopuszczalne (jego ewentualny skutek
niski bądź mało istotny),
 wywarcie wpływu na ryzyko jest ograniczone
 koszt reakcji na ryzyko przewyższyłby ewentualnie odniesione korzyści
tego działania
Decyzja:
Tolerujemy ryzyko
Rekomenduje się:
W celu lepszego reagowania na skutki powstałe przez urzeczywistnienie ryzyka
(które zdecydowaliśmy się tolerować) można sporządzić plany awaryjne.
Idea: ograniczenie możliwości urzeczywistnienia się niepożądanego wyniku.
ZAPOBIEGAWCZE
ZMNIEJSZANIE
KORYGUJĄCE
Decyzja:
Chcąc, aby niepożądane zjawisko nie wystąpiło, wdrażamy zapobiegawcze
punkty kontrolne
Przykłady:
 rozdział obowiązków, gdzie żadna osoba nie jest upoważniona
do działania bez zgody innej (np. inna osoba zatwierdza płatność
faktury, inna zamawia towary);
 ograniczenie wykonywania czynności do osób
upoważnionych (np. do udzielanie odpowiedzi na pytania mediów tylko
przez odpowiednio przeszkolone i uprawnione osoby).
Idea: powrót do utraconego stanu, w razie poniesienia straty bądź szkody
w wyniku urzeczywistnienia się ryzyka
Decyzja:
Wdrażanie działań korygujących
niepożądane wyniki, które stały się
rzeczywistością.
Przykłady:
 sformułowanie warunków umownych w sposób umożliwiający
odzyskanie nadpłaty;
 ubezpieczenie (ułatwia odzyskanie równowagi finansowej).
Rekomenduje się:
Tworzenie awaryjnych planów działania, w celu utrzymania ciągłości działania
Urzędu i szybkiego powrotu do poprzedniego stanu po urzeczywistnieniu się
ryzyka.
21
Idea: osiągnięcie konkretnego wyniku, aby uniknąć wystąpienia niepożądanego
zdarzenia . Stosuje się zwykle w sytuacji zagrożenia zdrowia lub bezpieczeństwa
Decyzja: stosowanie nakazowych punktów kontrolnych
NAKAZOWE
WYKRYWAJĄCE
Przykłady:
 dodanie wymogu noszenia odzieży ochronnej w trakcie wykonywania
niebezpiecznych obowiązków;
 przeszkolenie personelu z zakresu koniecznych umiejętności przed
pozwoleniem na pracę bez nadzoru.
Idea: identyfikowanie okazji do powstania niepożądanych wyników, które już się
pojawiły.
Ich efekt występuje, z definicji, „po zdarzeniu”, więc są odpowiednie tylko
wtedy, gdy możliwe jest zaakceptowanie poniesionej straty lub szkody.
Przykłady:
 sprawdzenia stanów zapasów lub aktywów;
 uzgodnienie stanu kont;
 „przeglądy powdrożeniowe”;
 działania monitoringowe, wykrywające zmiany wymagające reakcji.
Opcja stosowana zazwyczaj przy ryzykach typu finansowego lub majątkowego.
Przeniesienie ryzyka ma miejsce poprzez:
 wykup konwencjonalnego ubezpieczenia
 zapłata stronie trzeciej za przejęcie ryzyka w inny sposób.
Rekomenduje się:
PRZENIESIENIE
Przenieść ryzyko można zwłaszcza gdy:
 celem jest zmniejszenie narażenia urzędu na ryzyko
 inna organizacja ma większą zdolność do efektywnego zarządzania
ryzykiem.
Uwaga!
Niektóre rodzaje ryzyka nie są (w pełni) możliwe do przeniesienia, np. utrata
reputacji.
Idea: zmniejszenie lub sprowadzenie do akceptowalnych poziomów poprzez
zaprzestanie ryzykownych działań lub zlikwidowanie ryzyka
Rekomenduje się:
LIKWIDACJA
Stosowanie szczególnie przy zarządzaniu projektem, gdy przewidywany stosunek
kosztów do korzyści jest zagrożony.
Uwaga!
Stosowanie opcji zakończenia działalności jest poważnie ograniczone w sektorze
rządowym. Niektóre czynności są realizowane w sektorze rządowym, właśnie
z uwagi na duże ryzyko z nimi związane.

22


MECHANIZMY KONTROLNE
Umożliwiają wykonanie zaplanowanych celów i zadań oraz stanowią odpowiedź
na ryzyka. Dlatego też powinny występować na wszystkich szczeblach zarządzania i odnosić
się do wyników procesu analizy ryzyka.
Podstawowe mechanizmy kontrolne (katalog otwarty):
1.
Dokumentowanie systemu kontroli zarządczej
Procedury wewnętrzne, instrukcje, wytyczne, dokumenty określające zakres obowiązków,
uprawnień i odpowiedzialności pracowników. Sporządzane w formie pisemnej, spójnej
i dostępnej dla wszystkich osób, dla których jest niezbędna.
Uwaga!
Szczególnie powinny być dokumentowane i archiwizowane operacje krytyczne dla
funkcjonowania jednostki, w tym operacje gospodarcze i finansowe
Nie warte dokumentowania są czynności, którym przypisane jest niewielkie ryzyko
(np. przekazywanie informacji w ramach komórki organizacyjnej).
2.
Nadzór
Służy wykonaniu celów oraz oszczędnej, efektywnej i skutecznej realizacji zadań.
Mechanizm kontrolny polega na ukształtowaniu obowiązków osób kierujących komórkami
organizacyjnym i ustanowieniu potrzebnych mechanizmów w stosunkach pomiędzy
kierownikiem i podległymi mu pracownikami oraz pomiędzy pracownikami różnych szczebli
(kierującym i kierowanymi lub nadzorującym i nadzorowanymi).
Komunikacja w obu kierunkach na linii:
 wykonawczej (nadzorujący-nadzorowany);
 wykonawczo-kierowniczej (nadzorujący-kierownictwo).
W drodze nadzoru wykrywa się i eliminuje błędy, nieporozumienia i nieprawidłową praktykę
oraz zapobiega się ich powtarzaniu w przyszłości..
3.
Ciągłość działalności
Zapewnienie istnienia mechanizmów służących utrzymaniu ciągłości działalności Urzędu.
Kluczową role odgrywają następujące elementy:
 zarządzanie zasobami ludzkimi (polityka kadrowa) – identyfikacja
pracowników, którzy z uwagi na swoją szczególną wiedzę, mają kluczowe
znaczenie dla prawidłowej działalności jednostki;
23
 uruchomienie odpowiednich środków zaradczych np. uruchomienie szkolenia
nowozatrudnionych, przekazywanie wiedzy przez bardziej doświadczonych
pracowników;
 odpowiednie zasady udzielania urlopów oraz sporządzanie planów urlopów
pracowników, w tym kadry kierowniczej.
4. Ochrona zasobów
Obejmuje trzy aspekty:
 ochronę fizyczną jednostki i jej pracowników,
 ochronę zasobów materialnych, ochronę środków finansowych oraz
 ochronę informacji.
Rekomenduje się:
 zastosowanie analizy ryzyka w celu zidentyfikowania zasobów o znaczeniu
krytycznym dla funkcjonowania jednostki;
 określenie granic odpowiedzialności materialnej za ochronę i podjęcie działań
zabezpieczających;
 dokonywanie okresowych przeglądów bezpieczeństwa;
 zwrócenie uwagi an inwentaryzację (narzędzia ochrony zasobów
materialnych);
 objęcie ochroną informacji wytwarzanych i przechowywanych w każdej
formie, również zapisanej na nośnikach elektronicznych.
Uwaga!
Dostęp do zasobów Urzędu powinny mieć JEDYNIE upoważnione osoby.
Wymagana jest analiza ryzyka związanego z utratą chronionego dobra i istnieniem
zabezpieczeń.
5.
Szczegółowe
mechanizmy
i gospodarczych
kontroli
dotyczące
operacji
finansowych
Zachowywanie dokumentacji oraz jej prawidłowe zabezpieczenie przed osobami
niepowołanymi i nieautoryzowanymi zmianami. Powinny istnieć następujące mechanizmy
kontroli dotyczące operacji finansowych i gospodarczych:
 pełne dokumentowanie i rejestrowanie operacji finansowych i gospodarczych;
 autoryzacja operacji finansowych przez kierownika jednostki lub osoby przez
niego upoważnione;
 podział kluczowych obowiązków;
 weryfikacja operacji finansowych i gospodarczych przed i po realizacji.
24
6. Mechanizmy kontroli dotyczące systemów informatycznych
Zabezpieczenie informacji i dokumentów ujętych w systemach informatycznych.
Uwzględniając fakt, iż informację elektroniczną łatwiej jest powielić i rozpowszechnić.
Rekomenduje się:
 opracowanie odpowiednich procedur i mechanizmów zabezpieczających dane
(dotyczących bezpieczeństwa systemów informatycznych);
 zbudowanie systemu przydzielania i ograniczania dostępu do systemu
informatycznego i późniejsze zbadanie jego szczelności;
 zabezpieczenie się przed nieuprawnionymi lub niezatwierdzonymi
modyfikacjami systemu;
 dokonanie podziału obowiązków pomiędzy pracowników (uniknięcie
wykonywania kluczowych operacji przez jednego pracownika);
 wprowadzenie mechanizmu samokontroli systemu.

MONITOROWANIE
Wraz z działaniami związanymi z zarządzaniem ryzykiem ustanawia się mechanizmy, które
umożliwiają
monitorowanie
wdrożonych
rozwiązań
i
dokonywanie
oceny
ich efektywności. Jak również pozwalają poszukać odpowiedzi na następujące pytania:
 czy system zarządzania ryzykiem spełnia założone cele?
 czy polityki i procedury ustanowione w jego ramach są nadal aktualne
i wydajne?
MONITORING RYZYKA
Monitorowanie
systemu kontroli
zarządczej
Samoocena
Audyt wewnętrzny
Uzyskanie zapewnienia
o stanie kontroli
zarządczej
25
MONITOROWANIE SYSTEMU
KONTROLI ZARZĄDCZEJ
Każdy element systemu kontroli zarządczej powinien być sprawdzany pod kątem swojej
skuteczności. Za proces ten odpowiedzialne jest ścisłe kierownictwo, jak również inne osoby
zarządzające Komorkami organizacyjnymi w Urzędzie.
Szczególną uwagę należy przykładać do zaleceń i opinii dotyczących niedoskonałości systemu
w Urzędzie, kierowanych przez organy i jednostki nadzorujące lub kontrolne. Ważnym
elementem monitorowania poszczególnych elementów kontroli zarządczej powinno być
również wskazywanie słabości systemu przez pracowników Urzędu (np. podczas szkoleń
i spotkań).
Efektem czynności kontrolnych powinno być ciągłe udoskonalanie procesu w Urzędzie
poprzez identyfikowanie problemów i naprawianie ich, aby zapobiec negatywnym
zdarzeniom w przyszłości.
SAMOOCENA
Zakres samooceny kontroli zarządczej może dotyczyć:
 poszczególnych procesów zachodzących w jednostce, a także
 poszczególnych elementów kontroli zarządczej.
W procesie samooceny uczestniczą kierownicy oraz pracownicy jednostki bezpośrednio
zaangażowani w daną działalność.
Uwaga!
 Samoocena powinna być ujęta w ramy procesu odrębnego od bieżącej
działalności i udokumentowana.
 Warto przeprowadzać ja przynajmniej raz w roku.
AUDYT WEWNĘTRZNY
Ustawa o finansach publicznych gwarantuje przeprowadzenie obiektywnej i niezależnej
oceny kontroli zarządczej przez audytora wewnętrznego.
Czynności audytora określone są w rocznym planie audytu, opracowanym na podstawie
analizy ryzyka. Podczas przeprowadzenia audytu oceniane są elementy kontroli zarządczej
i stwierdzana ich zgodność bądź niezgodność z normami.
26
Wszystkie wyszczególnione przez audytora wady powinny być jak najszybciej
zakomunikowane pracownikom bezpośrednio odpowiedzialnym za dane zadanie oraz
ich bezpośrednim przełożonym.
Uwaga!
Poważne słabości powinno się przekazać niezwłocznie najwyższemu kierownictwu, któremu
podlega audytor.
UZYSKANIE ZAPEWNIENIA
O STANIE KONTROLI ZARZĄDCZEJ
Źródłem uzyskania zapewnienia o stanie kz przez kierownika jednostki są wyniki:
 monitorowania;
 samooceny;
 przeprowadzonych audytów i kontroli.
Uwaga!
Zaleca się coroczne potwierdzenie uzyskania powyższego zapewnienia w formie
oświadczenia o stanie kontroli zarządczej za poprzedni rok.
Rekomenduje się:
 regularne raportowanie nt. ryzyka i postępów w realizacji planu radzenia sobie
z ryzykiem,
 ocenianie funkcjonowania zarządzania ryzykiem przy wykorzystaniu ustalonych wcześniej
(i okresowo przeglądanych) wskaźników – spełnianie przez system zarządzania ryzykiem
założonych celów,
 dokonywanie przeglądu zasad zarządzania ryzykiem, uwzględniając zmiany zachodzące
w urzędzie i jego otoczeniu.
27