Zarządzenie Nr 0050

Zarządzenie Nr 0050.SOA. 197. 2014
Burmistrza Miasta Ustka
z dnia 7 listopada 2014 r.
w sprawie:
wprowadzenia Polityki Zarządzania Ryzykiem w Urzędzie Miasta
Ustka.
Na podstawie: art.31 i art.33 ust.3 ustawy z dnia 8 marca 1990 roku o samorządzie
gminnym( tekst jednolity; Dz. U. z 2013 r., poz.594 z późn. zm. ) w związku z art.69 ust.1 pkt
2 i 3 ustawy z dnia 27 sierpnia 2009 roku o finansach publicznych ( t.j. Dz. U. z 2013 r.,
poz.885 z późn. zm.).
zarządzam, co następuje:
§ 1.
Wprowadza się Politykę Zarządzania Ryzykiem w Urzędzie Miasta Ustka, stanowiącą
załącznik do niniejszego zarządzenia.
§ 2.
Wykonanie zarządzenia powierza się Sekretarzowi Miasta Ustka.
§ 3.
Zarządzenie wchodzi w życie z dniem podpisania.
Burmistrz Miasta Ustka
/-/ Jan Olech
Załącznik
do Zarządzenia Nr 0050.SOA.197. 2014
Burmistrza Miasta Ustka
z dnia 7 listopada 2014 r.
POLITYKA ZARZĄDZANIA RYZYKIEM
W
URZĘDZIE MIASTA
USTKA
ROZDZIAŁ I
Postanowienia ogólne
1.Ilekroć w dokumencie jest mowa o:
1) ryzyku – należy przez to rozumieć możliwość zaistnienia zdarzenia, które
będzie miało wpływ na realizację założonych celów. Ryzyko mierzone jest siłą
skutku oddziaływania oraz prawdopodobieństwem jego wystąpienia;
2) zarządzanie ryzykiem – należy przez to rozumieć realizowany przez
Burmistrza proces, którego celem jest identyfikacja potencjalnych ryzyk, które
mogą mieć wpływ na realizację celów i zadań przez urząd;
3) mapa ryzyka – tabela (macierz) odzwierciedlająca ocenę siły oddziaływania
i prawdopodobieństwo wystąpienia zidentyfikowanego ryzyka w urzędzie;
4) rejestr ryzyk – należy przez to rozumieć dokument odzwierciedlający
przeprowadzoną identyfikację i analizę ryzyk, a także przyjętą reakcję na
ryzyko;
5) Burmistrza – należy przez to rozumieć Burmistrza Miasta Ustka,
6) zespół ds. kontroli zarządczej – zespół roboczy powołany zarządzeniem
Burmistrza, którego zadania i sposób działania określa się w zarządzeniu
powołującym;
7) koordynator kontroli zarządczej – osoba wskazana przez Burmistrza do
prowadzenia całości spraw związanych z organizacją procesu nadzoru nad
wdrażaniem i stosowaniem standardów kontroli zarządczej;
8) Urząd – należy przez to rozumieć Urząd Miasta Ustka.
2. Polityka zarządzania ryzykiem obejmuje:
1) zakres zadań i obowiązków podmiotów uczestniczących w procesie
zarządzania ryzykiem;
2) zasady i tryb identyfikacji ryzyka;
3) zasady i tryb dokonywania analizy ryzyka;
4) zasady określania właściwej reakcji na ryzyko.
3.
Polityka zarządzania ryzykiem ma zastosowanie dla wszystkich samodzielnych
stanowisk oraz do wszystkich komórek organizacyjnych Urzędu.
4. Zarządzanie ryzykiem jest procesem ciągłym i nie ogranicza się do działań określonych
w pkt. 2 ust. 1.
5. Celem zarządzania ryzykiem jest zwiększenie prawdopodobieństwa osiągnięcia
wyznaczonych celów i zadań, poprzez ograniczenie prawdopodobieństwa wystąpienia
ryzyka oraz zabezpieczanie się przed jego skutkami. Następuje to poprzez:
1) rozpoznanie – czyli identyfikowanie ryzyka, określenie rodzajów ryzyk,
które wiążą się z działalnością urzędu i dokonywanie ich pomiaru,
2)
ocenę
ryzyka
i
jego
istotności,
przy
pomocy
skali
określonej
w rozdziale IV,
3)
i
zarządzanie
skuteczności
ryzykiem,
które
podejmowanych
polega
działań,
na
badaniu
poprzez
efektywności
system
kontroli
instytucjonalnej i zewnętrznej;
4) kontrolę zarządzania ryzykiem, której istotą podjętych działań jest ocena
zastosowanych metod redukcji ryzyka, prowadząca do skutecznego i
efektywnego realizowania celów i nałożonych zadań.
6. Niezbędnymi warunkami wdrożenia polityki zarządzania ryzykiem są:
1)
określenie jasnych, spójnych i zgodnych z misją urzędu celów i zadań;
2)
ustalenie mierzalnych wskaźników realizacji wyznaczonych celów i zadań;
3)
określenie poziomu ryzyka akceptowalnego dla wyznaczonych celów i zadań;
4)
prowadzenie bieżącego monitoringu realizacji celów i zadań,
5)
prowadzenie analizy poprawności i stosowania mechanizmów kontroli zarządczej.
ROZDZIAŁ II
Zakresy zadań i obowiązków
1. Za realizację polityki zarządzania ryzykiem odpowiada Burmistrz poprzez:
1) kształtowanie i wdrażanie polityki zarządzania ryzykiem;
2) nadzór i monitorowanie skuteczności procesu zarządzania ryzykiem;
3) wyznaczanie poziomu akceptowalnego dla każdego ryzyka;
4) podejmowanie decyzji dotyczących sposobu reakcji na poszczególne ryzyka.
2. Pracownicy na samodzielnych stanowiskach oraz kierownicy komórek organizacyjnych
odpowiadają za zarządzanie ryzykiem poprzez:
1) składanie wniosków do przewodniczącego zespołu ds. kontroli zarządczej
w
sprawie
bieżąco
zaobserwowanych
zagrożeń
powodujących
ryzyko
nieosiągnięcia założonych celów czy realizacji zaplanowanych zadań,
2) wdrażanie działań zaradczych w stosunku do zidentyfikowanego ryzyka.
3. Pracownicy zespołu ds. kontroli zarządczej odpowiadają za zarządzanie ryzykiem
poprzez:
1) identyfikację ryzyk związanych z realizacją przydzielonych zadań;
2) wskazywanie właścicieli zidentyfikowanych ryzyk;
3) przeprowadzanie analizy zidentyfikowanego ryzyka;
4) proponowanie sposobu postępowania w odniesieniu do poszczególnych ryzyk;
5) wdrażanie działań zaradczych w stosunku do zidentyfikowanego ryzyka.
4. Pracownicy wymienieni w ust.2 i 3 są zobowiązani do współpracy z przewodniczącym
zespołu ds. kontroli zarządczej.
ROZDZIAŁ III
Identyfikacja ryzyka
1. Identyfikacja ryzyk prowadzona jest przez Zespół ds. kontroli zarządczej na poziomie
urzędu i na poziomie poszczególnych samodzielnych stanowisk pracy oraz komórek
organizacyjnych. Członkowie Zespołu ds. kontroli zarządczej mają obowiązek dokonania
indywidualnej, wstępnej identyfikacji i oceny ryzyk w podległych sobie komórkach
organizacyjnych urzędu. Ocena wstępna służy pogłębieniu procesu zarządzania
ryzykiem oraz usprawnieniu prac nad udokumentowaniem zarządzania ryzykiem
w danym roku. Wstępna identyfikacja i ocena ryzyk wykonana jest nie później niż do 15
września każdego kolejnego roku.
2.
Proces identyfikacji ryzyka odbywa się raz w ciągu roku kalendarzowego tj. nie
później niż w ostatnim dniu roboczym września.
3. W procesie identyfikacji ryzyka uwzględnia się czynniki sprzyjające wystąpieniu ryzyk
według obszarów wrażliwych, określonych poniżej:
1) Obsługa finansowo - księgowa.
2) Obsługa kadrowa.
3) Administracja.
4) Obsługa prawna.
5) Bezpieczeństwo personelu.
6) Realizacja zadań statutowych urzędu.
7) Zagrożenia dla środowiska naturalnego i mieszkańców.
8) Usługi zewnętrzne i ich jakość.
9) Bezpieczeństwo systemów informatycznych.
10) Ochrona mienia.
11) Zdarzenia losowe – pożar, powódź, zalanie, awarie.
4. W procesie identyfikacji ryzyka uwzględnia się czynniki je kształtujące. Ze względu na
ich źródło ryzyka dzielą się na :
1) zewnętrzne – rodzaj ryzyka determinowanego przez czynniki zewnętrzne;
2) wewnętrzne –ryzyko to obejmuje działania wewnętrzne urzędu i może być
zarządzane wewnątrz urzędu.
5.
Każde
zidentyfikowane
ryzyko
zespół
ds.
kontroli
zarządczej
ujmuje
w rejestrze, stanowiącym załącznik nr 1 do Polityki Zarządzania Ryzykiem.
6.
Dla każdego zidentyfikowanego ryzyka ustala się jego właściciela.
7.
Każdy pracownik ma prawo i obowiązek zgłaszania swojemu bezpośredniemu
przełożonemu ryzyk zidentyfikowanych podczas wykonywania przydzielonych
zadań.
ROZDZIAŁ IV
Analiza ryzyka
1. Każde ryzyko podlega analizie pod kątem jego istotności na osiąganie celów i zadań.
Istotność ryzyka jest iloczynem skali prawdopodobieństwa jego wystąpienia i wartości
oszacowanych potencjalnych skutków.
2. Każde ryzyko jest oceniane pod względem prawdopodobieństwa jego wystąpienia i
skutku oddziaływania.
3. Przy ocenie prawdopodobnych skutków wystąpienia ryzyka zespół ds. kontroli
zarządczej przyjmuje skalę punktową od 1 do 3 według poniższego opisu:
Skutek
wystąpienia
ryzyka
Opis szczegółowy
Wartość
punktowa
skutków
Mały





Znikomy wpływ na realizację celów i zadań,
Brak skutków prawnych,
Nieznaczny skutek finansowy,
Brak wpływu na bezpieczeństwo pracowników,
Brak wpływu na wizerunek urzędu
1
Średni





Średni wpływ na realizację celów i zadań,
Umiarkowane konsekwencje prawne,
Średni skutek finansowy,
Brak wpływu na bezpieczeństwo pracowników,
Średni wpływu na wizerunek urzędu
2
Duży
Brak realizacji zadania i realizacji celu
Bardzo poważne i rozległe konsekwencje prawne
Wysokie straty finansowe
Naruszenie bezpieczeństwa pracowników (ujemne
konsekwencje dla życia lub zdrowia pracowników)
 Utrata dobrego wizerunku Urzędu w środowisku
oraz w opinii publicznej




3
4. Przy ocenie prawdopodobieństwa wystąpienia ryzyka zespół ds. kontroli zarządczej
przyjmuje skalę punktową od 1 do 5 według poniższego opisu:
Prawdopodobieństwo
wystąpienia ryzyka
Wartość punktowa
prawdopodobieństwa
Opis szczegółowy
Bardzo rzadkie lub prawie
niemożliwe
Wystąpi raz na 10 lat
1
Mało prawdopodobne
Wystąpi raz na 5 lat
2
Średnio prawdopodobne
Wystąpi w przeciągu 5 lat
kilka razy
3
Bardzo prawdopodobne
Wystąpi
regularnie
przynajmniej raz w roku
4
Prawie pewne
Wystąpi
regularnie
miesiąc lub częściej
5
co
5. W celu dokonania oceny ryzyka wykorzystuje się Mapę Ryzyka, którą stanowi
macierz prawdopodobieństwo – skutek.
MAPA RYZYKA
(Ocena istotności ryzyka)
Prawd
opodo
bieńst
wo
Prawie
pewne
Bardzo
prawdop
odobne
Średnio
prawdop
odobne
Mało
prawdop
odobne
5
5
12
15
4
4
8
12
3
3
6
9
2
2
4
6
Bardzo
rzadki
e
1
1
2
1
2
3
Mały
Średni
Duży
3
Skutek
6.
Mapa ryzyka definiuje ryzyka na :
1) niskie o wartości 5 i mniejszej;
2) średnie o wartości powyżej 6 i mniejszej niż 8;
3) wysokie – o wartości 9 do 15.
7. Zespół ds. kontroli zarządczej dokonuje zliczania ryzyka według poniższego wzoru:
R=PxS
gdzie:
R – ryzyko
S – skutki,
P – prawdopodobieństwo zdarzenia
8. Dopuszczalności ryzyka, próg ryzyka nieakceptowalnego oraz propozycje działań
obniżających ryzyko do poziomu akceptowalnego określa poniższa tabela:
Oszacowanie
ryzyka
Dopuszczalność
ryzyka
Działania
 Nie
Małe
jest
konieczne
Dopuszczalne
żadnych
(akceptowalne)
monitoringiem
 Zaleca
działań
się
prowadzenie
poza
rozważenie
bieżącym
możliwości
dalszego zmniejszenia poziomu ryzyka
lub zapewnienie, że ryzyko pozostanie
na tym samym poziomie
 Zaleca się zaplanowanie i podjęcie
Średnie
Dopuszczalne
działań, których celem jest zmniejszenie
(akceptowalne)
ryzyka
 Planowana działania nie mogą być
Duże
Niedopuszczalne
( nieakceptowalne)
podjęte do czasu zmniejszenia ryzyka
do poziomu dopuszczalnego
 Działania nie mogą być podjęte ani
kontynuowane do czasu zmniejszenia
ryzyka do poziomu dopuszczalnego
ROZDZIAŁ V
Reakcja na ryzyko
1. Dla każdego istotnego zidentyfikowanego ryzyka zespół ds. kontroli zarządczej
wskazuje optymalną reakcję. Przyjmuje się niżej wymienione reakcje na ryzyko:
1) tolerowanie –będzie to miało miejsce w przypadkach, kiedy koszty skutecznego
przeciwdziałania ryzyku mogą przekraczać jego potencjalne korzyści, z zdolności
do skutecznego przeciwdziałania są ograniczone lub wykraczające poza decyzje
i działania wewnętrzne;
2) przeniesienie – dotyczyć to będzie kategorii ryzyk w odniesieniu do których
nastąpi
przeniesienie
ich
na
inna
instytucję,
między
innymi
poprzez
ubezpieczenie lub zlecenie usług na zewnątrz;
3) wycofanie się – dotyczyć to będzie grupy ryzyk dla których mimo podejmowanych
działań nie udało się zmniejszyć ich istotności do akceptowanego poziomu;
4) przeciwdziałanie – dotyczyć to będzie kategorii ryzyk, które wymagać będą
podjęcia zdecydowanych, przemyślanych i zaplanowanych działań prowadzących
do ich likwidacji, lub znacznego ograniczenia.
2. Dla każdego istotnego zidentyfikowanego ryzyka zespół ds. kontroli zarządczej
określa zwłokę w reakcji na ryzyko. Przyjmuje się niżej wymienione kategorie zwłoki w
reakcji na ryzyko:
Opis zwłoki w reakcji na ryzyko
Ryzyko wymaga natychmiastowej reakcji, należy
bezzwłocznie zaplanować i wdrożyć działania
zapobiegawcze lub obniżające ryzyko do poziomu
akceptowalnego
Ryzyko wymaga reakcji w przeciągu najbliższych 12
miesięcy od dnia zidentyfikowania i oszacowania
ryzyka
Kategorie zwłoki
A
B
Ryzyko nie wymaga natychmiastowej reakcji, reakcja
polega na bieżącym monitoringu poziomu ryzyka
C
ROZDZIAŁ VI
Monitorowanie ryzyka
1. Dla każdego istotnego zidentyfikowanego ryzyka koordynator kontroli zarządczej
niezwłocznie po zakończeniu prac zespołu ds. kontroli zarządczej przekazuje
właścicielowi ryzyka numerowaną kartę reakcji na ryzyko, której wzór stanowi
załącznik nr 2 do polityki zarządzania ryzykiem. Przekazanie karty właścicielowi
ryzyka jest równoznaczne z poleceniem wdrożenia działań obniżających ryzyko do
poziomu akceptowalnego.
2. Koordynator kontroli zarządczej po wydaniu kart umieszcza ich spis w Rejestrze
wydanych kart reakcji na ryzyko, którego wzór stanowi załącznik nr 3.
3. Właściciele ryzyka w ramach oceny stanu kontroli zarządczej raportują poziom
realizacji działań obniżających ryzyko do poziomu akceptowalnego z wykorzystaniem
druku sprawozdania z reakcji na ryzyko, którego wzór stanowi załącznik nr 4 do
polityki zarządzania ryzykiem. Sprawozdanie składane jest do koordynatora kontroli
zarządczej najpóźniej do 30 września każdego kolejnego roku.
4. Sprawozdania z reakcji na ryzyko poddane jest przeglądowi przy okazji kolejnej
identyfikacji i analizy ryzyka przez zespół ds. kontroli zarządczej w ramach oceny
stanu kontroli zarządczej.
ROZDZIAŁ VII
Postanowienia końcowe.
Polityka zarządzania ryzykiem obwiązuje od 7 listopada 2014 roku .
Jan Olech
………………………
( Burmistrz )
Załącznik do Polityki Zarządzania Ryzykiem:
1. Rejestr ryzyk – wzór dokumentu – załącznik 1.
2. Karta reakcji na ryzyko – wzór dokumentu – załącznik 2.
3. Rejestr wydanych kart reakcji na ryzyko – wzór dokumentu – załącznik 3.
4. Sprawozdanie z reakcji na ryzyko – wzór dokumentu – załącznik 4.