procedury zarządzania ryzykiem

Załącznik nr 2
do Zarządzenia Dyrektora
Miejskiego Ośrodku Pomocy Społecznej
w Mysłowicach
nr 43/13 z dnia 31.12.2013r.
Procedury zarządzania ryzykiem
w Miejskim Ośrodku Pomocy Społecznej w Mysłowicach
§1
1. Wszyscy kierownicy komórek organizacyjnych MOPS w Mysłowicach, a także
pracownicy zatrudnieni na samodzielnych stanowiskach wykonują czynności związane
z zarządzaniem ryzykiem i zobowiązani są do stosowana niniejszej procedury.
2. Kierownik jednostki może powołać Zespół ds. koordynacji działań związanych
z procesem zarządzania ryzykiem oraz wskazać osobę bezpośrednio nadzorującą prace
tego Zespołu.
§2
System zarządzania ryzykiem w MOPS Mysłowice opiera się na sformułowanych
w oparciu o obowiązujący porządek prawny celach i zadaniach pomocy społecznej oraz
monitorowaniu ich realizacji, w tym reagowaniu na ustalone odstępstwa od stanów
pożądanych.
Podstawowym celem MOPS jest realizacja zadań własnych i zleconych z zakresu
pomocy społecznej, które zostały określone w Statucie.
Zarządzanie ryzykiem to proces ograniczania ryzyka poprzez jego identyfikację, ocenę
potencjalnego wpływu i prawdopodobieństwa wystąpienia oraz racjonalny dobór środków
przeciwdziałających skutkom ryzyka; to proces mający na celu optymalizację funkcjonowania
jednostki, służący zwiększeniu prawdopodobieństwa osiągnięcia celów i realizacji
wyznaczonych zadań.
§3
Przykładowe czynniki związane z powstaniem ryzyka
1. Czynniki zewnętrzne związane z :
1) infrastrukturą tj.: zakłócenia w dostawach energii, przerwy w łączności telefonicznej,
przerwy w dostępie do Internetu i poczty elektronicznej;
2) zewnętrznymi warunkami ekonomicznymi tj.: zmiany stóp procentowych, kursów
walut, inflacji, długu publicznego;
3) środowiskiem naturalnym tj.: zanieczyszczenie środowiska, katastrofa ekologiczna,
protesty społeczne;
4) „siłą wyższą” tj.: pożar, powódź, huragan;
5) innymi zagrożeniami i naciskami zewnętrznymi tj.: działania przestępcze, terroryzm,
presja polityczna, społeczna.
1
2. Czynniki wewnętrzne wynikające z charakteru prowadzonej działalności związane z:
1) działalnością podstawową jednostki np.: stopień skomplikowania działalności,
niewystarczające kompetencje pracowników, niedawne zmiany kluczowych
pracowników, brak motywacji u pracowników;
2) przetwarzaniem informacji np.: nieadekwatność informacji, na podstawie których
podejmuje się decyzje, utrata informacji, naruszenie poufności informacji;
3) stabilnością działalności jednostki lub zatrudnienia np.: ograniczenie lub znaczny
wzrost zadań jednostki, zmiany procesów operacyjnych, decentralizacja działalności;
4) technologią np.: zakłócenia w działalności systemów informatycznych, powstanie
nowych technologii, wdrażanie nowych technologii;
5) projektami prowadzonymi przez jednostkę np.: niewłaściwe planowanie projektu,
wzrost kosztów realizacji projektu, opóźnienia w realizacji projektu, brak środków na
realizację projektu, niepowodzenie projektu;
6) nowymi zadaniami i programami np.: brak odpowiednich zasobów (środków
finansowych, pracowników, wyposażenia, informacji), krótki termin realizacji,
konieczność współpracy z innymi podmiotami;
7) innowacyjnością np.: opór pracowników, brak skłonności do zmian, wdrażanie
niesprawdzonych rozwiązań;
8) reputacją jednostki np.: spadek reputacji na skutek niewłaściwego działania lub
zaniedbań pracowników, niewłaściwej realizacji zadań przez jednostkę.
3. Czynniki ryzyka o charakterze finansowym związane z:
1) wielkością środków finansowych jednostki np.: zmiany wysokości dochodów,
przychodów, środków z Unii Europejskiej, wydatków, rozchodów;
2) płynnością finansową;
3) inwestycjami np.: niewłaściwe decyzje inwestycyjne, wzrost kosztów inwestycji, brak
źródeł finansowania, opóźnienia w realizacji;
4) nieproduktywną stratą środków np.: oszustwo, kradzież, kary umowne, odsetki od
nieterminowo regulowanych zobowiązań, grzywny;
5) sprawozdawczością finansową np.: niedawne zmiany w systemie księgowania, częste
zmiany pracowników odpowiedzialnych za sprawozdania.
4. Czynniki ryzyka związanego z zarządzaniem:
1) jakość zespołu zarządzającego np.: niewystarczające kwalifikacje kierownictwa,
częste zmiany na stanowiskach kierowniczych, zbyt mała liczba osób na stanowiskach
kierowniczych;
2) organizacja jednostki np.: nieadekwatna struktura organizacyjna, brak zakresów
obowiązków kierownictwa i pracowników, nieefektywny system przepływu
informacji, znaczne zmiany w zakresie odpowiedzialności kierownictwa;
3) zarządzanie zasobami ludzkimi np.: niesprawiedliwa praktyka wynagradzania, niskie
wynagrodzenia, brak działań motywujących pracowników, nie zapewnienie
odpowiednich szkoleń, niewystarczające możliwości rozwoju zawodowego
pracowników, nieefektywna rekrutacja,
5. Czynniki ryzyka dotyczące systemów informatycznych, w szczególności związane z:
1) utrzymaniem ciągłości pracy systemów informatycznych np.: zatrzymanie pracy
systemów informatycznych, brak przepływu informacji o błędach w systemach
informatycznych;
2) dostępem do zasobów informatycznych jednostki np.: wypływ danych z systemów,
włamania do systemów;
3) wykorzystywaniem infrastruktury informatycznej np.: awaria sprzętu, niedopasowanie
systemów do bazy sprzętowej, wykorzystywanie nielegalnego oprogramowania;
2
4) rozwojem i wdrożeniem nowych systemów informatycznych np.: nieuprawnione
wdrożenie zmian w oprogramowaniu i bazach danych.
6. Inne czynniki mogące zwiększyć ryzyko:
1) niepowodzenia w osiągnięciu celów w przeszłości np.: niezrealizowanie projektu lub
programu, przekroczenie planowanych wydatków, naruszenie lub obejście procedur
kontrolnych, naruszenie prawa lub regulacji wewnętrznych;
2) czynniki ryzyka wrodzonego (wewnętrznego) np.: charakter działalności, wielkość
jednostki, liczba pracowników, wielkość majątku trwałego, liczba operacji, wielkość
budżetu.
§4
Zarządzanie ryzykiem obejmuje następujące etapy:
1) identyfikacja ryzyka: przypisanie poszczególnych rodzajów ryzyka do realizowanych
celów i zadań;
identyfikacja ryzyka w celu przeprowadzenia całego procesu zarządzania ryzykiem
dokonywana jest nie rzadziej niż raz w roku – w terminie określonym w niniejszej
procedurze. W przypadku istotnej zmiany warunków funkcjonowania jednostki –
termin ponownej identyfikacji ryzyka wyznacza każdorazowo Dyrektor MOPS.
2) analiza ryzyka (ocena zagrożeń):
przypisanie dla każdego zidentyfikowanego ryzyka prawdopodobieństwa jego
wystąpienia i dokonanie oceny jego wpływu na działanie jednostki tj.: realizację jej
celów i zadań, określenie poziomu istotności, akceptowanego poziomu ryzyka.
3) reakcja na ryzyko:
określenie rodzaju reakcji na dane ryzyko oraz podjęcie zasadnych, adekwatnych,
efektywnych i skutecznych działań (decyzji) zmierzających do ograniczenia lub
wyeliminowania ryzyka, w tym poprzez zastosowanie odpowiednich mechanizmów
kontrolnych.
§5
Zadania kierowników komórek organizacyjnych w procesie zarządzania ryzykiem:
1) określenie (w co najmniej rocznej perspektywie) głównych celów/ zadań, za które
ponoszą odpowiedzialność;
2) zidentyfikowanie ryzyk jakie mogą zagrozić osiągnięciu poszczególnych celów/ zadań;
przy identyfikowaniu ryzyk należy kierować się katalogiem ryzyk podstawowych
stanowiących załącznik nr 4 do niniejszej Procedury,
3) analiza zidentyfikowanych ryzyk w celu określenia prawdopodobieństwa i możliwych
wpływów (oddziaływań, skutków) ich wystąpienia - obliczenie istotności ryzyka
i przedstawienie tego etapu procesu w Matrycy punktowej analizy ryzyka, zgodnie ze
wzorem zamieszczonym w załączniku nr 2 do niniejszej procedury;
4) określenie: skutków ryzyka, mechanizmów kontrolnych, osób odpowiedzialnych za
ryzyko/ zadanie, wyznaczenie akceptowanego poziomu i reakcji na ryzyko;
5) udokumentowanie w/w procesu w Kwestionariuszu zarządzania ryzykiem - do 20
stycznia każdego roku, zgodnie ze wzorem zamieszczonym w załączniku nr l do
niniejszej procedury;
6) zgłaszanie kierownikom innych komórek organizacyjnych, kierownikowi jednostki
lub osobie nadzorującej Zespół ds. zarządzania ryzykiem postrzeganych zagrożeń nie
związanych bezpośrednio z wykonywaną pracą, a dotyczących działalności MOPS.
3
Zadania Zespołu ds. zarządzania ryzykiem:
l) weryfikacja w ciągu siedmiu dni roboczych - otrzymanych od kierowników komórek
organizacyjnych ,,Kwestionariuszy zarządzania ryzykiem" wraz z ,,Matrycami
punktowej analizy ryzyka", celem zgłoszenia ewentualnych poprawek i uwag przed
przekazaniem ich do ostatecznych decyzji i akceptacji dyrektora MOPS;
2) sporządzenie w ciągu siedmiu dni roboczych po ostatecznej akceptacji przez dyrektora
MOPS Kwestionariuszy zarządzania ryzykiem - Rejestru ryzyk dla MOPS wg
hierarchii ich ważności/ istotności w poszczególnych obszarach działalności MOPS,
zgodnie ze wzorem zamieszczonym w załączniku nr 3 do niniejszej procedury.
§6
Rejestr zidentyfikowanych ryzyk dla MOPS wraz z dokumentacją będącą podstawą jego
sporządzenia będzie przechowywany u zastępcy dyrektora ds. administracyjnych.
4