Zestaw narzędzi do analizy ryzyka w urzędach
Transkrypt
Zestaw narzędzi do analizy ryzyka w urzędach
ZESTAW NARZĘDZI DO ANALIZY RYZYKA W URZĘDACH XXIII PROMOCJA KRAJOWA SZKOŁA ADMINISTRACJI PUBLICZNEJ Spis treści IDENTYFIKACJA RYZYKA ................................................................................. 2 ANALIZA RYZYKA ...........................................................................................12 PUNKTOWA OCENA RYZYKA .........................................................................15 REJESTR RYZYKA............................................................................................18 ZARZĄDZANIE RYZYKIEM...............................................................................20 1 IDENTYFIKACJA RYZYKA Zgodnie ze standardami kontroli zarządczej identyfikacja ryzyk powinna być dokonywana w odniesieniu do zadań określonych w planie działalności urzędu, mając przy tym zawsze na uwadze cele, jakie mają być osiągnięte dzięki realizacji tych zadań. OPIS RYZYKA Do sporządzania opisu ryzyka może służyć trójelementowa metoda R-P-S: ryzyko (R), jego przyczyna (P), skutek (S). Na przykład, jeśli określimy cel jako dojechanie pociągiem na spotkanie o określonej godzinie, to opis ryzyka może wyglądać następująco: (R) ryzyko pociąg nie odjedzie, (P) z powodu złej pogody, (S) co będzie skutkować nieprzybyciem na spotkanie. Opisując ryzyko należy uważać, aby unikać stwierdzenia oddziaływania ryzyka, które może wydawać się samym ryzykiem, a także by unikać stwierdzenia ryzyka, które nie ma wpływu na cele; podobnie należy uważać, by unikać określania ryzyka sformułowaniami, które są po prostu odwrotnością celów. Przykład właściwego opisu ryzyka oraz najczęstsze błędy opisane są w poniższym przykładzie. Cel – dojechać pociągiem z A do B na spotkanie o określonej godzinie Nie dojechanie z A do B na spotkanie o określonej godzinie Spóźnienie się i opuszczenie spotkania W pociągu nie ma bufetu, więc zgłodnieję Jest to po prostu odwrotność celu Jest to stwierdzenie wpływu ryzyka, a nie samego ryzyka Nie ma to wpływu na osiągnięcie celu J Jest to ryzyko, które można kontrolować Jeśli nie zdążę na pociąg, to spóźnię się i nie upewniając się, że przeznaczę dużo czasu na zdążę na spotkanie dotarcie do stacji Jest to ryzyko, którego nie mogę Zła pogoda uniemożliwi odjazd pociągu, kontrolować, ale mogę stworzyć plan a mi dotarcie na spotkanie awaryjny Źródło: Ministerstwo Skarbu Jej Królewskiej Mości, Pomarańczowa księga. Zarządzanie ryzykiem – zasady i koncepcje, październik 2004, s. 15. 2 METODY IDENTYFIKACJI RYZYKA Nie ma pojedynczej „właściwej” metody identyfikacji ryzyka. Każda urząd może opracować własną metodę, biorąc pod uwagę swoje doświadczenie, wielkość i charakter, a przede wszystkim zadania opisane w planie działalności. Poniżej zaproponowano metody najczęściej wykorzystywane. Można je stosować zarówno pojedynczo, jak i łącząc poszczególne sposoby. KWESTIONARIUSZ 1. Możliwość otrzymania opinii od dużej liczby pracowników 2. Wyliczenie poszczególnych ryzyk pozwala mieć pewność, że najbardziej interesujące nas ryzyka znajdują się na liście i będą wzięte pod uwagę 1. Kwestionariusz nie rozwija kreatywnego myślenia na temat ryzyk (dysponujemy tylko zamkniętym katalogiem, a rzeczywistość się zmienia) 2. Możliwa zła interpretacja zaproponowanych ryzyk przez pracowników 3. Możliwy niewielki poziom zwrotu wypełnionych ankiet lub pospieszne i nierzetelne wypełnianie ankiet, co zakłóca obraz rzeczywistości Kwestionariusz identyfikacji ryzyka jest to wstępnie uzgodniona lista pytań umożliwiających zidentyfikowanie obszarów ryzyka. Powinien on być przesłany do jak największej liczby osób, które mogą pomóc nam w identyfikacji ryzyka dla określonego zadania. Poniżej znajduje się propozycja zagadnień, które mogą stać się inspiracją dla identyfikacji ryzyka. Należy pamiętać, że katalog ten nie jest zamknięty, może więc zostać zarówno poszerzony, jak i skrócony w zależności od specyfiki urzędu, a także zadania, dla którego ryzyka mają być identyfikowane. 3 Zadanie Obszary potencjalnego ryzyka Występowanie ryzyka T/N Wewnętrzne Kwestie organizacyjne Opis ryzyka - przygotowanie i planowanie - jakość tworzonych produktów i usług - terminowość w realizacji zadań - monitorowanie postępów w realizacji zadań - efektywność procedur - efektywność struktur - sposób zdefiniowania ról i zadań komórek organizacyjnych - adekwatność czasu do zadania Kwestie finansowe - dostosowanie budżetu do powierzonych zadań - płynność finansowa - terminowość płatności - liczba operacji wykonywanych na bardzo dużych kwotach - jakość procesu zarządzania budżetem Zasoby ludzkie - adekwatność etatów/pracowników do wyznaczonego zadania - posiadanie niezbędnej wiedzy/umiejętności/doświadczenia dla realizacji zadania - adekwatność sposobu prowadzenia polityki rekrutacyjnej do potrzeb - stopień rotacji pracowników - obsadzenie kluczowych stanowisk - jakość kwalifikacji osób na kluczowych stanowiskach - przewidywana nieobecność pracowników - stopień motywacji i morale pracowników - relacje między pracownikami - staranności pracowników - program szkoleń - zachowywanie przez pracowników zasad, procedur 4 Sprzęt i informacja - posiadanie podstawowych narzędzi pracy dla realizacji zadania - dostosowanie sprzętu/warunków pracy do przepisów BHP - posiadanie odpowiedniego oprogramowania - awaryjność sprzętu komputerowego - czas oczekiwania na naprawę sprzętu - obieg informacji w urzędzie - komunikacja między pracownikami - baza informacji - bezpieczeństwo informacji - aktualność informacji Zewnętrzne Kwestie polityczne - wpływ cyklu politycznego (kampania wyborcza, zmiana ekipy rządzącej itp.) - sposób prowadzenia polityki przez obecny rząd - ważne decyzje polityczne - reakcja opozycyjnych sił politycznych na prowadzone działania Kwestie prawne - wpływ istniejących regulacji na podejmowanie działań - wpływ zapowiadanych zmian w przepisach - liczba pozwów lub spraw sądowych - jakość podpisywanych umów Interesariusze (w tym obywatele) - zły wizerunek urzędu - sprzeciw/protesty obywateli wobec zamierzonych działań - jakość i rodzaj wsparcia interesariuszy w podejmowanych działaniach - wysoki stopień uzależnienia od organizacji zewnętrznych Identyfikacja ryzyka powinna być dokonywana zawsze w odniesieniu do zadań opisanych w planie działalności urzędu, dlatego w nagłówku kwestionariusza wpisujemy nazwę zadania, dla którego chcemy zidentyfikować ryzyka. W kolumnie po lewej stronie wymienione są obszary potencjalnego ryzyka podzielone na kategorie, które mają stanowić 5 pomoc dla osoby wypełniającej kwestionariusz. Jeśli ankietowany uzna, że wykonanie zadania może być realnie zagrożone w związku z określonym zagadnieniem, powinien opisać to ryzyko w kolumnie po prawej stronie. Sposób opisu ryzyka został przedstawiony już wcześniej. Przesyłając kwestionariusz ankietowanym należy do niego dołączyć instrukcję wypełnienia oraz instrukcję sposobu opisu ryzyka. Należy także wskazać, że ankietowany ma prawo dopisywać własne propozycje zagadnień problemowych. W tym celu należy pozostawić wolne pola pod każdą z kategorii. Umożliwienie składania deklaracji podatkowych drogą elektroniczną poprzez udostępnienie przez Ministerstwo Finansów odpowiednich usług informatycznych Obszary potencjalnego ryzyka Adekwatność etatów/pracowników do wyznaczonego zadania Obsadzenie kluczowych stanowisk Przewidywana nieobecność pracowników (…) Występowanie ryzyka Opis ryzyka T/N Wewnętrzne Zasoby ludzkie T Obecnie w Wydziale X nie są obsadzone dwa etaty, w których opisie stanowisk znajduje się obowiązek zajmowania się zagadnieniem wskazanym w zadaniu. Kwestią tą zajmować się będzie tylko jeden pracownik. Istnieje zatem ryzyko przedłużania się okresu prac nad projektem, a w konsekwencji nie wykonania zadania w terminie T Obecnie w Departamencie Y brakuje zastępcy dyrektora, który nadzoruje wydziały odpowiedzialne za realizację zadania. Pan Z pełni jedynie obowiązki zastępcy dyrektora. Zmiana na tym stanowisku może oznaczać pojawienie się nowej koncepcji realizacji zadania, co skutkować będzie brakiem terminowości w realizacji zadania. N 6 BURZA MÓZGÓW 1. Możliwość uzyskania wielu nowych pomysłów 1. Możliwość zdominowania rozmowy przez silną osobowość 2. Pobudzenie do kreatywnego myślenia 2. Istnieje lęk przed cudzą oceną własnych pomysłów 3. Dosyć szybkie zgromadzenie informacji 4. Możliwość interakcji między uczestnikami Aby „burza mózgów” była skuteczna: Należy rozważyć, kogo zaprosić na taką sesję. Powinniśmy wziąć pod uwagę liczbę osób ich wiedzę, doświadczenie, miejsce w strukturze urzędu; Przygotowując się do sesji, uczestnicy powinni mieć możliwość rozważenia oddziaływania ryzyka na działalność urzędu lub usługi świadczone przez jednostkę. Należy sporządzić szablon identyfikacji ryzyka i przekazać go każdemu uczestnikowi przed sesją; Na wykonanie zadania należy wyznaczyć czas niezbędny do omówienia ryzyka, jego przyczyn i skutków; Należy zapewnić środki zachęcające do rozpoczęcia i kontrolowania dyskusji, pobudzania do dyskusji, utrzymania sesji w wyznaczonych ramach godzinowych i zarejestrowania wyników sesji; Każdy uczestnik sesji może zadawać pytania/określać ryzyko bez obawy o jakiekolwiek reperkusje. Sesje powinny być otwartym forum, na którym pracownicy mogą bezpiecznie dyskutować o zidentyfikowanym ryzyku; Wyniki sesji należy zapisać i przekazać do weryfikacji i rozpatrzenia uczestnikom sesji, co umożliwi wyjaśnienie lub poszerzenie opisów ryzyka. Poniższa propozycja szablonu identyfikacji ryzyka ma pomóc w systematyzacji wiedzy podczas sesji burzy mózgów. Kategorie ryzyka są tu spójne z kategoriami zawartymi w kwestionariuszu, co pozwala w przypadku zastosowania obu narzędzi, na zestawianie 7 informacji. Charakterystyka kategorii pozwala na doprecyzowanie, o jakim rodzaju ryzyka mówimy w danej kategorii. Podczas sesji burzy mózgów można procedować w dwojaki sposób. Po pierwsze zastanawiając się najpierw nad ryzykami istniejącymi w urzędzie/komórce organizacyjnej, a następnie rozważając, jaki wpływ mają one na realizowane zadania. Drugim sposobem jest rozważanie istnienia ryzyk dla kolejnych zadań wpisanych w planie działalności urzędu (zadania te można wypisać w ostatniej kolumnie). Szablon identyfikacji ryzyka Kategoria ryzyka Charakterystyka kategorii Opis ryzyka Zadania, z którymi wiąże się ryzyko Wewnętrzne Kwestie organizacyjne Kwestie finansowe Zasoby ludzkie Sprzęt i informacja Procedury, struktura urzędu, jakość usług i produktów tworzonych przez urząd, planowanie, organizacja pracy Operacje finansowe, budżet, procedury finansowe Kwestie zatrudnienia, jakość kadry, szkolenia, kwestie pracownicze Narzędzia niezbędne do wykonywania zadań, jakość i dostęp do informacji, komunikacja Zewnętrzne Kwestie polityczne Cykle polityczne, decyzje polityczne, sposób prowadzenia polityki przez rząd i opozycję Kwestie prawne Wpływ obecnych i przyszłych przepisów prawa, sprawy sądowe, jakość umów Interesariusze (w tym Wizerunek urzędu, obywatele) współpraca z interesariuszami, protesty 8 DOŚWIADCZENIA I PROGNOZY NA PRZYSZŁOŚĆ 1. Operowanie na dokumentach, które dają mocną podstawę do identyfikacji ryzyka 2. Możliwość zestawiania danych z różnych lat 1. Czasochłonność 2. Często potrzeba wiedzy i doświadczenia z danej dziedziny Informacje niezbędne do identyfikacji ryzyka można również zaczerpnąć z różnego rodzaju dokumentów istniejących w urzędzie. Ich uważna analiza pozwala nie tylko na wyodrębnienie faktycznie występujących zdarzeń, ale również tych, które potencjalnie mogą się wydarzyć. Poniżej przedstawiono przykłady dostępnych informacji, które mogą wskazywać obszary ryzyka1. Skargi: czy pewne piony urzędu otrzymują ilość zażaleń wyższą niż akceptowalny poziom? Czy zażalenia te są skutecznie rozpatrywane? Raporty z audytu i kontroli: czy dokumenty te dotyczą istotnych pionów/obszarów? Czy są skutecznie wykorzystywane? Szkody ubezpieczeniowe: czy z obecnych tendencji wynika, iż napotykamy na szczególne problemy? Czy posiadamy odpowiednią polisę? Czy pojawiły się nowe rodzaje ryzyka, na które nie jesteśmy przygotowani? Czy nasz zakres ubezpieczenia jest zbyt szeroki? Czy pozytywnie rozpatrujemy zbyt wiele szkód bez przeprowadzenia koniecznego dochodzenia? Czy nasze koszty ubezpieczenia wzrosły, a jeśli tak, to dlaczego? Dzienniki wypadków: czy występują tendencje sugerujące określone problemy? Czy skutecznie reagujemy na zgłaszane wypadki? Ankiety zadowolenia: czego urząd się z nich dowiaduje? Jakie podjęliśmy działania? Czy są one skuteczne? 1 Ministerstwo Finansów, Zarządzanie ryzykiem w sektorze publicznym, s. 24-26. 9 Prognozy budżetowe i finansowe: czy urząd ma problemy z planowaniem zrównoważonego budżetu? Czy niedostateczny budżet ma wpływ na świadczone usługi? Czy budżety są solidne? Czy występują obszary, w których regularnie wydaje się za dużo lub za mało? Opóźnienia projektowe/programowe: czy uczestniczymy w wielu pracach projektowych? Czy napotykamy na problemy z zarządzaniem projektami – czasowe, budżetowe, z zasobami, wykonawcami i partnerami? Jakie działania podejmuje urząd w odpowiedzi na te problemy? Czy działania te są skuteczne? Ryzyko zgłaszane przez podobne instytucje, do celów porównawczych: Czy jesteśmy narażeni na podobne rodzaje ryzyk? Zmiany populacji: Czy urząd może sprostać występującym zmianom – czy będzie świadczyć właściwe usługi lub utrzyma odpowiedni poziom usług? Doniesienia medialne: czy urząd ma złą prasę? Dlaczego, i jakie działania urząd podjął w tym celu? Czy urząd może utrzymać dobry wizerunek? TABELA IDENTYFIKACJI RYZYKA Zebrane dane na temat ryzyka należy zestawić tak, aby możliwe było dalsze przetwarzanie tych informacji. Może do tego służyć zbiorcza tabela identyfikacji ryzyka. Każde ryzyko musi mieć swojego indywidulanie określonego właściciela, który jest odpowiedzialny za zapewnienie, że ryzyko jest zarządzane i monitorowane. Każdemu ryzyku należy w tym celu nadać symbol w następujący sposób: symbol komórki organizacyjnej i kolejny numer ryzyka np. DA1, DA2 (ramowe zasady kontroli zarządczej s.9). W procesie identyfikacji ryzyka należy uwzględnić, że do każdego zadania zaleca się identyfikowania co najwyżej pięciu ryzyk. Ograniczenie to ma zapobiegać nadmiernemu uszczegóławianiu planów, które powinny cechować się przejrzystością. W przypadku zidentyfikowania większej liczby ryzyk należy się zastanowić, czy można sformułować ryzyka w sposób bardziej ogólny lub też w planie umieścić tylko te najwyżej oceniane. W szczególnych przypadkach w planie pracy można jednak opisać więcej niż pięć ryzyk (Ramowe zasady kontroli zarządczej s.9). 10 Zadanie Zbiorcza tabela identyfikacji ryzyka (wraz z przykładem) Kategoria Opis ryzyka(max. 5) ryzyka Zasoby ludzkie Umożliwienie składania deklaracji podatkowych drogą elektroniczną poprzez udostępnienie przez Ministerstwo Finansów odpowiednich usług informatycznych Sprzęt i informacja Obecnie w Wydziale X nie są obsadzone dwa etaty, w których opisie stanowisk znajduje się obowiązek zajmowania się zagadnieniem wskazanym w zadaniu. Kwestią tą zajmować się będzie tylko jeden pracownik. Istnieje zatem ryzyko przedłużania się okresu prac nad projektem, a w konsekwencji nie wykonania zadania w terminie Obecnie w Departamencie Y brakuje zastępcy dyrektora, który nadzoruje wydziały odpowiedzialne za realizację zadania. Pan Z pełni jedynie obowiązki zastępcy dyrektora. Zmiana na tym stanowisku może oznaczać pojawienie się nowej koncepcji realizacji zadania, co skutkować będzie brakiem terminowości w realizacji zadania. Program komputerowy potrzebny do realizacji zadania ulega częstym awariom. Kilkukrotnie doprowadziło to do utraty wprowadzanych danych. Powtarzanie się awarii spowoduje nie możność kontynuowania pracy a w konsekwencji nie zrealizowanie zadania. Sygnatura DY1 DY2 DZ1 11 ANALIZA RYZYKA Kolejnym etapem po identyfikacji ryzyka jest poddanie go szczegółowej analizie, tak, aby możliwe stało się zrozumienie jego istoty, a następnie dokonanie we właściwy sposób jego oceny. Należy bardzo dokładnie znać jednostkę, rozumieć jej otoczenie, cele oraz zadania, aby: 1. 2. 3. 4. określić przyczyny i skutki zidentyfikowanego ryzyka; dokonać analizy pod kątem identyfikacji ryzyka krzyżowego; oddzielić ryzyko istotne od niewielkiego; ocenić rodzaj i kategorię ryzyka. PRZYCZYNY I SKUTKI ZIDENTYFIKOWANEGO RYZYKA Wybranie odpowiedniej metody zarządzania ryzykiem wymaga rzetelnego podejścia do określenia jego przyczyn oraz skutków. W opisie ryzyka dokonanym na etapie identyfikacji każdemu z zagrożeń została przyporządkowana przyczyna oraz skutek. Jednak pogłębiona analiza ryzyka wymaga wypunktowania wszystkich oddziaływań. Zaniechanie tego kroku uniemożliwi dalsze prawidłowe przeprowadzenie procesu, a w szczególności może negatywnie wpłynąć na dokonanie punktowej oceny ryzyka, dlatego analizując skutki ryzyka należy zwrócić szczególną uwagę na następujące kwestie: Wpływ na przestrzeganie prawa przez urząd; Wpływ na zdrowie/życie pracowników; Straty finansowe; Wpływ na wizerunek urzędu; Wpływ na standard świadczenia usług. ANALIZA POD KĄTEM IDENTYFIKACJI RYZYKA KRZYŻOWEGO Nietrudno sobie wyobrazić, że pewne ryzyka mogą mieć wpływ na różne działania podejmowane przez urząd lub powtarzać się w jej poszczególnych jednostkach. Np.: Brak planu przywrócenia działalności w razie nieprzewidzianego poważnego zdarzenia – kierownicy poszczególnych szczebli mogą podjąć we własnym zakresie kroki służące 12 stworzeniu takiego planu dla własnej jednostki. Jednak w tym przypadku nie chodzi o indywidualne działania, wymagane jest wdrożenie tego rodzaju planu dla całego urzędu. W związku z tym bardzo ważne jest, aby na etapie analizy ryzyka zidentyfikować takie niebezpieczeństwo i przygotować kompleksowy plan działania, który uwzględni zagrożenie w różnych aspektach działalności urzędu. RYZYKO NIEWIELKIE A RYZYKO ISTOTNE Odróżnianie ryzyka niewielkiego od istotnego jest dokonywane przede wszystkim poprzez Punktową ocenę poziomu ryzyka, która stanowi kolejny etap procesu zarządzania ryzykiem. Jednak prowadząc szczegółową analizę ryzyka warto zebrać już na tym etapie odpowiednie informacje dotyczące zidentyfikowanego ryzyka, które ułatwią dalsze kroki. W tym celu można posłużyć się tabelą. Ryzyko Przyczyna i skutek ryzyka Przyczyny ryzyka: -… -… -… Skutki ryzyka: -… -… -… Funkcjonujące mechanizmy kontrolne ryzyka Wewnętrzne mechanizmy kontrolne stanowią część kultury urzędu, ułatwiając szybką reakcję na ryzyko zagrażające realizacji celów. Opierając się na standardach kontroli zarządczej można wyodrębnić następujące mechanizmy kontrolne: dokumentacja systemu kontroli zarządczej (np. procedury wewnętrzne, instrukcje, wytyczne, dokumenty określające zakres obowiązków); nadzór; ciągłość działalności (np. plan działania w sytuacjach nadzwyczajnych i kryzysowych, plany urlopów pracowników, system szkoleń, przekazywanie wiedzy między Relacja pomiędzy oddziaływaniem, prawdopodobieństwem oraz mechanizmami kontrolnymi Chociaż dokładne określenie oddziaływania ryzyka, czyli możliwych skutków, oraz prawdopodobieństwa jego wystąpienia jest dokonywane dopiero w kolejnym etapie, to jednak już teraz możliwe staje się określenie wpływu mechanizmów kontrolnych. 1. Czy mechanizmy kontroli rzeczywiście istnieją? 2. Czy mechanizmy kontroli są adekwatne, skuteczne i efektywne? 3. Czy zmniejszają prawdopodobieństwo wystąpienia ryzyka? 4. Czy mogą przyczynić się do złagodzenia skutków w przypadku wystąpienia ryzyka? 13 pracownikami); ochrona zasobów (np. ochrona fizyczna jednostki i jej pracowników, ochrona zasobów materialnych, ochrona środków finansowych, ochrona informacji); operacje finansowe i gospodarcze (np. dokumentacja operacji finansowych i gospodarczych, podział kluczowych obowiązków, autoryzacja i weryfikacja operacji); systemy informatyczne (np. system przydzielania i ograniczania dostępu, podział obowiązków, mechanizmy samokontroli systemu). Istniejące mechanizmy kontrolne wpływają na ocenę poziomu ryzyka, czyniąc je mniej istotnym. Brak takich mechanizmów zwiększa poziom ryzyka. Jednak nie zawsze mechanizmy kontroli muszą być sformalizowane. Brak procedur ≠ brak mechanizmów Nie bez znaczenia w tym kontekście jest również określenie poziomu ryzyka, które urząd może ponieść tzw. apetytu na ryzyko. Im niższy poziom akceptacji danego ryzyka, tym wyższy priorytet powinien zostać nadany postępowaniu wobec niego. Z drugiej strony uznanie ryzyka za dopuszczalne ze względu na koszty jego ograniczania bądź postrzeganie ryzyka jako nadchodzącej szansy może skutkować przekonaniem o konieczności ograniczenia wewnętrznych mechanizmów kontrolnych. RODZAJE I KATEGORIE RYZYKA Ryzyko może mieć charakter strategiczny lub operacyjny. Ryzyko strategiczne wpływa na podstawy funkcjonowania urzędu. Zarządzanie nim jest przede wszystkim zadaniem kierownika jednostki we współdziałaniu z innymi pracownikami na kluczowych stanowiskach. Przykładowe kategorie ryzyka strategicznego: ekonomiczne, legislacyjne, polityczne, społeczne, środowiskowe, technologiczne. Ryzyko operacyjne jest natomiast elementem codziennej pracy całego personelu. W związku z tym nie jest z góry określone, że zarządzanie nim należy do zadań kierownika jednostki. Przykładowe kategorie ryzyka operacyjnego: finansowe, fizyczne (zagrożenia dla budynków, sprzętu itp.), prawne, środowiskowe, technologiczne, zawodowe. Odpowiednie wyodrębnienie rodzaju i kategorii ryzyka ułatwi na dalszym etapie kwestię określenia jego właściciela. 14 PUNKTOWA OCENA RYZYKA Punktowa ocena ryzyka jest kolejnym, pogłębionym etapem jego analizy, który ma na celu lepsze zrozumienie wcześniej zidentyfikowanych ryzyk. Dostarcza informacji, pozwalających na uszeregowanie ryzyk oraz tym samym pomaga w podjęcie decyzji, dotyczących sposobów postępowania z nimi. Ryzyko ocenia się, biorąc pod uwagę: 1. Prawdopodobieństwo jego wystąpienia oraz 2. jego oddziaływanie na urząd w razie wystąpienia (skutek). Zarówno prawdopodobieństwo, jak i skutek oceniamy, wykorzystując skale punktowe (najczęściej stosuje się skale 3-stopniowe, 4-stopniowe i 5-stopniowe). Niezwykle istotne jest, aby przed oceną punktową wypracować jednolite dla całego urzędu definicje prawdopodobieństwa oraz poziomu oddziaływania. Należy także pamiętać o tym, że punktową analizę ryzyka przeprowadzamy, biorąc pod uwagę istniejące w urzędzie mechanizmy kontrolne. Tabela punktowa oddziaływania ryzyka KRYTERIA Liczba punktów Opis Finansowe (strata finansowa) Organizacyjne Ochrona zdrowia i bezpieczeństwa 5 Bardzo duże Powyżej 100 tys. PLN Brak realizacji kluczowych celów Utrata życia 4 Duże 10 tys. PLN100 tys. PLN Brak realizacji kluczowego celu Poważne obrażenia 3 Średnie 1 tys. PLN- 10 tys. PLN Zakłócenia w działalności Pewne obrażenia 2 Małe 100 PLNtys. PLN 1 Nieznac zne Do 100 PLN 1 Niewielkie zakłócenia w działalności Krótkotrwałe zakłócenia w działalności Niewielkie obrażenia Małe obrażenia Reputacja Doniesienia prasowe w całym kraju Informacje w mediach ogólnokrajowych Informacje w mediach regionalnych i lokalnych Ograniczone informacje w mediach lokalnych Ubogie informacje w mediach lokalnych 15 Tabela punktowa prawdopodobieństwa wystąpienia ryzyka Liczba punktów 1 2 3 4 5 Opis Rzadkie Mało prawdopodobne Średnie Prawdopodobne Prawie pewne Prawdopodobieństwo 0-20% 20-40% 40-60% 60-80% 80-100% MATRYCA RYZYKA Nakładając na siebie wymiar oddziaływania oraz wymiar prawdopodobieństwa, uzyskujemy matrycę ryzyka. Każdemu zidentyfikowanemu ryzyku w urzędzie odpowiada jedno pole na matrycy ryzyka. Istotność danego ryzyka uzyskujemy mnożąc punktową ocenę prawdopodobieństwa oraz skutku2. Skutek Bardzo duży 5 10 15 20 25 Duży 4 8 12 16 20 Średni 3 6 9 12 15 Mały 2 4 6 8 10 Nieznaczny 1 2 3 4 5 Rzadkie Mało prawdopodobne Średnie Prawdopodobne Prawie pewne Prawdopodobieństwo Matryca ryzyka jest podstawą do ustalenia hierarchii (ewentualnych) działań, mających na celu jego zmniejszenie3. Kierownictwo urzędu może przyjąć na przykład, że ryzyka ocenione najniżej (pola zielone) nie wymagają dodatkowych działań, ryzyka średnie (pola żółte) wymagają dodatkowego monitoringu, natomiast ryzyka wysokie (pola czerwone) wymagają podjęcia dodatkowych działań. 2 Kierownictwo urzędu może jednak ustalić inną metodologię, która na przykład przykładać będzie większą wagę do oceny skutku (w tej sytuacji punktową ocenę skutku mnożymy przez wyznaczony wcześniej współczynnik np. 1,5). 3 Możliwe działania opisane zostały w dalszej części opracowania, dotyczącej zarządzania ryzykiem. 16 MAPA RYZYKA Wykorzystując indywidualne oceny poszczególnych ryzyk możemy stworzyć mapę ryzyka. Obrazuje ona wszystkie ryzyka, zidentyfikowane w danym urzędzie lub komórce organizacyjnej. Jednocześnie umożliwia ustalenia „progów tolerancji” dla zidentyfikowanych ryzyk. Mapa ryzyka 6 Skutek 5 Ryzyko C 4 Ryzyko B 3 Ryzyko E 2 Ryzyko D 1 Ryzyko A 0 0 1 2 3 4 5 6 Prawdopodobieństwo Na powyższym wykresie zaznaczone zostały ryzyka zidentyfikowane dla danego urzędu. Wykorzystując mapę ryzyka może określić: poziomy akceptowanego ryzyka dla kategorii prawdopodobieństwa oraz kategorii skutku (na przykładzie zaznaczone dwoma pomarańczowymi prostymi4) lub poziom akceptowanego ryzyka dla kategorii istotności, rozumianej jako iloczyn punktowej oceny prawdopodobieństwa oraz skutku (na przykładzie zaznaczony czerwoną krzywą)5. Dla zaprezentowanego przykładu jedynie Ryzyko A nie wymaga podjęcia dodatkowych działań (gdyż znajduje się zarówno poniżej krzywej obrazującej istotność, jak i spełnia minimalne wymagania wyznaczone dla kategorii skutku i prawdopodobieństwa ). Jednocześnie, im ryzyko znajduje się bliżej prawego górnego rogu wykresu, tym jest poważniejsze i tym pilniej wymaga podjęcia działań je ograniczających (w zaprezentowanym przykładzie najpoważniejszym ryzykiem jest Ryzyko C). 4 Na przykładzie przyjęto, że akceptowany poziom ryzyka zarówno dla kategorii prawdopodobieństwa, jak i kategorii wynosi 2. 5 Na przykładzie przyjęto, że akceptowany poziom ryzyka dla kategorii istotność wynosi 4. Krzywą możemy uzyskać wykorzystując funkcję y=4/x, gdzie y to ocena skutku, x natomiast ocena prawdopodobieństwa. 17 REJESTR RYZYKA Rejestr ryzyka jest dokumentem podsumowującym, w którym umieszczamy informacje dotyczące wszystkich zidentyfikowanych zagrożeń. Musi on być aktualizowany podczas wszystkich kroków procesu zarządzania ryzykiem. Aktualizacja dokumentu powinna odbywać się regularnie, co najmniej raz w roku, tak, aby zarządzający ryzykiem mogli porównać stan obecny z poprzednim. Rejestr ryzyka może być prowadzony dla pojedynczego projektu, usługi lub działalności, a także dla całego urzędu. PORADA: Podczas opracowywania rejestru ryzyka warto przed jego stworzeniem, pamiętać o celach, jakie postawione są przed urzędem. Jest to przydatne, gdyż pozwala to twórcom rejestru, jak i uczestnikom procesu identyfikacji ryzyka na pamiętanie o fakcie, iż identyfikują ryzyko, które wpływa na cele urzędu. Do sporządzenia rejestru ryzyka możliwe jest wykorzystanie poniższego szablonu. Istnieje kilka metod sporządzania rejestru ryzyka, jednakowoż wszystkie metody posiadają kilka wspólnych cech, które będą stanowiły trzon każdego rejestru ryzyka. Są to: Identyfikator ryzyka – Każde ryzyko wprowadzone do rejestru powinno mieć swój identyfikator, składający się z cyfr bądź liter. Kategoria ryzyka – wprowadzenie kategorii ryzyka pozwala na ustrukturyzowanie rejestru ryzyka. Kategorie powinny pochodzić ze struktury podziału ryzyka, a wyglądać mogą następująco: strategiczne/rynkowe/ustawowe/czynniki ludzkie/polityka/siła wyższa etc. Przyczyna ryzyka, charakter, skutek – w procesie identyfikacji ryzyka pozycja to sprowadza się do jednoznacznego i jasnego określenia danego ryzyka. Przyczyna ryzyka opisuje źródło ryzyka, tzn. wydarzenie lub sytuację, która je wyzwala. Charakter ryzyka opisuje rodzaj zdarzenia w kategoriach zagrożenia lub okazji. Efekt ryzyka jest opisem potencjalnego wpływu danego ryzyka na rozważane przedsięwzięcie w sytuacji, gdyby ryzyko się zmaterializowało. Przykład: gwóźdź jest przyczyną, dziura w oponie jest zmaterializowanym zagrożeniem, a spóźnienie na spotkanie jest efektem. Punktowa ocena ryzyka – wartość, która została określona dla danego ryzyka przy opracowywaniu jego punktowej oceny. Reakcja na ryzyko – opis działań i w miarę możliwości termin ich podjęcia. Ryzyko rezydualne – Nawet mimo podjęcia działań neutralizujących ryzyko, nie uda nam się go zlikwidować. Ryzyko, które powstaje w wyniku takiej sytuacji nazywamy rezydualnym. Właściciel ryzyka – konkretna osoba odpowiedzialna za zarządzanie i kontrolę wszystkich aspektów danego ryzyka. 18 SZABLON REJESTRU RYZYKA Punktowa ocena ryzyka Identyfikator ryzyka Kategoria ryzyka Przyczyna ryzyka, charakter, skutek Reakcja na ryzyko Ryzyko rezydualne DX1 Zasoby ludzkie Opis zgodny z analizą przeprowadzoną w pkt. 2 opracowania 20 Dyrektor departamentu X DZ1 Sprzęt i informacja Opis zgodny z analizą przeprowadzoną w pkt. 2 opracowania 16 Naczelnik wydziału Z w departamencie X Właściciel ryzyka Dodatkowo, w zależności od podejścia zarządzających w ryzykiem w urzędzie, rejestr ryzyka może zostać wzbogacony o kolejne kolumny. Kolejność kolumn w powyższym szablonie, jak i kolumn dodawanych do niego, powinna odzwierciedlać sekwencję, w jakiej informacje są pozyskiwane. Poniższe elementy rejestru ryzyka nie znajdują odzwierciedlenia w tym opracowaniu, lecz mogą być przydatne przy korzystaniu z innych źródeł traktujących o zarządzaniu ryzykiem. Prawdopodobieństwo – prawdopodobieństwo wystąpienia ryzyka, powinno oszacowane w oparciu o opisy zawarte w tabelach planu zarządzania ryzykiem. być Spodziewany skutek – skutek powinien być oszacowany w oparciu o opisy zawarte tabelach planu zarządzania ryzykiem. Istnieje możliwość rozbicia skutku na skutek przed i po zastosowaniu planu zarządzania ryzykiem. Kategoria reakcji na ryzyko – jedna z kategorii zdefiniowanych w planie zarządzania ryzykiem. Bliskość – w tej kolumnie powinno zawierać się określenie czasu, w którym spodziewana jest materializacja ryzyka. Status ryzyka – wyróżniamy dwa statusy: aktywne, czyli takie, które jest stale obecne i zamknięte, czyli ryzyko, które już się nie wydarzy. Właściciel reakcji związanych z ryzykiem – osoba odpowiedzialna za reakcję lub wiele różnych reakcji w stosunku do wybranego ryzyka lub ich grupy. Osoba taka wspiera właściciela ryzyka i otrzymuje od niego wytyczne. 19 ZARZĄDZANIE RYZYKIEM Proces zarządzania ryzykiem Podjęcie działań zmniejszających ryzyko (w razie potrzeby) Zapewnianie skuteczności mechanizmów kontrolnych w urzędzie Monitoring i raportowanie ryzyka PODEJMOWANIE DECYZJI I DZIAŁAŃ Zapobiegawcze Tolerowanie Korygujące Zmniejszanie Podejmowanie decyzji i działań Nakazowe Przeniesienie Wykrywające Likwidacja Reakcja na ryzyko dotyczy ryzyk wrażliwych dla urzędu lub będących w szczególnym zainteresowaniu kierownictwa. Powinny one być utrzymywane na określonym przez system zarządzania tzw. akceptowalnym poziomie ryzyka – osiągnąć to można poprzez następujące czynności: 20 Akceptowalny poziom ryzyka i reakcja na występujące ryzyko uzależniona jest od: apetytu na ryzyko (przykładowo ryzyko oceniane jako mało istotne może być przez jednostkę tolerowane) relacji kosztów reakcji na ryzyko do korzyści z niej uzyskanych (koszty podejmowanych działań nie powinny być wyższe niż spodziewane korzyści z tych działań) zakresu kontroli ryzyka przez Urząd odpowiedzialności za efekty wystąpienia ryzyka (ubezpieczenie) i współdzielenie go. Typ działania TOLEROWANIE Wskazówki Ma miejsce wtedy, gdy: narażenie na ryzyko uznajemy za dopuszczalne (jego ewentualny skutek niski bądź mało istotny), wywarcie wpływu na ryzyko jest ograniczone koszt reakcji na ryzyko przewyższyłby ewentualnie odniesione korzyści tego działania Decyzja: Tolerujemy ryzyko Rekomenduje się: W celu lepszego reagowania na skutki powstałe przez urzeczywistnienie ryzyka (które zdecydowaliśmy się tolerować) można sporządzić plany awaryjne. Idea: ograniczenie możliwości urzeczywistnienia się niepożądanego wyniku. ZAPOBIEGAWCZE ZMNIEJSZANIE KORYGUJĄCE Decyzja: Chcąc, aby niepożądane zjawisko nie wystąpiło, wdrażamy zapobiegawcze punkty kontrolne Przykłady: rozdział obowiązków, gdzie żadna osoba nie jest upoważniona do działania bez zgody innej (np. inna osoba zatwierdza płatność faktury, inna zamawia towary); ograniczenie wykonywania czynności do osób upoważnionych (np. do udzielanie odpowiedzi na pytania mediów tylko przez odpowiednio przeszkolone i uprawnione osoby). Idea: powrót do utraconego stanu, w razie poniesienia straty bądź szkody w wyniku urzeczywistnienia się ryzyka Decyzja: Wdrażanie działań korygujących niepożądane wyniki, które stały się rzeczywistością. Przykłady: sformułowanie warunków umownych w sposób umożliwiający odzyskanie nadpłaty; ubezpieczenie (ułatwia odzyskanie równowagi finansowej). Rekomenduje się: Tworzenie awaryjnych planów działania, w celu utrzymania ciągłości działania Urzędu i szybkiego powrotu do poprzedniego stanu po urzeczywistnieniu się ryzyka. 21 Idea: osiągnięcie konkretnego wyniku, aby uniknąć wystąpienia niepożądanego zdarzenia . Stosuje się zwykle w sytuacji zagrożenia zdrowia lub bezpieczeństwa Decyzja: stosowanie nakazowych punktów kontrolnych NAKAZOWE WYKRYWAJĄCE Przykłady: dodanie wymogu noszenia odzieży ochronnej w trakcie wykonywania niebezpiecznych obowiązków; przeszkolenie personelu z zakresu koniecznych umiejętności przed pozwoleniem na pracę bez nadzoru. Idea: identyfikowanie okazji do powstania niepożądanych wyników, które już się pojawiły. Ich efekt występuje, z definicji, „po zdarzeniu”, więc są odpowiednie tylko wtedy, gdy możliwe jest zaakceptowanie poniesionej straty lub szkody. Przykłady: sprawdzenia stanów zapasów lub aktywów; uzgodnienie stanu kont; „przeglądy powdrożeniowe”; działania monitoringowe, wykrywające zmiany wymagające reakcji. Opcja stosowana zazwyczaj przy ryzykach typu finansowego lub majątkowego. Przeniesienie ryzyka ma miejsce poprzez: wykup konwencjonalnego ubezpieczenia zapłata stronie trzeciej za przejęcie ryzyka w inny sposób. Rekomenduje się: PRZENIESIENIE Przenieść ryzyko można zwłaszcza gdy: celem jest zmniejszenie narażenia urzędu na ryzyko inna organizacja ma większą zdolność do efektywnego zarządzania ryzykiem. Uwaga! Niektóre rodzaje ryzyka nie są (w pełni) możliwe do przeniesienia, np. utrata reputacji. Idea: zmniejszenie lub sprowadzenie do akceptowalnych poziomów poprzez zaprzestanie ryzykownych działań lub zlikwidowanie ryzyka Rekomenduje się: LIKWIDACJA Stosowanie szczególnie przy zarządzaniu projektem, gdy przewidywany stosunek kosztów do korzyści jest zagrożony. Uwaga! Stosowanie opcji zakończenia działalności jest poważnie ograniczone w sektorze rządowym. Niektóre czynności są realizowane w sektorze rządowym, właśnie z uwagi na duże ryzyko z nimi związane. 22 MECHANIZMY KONTROLNE Umożliwiają wykonanie zaplanowanych celów i zadań oraz stanowią odpowiedź na ryzyka. Dlatego też powinny występować na wszystkich szczeblach zarządzania i odnosić się do wyników procesu analizy ryzyka. Podstawowe mechanizmy kontrolne (katalog otwarty): 1. Dokumentowanie systemu kontroli zarządczej Procedury wewnętrzne, instrukcje, wytyczne, dokumenty określające zakres obowiązków, uprawnień i odpowiedzialności pracowników. Sporządzane w formie pisemnej, spójnej i dostępnej dla wszystkich osób, dla których jest niezbędna. Uwaga! Szczególnie powinny być dokumentowane i archiwizowane operacje krytyczne dla funkcjonowania jednostki, w tym operacje gospodarcze i finansowe Nie warte dokumentowania są czynności, którym przypisane jest niewielkie ryzyko (np. przekazywanie informacji w ramach komórki organizacyjnej). 2. Nadzór Służy wykonaniu celów oraz oszczędnej, efektywnej i skutecznej realizacji zadań. Mechanizm kontrolny polega na ukształtowaniu obowiązków osób kierujących komórkami organizacyjnym i ustanowieniu potrzebnych mechanizmów w stosunkach pomiędzy kierownikiem i podległymi mu pracownikami oraz pomiędzy pracownikami różnych szczebli (kierującym i kierowanymi lub nadzorującym i nadzorowanymi). Komunikacja w obu kierunkach na linii: wykonawczej (nadzorujący-nadzorowany); wykonawczo-kierowniczej (nadzorujący-kierownictwo). W drodze nadzoru wykrywa się i eliminuje błędy, nieporozumienia i nieprawidłową praktykę oraz zapobiega się ich powtarzaniu w przyszłości.. 3. Ciągłość działalności Zapewnienie istnienia mechanizmów służących utrzymaniu ciągłości działalności Urzędu. Kluczową role odgrywają następujące elementy: zarządzanie zasobami ludzkimi (polityka kadrowa) – identyfikacja pracowników, którzy z uwagi na swoją szczególną wiedzę, mają kluczowe znaczenie dla prawidłowej działalności jednostki; 23 uruchomienie odpowiednich środków zaradczych np. uruchomienie szkolenia nowozatrudnionych, przekazywanie wiedzy przez bardziej doświadczonych pracowników; odpowiednie zasady udzielania urlopów oraz sporządzanie planów urlopów pracowników, w tym kadry kierowniczej. 4. Ochrona zasobów Obejmuje trzy aspekty: ochronę fizyczną jednostki i jej pracowników, ochronę zasobów materialnych, ochronę środków finansowych oraz ochronę informacji. Rekomenduje się: zastosowanie analizy ryzyka w celu zidentyfikowania zasobów o znaczeniu krytycznym dla funkcjonowania jednostki; określenie granic odpowiedzialności materialnej za ochronę i podjęcie działań zabezpieczających; dokonywanie okresowych przeglądów bezpieczeństwa; zwrócenie uwagi an inwentaryzację (narzędzia ochrony zasobów materialnych); objęcie ochroną informacji wytwarzanych i przechowywanych w każdej formie, również zapisanej na nośnikach elektronicznych. Uwaga! Dostęp do zasobów Urzędu powinny mieć JEDYNIE upoważnione osoby. Wymagana jest analiza ryzyka związanego z utratą chronionego dobra i istnieniem zabezpieczeń. 5. Szczegółowe mechanizmy i gospodarczych kontroli dotyczące operacji finansowych Zachowywanie dokumentacji oraz jej prawidłowe zabezpieczenie przed osobami niepowołanymi i nieautoryzowanymi zmianami. Powinny istnieć następujące mechanizmy kontroli dotyczące operacji finansowych i gospodarczych: pełne dokumentowanie i rejestrowanie operacji finansowych i gospodarczych; autoryzacja operacji finansowych przez kierownika jednostki lub osoby przez niego upoważnione; podział kluczowych obowiązków; weryfikacja operacji finansowych i gospodarczych przed i po realizacji. 24 6. Mechanizmy kontroli dotyczące systemów informatycznych Zabezpieczenie informacji i dokumentów ujętych w systemach informatycznych. Uwzględniając fakt, iż informację elektroniczną łatwiej jest powielić i rozpowszechnić. Rekomenduje się: opracowanie odpowiednich procedur i mechanizmów zabezpieczających dane (dotyczących bezpieczeństwa systemów informatycznych); zbudowanie systemu przydzielania i ograniczania dostępu do systemu informatycznego i późniejsze zbadanie jego szczelności; zabezpieczenie się przed nieuprawnionymi lub niezatwierdzonymi modyfikacjami systemu; dokonanie podziału obowiązków pomiędzy pracowników (uniknięcie wykonywania kluczowych operacji przez jednego pracownika); wprowadzenie mechanizmu samokontroli systemu. MONITOROWANIE Wraz z działaniami związanymi z zarządzaniem ryzykiem ustanawia się mechanizmy, które umożliwiają monitorowanie wdrożonych rozwiązań i dokonywanie oceny ich efektywności. Jak również pozwalają poszukać odpowiedzi na następujące pytania: czy system zarządzania ryzykiem spełnia założone cele? czy polityki i procedury ustanowione w jego ramach są nadal aktualne i wydajne? MONITORING RYZYKA Monitorowanie systemu kontroli zarządczej Samoocena Audyt wewnętrzny Uzyskanie zapewnienia o stanie kontroli zarządczej 25 MONITOROWANIE SYSTEMU KONTROLI ZARZĄDCZEJ Każdy element systemu kontroli zarządczej powinien być sprawdzany pod kątem swojej skuteczności. Za proces ten odpowiedzialne jest ścisłe kierownictwo, jak również inne osoby zarządzające Komorkami organizacyjnymi w Urzędzie. Szczególną uwagę należy przykładać do zaleceń i opinii dotyczących niedoskonałości systemu w Urzędzie, kierowanych przez organy i jednostki nadzorujące lub kontrolne. Ważnym elementem monitorowania poszczególnych elementów kontroli zarządczej powinno być również wskazywanie słabości systemu przez pracowników Urzędu (np. podczas szkoleń i spotkań). Efektem czynności kontrolnych powinno być ciągłe udoskonalanie procesu w Urzędzie poprzez identyfikowanie problemów i naprawianie ich, aby zapobiec negatywnym zdarzeniom w przyszłości. SAMOOCENA Zakres samooceny kontroli zarządczej może dotyczyć: poszczególnych procesów zachodzących w jednostce, a także poszczególnych elementów kontroli zarządczej. W procesie samooceny uczestniczą kierownicy oraz pracownicy jednostki bezpośrednio zaangażowani w daną działalność. Uwaga! Samoocena powinna być ujęta w ramy procesu odrębnego od bieżącej działalności i udokumentowana. Warto przeprowadzać ja przynajmniej raz w roku. AUDYT WEWNĘTRZNY Ustawa o finansach publicznych gwarantuje przeprowadzenie obiektywnej i niezależnej oceny kontroli zarządczej przez audytora wewnętrznego. Czynności audytora określone są w rocznym planie audytu, opracowanym na podstawie analizy ryzyka. Podczas przeprowadzenia audytu oceniane są elementy kontroli zarządczej i stwierdzana ich zgodność bądź niezgodność z normami. 26 Wszystkie wyszczególnione przez audytora wady powinny być jak najszybciej zakomunikowane pracownikom bezpośrednio odpowiedzialnym za dane zadanie oraz ich bezpośrednim przełożonym. Uwaga! Poważne słabości powinno się przekazać niezwłocznie najwyższemu kierownictwu, któremu podlega audytor. UZYSKANIE ZAPEWNIENIA O STANIE KONTROLI ZARZĄDCZEJ Źródłem uzyskania zapewnienia o stanie kz przez kierownika jednostki są wyniki: monitorowania; samooceny; przeprowadzonych audytów i kontroli. Uwaga! Zaleca się coroczne potwierdzenie uzyskania powyższego zapewnienia w formie oświadczenia o stanie kontroli zarządczej za poprzedni rok. Rekomenduje się: regularne raportowanie nt. ryzyka i postępów w realizacji planu radzenia sobie z ryzykiem, ocenianie funkcjonowania zarządzania ryzykiem przy wykorzystaniu ustalonych wcześniej (i okresowo przeglądanych) wskaźników – spełnianie przez system zarządzania ryzykiem założonych celów, dokonywanie przeglądu zasad zarządzania ryzykiem, uwzględniając zmiany zachodzące w urzędzie i jego otoczeniu. 27